Tweet
Orjinal adı Command and control olan ve bu adla kurulan serverlar bakın ne yapıyor.
C2 ve C&C olarak da adlandırılan komut ve kontrol saldırıları, kötü niyetli bir aktörün bir ağ üzerinden zaten güvenliği ihlal edilmiş makinelere komuta etmek ve
kontrol etmek için kötü amaçlı bir sunucu kullandığı bir saldırı türüdür. Kötü amaçlı sunucu (komut ve kontrol sunucusu), güvenliği ihlal edilmiş ağdan istenen yükü almak için de kullanılır.
Bu yazıda, bir komuta ve kontrol saldırısının ne olduğunu, saldırının nasıl çalıştığını ve buna karşı savunmak için neler yapılabileceğini ayrıntılı olarak gözden geçireceğiz.
Komuta ve kontrol saldırıları nasıl çalışır?
Yukarıda belirtildiği gibi, komut ve kontrol saldırıları, virüslü makineleri kötü amaçlı bir uzak sunucudan kontrol eder. Ancak saldırganlar ilk etapta bu makinelere nasıl bulaşır?
Bu, tipik "uzlaşma kanalları" aracılığıyla yapılır:
Makine başarılı bir şekilde ele geçirildikten sonra, kötü amaçlı komut ve kontrol sunucusuyla iletişim kurarak talimatları almaya hazır olduğunu gösterir.
Virüslü cihaz, saldırganın C2 sunucusundan gelen komutları yürütür ve bu da genellikle daha fazla kötü amaçlı yazılımın yüklenmesine yol açar.
Bu, saldırgana kurbanın bilgisayarı üzerinde tam kontrol sağlar.
Kuruluş içinde giderek daha fazla kullanıcı kimlik avı düzenine düştükçe veya başka bir şekilde güvenliği ihlal edildikçe, kötü amaçlı kod genellikle
giderek daha fazla bilgisayara yayılır ve virüslü makinelerden oluşan bir ağ olan bir botnet oluşturur.
Kısa bir süre içinde, saldırgan bu ağ üzerinde tam kontrol sahibi olur.
Komuta ve kontrol saldırıları ile hedef alınabilecek cihazlar
Esasen, herhangi bir bilgi işlem cihazı bir komuta ve kontrol saldırısı ile hedef alınabilir. Bu şu anlama gelir:
Listedeki bu son giriş özellikle endişe verici çünkü bu cihazlar oldukça güvensiz olma eğilimindedir. Güvenlik yamalarıyla çok sık güncellenmeyebilirler ve internet üzerinden çok fazla veri paylaşma eğilimindedirler.
Ayrıca, tüketicinin değiştirmesi beklenen "admin, admin" gibi varsayılan oturum açma kimlik bilgileriyle birlikte gelme eğilimindedirler. Bu zordur, çünkü IoT cihazları genellikle kontrol edilmelerini zorlaştıran son derece sınırlı kullanıcı arayüzlerine sahiptir.
Birleşik Krallık hükümetinin Tüketici IoT Güvenliği Uygulama Kuralları, cihaz üreticilerinin tüm IoT cihaz parolalarının benzersiz olmasını ve evrensel fabrika varsayılan değerlerine sıfırlanamamasını sağlamasını önerir. Bu arada, ağınızdaki IoT cihazlarının sayısını sınırlamak isteyebilirsiniz.
Komuta ve kontrol saldırılarının riskleri nelerdir?
Komuta ve kontrol saldırılarında farklı komuta ve kontrol sunucusu/istemci mimarileri kullanılır. Mimari, virüslü makinenin komut ve kontrol sunucusuyla nasıl iletişim kurduğunu belirler. Algılamayı mümkün olduğunca önlemek için zaman içinde farklı mimariler geliştirilmiştir. Üç farklı komuta ve kontrol mimarisi vardır.
Merkezi mimari
Merkezi mimari muhtemelen en yaygın olanıdır. Bu, virüslü tüm bilgisayarların tüm yanıtları yöneten tek bir merkezi sunucuyla iletişim kurduğu klasik istemci/sunucu şemasıdır. Ancak bu model, tüm komutlar tek bir kaynaktan geldiği için tespit edilmesi ve engellenmesi en kolay olanıdır. Bu nedenle, komut ve kontrol sunucusunun IP adresi oldukça kolay bir şekilde tespit edilebilir ve engellenebilir. Bunu denemek ve hafifletmek için, bazı saldırganlar C&C sunucu yapılandırmalarında proxy sunucuları, yeniden yönlendiriciler ve yük dengeleyiciler kullanır2
Eşler arası mimari
Eşler arası model, tam olarak merkezi bir sunucunun olmadığı BitTorrent dosya aktarımları gibi çalışır. Bu mimaride, virüs bulaşmış her bilgisayar botnet'te bir düğüm görevi görür ve mesajları (yani komutları) botnet'teki diğer herhangi bir düğüme iletir. Bu mimari modelde merkezi bir sunucuya olan ihtiyaç ortadan kalkar. Ancak, bu mimari genellikle karma bir kurulumda kullanılır. Eşler arası mimari, merkezi sunucunun kapatılması veya başka bir şekilde güvenliğinin ihlal edilmesi durumunda karma yapılandırmada geri dönüş olarak kullanılır.
Eşler arası mimari modelinin algılanması, merkezi mimari modelinden çok daha zordur. Ve tespit edilse bile, bir seferde yalnızca bir düğümü kapatabilme şansınız yüksektir - bu da yine de önemli bir baş ağrısına neden olacaktır.
Rastgele mimari
Rastgele mimari modeli, algılanması en zor olanıdır. Bu aynı zamanda ortaya çıkmasının nedeni de budur: böylece güvenlik personeli bir botnet'in emir komuta zincirini tespit edemez veya C&C sunucusunu izleyip kapatamaz. Bu mimari model, virüslü ana bilgisayara veya botnet'e farklı rastgele kaynaklardan komutlar göndererek çalışır. Bu kaynaklar sosyal medya yorumlarındaki, CDN'lerdeki, e-postadaki, IRC sohbet odalarındaki vb. bağlantılar olabilir. Saldırganlar, kötü amaçlı komutları göndermek için güvenilir ve sık kullanılan kaynakları seçme eğilimindedir ve bu da başarı şanslarını artırır.
Bir komuta ve kontrol saldırısının olası saldırı akışı
Aşağıdakiler, bir komut ve kontrol saldırısındaki tipik bir saldırı akışını temsil eder.
Şubat 2013'te Twitter, kurumsal ağına yönelik karmaşık bir saldırı tespit etti. Hacker grubu Wild Neutron veya Morpho (her iki isimle de anılır) tarafından gerçekleştirilen bir komuta ve kontrol saldırısıydı. Bu grup, önümüzdeki haftalarda Facebook, Apple ve Microsoft'a karşı aynı saldırıyı kullanacaktı. Twitter'a yapılan saldırı, yaklaşık 250.000 kullanıcı hesabını ele geçirdi ve saldırganların diğer şeylerin yanı sıra kullanıcı adlarına ve e-posta adreslerine erişmelerini sağladı.
Twitter saldırısından birkaç hafta sonra, Facebook, Twitter ile aynı komuta ve kontrol saldırısına maruz kaldı. Bununla birlikte, belki de Twitter hack'ini öğrendikten sonraki öngörü nedeniyle, saldırı herhangi bir müşteri verisini açığa çıkaramadı ve kötü amaçlı yazılım ağ üzerinden yayılmadı. Facebook mühendislerine ait az sayıda dizüstü bilgisayarda bulunuyordu.
Apple, bu 2013 hackathon'unda geride kalmadı. Facebook ve Twitter gibi, Apple da Şubat ayında aynı saldırıya uğradı. Apple'a göre, o sırada Cupertino kampüsündeki yalnızca az sayıda bilgisayar aynı grup tarafından başarılı bir şekilde saldırıya uğradı.
Saldırı, makineleri tehlikeye atmak için bir Java güvenlik açığından yararlandı (etkilenen diğer şirketlerde olduğu gibi). Apple, "herhangi bir verinin Apple'dan ayrıldığına dair bir kanıt yok" diyen bir bildiri yayınladı. Gitmemiş olabilir ama izlenmiştir belki... Apple, birkaç gün sonra istismarı azaltmak için Java için bir güncelleme yayınladı.
Microsoft Bilişim Sistemleri
Yine Twitter saldırısından birkaç hafta sonra Microsoft da aynı grup tarafından benzer şekilde saldırıya uğradı. Saldırganlar, Microsoft'un düzeltilmemiş güvenlik açıkları veritabanını tehlikeye atmayı başardı. Söylemeye gerek yok, saldırı yıkıcı olabilirdi.
Microsoft, "Müşteri verilerinin etkilendiğine dair hiçbir kanıtımız yok ve soruşturmamız devam ediyor" diyen bir bildiri yayınladı. Ancak Reuters'e göre Microsoft, güvenliği ihlal edilen bilgilerin takip saldırılarına yol açacağından çok endişeliydi. Ve bu pekala olmuş olabilir.
Komuta ve kontrol saldırılarına karşı savunma
Çoğu zaman olduğu gibi, komut ve kontrol saldırılarına karşı savunmanın yolu, kullanıcı mı yoksa yönetici mi olduğunuza bağlıdır. Her biri için farklı risk azaltma önlemleri geçerlidir. Her ikisini de sağlayacağız.
Sistem yöneticileri için
Güvenlik farkındalığı eğitimi sağlayın
Personelinizin karşılaşabilecekleri çevrimiçi tehditlerin farkında olmasını istersiniz. Personeliniz için güvenlik eğitimi, yalnızca komuta ve kontrol saldırılarını azaltmanıza yardımcı olmakla kalmaz, aynı zamanda diğer birçok kötü niyetli faaliyet türünü de azaltmanıza yardımcı olur.
Güvenlik eğitimi, kuruluşunuzda daha güvenli alışkanlıkları teşvik eder ve her gün karşılaştığınız çevrimiçi tehditlerin çoğunun, özellikle de kimlik avı girişimlerinin risk düzeyini azaltır. Bunun da ötesinde, tüm kuruluşunuz güvenlik olaylarıyla başa çıkmak için daha hazırlıklı olacaktır. Bununla kaybedemezsiniz.
Ağlarınızı izleyin
Ağınız üzerinden akan trafiğin görünürlüğüne ihtiyacınız olacak. Özellikle, ağınız üzerinde meydana gelen şüpheli etkinliklere karşı tetikte olmak istersiniz. Bir saldırıya işaret edebilecek işaretlerden bazıları (komuta ve kontrol veya başka türlü), karşılık gelen karmalarıyla dosya adı uyumsuzlukları, uygun şekilde adlandırılmış dosyaların garip konumlarda depolanması ve olağandışı zamanlarda kullanıcı oturum açmaları ve olağandışı ağ konumlarına erişilmesi olabilir.
Yapay Zeka Tabanlı İzinsiz Giriş Tespit Sistemi (IDS) kullanın
Geleneksel BT savunmalarının şüpheli davranışları tanımlaması genellikle zordur. Bunun nedeni, doğaları gereği ikili olma eğiliminde olmalarıdır. Hesabın izinlerine veya bir ACL'ye başvururlar ve "evet" ile "hayır" veya "erişim izni ver" veya "erişimi reddet" arasında seçim yaparlar.
Bununla birlikte, günümüzde olağandışı olayları verimli bir şekilde tarayabilen ve tespit edebilen teknolojiler mevcuttur. Yapay zeka destekli teknoloji, günümüzde birçok endüstride kullanılmaktadır. Ve BT güvenliği de göz ardı edilmiyor. Yapay zeka tabanlı bir IDS ile, ağınız üzerindeki "normal" davranış kalıplarını belirlemek için makine öğrenimi yoluyla "öğretebilirsiniz". Bu temelden ve biraz eğitimle, aykırı davranışları tespit edebilecek ve böylece siber tehditleri ortadan kaldırmanıza yardımcı olacaktır.
Kullanıcı izinlerini mümkün olduğunca sınırlayın
Kuruluşunuzda en az ayrıcalık ilkesi uygulanmalıdır. Her kullanıcıya, işlerini yapmak için gereken en az miktarda izin verin ve bunun ötesinde bir şey atayın.
Destekleyen tüm hesaplarda İki faktörlü kimlik doğrulamayı (2FA) ayarlayın
2FA, kötü niyetli aktörlerin kimlik bilgilerinizi kötüye kullanmasını zorlaştırmanın sağlam bir yoludur. Sadece bu da değil, birçoğunu denemekten caydırabilir.
Dijital kod imzalama uygulayın
Dijital imzalama, güvenilir bir varlık tarafından imzalanmadığı sürece yetkisiz yazılımların yürütülmesini önler. Herhangi bir yerden herhangi bir uygulamanın ağınızdaki cihazlara yüklenmesine izin vererek kapıyı tamamen açık bırakmayın. Dijital kod imzalama yoluyla bir beyaz liste oluşturun.
Kullanıcılar için
Bunlar, öncelikle çeşitli çevrimiçi tehditlerden kaçınmanıza yardımcı olabilecek sağduyulu ipuçlarıdır. Bununla birlikte, ilk dört nokta doğrudan C2 saldırılarının azaltılması ile ilgilidir.
Yani bu aslında komuta ve kontrol saldırılarıyla ilgili anlaşmadır. Tam ağ devralmalarına yol açabilecekleri ölçüde kesinlikle kötü olabilirler. Ancak, diğer birçok çevrimiçi saldırıda olduğu gibi, yukarıdaki güvenlik önlemlerini uygulamaya koymak ve kuruluşunuz içinde güvenlik bilincini teşvik etmek, genel olarak çevrimiçi saldırılara ve özellikle komuta ve kontrol saldırılarına maruz kalma olasılığını azaltmak için iyi bir bahistir.
C2 ve C&C olarak da adlandırılan komut ve kontrol saldırıları, kötü niyetli bir aktörün bir ağ üzerinden zaten güvenliği ihlal edilmiş makinelere komuta etmek ve
kontrol etmek için kötü amaçlı bir sunucu kullandığı bir saldırı türüdür. Kötü amaçlı sunucu (komut ve kontrol sunucusu), güvenliği ihlal edilmiş ağdan istenen yükü almak için de kullanılır.
Bu yazıda, bir komuta ve kontrol saldırısının ne olduğunu, saldırının nasıl çalıştığını ve buna karşı savunmak için neler yapılabileceğini ayrıntılı olarak gözden geçireceğiz.
Komuta ve kontrol saldırıları nasıl çalışır?
Yukarıda belirtildiği gibi, komut ve kontrol saldırıları, virüslü makineleri kötü amaçlı bir uzak sunucudan kontrol eder. Ancak saldırganlar ilk etapta bu makinelere nasıl bulaşır?
Bu, tipik "uzlaşma kanalları" aracılığıyla yapılır:
- Kimlik avı e-postaları veya anlık iletiler
- Kötü Amaçlı Reklamcılık
- Güvenlik açığı bulunan web tarayıcısı eklentileri
- Kötü amaçlı yazılımların doğrudan yüklenmesi (saldırgan makineye fiziksel erişim sağlayabiliyorsa)
Makine başarılı bir şekilde ele geçirildikten sonra, kötü amaçlı komut ve kontrol sunucusuyla iletişim kurarak talimatları almaya hazır olduğunu gösterir.
Virüslü cihaz, saldırganın C2 sunucusundan gelen komutları yürütür ve bu da genellikle daha fazla kötü amaçlı yazılımın yüklenmesine yol açar.
Bu, saldırgana kurbanın bilgisayarı üzerinde tam kontrol sağlar.
Kuruluş içinde giderek daha fazla kullanıcı kimlik avı düzenine düştükçe veya başka bir şekilde güvenliği ihlal edildikçe, kötü amaçlı kod genellikle
giderek daha fazla bilgisayara yayılır ve virüslü makinelerden oluşan bir ağ olan bir botnet oluşturur.
Kısa bir süre içinde, saldırgan bu ağ üzerinde tam kontrol sahibi olur.
Komuta ve kontrol saldırıları ile hedef alınabilecek cihazlar
Esasen, herhangi bir bilgi işlem cihazı bir komuta ve kontrol saldırısı ile hedef alınabilir. Bu şu anlama gelir:
- Masaüstü bilgisayarlar/dizüstü bilgisayarlar
- Tablet
- Akıllı Telefonlar
- IoT cihazları
Listedeki bu son giriş özellikle endişe verici çünkü bu cihazlar oldukça güvensiz olma eğilimindedir. Güvenlik yamalarıyla çok sık güncellenmeyebilirler ve internet üzerinden çok fazla veri paylaşma eğilimindedirler.
Ayrıca, tüketicinin değiştirmesi beklenen "admin, admin" gibi varsayılan oturum açma kimlik bilgileriyle birlikte gelme eğilimindedirler. Bu zordur, çünkü IoT cihazları genellikle kontrol edilmelerini zorlaştıran son derece sınırlı kullanıcı arayüzlerine sahiptir.
Birleşik Krallık hükümetinin Tüketici IoT Güvenliği Uygulama Kuralları, cihaz üreticilerinin tüm IoT cihaz parolalarının benzersiz olmasını ve evrensel fabrika varsayılan değerlerine sıfırlanamamasını sağlamasını önerir. Bu arada, ağınızdaki IoT cihazlarının sayısını sınırlamak isteyebilirsiniz.
Komuta ve kontrol saldırılarının riskleri nelerdir?
- Veri hırsızlığı – Finansal belgeler veya özel bilgiler gibi hassas şirket verileri kopyalanabilir veya komuta ve kontrol sunucusuna aktarılabilir.
- Kapatma – Bir saldırgan, güvenliği ihlal edilmiş herhangi bir sayıda makineyi kapatabilir. Büyük ölçekli bir komuta ve kontrol saldırısında, tüm ağı bile çökertebilirler.
- Yeniden Başlat – Virüslü makineler aniden ve tekrar tekrar kapanıp yeniden başlatılarak iş operasyonlarını kesintiye uğratabilir.
- Kötü amaçlı yazılım/fidye yazılımı saldırıları – Saldırgan ağınızdaki bir makineyi tehlikeye attığında, ağınıza erişebilir. Almayı başardıkları izinlere bağlı olarak, kötü amaçlı yazılımların indirilmesini tetiklemek veya hassas verileri şifrelemek ve şifre çözme anahtarı için fidye talep etmek gibi şeyler yapabilirler. FBI'ın İnternet Suçları Şikayet Merkezi, 2022'de 2.385 fidye yazılımı vakasını araştırdığını ve 34,3 milyon dolardan fazla düzeltilmiş kayıpla sonuçlandığını söyledi.
- Dağıtılmış hizmet reddi Botnet – Ağda yeterince güvenliği ihlal edilmiş makine olduğunda, saldırgan bir botnet'e erişebilir: kötü amaçlı komutları almaya hazır virüslü bilgisayarlardan oluşan bir ağ. Botnet'lerin yaygın bir kullanımı DDoS saldırıları düzenlemektir. DDoS saldırıları, sunucuları veya ağları trafiğe boğarak çökertir. Saldırganlar bir botnet kurduktan sonra, her makineye hedeflenen sunucuya/ağa bir istek göndermesi talimatını verebilirler, bu da yeterli istekle sunucuyu/ağı çevrimdışına alma noktasına kadar bunaltabilir. Kuzey Kore'nin internetinin 2022'de kısa bir süreliğine başarısız olmasının nedeninin bu olduğundan şüpheleniliyor. Reuters tarafından alıntılanan bir analist, saldırıdan kaynaklanan ağ stresinin o kadar büyük olduğunu ve Kuzey Kore'nin "Alan Adı Sistemi (DNS) sunucularının çevrimdışı hale getirildiğini ve sonunda anahtar yönlendiricilerin ülkeye giriş ve çıkış trafiğine tamamen izin verdiğini" söyledi.
Komuta ve kontrol saldırılarında farklı komuta ve kontrol sunucusu/istemci mimarileri kullanılır. Mimari, virüslü makinenin komut ve kontrol sunucusuyla nasıl iletişim kurduğunu belirler. Algılamayı mümkün olduğunca önlemek için zaman içinde farklı mimariler geliştirilmiştir. Üç farklı komuta ve kontrol mimarisi vardır.
Merkezi mimari
Merkezi mimari muhtemelen en yaygın olanıdır. Bu, virüslü tüm bilgisayarların tüm yanıtları yöneten tek bir merkezi sunucuyla iletişim kurduğu klasik istemci/sunucu şemasıdır. Ancak bu model, tüm komutlar tek bir kaynaktan geldiği için tespit edilmesi ve engellenmesi en kolay olanıdır. Bu nedenle, komut ve kontrol sunucusunun IP adresi oldukça kolay bir şekilde tespit edilebilir ve engellenebilir. Bunu denemek ve hafifletmek için, bazı saldırganlar C&C sunucu yapılandırmalarında proxy sunucuları, yeniden yönlendiriciler ve yük dengeleyiciler kullanır2
Eşler arası mimari
Eşler arası model, tam olarak merkezi bir sunucunun olmadığı BitTorrent dosya aktarımları gibi çalışır. Bu mimaride, virüs bulaşmış her bilgisayar botnet'te bir düğüm görevi görür ve mesajları (yani komutları) botnet'teki diğer herhangi bir düğüme iletir. Bu mimari modelde merkezi bir sunucuya olan ihtiyaç ortadan kalkar. Ancak, bu mimari genellikle karma bir kurulumda kullanılır. Eşler arası mimari, merkezi sunucunun kapatılması veya başka bir şekilde güvenliğinin ihlal edilmesi durumunda karma yapılandırmada geri dönüş olarak kullanılır.
Eşler arası mimari modelinin algılanması, merkezi mimari modelinden çok daha zordur. Ve tespit edilse bile, bir seferde yalnızca bir düğümü kapatabilme şansınız yüksektir - bu da yine de önemli bir baş ağrısına neden olacaktır.
Rastgele mimari
Rastgele mimari modeli, algılanması en zor olanıdır. Bu aynı zamanda ortaya çıkmasının nedeni de budur: böylece güvenlik personeli bir botnet'in emir komuta zincirini tespit edemez veya C&C sunucusunu izleyip kapatamaz. Bu mimari model, virüslü ana bilgisayara veya botnet'e farklı rastgele kaynaklardan komutlar göndererek çalışır. Bu kaynaklar sosyal medya yorumlarındaki, CDN'lerdeki, e-postadaki, IRC sohbet odalarındaki vb. bağlantılar olabilir. Saldırganlar, kötü amaçlı komutları göndermek için güvenilir ve sık kullanılan kaynakları seçme eğilimindedir ve bu da başarı şanslarını artırır.
Bir komuta ve kontrol saldırısının olası saldırı akışı
Aşağıdakiler, bir komut ve kontrol saldırısındaki tipik bir saldırı akışını temsil eder.
- Kötü niyetli aktörler, bir kuruluş içindeki bir sisteme (genellikle bir güvenlik duvarının arkasında) kötü amaçlı yazılım bulaştırır. Bu, kimlik avı e-postaları, kötü amaçlı reklamlar, savunmasız tarayıcı eklentileri veya kötü amaçlı yazılımların bir USB bellek veya disk sürücüsü aracılığıyla doğrudan yüklenmesi yoluyla elde edilir (bu, fiziksel erişim gerektirir).
- İlk makineye virüs bulaştığında, C&C kanalı oluşturulur ve güvenliği ihlal edilmiş sistem, C&C sunucusuna ping atarak komutları almayı beklediğini bildirir. Ana bilgisayarlar ve C&C sunucusu arasındaki bu iletişim genellikle DNS gibi güvenilir trafik kanalları üzerinden gerçekleştirilir.
- Artık C&C kanalı kurulduğuna göre, virüslü sistem C&C sunucusundan daha fazla talimat alabilir - kötü amaçlı yazılım tespit edilmediği sürece. C&C sunucusu muhtemelen bu kanalı, güvenliği ihlal edilmiş ana bilgisayara daha fazla kötü amaçlı yazılım yükleme, verileri şifreleme ve hatta virüslü ana bilgisayardan tekrar tekrar veri çıkarma gibi şeyler yapması talimatını vermek için kullanacaktır.
- Saldırganlar hırslıysa, C&C sunucusunu, virüslü ana bilgisayara ağ üzerinde yanal olarak hareket etmek amacıyla diğer ana bilgisayarlardaki güvenlik açıklarını taraması talimatını vermek için kullanabilirler. Bu, güvenliği ihlal edilmiş ana bilgisayarlardan oluşan bir ağın (yani bir botnet) oluşturulmasına yol açabilir ve bir kuruluşun tüm BT altyapısını tehlikeye atabilir.
Şubat 2013'te Twitter, kurumsal ağına yönelik karmaşık bir saldırı tespit etti. Hacker grubu Wild Neutron veya Morpho (her iki isimle de anılır) tarafından gerçekleştirilen bir komuta ve kontrol saldırısıydı. Bu grup, önümüzdeki haftalarda Facebook, Apple ve Microsoft'a karşı aynı saldırıyı kullanacaktı. Twitter'a yapılan saldırı, yaklaşık 250.000 kullanıcı hesabını ele geçirdi ve saldırganların diğer şeylerin yanı sıra kullanıcı adlarına ve e-posta adreslerine erişmelerini sağladı.
Twitter saldırısından birkaç hafta sonra, Facebook, Twitter ile aynı komuta ve kontrol saldırısına maruz kaldı. Bununla birlikte, belki de Twitter hack'ini öğrendikten sonraki öngörü nedeniyle, saldırı herhangi bir müşteri verisini açığa çıkaramadı ve kötü amaçlı yazılım ağ üzerinden yayılmadı. Facebook mühendislerine ait az sayıda dizüstü bilgisayarda bulunuyordu.
Apple, bu 2013 hackathon'unda geride kalmadı. Facebook ve Twitter gibi, Apple da Şubat ayında aynı saldırıya uğradı. Apple'a göre, o sırada Cupertino kampüsündeki yalnızca az sayıda bilgisayar aynı grup tarafından başarılı bir şekilde saldırıya uğradı.
Saldırı, makineleri tehlikeye atmak için bir Java güvenlik açığından yararlandı (etkilenen diğer şirketlerde olduğu gibi). Apple, "herhangi bir verinin Apple'dan ayrıldığına dair bir kanıt yok" diyen bir bildiri yayınladı. Gitmemiş olabilir ama izlenmiştir belki... Apple, birkaç gün sonra istismarı azaltmak için Java için bir güncelleme yayınladı.
Microsoft Bilişim Sistemleri
Yine Twitter saldırısından birkaç hafta sonra Microsoft da aynı grup tarafından benzer şekilde saldırıya uğradı. Saldırganlar, Microsoft'un düzeltilmemiş güvenlik açıkları veritabanını tehlikeye atmayı başardı. Söylemeye gerek yok, saldırı yıkıcı olabilirdi.
Microsoft, "Müşteri verilerinin etkilendiğine dair hiçbir kanıtımız yok ve soruşturmamız devam ediyor" diyen bir bildiri yayınladı. Ancak Reuters'e göre Microsoft, güvenliği ihlal edilen bilgilerin takip saldırılarına yol açacağından çok endişeliydi. Ve bu pekala olmuş olabilir.
Komuta ve kontrol saldırılarına karşı savunma
Çoğu zaman olduğu gibi, komut ve kontrol saldırılarına karşı savunmanın yolu, kullanıcı mı yoksa yönetici mi olduğunuza bağlıdır. Her biri için farklı risk azaltma önlemleri geçerlidir. Her ikisini de sağlayacağız.
Sistem yöneticileri için
Güvenlik farkındalığı eğitimi sağlayın
Personelinizin karşılaşabilecekleri çevrimiçi tehditlerin farkında olmasını istersiniz. Personeliniz için güvenlik eğitimi, yalnızca komuta ve kontrol saldırılarını azaltmanıza yardımcı olmakla kalmaz, aynı zamanda diğer birçok kötü niyetli faaliyet türünü de azaltmanıza yardımcı olur.
Güvenlik eğitimi, kuruluşunuzda daha güvenli alışkanlıkları teşvik eder ve her gün karşılaştığınız çevrimiçi tehditlerin çoğunun, özellikle de kimlik avı girişimlerinin risk düzeyini azaltır. Bunun da ötesinde, tüm kuruluşunuz güvenlik olaylarıyla başa çıkmak için daha hazırlıklı olacaktır. Bununla kaybedemezsiniz.
Ağlarınızı izleyin
Ağınız üzerinden akan trafiğin görünürlüğüne ihtiyacınız olacak. Özellikle, ağınız üzerinde meydana gelen şüpheli etkinliklere karşı tetikte olmak istersiniz. Bir saldırıya işaret edebilecek işaretlerden bazıları (komuta ve kontrol veya başka türlü), karşılık gelen karmalarıyla dosya adı uyumsuzlukları, uygun şekilde adlandırılmış dosyaların garip konumlarda depolanması ve olağandışı zamanlarda kullanıcı oturum açmaları ve olağandışı ağ konumlarına erişilmesi olabilir.
Yapay Zeka Tabanlı İzinsiz Giriş Tespit Sistemi (IDS) kullanın
Geleneksel BT savunmalarının şüpheli davranışları tanımlaması genellikle zordur. Bunun nedeni, doğaları gereği ikili olma eğiliminde olmalarıdır. Hesabın izinlerine veya bir ACL'ye başvururlar ve "evet" ile "hayır" veya "erişim izni ver" veya "erişimi reddet" arasında seçim yaparlar.
Bununla birlikte, günümüzde olağandışı olayları verimli bir şekilde tarayabilen ve tespit edebilen teknolojiler mevcuttur. Yapay zeka destekli teknoloji, günümüzde birçok endüstride kullanılmaktadır. Ve BT güvenliği de göz ardı edilmiyor. Yapay zeka tabanlı bir IDS ile, ağınız üzerindeki "normal" davranış kalıplarını belirlemek için makine öğrenimi yoluyla "öğretebilirsiniz". Bu temelden ve biraz eğitimle, aykırı davranışları tespit edebilecek ve böylece siber tehditleri ortadan kaldırmanıza yardımcı olacaktır.
Kullanıcı izinlerini mümkün olduğunca sınırlayın
Kuruluşunuzda en az ayrıcalık ilkesi uygulanmalıdır. Her kullanıcıya, işlerini yapmak için gereken en az miktarda izin verin ve bunun ötesinde bir şey atayın.
Destekleyen tüm hesaplarda İki faktörlü kimlik doğrulamayı (2FA) ayarlayın
2FA, kötü niyetli aktörlerin kimlik bilgilerinizi kötüye kullanmasını zorlaştırmanın sağlam bir yoludur. Sadece bu da değil, birçoğunu denemekten caydırabilir.
Dijital kod imzalama uygulayın
Dijital imzalama, güvenilir bir varlık tarafından imzalanmadığı sürece yetkisiz yazılımların yürütülmesini önler. Herhangi bir yerden herhangi bir uygulamanın ağınızdaki cihazlara yüklenmesine izin vererek kapıyı tamamen açık bırakmayın. Dijital kod imzalama yoluyla bir beyaz liste oluşturun.
Kullanıcılar için
Bunlar, öncelikle çeşitli çevrimiçi tehditlerden kaçınmanıza yardımcı olabilecek sağduyulu ipuçlarıdır. Bununla birlikte, ilk dört nokta doğrudan C2 saldırılarının azaltılması ile ilgilidir.
- Gönderenin kim olduğunu bildiğinizden ve söz konusu e-postayı size gerçekten gönderdiğini bu kişiyle teyit ettiğinizden emin olmadığınız sürece e-postalardaki ekleri açmayın. Ayrıca, e-postanın bir ek içerdiğinin farkında olduklarından ve ekin ne olduğunu bildiklerinden emin olmalısınız.
- Size bağlantıyı kimin gönderdiğini, hedefinin ne olduğunu ve gönderenin kimliğine bürünmediğini onaylamadan e-postalardaki bağlantılara (URL'ler) tıklamayın. Bunu yaptıktan sonra, bağlantıyı incelemelisiniz. Bu bir HTTP mi yoksa HTTPS bağlantısı mı? Yasal internetin büyük çoğunluğu bugün HTTPS kullanıyor. Ayrıca, bağlantıda yanlış yazım olup olmadığını kontrol edin (facebook yerine faceboook veya google yerine goggle)? Bağlantıyı kullanmadan hedefe ulaşabiliyorsanız, bunun yerine bunu yapın.
- Bir güvenlik duvarı kullanın – Tüm büyük işletim sistemlerinde yerleşik bir gelen güvenlik duvarı bulunur ve piyasadaki tüm ticari yönlendiriciler yerleşik bir NAT güvenlik duvarı sağlar. Bunların etkinleştirildiğinden emin olmak istersiniz. Kötü amaçlı bir bağlantıya tıklarsanız, ilk savunma hattınız olabilirler.
- Oturumu kapatın ve bilgisayarınızı yeniden başlatın – Bilgisayarınızda çalışmayı bitirdiğinizde, oturumunuzdan çıkış yapın ve makineyi yeniden başlatın. Bu, bilgisayarınızın güvenliğini ihlal etmek için kullanılabilecek şeyleri bellekten temizleyecektir.
- Güçlü ve karmaşık parolalar kullanın – Parolalarınız ne kadar karmaşık olursa, kimlik bilgilerine dayalı saldırıların kurbanı olma olasılığınız o kadar düşük olur. Saldırganın seçtiği metodolojiye bağlı olarak, başarılı bir komuta ve kontrol saldırısı, kimlik bilgisi tabanlı bir saldırı olarak başlayabilir. Güvenli parolalar oluşturmak için parola oluşturucumuzu ve ardından bunları daha kolay takip etmek için bir parola yöneticisini kullanın.
- Bir virüsten koruma programı kullanın – Yalnızca yasal satıcılardan orijinal ve iyi incelenmiş antivirüs yazılımı satın alın — piyasada çok sayıda kötü amaçlı sahte antivirüs yazılımı var. Antivirüsünüzü güncel tutun ve sık sık tarama yapacak şekilde yapılandırın.
- İşletim sisteminizi güncel tutun – En son güvenlik yamalarını içerdikleri için en son işletim sistemi güncellemelerini istiyorsunuz. Bunları kullanılabilir olur olmaz yüklediğinizden emin olun.
- Pop-up'lara asla tıklamayın. Hiç. Sizi nereye götürürlerse götürsünler, pop-up'lar sadece kötü haber.
- Tarayıcınız erişmeye çalıştığınız bir web sitesi hakkında başka bir uyarı görüntülerse "uyarı yorgunluğuna" teslim olmayın. Web tarayıcılarının giderek daha güvenli hale gelmesiyle, görüntüledikleri güvenlik istemlerinin sayısı bir miktar arttı. Yine de tarayıcınızın uyarısını ciddiye almalısınız ve tarayıcınız ziyaret etmeye çalıştığınız bir URL hakkında bir güvenlik uyarısı görüntülerse, tarayıcınızı dinleyin ve bilgilerinizi başka bir yerden alın. Bu, özellikle e-posta veya SMS ile aldığınız bir bağlantıya tıkladıysanız geçerlidir - sizi kötü amaçlı bir siteye gönderiyor olabilir. Bilgisayarınızın uyarı istemlerini göz ardı etmeyin ve tarayıcınızın kimlik avı ve kötü amaçlı yazılım algılamasını devre dışı bırakmak için cazip olmayın.
Yani bu aslında komuta ve kontrol saldırılarıyla ilgili anlaşmadır. Tam ağ devralmalarına yol açabilecekleri ölçüde kesinlikle kötü olabilirler. Ancak, diğer birçok çevrimiçi saldırıda olduğu gibi, yukarıdaki güvenlik önlemlerini uygulamaya koymak ve kuruluşunuz içinde güvenlik bilincini teşvik etmek, genel olarak çevrimiçi saldırılara ve özellikle komuta ve kontrol saldırılarına maruz kalma olasılığını azaltmak için iyi bir bahistir.