Ayrıcalık yükseltme, günümüz saldırganlarının yıkıcı veri ihlalleri yaratmak için kullandıkları yaygın bir yöntemdir. İşte bu saldırı tekniği hakkında bilmeniz gerekenler.
Ayrıcalık yükseltme, saldırganların malware adresini dağıtmak ve diğer kötü niyetli faaliyetleri yürütmek için kullanılabilecek ayrıcalıklı hesaplara yetkisiz erişim elde etmek için kullandıkları bir tekniktir. Genellikle bir saldırganın standart bir kullanıcı hesabını ele geçirerek kurumsal ağa erişim kazanmasıyla başlar. İçeri girdikten sonra, yönetici, süper kullanıcı ve diğer üst düzey ana bilgisayarlara ve hesaplara doğru ilerlerler.
Dikey Ayrıcalık Yükseltme veya Ayrıcalık Yükseltme bir saldırgan daha düşük bir ayrıcalık seviyesinden daha yüksek bir seviyeye geçtiğinde meydana gelir. Örneğin, normal bir kullanıcının yönetici hakları kazanması. Bu teknik, korunan sistem işlevlerine ve hassas verilere erişim sağlayarak potansiyel hasarı artırır.
Yatay Ayrıcalık Yükseltme, benzer erişim seviyelerine sahip başka bir kullanıcının eş düzey ayrıcalıklarına veya kaynaklarına erişmeyi içerir. Bu teknik, saldırganların başka bir kullanıcının verilerine veya hizmetlerine yetkisiz olarak erişmesine veya bunları manipüle etmesine olanak tanır.
Bu, normal bir kullanıcı gibi sınırlı erişim haklarına sahip bir saldırganın, yönetici veya kök erişimi gibi daha üst düzey ayrıcalıklar elde etmek için güvenlik açıklarından yararlanmasıyla ortaya çıkar. Bu, ayrıcalık yükseltmenin en yaygın biçimidir ve önemli güvenlik risklerine yol açabilir.
Bu durumda,bir saldırgan sistem içinde yanlamasına hareket ederek benzer erişim haklarına sahip diğer kullanıcıların kaynaklarına veya hesaplarına erişim elde eder. Yatay yükseltme daha yüksek ayrıcalıklara yükselmeyi içermese de, saldırganların diğer hesapları veya verileri istismar etmesine olanak tanır.
Saldırganlar, temel kullanıcı ayrıcalıklarına sahip bir sisteme giriş yaparak işe başlarlar. Bunu, aldatıcı iletişimlerin kullanıcıları kimlik bilgilerini ifşa etmeleri için kandırdığı phishing gibi yöntemlerle; uygun şekilde güvence altına alınmamış yazılım veya sistemlerdeki güvenlik açıklarından yararlanarak veya kurulumdan sonra hiç değiştirilmemiş varsayılan kimlik bilgilerini kullanarak gerçekleştirirler. Bu aşamadaki birincil hedef, sistem içinde bir dayanak noktası oluşturarak daha fazla saldırı başlatabilecekleri bir platform oluşturmaktır.
Sisteme girdikten sonra saldırganlar, ortam hakkında ayrıntılı bilgi toplamak için sistem numaralandırma ve keşif işlemlerini gerçekleştirir. Sistem mimarisi, işletim sistemi sürümleri, yüklü uygulamalar, çalışan hizmetler ve mevcut kullanıcı hesapları hakkında veri toplarlar. Bu bilgi toplama işlemi, komut satırı yardımcı programları, sistem komut dosyaları ve ağ tarama araçları gibi araçlarla kolaylaştırılır ve bu araçlar sistemin yapısını haritalandırmaya ve istismar için potansiyel hedefleri belirlemeye yardımcı olur.
Sistem hakkında kapsamlı bilgiye sahip olan saldırganlar, ayrıcalıklarını artırmak için yararlanılabilecek güvenlik açıklarını belirlemeye devam eder. Yamalanmamış hatalar ya da bilinen açıkları olan kusurlar gibi yazılım açıklarını ararlar. Yanlış yapılandırılmış hizmetler, yetkisiz erişime izin veren güvensiz dosya izinleri veya uygun şekilde güvence altına alınmamış varsayılan ayarlar gibi yapılandırma zayıflıkları da araştırılır. Ayrıca, tahmin edilmesi veya kırılması kolay zayıf parolalar, birden fazla sistemde yeniden kullanılan kimlik bilgileri veya ele geçirilebilecek açık kimlik doğrulama belirteçleri gibi kimlik bilgisi sorunlarını değerlendirirler.
Belirlenen güvenlik açıklarından faydalanmak için saldırganlar çeşitli istismar teknikleri kullanmaktadır. Yazılım açıklarından yararlanırken, bir arabelleğin sınırını aşarak bir programa kod enjekte ederek arabellek taşmaları gerçekleştirebilir veya güvenilir uygulamalara kötü amaçlı kod ekleyerek kod enjeksiyonu yapabilirler. Yanlış yapılandırmaları kötüye kullanmak da başka bir taktiktir; saldırganlar uygun olmayan izin ayarları nedeniyle dosyalara erişmek veya dosyaları değiştirmek için güvenli olmayan dosya izinlerinden yararlanabilir veya Unix/Linux sistemlerinde daha yüksek ayrıcalıklarla çalışan dosyalardan yararlanarak SUID/SGID kötüye kullanımından faydalanabilir.
Kimlik bilgisi hırsızlığı, yetkisiz erişim elde etmek için kullanılan kritik bir yöntemdir. Saldırganlar, çevrimdışı olarak kırmak için sistem belleğinden veya dosyalardan parola karmalarını çıkararak parola karması dökümü yapabilir. Keylogging, parolaları ve diğer hassas bilgileri ele geçirmek için tuş vuruşlarını kaydettikleri başka bir tekniktir. Güvenlik kontrollerini atlamak için saldırganlar, daha yüksek ayrıcalıklı kullanıcıları taklit etmek için çalınan belirteçleri kullanarak belirteçleri manipüle edebilir. Windows sistemlerinde, yükseltilmiş ayrıcalıklarla kod çalıştırmak için meşru Dinamik Bağlantı Kitaplığı (DLL) dosyalarını kötü niyetli dosyalarla değiştirerek DLL ele geçirme işlemi gerçekleştirebilirler. Kullanıcı Hesabı Denetimi'ndeki (UAC) zayıflıklardan yararlanarak, kullanıcıya sormadan yönetim görevlerini gerçekleştirebilir ve önemli bir güvenlik özelliğini etkili bir şekilde atlayabilirler.
Bu tekniklerle donanmış saldırganlar, sistem içinde yükseltilmiş ayrıcalıklar elde etmeyi amaçlar. Belirlenen güvenlik açıklarından yararlanmak için tasarlanmış özel komut dosyaları veya araçlar çalıştırarak istismarları yürütürler. Ayrıcalık yükseltme yüklerinin dağıtılması, yürütüldükten sonra ayrıcalıkları yükseltmek için özel olarak hazırlanmış malware adresinin tanıtılmasını içerir. Hizmet istismarı, saldırganların daha yüksek ayrıcalıklarla çalışan hizmetleri hedef aldığı ve bunları kendilerine daha fazla erişim hakkı veren rastgele kod çalıştırmak için manipüle ettiği başka bir yoldur.
Saldırganlar ayrıcalıklarını başarılı bir şekilde yükselttikten sonra, kontrollerini sağlamlaştırmak ve daha sonraki operasyonlara hazırlanmak için istismar sonrası faaliyetlerde bulunurlar. Erişimi sürdürmek için, yeniden başlatma veya güvenlik güncellemelerinden sonra bile sisteme yeniden girmelerini sağlayan kalıcı yöntemler yükleyerek arka kapılar oluşturabilirler. Yönetici ayrıcalıklarına sahip yeni kullanıcı hesapları eklemek, ilk istismara dayanmadan sürekli erişime sahip olmalarını sağlar.
Tespit edilmekten kaçınmak için izlerini örtmek çok önemlidir. Saldırganlar, faaliyetlerinin kanıtlarını gizlemek için olay kayıtlarını silerek veya değiştirerek günlükleri manipüle eder. Ayrıca adli analistlerin soruşturmalar sırasında anormallikleri tespit etmesini önlemek için dosya zaman damgalarını da değiştirebilirler. Saldırganlar, yükseltilmiş ayrıcalıklarla ağ içinde yanal hareket gerçekleştirebilir. Ağ yayılımı, erişimlerini ağa bağlı diğer sistemlere sızmak, erişimlerini ve potansiyel etkilerini genişletmek için kullanmayı içerir. Ek kaynaklara sızmak için elde edilen kimlik bilgilerinden yararlanırlar; bu, kimlik bilgilerinin yeniden kullanımı olarak bilinen bir süreçtir ve bu da anında şüphe uyandırmadan taviz daha fazla hesap ve sisteme erişmelerini sağlar.
Saldırganlar, bir sistem veya ağ içinde daha yüksek izin seviyelerine yetkisiz erişim elde etmek için ayrıcalık yükseltme tekniklerini kullanırlar. Saldırganlar ayrıcalıklarını yükselterek hassas verilere erişmek, malware adresini yüklemek, sistem yapılandırmalarını değiştirmek veya bir sistemin kontrolünü tamamen ele geçirmek gibi normalde kısıtlı olan eylemleri gerçekleştirebilirler. Saldırganların bu teknikleri neden kullandıklarını anlamak, etkili güvenlik önlemleri uygulamak için çok önemlidir.
Aşağıda, saldırganlar tarafından ayrıcalık yükseltme kullanımının arkasındaki başlıca nedenler ve yöntemler yer almaktadır:
Çoğu kuruluş, ayrıcalık yükseltme saldırılarını önlemek için güvenlik önlemlerinin bir kombinasyonunu kullanır. Sıfır güven, kimlik ve erişim yönetimi (IAM) ve ayrıcalıklı erişim yönetimi (PAM) yaygın örneklerdir.
Ancak bu yaklaşımlarla ilgili bir sorun var: Hepsi tek bir giriş noktasına dayanıyor. Dahası, çoğu kuruluşun çalışanlardan 3 kat daha fazla ayrıcalıklı hesabı vardır, bu da hepsini yönetmeyi imkansız hale getirir. Ve erişim bir kez verildiğinde, kolayca manipüle edilebilir.
Ayrıcalık artışının önüne geçmek için sürekli görünürlük çok önemlidir. Hesap etkinliğini sürekli olarak izlemek ve analiz etmek, kötüye kullanımı gerçek zamanlı olarak belirlemenizi sağlar. Ve bunu doğru bir şekilde yapmanın tek yolu yapay zekadır.
Genişletilmiş tehdit algılama ve yanıtlama burada devreye girer. Vectra AI ağ, kimlik ve kamusal bulut genelinde ayrıcalıklarla ilgili anormal etkinlikleri belirlemek için düzinelerce yapay zeka güdümlü algılama kullanır. Bu tespitler anomalilere değil , gerçek saldırgan davranışlarına odaklanır. AWS ve Entra ID 'deki olağandışı taleplerden şüpheli hizmet taleplerine kadar her biri otomatik olarak ilişkilendirilir, analiz edilir, doğrulanır ve saldırganların ayrıcalık yükseltmeyi ne zaman kullanmaya çalıştıklarını savunuculara göstermek için triyajlanır.