Bir Siber Saldırı Öncesinde Oluşabilecek Anormallik Tespiti

S9NTX

Özel Üye
19 Ağu 2017
6,394
1,397

turk_hack_team_gif.gif





Konuya Başlamadan önce temel kavramlardan bahsedeyim:


1-) Adli Bilişim: Bir Siber Olayın ardından teknolojik cihazlarda(Telefon,Bilgisayar) suçluyu bulmak için yapılan incelemelerin bütünüdür




2-) Siber Saldırı: Herhangi bir hedefe yönelik teknolojik cihazlardan yapılan her türlü saldırıya verilen genel bir isimdir




Genel Olarak Kullanılan Bazı Zararlı ve Popüler virüs çeşitleri

1-)
Solucanlar(worm)

2-) Truva Atı(Trojan)

3-) Backdoor(Arka Kapı)

4-) Rootkit

5-) Dialer(Telefon Dinleyici Yönlendirici)

6-) Exploit

7-) Browser hijacking

:cool: Casus Yazılımlar(SpyWare)


Bu virüs çeşitlerinin de ayrı ayrı amaçları vardır örenğin bir worm sunucuyu meşgul ederken bir exploit sisteme girmeyi sağlar






BİR SİBER OLAYIN ÖNCESİNDE OLUŞABİLECEK ANORMAL DURUMLAR


1-) Normalden Yoğun Ağ Trafiği

her serverın veya sistemin gündelik normal bir rutini vardır sistemi kontrol eden siber güvenlik uzmanları veya ağ yöneticileri bu kapasiteyi bilir genelde büyük çaplı server ve sistemlerde birde SOC(Security operations center) Merkezi bulunur bu merkezden 7/24 saat sunucu durumu izlenir herhangi bir olağan dışı durumda nöbetçi uzman sisteme anında möüdahale ederek tehlikeyi uzaklaştırır.





2-) Yüksek Disk Yoğunluğu

Serverların veya ana bilgisayarların kiralanan sanal veya fiziksel disk kapasiteleri bulunur bu disk boyutları sistemin büyüklüğüne kapasitesine göre değişiklik gösterir yine server yöneticisi gündelik disk dolumunu bildiği için ani bir durumda diskteki yoğunluğu fark eder iyi bir uzman bunun ddos gibi bir attack oluşturabileceğini anlar ve buna göre akisyon alır.




3-) Yüksek İşlemci Gücü

Sunucu işlemcileri genelde çok az kullanılır tabi bu sisteme göre değişiklik gösterir ancak en dolu bir sunucu bile olsa %50 bile olmaz bir sunucu bunun üstüne çıkıyorsa bir siber olay olacak veya çoktan olmuş olabilir siber uzman bunlara çok dikkat etmelidir örenğin işlemcinin olağan dışı yükselmesi bir buffer saldırısı olabilir.





4-) Güvenlik Duvarı Yavaşlaması(Reject)

Sistemlerde çalışan güvenlik duvarları(firewall) lar olağan dışı bir trafik ve reject yani geri çevirme durumu oluyorsa bu bir saldırı habercisi olabilir örneğin saldırganların hedef saptırma taktiği olabilir biri güvenlik duvarlarını zayıflatırken diğeri asıl hedefe salıdrıyor olabilir.





5-) Antivirüs Ve STS(Saldırı Tespit Sistemleri) Uyarıları

Büyük çaplı şirketlerin veya sunucuların bu tip güvenlik seviyeleri mevcuttur örneğin bir olay öncesinde sts sistemi çalışıp soc veya some ekiplerini uyarır antivrüs bu konuda biraz geride de olsa yinede extra güvenlik için kullanılır.






6-) Antivirüs Tarama Logları

Bir Saldırıdan Şüphelenilirse hemen serverda veya sistemde yüklü olan antivürs yazılımı ile sistem detaylı A-Z tarama işlemi yapılmalıdır bu sayede virüs basit bir virüs ise etkileri ve değiştrdiği ayarlar vs görülebilir ve kısa sürede düzeltilebilir.







Bilgisayarlara En çok Saldırıan Virüs Ve Zararlı yazılımlar:


1-) Trojan.Win32.Generic

Etkilenen Kullanıcı Sayısı(9.761.684)





2-)
DangerousObject.Multi.Generic

Etkilenen Kullanıcı Sayısı(9.640.618)





3-)
Trojan.Win32.AutoRun.gen

Etkilenen Kullanıcı Sayısı(5.969.543)





4-)
Trojan.Win32.Starter.yy

Etkilenen Kullanıcı Sayısı(3.860.982)





5-)
Virus.Win32.Virut.ce

Etkilenen Kullanıcı Sayısı(3.017.527)





6-)
Net-Worm.Win32.Kido.ih

Etkilenen Kullanıcı Sayısı(2.752.409)





7-)
Hoax.Win32.ArchSMS.gen

Etkilenen Kullanıcı Sayısı(2.030.664)





:cool:
Virus.Win32.Generic

Etkilenen Kullanıcı Sayısı(2.017.478)







Web Üzerinden En Çok Bulaşan Zararlı Yazılımlar


1-) Malicious URL

Atak Sayısı(1.393.829.795)




2-)
Trojan.Script.Iframer

Atak Sayısı(58.279.262)




3-)
Trojan.Script.Generic

Atak Sayısı(38.948.140)




4-)
Trojan.Win32.Generic

Atak Sayısı(5.670.627)




5-)
Trojan-Downloader.Script.Generic

Atak Sayısı(4.695.210)




6-)
Exploit.Script.Blocker

Atak Sayısı(4.557.284)







Saldırı Tespit Edilip Engellendikten Sonra Neler Yapılmalıdır


1-)
Etkilenen Tüm Sistemler Extra Korunmaya Alınmalıdır.



2-) Virüs sistemde akıla gelmeyecek bir yere kendini kopyalamış vs coğaltmış olabilir bu yüzden bütün dosya ve dizinleri some ve soc ekipleri tarafından incelenmelidir.



3-) Saldırının geldiği bütün ip ler mac adresleri sistemlerden sonsuza kadar uzaklaştırılmalıdır.




4-) Sistem Saldırıdan bir süre boyunca extra dikkat ile izlenmelidir çünkü saldırgan pes etmeyip saldırmayı tekrar deneyebilir




5-) Saldırgan eğer bir zaafiyet sayesinde sistemden girdiyse açık hemen fixlenip kapatılmalıdır.




ayrac.png



OKUDUĞUNUZ İÇİN TEŞEKKÜR EDERİM :)

 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.