Microsoft Digital Defense Report 2024 Analiz Serisi - Bölüm 2: Modern Saldırı Vektörleri 2024 - Değişen Tehdit Manzarası ve Trendler

Microsoft Digital Defense Report 2024 Analiz Serisi - Bölüm 2: Modern Saldırı Vektörleri 2024 - Değişen Tehdit Manzarası ve Trendler
[EXHIBIT_A] Featured evidence

Modern Saldırı Vektörleri 2024: Değişen Tehdit Manzarası ve Trendler

2024'ün en dikkat çekici trendi, fidye yazılımı saldırılarındaki dramatik artış. Microsoft'un verilerine göre, insan-destekli fidye yazılımı vakalarında geçen yıla göre 2.75 kat artış yaşanmış(sayfa 27). Bu artış sadece sayısal bir büyümeyi değil, aynı zamanda saldırıların karmaşıklığındaki artışı da yansıtıyor.

World Economic Forum'un raporuna göre, siber dolandırıcılık vakaları 2023'te global ölçekte 1 trilyon doların üzerinde zarara yol açtı. Şirketler ortalama %1.5 oranında kar kaybı yaşarken, tüketiciler 8.8 milyar dolarlık kayıpla karşı karşıya kaldı - bu rakam 2022'ye göre %30'luk bir artışı temsil ediyor (sayfa 31).

Microsoft Entra verileri, günlük 600 milyonun üzerinde kimlik saldırısı gerçekleştiğini gösteriyor. Bu saldırıların %99'undan fazlası hala şifre tabanlı olsa da, saldırganlar artık çok daha sofistike yöntemler kullanıyor (sayfa 39). Özellikle dikkat çeken nokta, MFA adaptasyonunun artmasıyla birlikte (%41) saldırganların taktiklerini üç ana yönde geliştirmesi:

  • Altyapı saldırıları: Kimlik yönetim sistemlerinin kendisini hedef alan saldırılar
  • MFA bypass teknikleri: Gelişmiş kimlik doğrulama sistemlerini atlama girişimleri
  • Uygulama zafiyetleri: Meşru uygulamaların güvenlik açıklarını istismar etme

2024'te öne çıkan yeni saldırı vektörleri, tehdit aktörlerinin inovasyon kapasitesini gözler önüne seriyor:

QR Kod Tabanlı Saldırılar

QR kod tabanlı saldırılar, modern sosyal mühendisliğin en incelikli örneklerinden birini temsil ediyor. Pandemi döneminde QR kodların günlük hayatın vazgeçilmez bir parçası haline gelmesi, tehdit aktörlerine beklenmedik bir fırsat sundu. Microsoft'un analizleri, 2023'ün ortalarından itibaren bu saldırıların dramatik bir artış gösterdiğini ortaya koyuyor.

Bu saldırıların teknik altyapısı oldukça sofistike. Saldırganlar bir URL'yi QR kod formatında kodlayarak, hedef adresi kullanıcıdan gizliyor. Bu kodlar email akışı sırasında görüntü olarak işlendiğinden, geleneksel güvenlik sistemlerinin analizi zorlaşıyor. Özellikle AiTM (Adversary-in-the-Middle) yetenekleriyle donatılmış bu saldırılar, bazı MFA implementasyonlarını bile bypass edebiliyor.

Microsoft Defender for Office 365'in görüntü algılama teknolojisi, Ekim 2023 ile Mart 2024 arasında bu saldırılarda %94'lük bir azalma sağlamış. Ancak tehdit aktörleri hızla adapte olarak yeni teknikler geliştirmiş gibi duruyor. Örneğin, siyah-beyaz QR kodların yanı sıra renkli kodlar kullanmaya başlamışlar ve görüntü işleme sistemlerini yanıltmak için QR kodun etrafına siyah çerçeveler eklemişler(sayfa 34).

Loop Saldırıları

Loop saldırıları, internetin temel protokollerinde var olan zafiyetleri istismar eden yeni nesil bir DDoS türünü temsil ediyor. CISPA araştırmacılarının tespitlerine göre, global ölçekte 300,000'den fazla uygulama sunucusu bu tehditle karşı karşıya. Bu saldırılar, TFTP, DNS ve NTP gibi kritik internet altyapısının temelini oluşturan protokolleri hedef alıyor.

Geleneksel UDP yansıma saldırılarından farklı olarak, loop saldırıları trafik amplifikasyonuna ihtiyaç duymuyor. Tek bir iyi hazırlanmış paket, sunucular arasında durdurulamaz bir hata mesajı döngüsü başlatabiliyor. Microsoft'un verilerine göre, Mart ayından itibaren bu tür saldırılarda ciddi bir artış yaşandı ve Haziran ayında günlük saldırı sayısı 4,500'e ulaştı. Özellikle 100,000 ile 1 milyon paket/saniye aralığındaki saldırılar, hedef sistemlerde ciddi kesintilere yol açıyor (sayfa 50).

Güvenlik Ürünlerine Yönelik Saldırılar

2024'ün belki de en endişe verici trendi, güvenlik ürünlerinin kendilerine yönelik saldırılardaki artış. Bu konuda ben de geçmişte çok kez analizler yapıp paylaştım. Microsoft'un tespitlerine göre, sadece Mayıs 2024'te 5,600'den fazla organizasyonu etkileyen 176,000'in üzerinde güvenlik ürünü manipülasyon girişimi gerçekleştmi ve ekilenen organizasyonlar ortalama 31 farklı müdahale girişimiyle karşı karşıya kalmış.

Saldırganlar, Windows Registry modifikasyonlarından özel geliştirilmiş PowerShell scriptlerine kadar geniş bir teknik arsenal kullanıyor. NSudo ve Defender Control gibi kötü amaçlı araçlar, güvenlik yapılandırmalarını devre dışı bırakmak için yaygın olarak kullanılıyor. EDR çözümleri ve yönetim araçları, bu saldırıların birincil hedefleri arasında yer alıyor (sayfa 28).

Bu saldırılar genellikle yüksek ayrıcalıklı hesapların ele geçirilmesiyle başlıyor. Saldırganlar bu hesapları kullanarak güvenlik politikalarını manipüle ediyor ve sistemdeki varlıklarını gizlemek için savunma mekanizmalarını devre dışı bırakıyor. Bu trend, güvenlik ürünlerinin kendilerinin nasıl korunacağı sorusunu gündeme getiriyor ve organizasyonların çok katmanlı bir savunma stratejisi benimsemesini zorunlu kılıyor.

Etkili bir savunma için, Tamper Protection özelliklerinin etkinleştirilmesi ve yerel yönetici ayrıcalıklarının sıkı kontrolü kritik önem taşıyor. Ayrıca, güvenlik ayarlarıyla oynama girişimlerine karşı anlık müdahale mekanizmalarının kurulması ve sürekli güvenlik yapılandırması denetimi, bu tehditlere karşı temel savunma hatlarını oluşturuyor. Bu yeni nesil tehditlerin ortak özelliği, geleneksel güvenlik yaklaşımlarını geçersiz kılmaları ve organizasyonları daha adaptif ve proaktif savunma stratejileri geliştirmeye zorlamaları. Sürekli tehdit istihbaratı, otomatize müdahale mekanizmaları ve çok katmanlı savunma stratejileri, bu evrimleşen tehdit ortamında hayatta kalmanın anahtarları haline geliyor.

Değişen Tehdit Aktörü Profili

Siber güvenlik ekosisteminde 2024 yılının en dikkat çekici gelişmelerinden biri, tehdit aktörlerinin profillerindeki dramatik değişim. Microsoft Digital Defense Report 2024, bu dönüşümün çarpıcı detaylarını ortaya koyuyor ve geleneksel tehdit aktörü sınıflandırmalarının artık yetersiz kaldığını gösteriyor. Geleneksel olarak keskin çizgilerle ayrılan devlet destekli aktörler ve siber suç grupları arasındaki sınırlar artık bulanıklaşıyor. BM raporlarına göre, sadece Kuzey Koreli tehdit aktörleri 2017'den bu yana 3 milyar dolardan fazla kripto para çaldı. 2023'te bu rakam 600 milyon ila 1 milyar dolar arasında gerçekleşmiş (sayfa 17). Bu fonların Kuzey Kore'nin nükleer ve füze programlarının finansmanının yarısından fazlasını karşılaması, devlet destekli aktörlerin artık finansal motivasyonlu saldırılara da yöneldiğini gösteriyor.

İran kaynaklı tehdit aktörlerinin faaliyetleri de bu yakınsamanın çarpıcı bir örneğini sunuyor. İsrail-Hamas çatışması sonrasında, İran'ın siber operasyonlarının neredeyse yarısı finansal kazanç elde etmeye yönelikti (sayfa 18). Bu durum, devlet destekli aktörlerin artık istihbarat toplama ve sabotaj gibi geleneksel hedeflerinin ötesine geçtiğini gösteriyor.

Modern tehdit aktörleri, rastgele ve geniş ölçekli saldırılar yerine, özenle seçilmiş hedeflere yönelik sofistike operasyonlar düzenlemeye başladı. Örneğin, Octo Tempest gibi gruplar, kurbanlarını dikkatle seçiyor ve her bir hedefe özel olarak tasarlanmış saldırı stratejileri geliştiriyor. Microsoft'un verilerine göre, insan destekli fidye yazılımı vakalarında geçen yıla göre 2.75 kat artış yaşanmış(sayfa 27). Bu artış, saldırganların daha fazla kaynak ve zaman ayırarak hedeflerine odaklandığını gösteriyor.

Yapay Zeka ve Otomatizasyonun Artan Rolü

Tehdit aktörlerinin yapay zeka ve otomatizasyon teknolojilerini giderek daha yaygın şekilde kullandığını biliyoruz. Microsoft'un tespitleri de bu yönde. AI destekli sosyal mühendislik saldırılarında bu saldırının etkisini arttırdığı yönünde ciddi bulgular var raporda. Microsoft'un analizlerine göre, AI destekli hedef odaklı insan saldırıları (targeted human attacks) geleneksel yöntemlere göre çok daha etkili sonuçlar veriyor. Bu saldırılarda tehdit aktörleri, biyometrik verilerden konum bilgilerine kadar geniş bir veri setini otomatize şekilde analiz ederek, son derece kişiselleştirilmiş saldırı vektörleri oluşturuyor (sayfa 89).

Modern tehdit aktörleri, yapay zeka sistemlerini kullanarak hedef seçim ve analiz süreçlerini büyük ölçüde otomatize ediyor. Rapor, tehdit aktörlerinin AI teknolojilerini kullanarak saatler içinde, geçmişte aylar alan hedef araştırma ve hazırlık süreçlerini tamamlayabildiğini ortaya koyuyor. Özellikle yüksek değerli bireylerin hedeflendiği saldırılarda, AI sistemleri ticari sırlardan, finansal sistemlere ve kilit stratejilere erişimi olan kişileri otomatik olarak tespit edebiliyor (sayfa 89).

AI teknolojileri, tehdit aktörlerine savunma sistemlerini daha etkili şekilde bypass etme yeteneği de kazandırıyor. Geleneksel yöntemlerle tespit edilmesi kolay olan saldırı paternleri, AI destekli sistemler sayesinde sürekli evrimleşerek tespit sistemlerini atlatıyor. Microsoft'un verilerine göre, 2024'te tespit edilen AI destekli saldırıların %80'i geleneksel savunma sistemlerini başarıyla bypass etti (sayfa 90).

Yapay zeka sistemleri, saldırı altyapılarının dinamik olarak adapte edilmesine olanak sağlıyor. Tehdit aktörleri artık:

  1. Sürekli evrimleşen kötü amaçlı yazılımlar geliştirebiliyor
  2. Savunma sistemlerinin tepkilerine göre saldırı taktiklerini gerçek zamanlı olarak değiştirebiliyor
  3. Başarılı saldırı vektörlerini hızla çoğaltıp yaygınlaştırabiliyor

Rapor, AI teknolojilerinin yakın gelecekte şu alanlarda en büyük etkiyi yaratacağını öngörüyor:

  1. Otomatik dolandırıcılık ve seçimlere müdahale
  2. Zararlı içerik üretimi ve yayılımı
  3. Deepfake tabanlı kimlik sahteciliği
  4. Siber saldırı altyapısının otomatizasyonu (sayfa 88)

Tedarik Zinciri Saldırılarının Yükselişi

Modern tehdit aktörleri, doğrudan hedefler yerine tedarik zinciri üzerinden saldırılar düzenlemeye ağırlık veriyor. Midnight Blizzard gibi aktörler, IT firmalarını hedef alarak geniş çaplı erişim elde etmeye çalışıyor. Microsoft'a yönelik saldırılar da dahil olmak üzere, bu operasyonlar genellikle müşteri sistemlerine sızmak için bir basamak olarak kullanılıyor (sayfa 17).

Rusya Federal Güvenlik Servisi (FSB) ile bağlantılı Midnight Blizzard grubu, tedarik zinciri saldırılarının sofistikasyonunu gösteren çarpıcı bir örnek sunuyor. Grubun hedef sektör dağılımında:

  • IT ve İletişim sektörü %31
  • Devlet kurumları %29
  • Think tank'ler/STK'lar %11
  • Uluslararası organizasyonlar %7
  • Ulaşım sektörü %3
  • Diğer sektörler %19 (sayfa 19)

Midnight Blizzard'ın Microsoft'a yönelik saldırısı, modern tedarik zinciri saldırılarının potansiyel etkisini net bir şekilde gösteriyor. Bu saldırı, grubun IT altyapı ve servis sağlayıcılarını hedef alarak, devlet kurumları ve diğer hassas organizasyonlara erişim sağlama stratejisinin bir parçası olarak değerlendiriliyor (sayfa 17).

Microsoft'un analizleri, tedarik zinciri saldırılarının başarısında yönetilmeyen cihazların kritik bir rol oynadığını gösteriyor. Başarılı ransomware saldırılarının %92'sinde, saldırganlar ağdaki yönetilmeyen cihazları kullanarak uzaktan şifreleme gerçekleştiriyor. Bu saldırıların %70'inde uzaktan şifreleme yöntemi kullanılıyor (sayfa 27).

Octo Tempest grubu, tedarik zinciri saldırılarının nasıl evrildiğini gösteren önemli bir örnek sunuyor. Grup, şu taktikleri kullanıyor:

  • AiTM teknikleri ve sosyal mühendislik
  • SIM değiştirme yetenekleri
  • Bulut ortamlarında keşif ve sızdırma
  • Yönetim araçlarının manipülasyonu
  • EDR sistemlerinin atlatılması

FBI Siber Bölümü, grubun yarattığı tehdidi o kadar ciddi buluyor ki, Mayıs 2024'te Octo Tempest'i Çin ve Rusya devlet destekli tehdit aktörlerinden sonra üçüncü en yüksek öncelikli tehdit olarak belirlenmiş durumda (sayfa 30).

Adaptif Savunma İhtiyacı

Bu yeni tehdit ortamında organizasyonlar, kimlik güvenliğinden tedarik zinciri güvenliğine, güvenlik ürünlerinin korunmasından yapay zeka destekli tehditlere karşı savunmaya kadar geniş bir yelpazede kapsamlı önlemler almak zorunda. Özellikle phishing-resistant MFA sistemleri, passwordless kimlik doğrulama teknolojileri ve Zero Trust mimarisi gibi modern güvenlik yaklaşımları, artık bir tercih değil zorunluluk haline geliyor. Tedarik zinciri üzerinden gelen tehditlerin artması, üçüncü parti risk yönetimi ve sürekli güvenlik izleme mekanizmalarının önemini daha da artırıyor.

Geleceğe yönelik etkili bir siber güvenlik stratejisi, proaktif savunma, adaptif güvenlik ve kolektif savunma prensiplerini temel almalı. Bu yaklaşım, sürekli tehdit avı programlarından dinamik savunma mekanizmalarına, risk bazlı güvenlik kontrollerinden endüstri işbirliklerine kadar geniş bir yelpazede aksiyonları içermeli. Ancak bu stratejik dönüşümün başarısı, üst yönetimin desteği ve organizasyon genelinde güçlü bir güvenlik kültürünün yerleştirilmesiyle mümkün olabilir. Modern tehditlerin karmaşıklığı ve sürekli evrilen doğası, organizasyonların operasyonel dayanıklılığını artırmalarını ve çevik bir güvenlik yaklaşımı benimsemelerini zorunlu kılıyor.

Bu stratejik perspektif, siber güvenliğin artık sadece teknik bir mesele değil, organizasyonel bir dönüşüm gerektiren kritik bir iş önceliği olduğunu gösteriyor. Başarılı bir siber güvenlik stratejisi, teknoloji, süreç ve insan faktörlerinin optimal dengesini sağlamalı ve sürekli evrimleşen tehdit ortamına hızla adapte olabilme yeteneğini geliştirmeli.

Makale serisi devam edecek. Bir sonraki makalede görüşmek üzere.

AUTHOR
Halil Öztürkci

Halil Öztürkci

Cybersecurity expert with 25 years of hands-on experience across the full attack-defense spectrum.

I've spent my career on both sides of the battlefield—investigating breaches through digital forensics, hunting APT groups through threat intelligence, building and leading security operations, dissecting malware, and executing red team engagements. Now I'm focused on the next frontier: LLM security, AI red teaming, and building secure AI/ML pipelines.

From incident response to adversary simulation, from SOC architecture to AI-powered threat detection—I decode complex security challenges and translate them into actionable defense.

RELATED_EVIDENCE

3 matches
📄 Article93%

Microsoft Digital Defense Report 2024 Analiz Serisi - Bölüm 1: 2024'ün Siber Tehdit Ortamı: Yeni Oyun, Yeni Kurallar

Microsoft Digital Defense Report 2024 Analiz Serisi - Bölüm 1: 2024'ün Siber Tehdit Ortamı: Yeni Oyu...

█▄ █ █▀█ ▀█▀ █▀▀█ ▀█ █▄█ █ ██▄
💭 Note86%

Elastic 2024 Küresel Tehdit Raporu: Öne Çıkan Bulgular

Defense Evasion teknikleri, bulut kimlik bilgisi sızıntıları, Malware-as-a-Service modeli ve açık ka...

📄 Article85%

0-Day Açıklarının Yükselişi: Siber Güvenlikte 5 Günlük Kıyamet Saati

8 min read 0-Day Açıklarının Yükselişi: Siber Güvenlikte 5 Günlük Kıyamet Saati Report this article...

enjoyed this? get more like it.