Konuya Başlamadan önce temel kavramlardan bahsedeyim:
1-) Adli Bilişim: Bir Siber Olayın ardından teknolojik cihazlarda(Telefon,Bilgisayar) suçluyu bulmak için yapılan incelemelerin bütünüdür
2-) Siber Saldırı: Herhangi bir hedefe yönelik teknolojik cihazlardan yapılan her türlü saldırıya verilen genel bir isimdir
Genel Olarak Kullanılan Bazı Zararlı ve Popüler virüs çeşitleri
1-) Solucanlar(worm)
2-) Truva Atı(Trojan)
3-) Backdoor(Arka Kapı)
4-) Rootkit
5-) Dialer(Telefon Dinleyici Yönlendirici)
6-) Exploit
7-) Browser hijacking
Casus Yazılımlar(SpyWare)
Bu virüs çeşitlerinin de ayrı ayrı amaçları vardır örenğin bir worm sunucuyu meşgul ederken bir exploit sisteme girmeyi sağlar
BİR SİBER OLAYIN ÖNCESİNDE OLUŞABİLECEK ANORMAL DURUMLAR
1-) Normalden Yoğun Ağ Trafiği
her serverın veya sistemin gündelik normal bir rutini vardır sistemi kontrol eden siber güvenlik uzmanları veya ağ yöneticileri bu kapasiteyi bilir genelde büyük çaplı server ve sistemlerde birde SOC(Security operations center) Merkezi bulunur bu merkezden 7/24 saat sunucu durumu izlenir herhangi bir olağan dışı durumda nöbetçi uzman sisteme anında möüdahale ederek tehlikeyi uzaklaştırır.
2-) Yüksek Disk Yoğunluğu
Serverların veya ana bilgisayarların kiralanan sanal veya fiziksel disk kapasiteleri bulunur bu disk boyutları sistemin büyüklüğüne kapasitesine göre değişiklik gösterir yine server yöneticisi gündelik disk dolumunu bildiği için ani bir durumda diskteki yoğunluğu fark eder iyi bir uzman bunun ddos gibi bir attack oluşturabileceğini anlar ve buna göre akisyon alır.
3-) Yüksek İşlemci Gücü
Sunucu işlemcileri genelde çok az kullanılır tabi bu sisteme göre değişiklik gösterir ancak en dolu bir sunucu bile olsa %50 bile olmaz bir sunucu bunun üstüne çıkıyorsa bir siber olay olacak veya çoktan olmuş olabilir siber uzman bunlara çok dikkat etmelidir örenğin işlemcinin olağan dışı yükselmesi bir buffer saldırısı olabilir.
4-) Güvenlik Duvarı Yavaşlaması(Reject)
Sistemlerde çalışan güvenlik duvarları(firewall) lar olağan dışı bir trafik ve reject yani geri çevirme durumu oluyorsa bu bir saldırı habercisi olabilir örneğin saldırganların hedef saptırma taktiği olabilir biri güvenlik duvarlarını zayıflatırken diğeri asıl hedefe salıdrıyor olabilir.
5-) Antivirüs Ve STS(Saldırı Tespit Sistemleri) Uyarıları
Büyük çaplı şirketlerin veya sunucuların bu tip güvenlik seviyeleri mevcuttur örneğin bir olay öncesinde sts sistemi çalışıp soc veya some ekiplerini uyarır antivrüs bu konuda biraz geride de olsa yinede extra güvenlik için kullanılır.
6-) Antivirüs Tarama Logları
Bir Saldırıdan Şüphelenilirse hemen serverda veya sistemde yüklü olan antivürs yazılımı ile sistem detaylı A-Z tarama işlemi yapılmalıdır bu sayede virüs basit bir virüs ise etkileri ve değiştrdiği ayarlar vs görülebilir ve kısa sürede düzeltilebilir.
Bilgisayarlara En çok Saldırıan Virüs Ve Zararlı yazılımlar:
1-) Trojan.Win32.Generic
Etkilenen Kullanıcı Sayısı(9.761.684)
2-) DangerousObject.Multi.Generic
Etkilenen Kullanıcı Sayısı(9.640.618)
3-) Trojan.Win32.AutoRun.gen
Etkilenen Kullanıcı Sayısı(5.969.543)
4-) Trojan.Win32.Starter.yy
Etkilenen Kullanıcı Sayısı(3.860.982)
5-) Virus.Win32.Virut.ce
Etkilenen Kullanıcı Sayısı(3.017.527)
6-) Net-Worm.Win32.Kido.ih
Etkilenen Kullanıcı Sayısı(2.752.409)
7-) Hoax.Win32.ArchSMS.gen
Etkilenen Kullanıcı Sayısı(2.030.664)
Virus.Win32.Generic
Etkilenen Kullanıcı Sayısı(2.017.478)
Web Üzerinden En Çok Bulaşan Zararlı Yazılımlar
1-) Malicious URL
Atak Sayısı(1.393.829.795)
2-) Trojan.Script.Iframer
Atak Sayısı(58.279.262)
3-) Trojan.Script.Generic
Atak Sayısı(38.948.140)
4-) Trojan.Win32.Generic
Atak Sayısı(5.670.627)
5-) Trojan-Downloader.Script.Generic
Atak Sayısı(4.695.210)
6-) Exploit.Script.Blocker
Atak Sayısı(4.557.284)
Saldırı Tespit Edilip Engellendikten Sonra Neler Yapılmalıdır
1-) Etkilenen Tüm Sistemler Extra Korunmaya Alınmalıdır.
2-) Virüs sistemde akıla gelmeyecek bir yere kendini kopyalamış vs coğaltmış olabilir bu yüzden bütün dosya ve dizinleri some ve soc ekipleri tarafından incelenmelidir.
3-) Saldırının geldiği bütün ip ler mac adresleri sistemlerden sonsuza kadar uzaklaştırılmalıdır.
4-) Sistem Saldırıdan bir süre boyunca extra dikkat ile izlenmelidir çünkü saldırgan pes etmeyip saldırmayı tekrar deneyebilir
5-) Saldırgan eğer bir zaafiyet sayesinde sistemden girdiyse açık hemen fixlenip kapatılmalıdır.
OKUDUĞUNUZ İÇİN TEŞEKKÜR EDERİM