ZER0DAY
Herkese iyi günler TürkHackTeam üyeleri.Bu içerğimde sizlere zer0day hakkında bilgiler vereceğim umarım içeriğim sizlere bir bilgi katar iyi okumalar.
Zeroday, bilgisayar sistemlerinde ve yazılımlarda henüz keşfedilmemiş olan güvenlik açıklarına atfen kullanılan bir terimdir. Bu tür açıklar, henüz yazılım üreticileri veya sistem sahipleri tarafından fark edilmemiş olan ve dolayısıyla herhangi bir düzeltme veya yama uygulanmamış olan zayıf noktaları ifade eder. Zeroday açıkları, siber saldırganların veya kötü niyetli aktörlerin hedef sistemlere sızma, izinsiz erişim elde etme veya zararlı faaliyetlerde bulunma amacıyla kullanabilecekleri kritik güvenlik açıklarıdır.
Bu tür açıklar, siber saldırılar için son derece değerli varlıklar olarak kabul edilir. Saldırganlar, zeroday açıklarını kullanarak hedef sistemlere gizlice sızabilir, hassas verilere erişebilir ve hatta hedef sistemin kontrolünü ele geçirebilirler. Zeroday saldırıları, bireysel kullanıcıları, işletmeleri, kuruluşları ve hatta devletleri hedef alabilir. Saldırganlar genellikle bu tür açıkları, kullanıcıların veya sistem sahiplerinin farkına varmadan istismar etmeye çalışırlar.
Zeroday açıkları, siber güvenlik alanında sürekli bir denge ve yarışı ortaya çıkarır. Yazılım geliştiricileri, bu açıkları tespit etmek ve düzeltmek için sürekli olarak çaba harcamalıdır. Aynı şekilde, siber güvenlik uzmanları da bu açıkları proaktif bir şekilde arayıp tespit ederek üreticilere bildirebilirler. Bu, yazılımın güvenliğini artırmak ve potansiyel saldırılara karşı savunma mekanizmalarını geliştirmek için önemlidir. Ancak siber suçlular da bu açıkları keşfedip kötü amaçlı saldırılarını gerçekleştirmeye çalışırlar. Sonuç olarak, zeroday açıkları siber güvenlik alanında sürekli bir evrim ve çözüm arayışını beraberinde getirir, çünkü her yeni açık potansiyel bir tehdit oluşturur.
Zeroday saldırısı nedenleri:
1)Yazılımcıların bir uygulamayı zafiyet barındırdığını bilmeden piyasaya sürmeleri
2)Güvenlik açığı firma tarafından tespit edilmeden saldırganın bunu istismar etmesi
3)Güvenlik güncelleştirmesi yayınlayan firmanın yamasını son kullanıcı kurmamış olması
4)Saldırganın becerisi
5)Sosyal Mühendislik ile kod enjeksyonu
6)Teknolojinin saldırı ve savunma tarafında hızlıca ilerlemesi ve savunma tarafının takibe yetişememesi
Zeroday’de Sandbox
Sandbox, güvenlik açısından risk taşıyan dosya veya uygulamaların izole edilmiş bir çevrede çalıştırılmasını sağlayan bir güvenlik mekanizmasıdır. Bu izole edilmiş çevre, gerçek sistemden ayrı tutulur ve olası tehditlerin gerçek sistem üzerinde zarar vermesini engeller.
Sandbox üzerinde çalışan bir işlem tıpkı normal bir OS’de çalışıyormuş gibi davranır.Fakat sürekli loglar alınır.
Yani sandbox ortamları hem savunma hem test amaçlı ortamlardır.Zeroday önlemek için geliştirilmiş bazı sandbox ürünleri kernel düzeyinde baskı ve denetim yaparak atak vektörlerinin işlenmeden önce durdurulmasını sağlar.
Sandox,zarar potansiyeli olan dosyaları veya uygulamaları izole bir ortamada çalıştırarak herhangi bir saldırı durumunda gerçek işletim sistemine erişimi kısıtlar.Açılan uygulama veya dosya zararlı olsa dahi sisteme zarar veremez.Fakat saldırgan sandbox ortamında olduğunu anlayıp çeşitli kaçış yolları deneyebilir:
1)Çevre Değişkenlerini İnceleme: Saldırganlar, çalıştıkları ortamın değişkenlerini inceleyerek sandbox olduğunu anlayabilirler. Örneğin, farklı bir IP adresi veya sanal donanım ayarları gibi farklılıklar, sandbox çevresini ele verebilir.
2)Zaman Bazlı Analiz: Saldırganlar, dosya veya uygulamanın ne kadar süre boyunca çalıştığına veya hangi saat diliminde çalıştığına bakarak sandbox olduğunu anlamaya çalışabilirler. Sandbox çözümleri genellikle sınırlı bir süre veya saat dilimi içerisinde çalıştırılır.
3)İşlem İzleme: Saldırganlar, sandbox içerisinde çalışan işlemleri izleyerek hangi aktivitelerin izlenip hangi aktivitelerin izlenmediğini belirleyebilirler. Bu sayede, sandbox ortamındayken yaptıkları işlemleri kısıtlayabilirler.
4)Anti-Sandbox Teknikleri: Saldırganlar, özel olarak tasarlanmış zararlı yazılımlar kullanarak sandbox'ı aşmayı veya tespit edilmemeyi hedefleyen yöntemler geliştirebilirler. Bu, örneğin belirli bir zaman gecikmesi sonrasında aktif hale gelen zararlı kodlar veya sandbox'ı tespit etmek için tasarlanmış algılama mekanizmaları içerebilir.
5)Zararlı İşlevleri Gizleme: Saldırganlar, sandbox içerisinde tespit edilmemek için zararlı işlevleri gizleyebilirler. Örneğin, belirli davranışları veya zararlı kodu yavaşça yürüterek, izlenen faaliyetlerin sinyalini azaltabilirler.
Ancak sandbox ortamı her zaman teknik savunma ekibi tarafından izlenmektedir ve analize tabii tutulmaktadır. Bu izleme, zararlı aktiviteleri tespit etmeye ve analiz etmeye yardımcı olabilir. Böylece, güvenlik uzmanları zararlı kodun nasıl çalıştığını anlayarak savunma mekanizmalarını geliştirebilir.
Sandbox genellikle otomatik analiz ve raporlama özelliklerine sahiptir.Bu sayede incelemeyi kolaylaştırıp kayıt almayı sıklaştırabilir ve karşı savunmayı yeterli bir zaman diliminde yapabilmeleri için güvenlik ekibine zaman kazandırır.
Zeroday Tespit
Bilgisayar sistemleri her alanda buluınması ve çok fazla güvenlik gerektiren bilgi barındırmasından ötürü birçok tespit sistemi geliştirilmiştir.Birçok kurum IDS/IPS,anti-malware,güvenlik açığı tarama sistemleri geliştirmiştir.Anti-Virus gibi imza tabanlı güvenlik araçlarıyla bu tür saldırıları savunmaya çalışmaktadır.Ancak Zeroday gibi içerdeki bir yazılımcının yanlışlıkla zafiyetli olarak geliştirdiği bir uygulamanın arzettiği tehlike çoğu zaman bu geleneksel yöntemlerle tespit edilememektedir.
Bu süreçte sadece kayıtlar ile imza tabanlı tespit değil büyük oranda davranışsal analiz(behavior-based) yapılması gerekir.
Veya diğer bir yöntem port kuralı oluşturarak bilinmeyen bir IP adresine giden verinin sistem tarafından tespit edilip alarm vermesidir.
Zeroday piyasası:0day.today Agreement - 0day.today Exploit Database : vulnerability : 0day : new exploits : buy and sell private exploit : shellcode by 0day Today Team
Son düzenleme:
