ozztech_logo_white

Dark Web Masalları

Dark Web

Suç Forumlarında Parmak izi Erişim Komisyoncuları

Dark Web’ de Yaklaşık bir yıl önce, bir fidye yazılımı saldırısı, küçük bir Arizona kasabası için belediye sistemlerini kilitledi, topluluğu bir aydan fazla bir süredir hizmet dışı bıraktı, ciddi bir olay müdahale faturası ve vatandaşlar hassas bilgilerinin ele geçirildiğinden endişe etti. İhlal haberlerinin kamuya açıklanmasından haftalar önce, şehrin VPN portalı erişimiyle ilgili bilgiler popüler bir Rus hacker forumunda satışa sunuldu. Uyarılar oradaydı ve erişim komisyoncularını izleyen birinin noktaları birleştirip çok geç olmadan bir alarm vermesi olasıydı.

Dark Web’de bu olay gibi fidye yazılımı saldırıları, tek başına neredeyse hiç ortaya çıkmaz. Her yüksek profilli ihlal, bize saldırının nasıl ve ne zaman ortaya çıktığı hakkında hayati bilgiler veren bir ekmek kırıntısı izi bırakır. Erişim komisyoncularının rolü, bu bilgi bulmacasını çözmenin kilit parçalarından biridir.

Dark Web’de Erişim Komisyoncuları Neden İzlemeye Değer?

Erişim komisyoncuları genellikle e-Suç değer zincirinin başlangıcında yer alır. Kurbanların ağlarına erişim yöntemleri kazanma ve satma konusunda uzmanlaşmış aracılar olarak hareket ederler. Bu değerli erişim kimlik bilgileri daha sonra çeşitli yer altı forumlarında veya karanlık web pazarlarında diğer siber suçlulara duyurulur.

Komisyoncuların ürünlerinin reklamını yapmak için hangi forumların veya yeraltı pazaryerlerinin ziyaret ettiğini ve nelere bakmaları gerektiğini anlamak, fidye yazılımı saldırılarının önüne geçmenin anahtarıdır. Genesis, Russian Market ve Exploit Market, erişim komisyoncularının reklam verdiği bilinen birkaç forumdur. Bir gönderideki tipik nitelikler arasında konum, sektör sektörü, BT altyapısından yararlanma ayrıntıları, çalışan sayısı, gelir ve erişim aracısının takma adı yer alabilir.

Erişim komisyoncularının zemini hazırlayıp hayati bilgileri kötü amaçlı yazılım operatörlerine sattığı bu devir süreci, siber saldırıları artırdı. Bireysel saldırı bileşenlerinden artık daha hızlı para kazanılıyor ve suç aktörlerinin bunların satıldığı çeşitli yeraltı forumlarına katılmalarının önündeki engellerin karmaşıklığı önemli ölçüde azaldı.

Farklı erişim türlerinin emrettiği fiyatlar, mağdurun pazarlık yapma isteğine ve ihlalin potansiyel etkisine bağlı olarak değişir. Örneğin, dahili Falcon X Recon tehdit istihbaratımıza dayanarak, e-posta kimlik bilgilerine sahip bir işletme finans hesabı 1.200 USD’den başlarken BT altyapısı yönetici erişimi 20.000 USD’den başlar.

Dark Web’ de erişim komisyoncularını izlemek için tekrarlanabilir ve optimize edilmiş bir süreç kurmak, işletmelerin ve devlet kurumlarının yaklaşan saldırılar veya mevcut erişim istismarı hakkında ilgili uyarıları almasına yardımcı olur.

Dark Web İçin Optimize İzleme Stratejisinde Beş Adım

Optimize edilmiş bir izleme stratejisi, erişim aracılarının kim olduğu ve nerede çalıştıkları hakkında bir tehdit istihbaratı temeli üzerine kuruludur. Güvenlik savunucuları, beş yinelemeli adımı izleyerek dark web erişim komisyoncusu ağında devriye gezebilir.

  • Varlıklarınızı bilmek
  • Kötü aktörlerin belirlenmesi
  • Bilinen pazarları bulmak
  • İpuçları için bu pazarları trollemek için uyarılar yazmak
  • Meşru uyarıları takip etmek için ekip üyeleri atamak

Bu adımlar için bazı başlangıç noktaları:

  • Adım 1: Neyi koruyacağınızı belirleyerek başlayın. Alan adları, IP alt ağları, konum ayrıntıları, ISP, dikey, açık kimlikler ve altyapınızın tanımlanabilir olmasına yardımcı olabilecek her şey gibi dijital varlıklarınızı ve özelliklerinizi listeleyin.
  • Adım 2: Sektörünüzü veya varlıklarınızı hedefleyebilecek erişim komisyoncularını belirleyin. Hangi takma adlar altında çalıştıklarını ve genellikle hangi erişim bilgilerini sattıklarını öğrenin. Bu alandaki yerleşik satıcılar, bu araştırmalar için size bir başlangıç noktası sağlayabilir.
  • Adım 3: İzlemeniz gereken karanlık web forumlarının ve pazarlarının bir çamaşırhane listesini yapın. Erişim verilerini toplamak için en çok hangi kötü amaçlı yazılım araçlarının kullanıldığını öğrenin. “Redline” veya “gizemli” hırsızlar gibi ürün adlarını bilmek, izleme süreçleri için doğru hunilerin oluşturulmasına yardımcı olabilir.
  • Adım 4: Tehdit istihbaratı, uyarıları bağlama göre önceliklendirme ve yerleştirmede anahtardır. Öğrenilen bilgileri kullanarak kuralları kodlayın ve uyarılar oluşturun. Huni uyarıları, büyük hacimli uyarıları gözden geçirmenize ve en alakalı olanlara odaklanmanıza yardımcı olabilecek, kolayca görselleştirilebilen bir biçime dönüştürülür.
  • Adım 5: Sorumlulukları atayın. İstihbarat ekipleri, kimlik ve erişim yöneticileri, güvenlik açığı risk yöneticileri, SOC analistleri ve olay müdahale ekipleri, özel varlık istismarlarını azaltmak, ilgili olaylara ve yakıt araştırmalarına öncelik vermek için oluşturulan uyarıları kullanabilir. Bu ekip üyeleri ayrıca, sürecin daha odaklı ve alakalı hale gelmesi ve değişen bir erişim aracısı ekosistemine tepki verebilmesi için anahtar kelimeleri zaman içinde iyileştirmeye yardımcı olabilir.

Umut Veren Bir Program

Dark Web ‘de Erişim komisyoncusu forumlarını izlemek bilgi sağlar, ancak işletmelerin kapsamlı azaltma stratejilerine ihtiyacı olacaktır. Yöntem, izlenecek yüzlerce bireysel gönderi ile çok konuşkan olabilir. Erişim aracısı gönderileri genellikle, süreci karmaşıklaştırabilecek, yapılandırılmış ve yapılandırılmamış verilerin bir karışımını içerir. Diğer dillerdeki gönderileri izlemek için çevirilere de ihtiyaç duyulabilir. Bu zorluklar, işletmelerin üçte birinden daha azının neden erişim aracılarını izlediğini açıklayabilir. Bu yılın başlarında Fal.Con 2021’de sunulan dahili araştırmamız, çoğu programın üç yaşından küçük olduğunu gösteriyor.

Dark web forumlarından uyarı işaretlerini keşfedilmemiş bırakmak bir hatadır. Komisyoncuların bıraktığı ekmek kırıntılarını takip etmek, siber güvenlik cephaneliğinde hayati bir araçtır. Sızan erişim bilgileri açısından yangın çıkmış olabilir, ancak patlama henüz gerçekleşmedi. Optimize edilmiş bir izleme stratejisi kullanarak, güvenlik savunucuları yalnızca açıkta kalan kurumsal tehdit risklerini ortaya çıkarmakla kalmaz, aynı zamanda erişim istismarında azaltmayı önceliklendirebilir ve fidye yazılımı saldırılarını -tamamen engellemese bile- köreltebilir.

Bu makale ilginizi çektiyse sizleri Dark Web hakkında detaylıca inceleme yaptığımız makalemize davet ediyoruz: https://www.ozztech.net/siber-guvenlik/dark-web-nedir/

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »