Arka kapılar, saldırganların standart savunmaları atlamasına ve sistemlere gizlice erişmesine olanak tanıyarak siber güvenlikte kritik bir tehdit oluşturur. Bariz alarmları tetikleyen önden saldırıların aksine, bir arka kapı normal kimlik doğrulama ve güvenlik kontrollerini atlatan gizli bir giriş noktasıdır. Bir kez yerleştirildiğinde, bir arka kapı yetkisiz kullanıcılara kalıcı, üst düzey erişim sağlayabilir, veri hırsızlığı, gözetleme ve daha fazla saldırıya olanak tanırken genellikle uzun süre fark edilmeden kalabilir. Bu rapor, siber güvenlik uzmanları için arka kapıların tanımlarını, teknik temellerini, arka kapı türlerini, tarihsel saldırı örneklerini, tespit tekniklerini ve önleme ve azaltma için en iyi uygulamaları (gelişmiş tehdit tespiti için Vectra AI gibi modern platformlar dahil) kapsayan derinlemesine bir genel bakış sunmaktadır. Amaç, güvenlik ekiplerini arka kapı tehditleri ve savunmaları hakkında kapsamlı bir anlayışla donatmaktır.
Siber güvenlikte arka kapı tipik olarak bir sistem, ağ veya yazılımdaki normal kimlik doğrulama veya güvenliği atlayarak saldırgana yetkisiz uzaktan erişim sağlayan gizli bir yöntem olarak tanımlanır. Özünde, yazılım veya donanımdaki gizli bir "tuzak kapısı" gibi işlev görür: olağan güvenlik mekanizmaları tarafından korunmayan alternatif bir giriş. Arka kapılar kasıtlı olarak (örneğin geliştiriciler veya kötü niyetli içeriden kişiler tarafından) veya kasıtsız olarak (güvenlik açıkları veya zayıf yapılandırmalar yoluyla) eklenebilir.
Bir arka kapı birçok teknik şekil alabilir. Bir uygulama içindeki gizli bir kod bölümü, yükseltilmiş ayrıcalıklarla çalışan ayrı bir kötü amaçlı program, aygıt yazılımında bir değişiklik veya hatta bir işletim sistemindeki gizli bir yerleşik hesap olabilir . Bazı arka kapılar, komutları kabul etmek için bir dinleme ağ portu açan malware kadar basitken, diğerleri daha inceliklidir - örneğin, şifreleme algoritmalarını kasıtlı olarak zayıflatan kriptografik arka kapılar. Kötü şöhretli Dual_EC_DRBG vakasında, rastgele sayı üreteci, kriptografik sabitleri arasında gizli bir ilişki ile tasarlanmıştır; sırrı bilen bir saldırgan, gelecekteki tüm "rastgele" sayıları tahmin edebilir  ve şifreleme güvenliğini etkili bir şekilde alt üst edebilir. Bu tür bir algoritmik arka kapı, matematiksel bileşenlerin bile güvenliği zayıflatmak için nasıl arka kapı olarak kullanılabileceğini göstermektedir.
Saldırganlar çeşitli yöntemlerle arka kapılar yükler. Yaygın vektörler arasında kimlik phishing veya arabadan indirmeler yoluyla gönderilen Truva atı malware amaçlı yazılımları, yamalanmamış yazılım açıklarından yararlanma, varsayılan kimlik bilgilerinin kötüye kullanılması veya yazılım geliştirme veya güncelleme dağıtımı sırasında kötü amaçlı kodun eklendiği tedarik zinciri tehlikeleri yer alır. Bir kez yüklendikten sonra, bir arka kapı tipik olarak yeniden başlatma ve güncellemelerden kurtulmak için kalıcılık sağlar (örneğin, başlangıç komut dosyalarını veya ürün yazılımını değiştirerek). Birçok arka kapı ayrıca tespit edilmekten kaçınmak için gizli teknikler (süreçleri gizleyen veya meşru hizmetler gibi görünen rootkitler gibi) kullanır. Saldırganlar bir arka kapıyı kullanarak genellikle yüksek ayrıcalıklara sahip komutlar çalıştırabilir, kullanıcı faaliyetlerini izleyebilir, veri sızdırabilir ve hatta diğer sistemlere yanal olarak yayılabilirler - tüm bunları yaparken normal güvenlik kontrollerini atlarlar ve genellikle tespit edilmeleri oldukça zordur.
Arka kapılar hedefledikleri katman veya bileşene göre kategorize edilebilir. Aşağıda, her biri farklı özelliklere ve risklere sahip temel arka kapı türleri yer almaktadır:
Bu arka kapılar işletim sistemi veya çekirdek seviyesinde çalışır ve genellikle hedef makine üzerinde kök veya yönetici kontrolü sağlar. Varlığını gizlemek için işletim sistemi çekirdeğine bağlanan gizli malware olan rootkit'ler aracılığıyla tanıtılabilirler. Sistem düzeyinde arka kapılar, belgelenmemiş işletim sistemi kullanıcı hesapları veya gizli bağlantı noktalarını dinleyen hizmetler şeklinde de olabilir. Yüksek ayrıcalıklarla çalıştıkları için çok güçlü ve kalıcı olabilirler. Örneğin, bir çekirdek modu arka kapısı kötü niyetli faaliyetleri gizlemek için sistem çağrılarını kesebilir veya bir saldırganın meşru kullanıcılar tarafından bilinmeyen bir ana parola ile oturum açmasına izin verebilir. Bunlar, işletim sisteminin temel güvenliğini etkili bir şekilde zayıflattıkları için en tehlikeli arka kapılar arasındadır.
Uygulama düzeyinde bir arka kapı, bir uygulama veya yazılım bileşenine gömülü kötü amaçlı koddur. Saldırganlar bir uygulamayı, kimlik doğrulamayı atlamak veya verileri hortumlamak için gizli bir işlevsellik içerecek şekilde değiştirebilir (veya bir geliştiriciyi kusurlu bir bağımlılık eklemesi için kandırabilir). Arka kapı güvenilir bir uygulamanın bağlamı içinde çalıştığından, kullanıcılar veya yöneticiler için açık olmayabilir. Örneğin, bir web uygulamasında geliştiriciler tarafından bırakılan ve bir arka kapı olarak etkinleştirilebilen gizli bir "hata ayıklama" modu veya yönetici arayüzü (bir bakım kancası) olabilir. Uygulama arka kapıları genellikle bu yazılımın kapsamıyla sınırlıdır, bu nedenle etkileri sistem düzeyinde bir arka kapıdan daha dar olabilir, ancak yine de hassas uygulama verilerini veya kullanıcı hesaplarını açığa çıkararak ciddi riskler oluştururlar. Özellikle, bazı malware web sunucusu uygulamalarında web kabuğu arka kapıları oluşturarak saldırganların HTTP istekleri aracılığıyla sunucuda komutlar yürütmesine olanak tanır.
Bunlar, genellikle üretim veya tedarik zinciri saldırıları sırasında donanım cihazlarına veya düşük seviyeli ürün yazılımlarına yerleştirilen arka kapılardır. Donanım arka kapıları son derece gizli ve kalıcı olabilir. Örnekler arasında özel komutları kabul eden gizli mantığa sahip değiştirilmiş ağ kartları, yönlendiriciler veya anakartlar ya da BIOS/UEFI veya aygıt denetleyicilerine yerleştirilmiş donanım yazılımları yer alır. İşletim sisteminin altında bulundukları için donanım arka kapıları geleneksel güvenlik yazılımlarından kaçabilir. Tarihsel bir örnek, 1990'larda önerilen Clipper çipiydi (yerleşik bir devlet anahtarı emanet arka kapısına sahip bir şifreleme çipi). Daha yakın zamanda, VPNFilter gibi malware yazılımlar yönlendirici aygıt yazılımını hedef alarak yeniden başlatmalardan kurtulan ve saldırganların ağ trafiğini gözetlemesine izin veren arka kapılar yüklemiştir. Ayrıca, kriptografik hızlandırıcılar veya yönetim motorları (örneğin Intel AMT alt sistemi) gibi kritik donanımlarda bulunan ve istismar edilmesi halinde saldırganlara neredeyse tam kontrol sağlayabilecek arka kapılar hakkında endişeler dile getirilmiştir. Donanım seviyesindeki arka kapıların tespit edilmesi ve kaldırılması zordur - genellikle tek çözüm tehlikeye atılan donanımın değiştirilmesidir.
RAT, saldırgana bir arka kapı kanalı aracılığıyla bir sistemin uzaktan yönetim kontrolünü sağlayan bir malware programıdır. RAT'ler genellikle kendilerini zararsız dosyalar veya yasal yazılımlar olarak gizlerler, ancak bir kez çalıştırıldıklarında saldırgan ile kurbanın bilgisayarı arasında gizli bir iletişim bağlantısı açarlar. Bu, saldırganın komutlar vermesine, kullanıcıyı izlemesine (örneğin tuş vuruşu kaydı veya web kamerasını etkinleştirerek), dosyaları çalmasına ve hatta sistemi gerçek zamanlı olarak manipüle etmesine olanak tanır. Back Orifice (1998), SubSeven ve Poison Ivy gibi RAT'ler 90'ların sonu ve 2000'lerde bilgisayar korsanlarına Windows makineler üzerinde gizlice tam kontrol sağlamasıyla ünlenmiştir . Modern RAT'ler genellikle phishing e-postaları veya arabadan indirmeler yoluyla teslim edilir ve genellikle normal işlem davranışını taklit ederek veya ağ trafiği için şifreleme kullanarak tespit edilmekten kaçınmaya çalışarak arka planda sessizce çalışır. RAT'ler esasen arka kapılar olduğundan (yetkisiz bir uzaktan erişim noktası sağlar), izinsiz girişlerde yaygın bir araçtır. Güvenlik uzmanları, tespit edilen herhangi bir RAT bulaşmasını, saldırganlara sağladığı kontrolün genişliği nedeniyle ciddi bir ihlal olarak değerlendirmektedir. (Arka kapıların başka şekillerde de sınıflandırılabileceği unutulmamalıdır - örneğin, niyete göre (kötü niyetli ve meşru bakım arka kapıları) veya saldırı aşamasına göre (önceden yüklenmiş ve istismar sonrası). Ayrıca kriptografik arka kapılardan da bahsetmek gerekir: bunlar şifreleme algoritmalarına veya protokollerine kasıtlı olarak eklenen zayıflıkları içerir. Daha sonra ele alınacak olan Dual_EC_DRBG vakası bir algoritmadaki kriptografik arka kapıya en iyi örnektir. Türü ne olursa olsun, tüm arka kapılar normal güvenliği atlayan bir erişim yolu ortak temasını paylaşır).
Arka Kapı Saldırılarına İlişkin Önemli Tarihsel Örnekler Arka kapılar çok sayıda yüksek profilli siber olayda rol oynamıştır. Aşağıda, arka kapıların nasıl yerleştirildiğini ve yaratabilecekleri etkiyi gösteren birkaç önemli örneği vurguluyoruz:
SolarWinds olayı yakın tarihin en kötü şöhretli tedarik zinciri saldırılarından biridir. Saldırganlar (Cozy Bear olarak da bilinen Rus APT29'a atfedilir) SolarWinds'in Orion BT yönetim yazılımının yapım sürecini tehlikeye atmış ve rutin bir yazılım güncellemesine gizli bir arka kapı yerleştirmiştir. Müşteriler (18.000'den fazla) truva atlı güncellemeyi yüklediğinde, SUNBURST olarak adlandırılan arka kapı etkinleşti ve saldırganların bu kuruluşların ağlarına uzaktan erişmesine izin verdi. Bu arka kapı, gizli keşif ve veri sızıntısı için kullanıldı ve 2020'de aylarca tespit edilmeden kaldı. ABD devlet kurumları (İç Güvenlik, Hazine, vb.) ve teknoloji şirketleri (Microsoft, FireEye) gibi yüksek değerli hedefler etkilendi. İhlal sonunda FireEye tarafından Aralık 2020'de kendi ağlarında anormal davranışlar fark ettiklerinde ve bunu Orion yazılımına kadar takip ettiklerinde keşfedildi. SolarWinds vakası, üçüncü taraf yazılımlardaki arka kapıların tehlikesinin altını çizdi - saldırganlar otomatik güncellemelere olan güveni istismar ederek, potansiyel olarak binlerce kuruluşa aynı anda sızmak için tek bir arka kapıdan yararlandı.
Dual_EC_DRBG, 2006 yılında NIST tarafından standartlaştırılan ve daha sonra NSA tarafından tasarlandığından şüphelenilen bir arka kapıya sahip olduğu ortaya çıkan bir kriptografik sözde rastgele sayı üretecidir. Algoritma eliptik eğri matematiğini kullanır ve kötü niyetle seçilmesi halinde bu sabitlerin arkasındaki sırrı bilen kişinin üretilen rastgele sayıları tahmin etmesine olanak tanıyabilecek bir dizi sabit (eliptik eğri üzerindeki noktalar) içerir. Araştırmacılar ilk olarak 2007 yılında, sabitlerin gizli bir tuzak kapısı olabileceğini ve küçük bir çıktı verisi örneğini gözlemledikten sonra RNG çıktısının tahmin edilmesine izin verebileceğini göstermiştir. Bu uyarılara rağmen algoritma yıllarca onaylanmış bir standart olarak kaldı. 2013'te sızdırılan NSA belgeleri (Snowden sızıntıları), NSA'nın şifreleme standartlarını zayıflatmaya yönelik Bullrun programının bir parçası olarak Dual_EC_DRBG'yi kasıtlı olarak zayıf olacak şekilde tasarladığını kuvvetle öne sürdü. Daha sonra RSA Security'nin BSAFE kripto kütüphanesinde varsayılan rastgele üreteç olarak Dual_EC_DRBG'yi kullanmak için NSA'dan 10 milyon dolarlık gizli bir sözleşme aldığı bildirildi - NSA'ya bu kütüphaneyi kullanan herhangi bir üründe potansiyel bir arka kapı sağlayacak bir karar. Bu durum kamuoyuna açıklandıktan sonra NIST Dual_EC_DRBG'yi geri çekmiş ve büyük satıcılar da bundan vazgeçmiştir. Dual_EC_DRBG destanı, algoritma düzeyinde bir arka kapının dönüm noktası olan bir örneğidir: görünüşte güvenli olan bir bileşen, bilenlerin güvenliği kırmasına izin vermek için alt üst edilmiştir. Devletin standartlar üzerindeki etkisi konusunda sektörde ciddi güven sorunlarına yol açmıştır.
2015 yılında Juniper Networks, ScreenOS'ta (NetScreen güvenlik duvarlarının işletim sistemi) iki arka kapı açan yetkisiz kod bulunduğunu açıkladı. Arka kapılardan biri, saldırganların güvenlik duvarlarında tam ayrıcalıklarla uzaktan oturum açmasına izin veren bir yönetici ana parolasıydı. İkincisi ise muhtemelen Dual_EC_DRBG ile ilgili bir şifreleme arka kapısıydı: Juniper'in VPN'i rastgelelik için Dual_EC kullanıyordu ve saldırganlar ScreenOS'taki Dual_EC sabitini değiştirmişlerdi - muhtemelen gizli anahtarı bildikleri bir tanesine, böylece VPN trafiğinin şifresini çözmelerine izin verdiler  . Araştırmacılar bunun, NSA tarafından teşvik edilen Dual_EC zayıflığından yararlanmanın "ders kitabı örneği" olduğunu belirttiler . Juniper olayı, hükümet tarafından zorunlu kılınan arka kapıların sırtlanmasının tehlikesini gösterdi: NSA doğrudan saldırgan olmasa bile, başka biri kendi casusluğu için zayıflığı yeniden kullandı  . Ayrıca, sofistike bir aktörün bir ürünün kaynak koduna (tedarik zinciri/iç tehdit) nasıl kötü amaçlı kod ekleyebileceğini ve tespit edilmesi zor arka kapı erişimi yaratabileceğini de vurguladı. Juniper, sahte kodu kaldırmak için hızlı bir şekilde yamalar yayınladı, ancak olay, kod güvenliği süreçlerinin bütünlüğü hakkında birçok soru işareti bıraktı.
Uzaktan Yönetim Aracının Kötüye Kullanımı: Back Orifice 1998 yılında bir hacker grubu (Cult of the Dead Cow) tarafından Windows için "meşru" bir uzaktan yönetim aracı olarak piyasaya sürüldü, ancak kısa sürede malware olarak ünlendi. Esasen Windows 95/98 sistemlerinin uzaktan kontrolüne izin veren bir RAT/arka kapı olarak işlev görüyordu. Saldırganlar kullanıcıları Back Orifice'i çalıştırmaları için kandırıyor, bu araç daha sonra gizlice çalışıyor ve saldırganın ekran görüntüleri, tuş vuruşlarını yakalamak veya kurbanın bilgisayarındaki dosyaları manipüle etmek gibi şeyler yapmasına izin veriyordu. Bu ilk örnek, bir uzaktan yönetici aracının bir arka kapı olarak nasıl silahlandırılabileceğini gösterdi ve bu tür gizli erişimin ciddi risklerini ortaya çıkardı. Back Orifice bir kez kurulduğunda bir sistemin gizliliğini ve bütünlüğünü tamamen ortadan taviz . Güvenlik uzmanlarına, uzaktan erişim sağlayan her türlü aracın sıkı bir şekilde kontrol edilmesi gerektiğini öğretti, çünkü yararlı bir yönetici yardımcı programı ile bir arka kapı Truva atı arasındaki çizgi çok ince olabilir.
Diğer önemli arka kapı örnekleri arasında, yükünün bir parçası olarak İran endüstriyel sistemlerinde birden fazla arka kapı kullanan Stuxnet (2010); saldırganların erişimi sürdürmek ve büyük miktarda veriyi dışarı sızdırmak için arka kapılar yüklediği Sony Pictures ihlali (2014) ; ve 2018'de bildirilen (tartışmalı bir şekilde) iddia edilen anakart implantları gibi donanım düzeyinde arka kapılar yer almaktadır. Her bir olay, arka kapıların yazılım güncellemeleri, malware amaçlı yazılımlar, kriptografik tahrifat veya donanım manipülasyonu yoluyla ortaya çıkabileceği çeşitli yolların ve kullanıldıklarında potansiyel olarak yıkıcı sonuçların altını çizmektedir.
Arka kapıların önlenmesi, kapsamlı ve çok katmanlı bir güvenlik yaklaşımı gerektirir. İşte SOC ekiplerinin arka kapı yükleme ve istismar riskini en aza indirmek için uygulayabileceği birkaç strateji:
Tüm yazılımları güncel tutmak arka kapıları önlemek için çok önemlidir. Saldırganlar genellikle arka kapılar yüklemek için eski yazılımlardaki bilinen güvenlik açıklarından yararlanırlar.
Sistemlere ve hassas verilere erişimin sınırlandırılması, içeridekilerin arka kapı yükleme riskini azaltabilir.
Bir ağı segmentlere bölmek bir saldırının yayılmasını engelleyebilir ve saldırganların yanlara doğru hareket etmesini daha zor hale getirebilir.
Bir arka kapının varlığına işaret edebilecek şüpheli faaliyetleri tespit etmek ve bunlara yanıt vermek için gelişmiş araçlar dağıtın.
İstismar edilebilecek güvenlik açıklarını en aza indirmek için dahili ve üçüncü taraf yazılımların güvenli kodlama uygulamalarını takip ettiğinden emin olun.
Çalışanların en iyi güvenlik uygulamaları ve potansiyel tehditler konusunda eğitilmesi, içeriden gelebilecek tehditler ve sosyal mühendislik saldırıları riskini azaltabilir.
Sağlam bir olay müdahale planı ile olası arka kapı olaylarına karşı hazırlıklı olun.
SOC ekipleri bu stratejileri uygulayarak arka kapı yükleme ve istismar riskini önemli ölçüde azaltabilir ve böylece kuruluşlarının genel güvenlik duruşunu geliştirebilir.
Vectra AI AI, gelişmiş, yapay zeka odaklı tehdit algılama ve müdahale yetenekleri sayesinde arka kapıları tespit etme ve azaltma konusunda üstündür. Ağ trafiğini ve sistem davranışlarını sürekli olarak izleyen Vectra AI , bir arka kapının varlığına işaret edebilecek olağandışı etkinlikleri tanımlar. Platformumuz, tehditleri hızla etkisiz hale getirmek için eyleme geçirilebilir içgörüler ve otomatik yanıtlar sağlar. Vectra AI nın güvenlik duruşunuzu nasıl geliştirebileceğini görmek için sizi platformumuzun kendi kendine rehberli bir demosunu izlemeye davet ediyoruz.
Siber güvenlikte arka kapı, bir bilgisayar sistemine, ağa veya yazılım uygulamasına uzaktan erişim sağlamak için normal kimlik doğrulama prosedürlerini atlayan ve genellikle gizlice kurulan bir yöntemi ifade eder. Saldırganlar tarafından kötü niyetli amaçlarla veya sistem yöneticileri tarafından meşru amaçlarla kullanılabilir.
Arka kapılar, sistem açıklarından yararlanma, phishing saldırıları, kötü niyetli yazılım yükleme veya yazılımın ilk geliştirilmesi sırasında kötü niyetli kişiler tarafından veya tedarik zinciri tehlikeleri yoluyla dahil olmak üzere çeşitli yollarla kurulabilir.
Riskler arasında yetkisiz veri erişimi, veri hırsızlığı, ek malware yüklenmesi, sistem hasarı ve gelecekteki saldırılar için bir dayanak oluşturma yer alır. Arka kapılar sistemlerin ve verilerin gizliliğini, bütünlüğünü ve kullanılabilirliğini taviz atar.
Kuruluşlar, gelişmiş malware tespit araçlarıyla düzenli sistem ve ağ taramaları yaparak, olağandışı ağ trafiğini veya davranışını izleyerek ve yazılım geliştirme süreçlerinde kod denetimleri gerçekleştirerek arka kapıları tespit edebilir.
Önleme stratejileri şunları içerir: Güvenlik açıklarını gidermek için sistemleri ve yazılımları düzenli olarak güncellemek ve yamalamak. Güçlü, çok faktörlü kimlik doğrulama ve erişim kontrolleri kullanmak. phishing ı ve diğer sosyal mühendislik saldırıları riskini azaltmak için güvenlik farkındalığı eğitimi vermek. Yetkisiz uygulamaların çalışmasını önlemek için uygulama beyaz listesinden yararlanma. Yanal hareketi sınırlandırmak için ağ segmentasyonu uygulamak.
Arka kapılar, BT personeli tarafından uzaktan yönetim veya sorun giderme gibi amaçlar için meşru olabilir. Ancak bunların kullanımı, güvenli kimlik doğrulama yöntemleri, tüm erişimlerin ayrıntılı olarak kaydedilmesi ve kötü niyetli amaçlarla kullanılmadıklarından emin olmak için düzenli denetimler yoluyla sıkı bir yönetim gerektirir.
Bir arka kapı tespit edildiğinde, kuruluşlar etkilenen sistemleri derhal izole etmeli, ihlalin boyutunu belirlemek için kapsamlı bir araştırma yapmalı, arka kapıyı ve ilgili malware kaldırmalı ve gerekirse etkilenen sistemleri temiz yedeklerden geri yüklemelidir.
Şifreleme, hassas bilgilere erişmek veya bu bilgileri deşifre etmek için bir arka kapıdan yararlanan yetkisiz kullanıcıların işini zorlaştırarak, aktarım ve dinlenme halindeki verileri güvence altına alarak kritik bir rol oynar.
IoT ve akıllı cihazların yaygınlaşması, arka kapılar için potansiyel saldırı yüzeyini genişleterek, güvenlik öncelikli olarak tasarlanmamış cihazlarda yeni güvenlik açıkları ortaya çıkarmaktadır. Bu cihazların güvenli bir şekilde yapılandırıldığından ve düzenli olarak güncellendiğinden emin olmak, arka kapı tehditlerini azaltmak için hayati önem taşır.
Gelecekteki gelişmeler arasında, tespit yeteneklerini geliştirmek için yapay zeka ve makine öğrenimi teknolojilerinin ilerlemesi, yazılım ve IoT cihaz güvenliği için daha güçlü yasal gereklilikler ve güvenlik açıklarını en aza indirmek için yazılım ve donanım geliştirmede tasarım yoluyla güvenli ilkelerin benimsenmesi yer alabilir.