İçindekiler
Masum görünen bir e-postanın tıklanmasıyla başlayan ve tüm sistemin kilitlenmesine giden 24 saatlik kabus senaryosunu adım adım inceliyoruz. Inoguard SOC ekibinin bu zinciri nerede ve nasıl kırdığını öğrenin.
Siber saldırılar filmlerdeki gibi anlık olarak gerçekleşmez. Bir fidye yazılımının sisteminizi şifrelemesi genellikle haftalar süren sessiz bir hazırlığın son aşamasıdır. Ancak aktif saldırı (Execution) başladığında, IT ekiplerinin elinde sadece kritik bir 24 saat vardır.
Saat 00:00 - İlk Temas (Initial Access)
Her şey finans departmanından bir çalışanın 'Aralık Ayı Fatura Özeti.pdf.exe' isimli dosyayı açmasıyla başlar. Arka planda sessizce çalışan bir PowerShell betiği, C2 (Command & Control) sunucusu ile bağlantı kurar. Antivirüsünüz bunu fark edemez çünkü zararlı yazılım tamamen yasal Windows araçlarını kullanmaktadır (Living off the Land).
Saat 04:00 - Keşif ve Yayılma (Lateral Movement)
Gece yarısı... Ofis boşken saldırganlar ağınızın haritasını çıkarır. Hedefleri kullanıcı bilgisayarı değil, Active Directory (AD) sunucusudur. Pass-the-Hash tekniği ile Domain Admin yetkilerini ele geçiren saldırgan, artık ağdaki 'Tanrı' konumundadır.
Saat 10:00 - Veri Hırsızlığı (Exfiltration)
Saldırganlar şifreleme işlemine başlamadan önce en kritik verilerinizi (Müşteri veri tabanları, Ar-Ge çizimleri) kendi bulut sunucularına sızdırır. Buna Çifte Şantaj (Double Extortion) denir. Fidyeyi ödemezseniz verilerinizi internete sızdırmakla tehdit ederler.
Saat 23:55 - Şifreleme (Impact)
Domain Controller üzerinden ağdaki tüm sunuculara ve bilgisayarlara eşzamanlı olarak şifreleme komutu gönderilir. Sabah ofise gelen çalışanlar, ekranda kırmızı kuru kafa ve geri sayım sayacıyla karşılaşır. Tüm üretim durmuştur.
Inoguard Bu Senaryoyu Nasıl Durdurur?
Inoguard SOC (Güvenlik Operasyon Merkezi) hizmetimiz sayesinde bu saldırı daha Saat 00:01'de, zararlı yazılım C2 sunucusuyla iletişim kurmaya çalıştığı anda EDR (Uç Nokta Tehdit Algılama) sistemleri tarafından fark edilir. İlgili cihaz saniyeler içinde ağdan izole edilir ve saldırganın diğer sunuculara sıçraması (Lateral Movement) Zero Trust mimarisi sayesinde fiziksel olarak engellenir.
