Siber Güvenlikte Yeni Tehdit: BYOVD Saldırıları
Günümüz siber güvenlik dünyasında, fidye yazılım grupları savunma mekanizmalarını aşmak için yöntemlerini sürekli geliştiriyor. Cisco Talos ve Trend Micro tarafından yayınlanan son raporlar, Qilin ve Warlock adlı fidye yazılım gruplarının, 'Bring Your Own Vulnerable Driver' (BYOVD) yani 'kendi savunmasız sürücünü getir' tekniğini kullanarak güvenlik duvarlarını aştığını gözler önüne seriyor.
BYOVD Tekniği Nedir ve Nasıl Çalışır?
BYOVD tekniği, saldırganların sistemde halihazırda bulunan yasal ancak güvenlik açığı barındıran sürücüleri kötüye kullanması esasına dayanır. Bu yöntemle saldırganlar, işletim sistemi çekirdeğinde (kernel) ayrıcalıklı erişim elde ederek, yüklü olan güvenlik yazılımlarını (EDR/AV) pasifize edebilirler. Qilin saldırılarında, 'msimg32.dll' adlı kötü amaçlı bir DLL dosyasının dağıtıldığı ve bu sayede 300'den fazla EDR çözümünün sessizliğe büründürüldüğü tespit edilmiştir.
Kurumsal Güvenlik İçin Alınması Gereken Önlemler
- Sürücü Denetimi: Ağınızdaki tüm sürücüleri düzenli olarak denetleyin ve güncelliğini yitirmiş, savunmasız sürücüleri kaldırın.
- EDR Yapılandırması: EDR çözümlerinizin 'Kernel-mode protection' özelliklerini aktif hale getirin ve BYOVD ataklarına karşı koruma sağlayan modülleri yapılandırın.
- Sıfır Güven (Zero Trust) Modeli: Ayrıcalıklı erişim yönetimi (PAM) uygulayarak, kullanıcıların ve servislerin sistem çekirdeği seviyesinde değişiklik yapmasını kısıtlayın.
- İzleme ve Analiz: Şüpheli DLL yüklemelerini ve sürücü hareketlerini anlık olarak izlemek için SIEM çözümlerinizi optimize edin.
Bu tür saldırılar, güvenlik stratejilerimizin sadece yazılım güncellemeleriyle sınırlı kalmaması gerektiğini, aynı zamanda donanım ve sürücü katmanındaki zafiyetlerin de proaktif bir şekilde yönetilmesi gerektiğini kanıtlıyor. BT ekiplerinin, özellikle uç nokta güvenliği konusunda daha sıkı politikalar benimsemesi, kurumsal verilerin korunması adına hayati önem taşımaktadır.
