CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Brute Force Saldırılarını Tespit Etmenin Yolları

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Brute Force saldırıları, siber güvenlikte ciddi tehditler oluşturur. Bu blog, bu tür saldırıları nasıl tespit edeceğinizi ve analiz edeceğinizi anlatıyor.

Brute Force Saldırılarını Tespit Etmenin Yolları

Brute Force saldırılarının tespit edilmesi, siber güvenlikte kritik bir önem taşır. Bu yazıda, saldırı stratejileri ve savunma mekanizmaları hakkında bilgileri bulabilirsiniz.

Giriş ve Konumlandırma

Brute Force saldırıları, siber güvenlik alanında en yaygın ve aynı zamanda en eski saldırı yöntemlerinden biridir. Temelde, bir saldırganın hedef bir kullanıcı hesabına erişim sağlamak amacıyla çeşitli karakter kombinasyonları veya sıradan şifre listesini kullanarak sistemde giriş denemeleri yapmasıyla tanımlanır. Bu tür saldırılar, genellikle sistemin güvenlik mekanizmalarını aşmak için bir "balyoz" gibi kullanılır ve loglarda belirgin bir gürültü bırakarak tespit edilmesi oldukça kolay hale gelir.

Günümüz dijital ortamında, güçlü parolalar ve çok faktörlü kimlik doğrulama gibi önlemler alınmış olsa da, Brute Force saldırıları hala etkili bir yöntem olarak varlığını sürdürmektedir. Bunun başlıca nedeni, birçok kullanıcı tarafından hâlâ zayıf parolaların tercih edilmesi ve şifrelerin sık sık kullanılmasının yanı sıra, saldırganların geniş kaynaklarla bu yöntemleri otomatikleştirebilmesidir. Dolayısıyla, bu tür saldırıları tespit etmenin yollarını bilmek, siber güvenlik uzmanları ve pentesterler için kritik bir beceri haline gelmiştir.

Brute Force saldırıları, iki ana strateji altında toplanabilir: dikey (vertical) ve yatay (horizontal) yaklaşımlar. Dikey Brute Force, saldırganın belirli bir kullanıcı adına odaklanarak farklı şifre kombinasyonlarını denemesi ile gerçekleşirken, yatay Brute Force, popüler bir şifrenin birçok farklı kullanıcı adı üzerinde denenmesini ifade eder. Bu stratejileri anlamak, bir saldırının hedefini ve dinamiklerini analiz etmek adına büyük önem taşır. Ayrıca, her iki yaklaşımın tespitinde izlenecek yollar ve kuralları belirlemek için doğru log kayıtlarının tahlil edilmesi gerekmektedir.

Brute Force saldırılarını tespit etmenin en etkili yolu, sistem loglarını dikkatli bir şekilde analiz etmektir. Özellikle, Windows ekosisteminde, bir kullanıcının başarısız giriş denemeleri ile ilgili log kodları kritik bir bilgi sağlar. Örneğin, Windows olay günlüğü içerisinde yer alan 4625 olay kimliği, başarısız giriş denemelerini kaydederek sistem yöneticilerine karşılaşabilecekleri olası saldırılar hakkında bilgi verir. Bu tür logların izlenmesi ve analiz edilmesi, başarıyla veya başarısızlıkla sonuçlanan giriş denemelerinin sayısını takip etmek açısından kritik bir yöntemdir.

Bu tespit işlemi sırasında dikkat edilmesi gereken bir diğer nokta ise, belirli bir zaman dilimi içerisindeki hatalı giriş denemelerini gözlemlemektir. Herhangi bir kullanıcının şifreyi unutma veya yanlış girme durumunda, bu tür hatalar Brute Force olarak değerlendirilmemektedir. Ancak, eğer belirli bir süre içerisinde (örneğin, 5 dakika) gerçekleşen hata sayısı kritik değerin üzerine çıkıyorsa, bu durum gerçek bir saldırı alarmı olarak sınıflandırılabilir. Bu kritik limit değerine "eşik" (threshold) denir. Böyle bir durumda, sistem güvenlik ekiplerine müdahale etme gerekliliğini hatırlatır.

Brute Force saldırılarının en korkutucu senaryosu, binlerce hatalı giriş denemesinin ardından başarıyla gelen tek bir giriş logudur. Bu, saldırganın doğru bilgiyi bulduğu anlamına gelir ve kriz anı için acil müdahale gerektirir. Bu noktada, sisteme uygulanan bazı savunma mekanizmaları devreye girmektedir. Örneğin, hesabın üst üste hatalı giriş yapılması durumunda geçici olarak kilitlenmesi (Account Lockout), saldırının önlenmesi adına uygulanan yaygın bir yöntemdir. Bu tür bir durum, sistem yöneticilerine saldırganın yetkili bir kullanıcı olmaksızın doğru şifreyi bulabilme ihtimalini gösteren kritik bilgiler sunar.

Sonuç olarak, Brute Force saldırılarını tespit etmek, yalnızca güvenlik önlemlerini güçlendirmekle kalmaz; aynı zamanda sistemlerin daha güvenli hale gelebilmesi için önemli bir adım atmış olur. Bu yazıda ele alınacak yöntemler, tespit sürecini daha etkili hale getirecek ve siber güvenlik profesyonellerinin bu tür tehditlere karşı daha hazırlıklı olmasına yardımcı olacaktır. Eğitim ve deneyim ile desteklenen bu teknik bilgiler, sistemlerinizi koruma noktasında önemli bir kaynak sağlayacaktır.

Teknik Analiz ve Uygulama

Siber Dünyanın Balyozu: Brute Force

Brute Force saldırıları, saldırganların hedef bir kullanıcı hesabına erişmek amacıyla farklı kombinasyonlar ve en sık kullanılan şifre listeleri ile girdi denemeleri yaptığı bir saldırı türüdür. Bu tür saldırılar, sistemlerin giriş kapılarını 'balyozla' kırmaya çalışmak gibidir ve loglar üzerinde belirgin izler bırakır.

Brute Force saldırılarının tespit edilmesi için sistemin sağladığı logların dikkatli bir şekilde analiz edilmesi gerekir. Windows ekosistemindeki Failed Logon (Başarısız Giriş) olayları bu analizde en kritik verilerden biridir. Bu olaylar, yanlış şifre girilmesi veya var olmayan bir kullanıcı adıyla giriş yapmaya çalışılması durumunda oluşturulur ve olay kodları ile tanımlanır.

Olay Kodu: 4625
Açıklama: Başarısız giriş denemesi

Bu loglar, saldırının ne zaman ve hangi kullanıcı üzerinde yapıldığına dair önemli bilgiler sunar.

Loglardaki İlk İz: Failed Logon

Brute Force tespitinde ilk adım, sistemin reddettiği giriş denemelerini izlemektir. Failed Logon olayları, sistemin kullanıcıdan aldığı yanıtlara göre olay kayıtlarında yer alır. Her bir başarısız giriş denemesi, bir potansiyel saldırının göstergesi olarak değerlendirilmelidir.

Analistler, bu logları inceleyerek sıklıkla hangi kullanıcıların hedef alındığını ve bu kullanıcıların hangi zaman dilimlerinde daha fazla saldırıya uğradığını analiz edebilirler. Önemli olan, belirli bir zaman diliminde ne kadar başarısız giriş denemesi yapıldığı olduğunu belirlemektir.

Saldırı Stratejileri: Dikey ve Yatay Yaklaşımlar

Saldırganlar, Brute Force yaparken farklı stratejiler izleyebilir. Bu stratejiler, kullanılan kullanıcı adları ve şifre kombinasyonlarına göre değişiklik gösterir:

  • Dikey (Vertical) Brute Force: Saldırgan, tek bir kullanıcı adını hedef alarak binlerce farklı şifre denemesi yapar.
  • Yatay (Horizontal) Brute Force: Saldırgan, popüler bir şifreyi (örneğin, "123456") birçok farklı kullanıcı adı üzerinde denemeye çalışır.

Bu iki yaklaşım, sistem üzerinde oluşturduğu logların yapısını da değiştirebilir. Dikey saldırılar genellikle belirli bir kullanıcıya yoğunlaşırken, yatay saldırılar sistem üzerinde daha geniş etkilere yol açabilir.

Gürültüyü Ayırt Etmek: Eşik (Threshold) Mantığı

Brute Force saldırılarının tespitinde önemli bir kavram, "threshold" yani eşik değeridir. Bir SIEM sistemi üzerinde gerçek bir saldırının alarmı oluşturulabilmesi için belirli bir zaman diliminde (örneğin 5 dakika) gerçekleşen hata sayısının normal limitin üzerine çıkması gerekir. 

Eşik Değeri: 10 Başarısız Giriş

Bu eşik değerini belirlemek, sistemin normal işleyişi ile anormal durumları ayırt etmede kritik bir rol oynar.

En Kritik Durum: Başarıya Ulaşan Saldırı

Analistin "kabus" senaryosu, binlerce hatalı denemeden sonra gelen bir başarılı giriş kaydıdır. Bu, saldırganın hedef şifreyi bulduğu ve artık sisteme erişim sağladığı anlamına gelir. Bu tür bir durum, derhal müdahale edilmesi gereken kritik bir güvenlik açığı oluşturur.

Bir başarılı giriş kaydı, aşağıdaki gibi bir olay logu ile tanımlanır:

Olay Kodu: 4624
Açıklama: Başarılı giriş

Bu loglar, analiz edilerek kullanıcının hesabının ele geçirilip geçirilmediği tespit edilebilir.

Savunma Mekanizması: Account Lockout

Sistemi korumak için kullanılan yaygın bir politika, belirli sayıda hatalı giriş denemesinin ardından kullanıcının hesabının geçici olarak dondurulmasıdır. Windows ortamında bu olaya "Account Lockout" denir, ve olay kodu 4740 olarak loglanır. 

Olay Kodu: 4740
Açıklama: Kullanıcı Hesabı Kilitlendi

Bir analist bu durumu gözlemlediğinde, kullanıcının hesabının dondurulduğunu ve saldırganın denemelere devam ettiğini anlayabilir.

Kaynak Analizi ve Triyaj

Saldırının kaynağını belirlemek, hem savunma stratejileri geliştirmek hem de gelecekteki tehditleri önlemek adına kritik bir adımdır. Analistlerin kaynağı takip etmesi ve logları incelemesi, saldırının iç ağa mı yoksa dış ağdan mı geldiğini anlamalarına yardımcı olabilir:

  • İç Ağ Kaynaklı (Internal IP): Kurum içindeki bir bilgisayarın ele geçirilip saldırı için kullanılması.
  • Dış Ağ Kaynaklı (Public IP): İnternet üzerinden gelen saldırılar, genellikle firewall veya WAF ile engellenir.
  • Servis Hesabı Kaynaklı: Parolası değiştirilen bir servisin eski şifre ile sürekli bağlanmaya çalışması, yanlış pozitif sonuçlar oluşturabilir.

Bu tür bir analiz, saldırının nereden geldiğine ve hangi yöntemlerin uygulanacağına dair stratejik kararların alınmasına olanak tanır. Dolayısıyla, sistem yöneticileri ve güvenlik analistleri için kaynakların analizi, her türlü siber saldırıyla başa çıkmada vazgeçilmez bir araçtır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Brute Force (Kaba Kuvvet) saldırıları, siber saldırganların hedef kullanıcı hesaplarının parolalarını ele geçirebilmek için farklı karakter kombinasyonlarını denediği saldırı türleridir. Bu tür saldırılar, sistemin giriş kapısının zorla açılmasına benzetilebilir. Saldırganlar, erişim sağlamak için binlerce şifre deneyebilirken, bu durum log sistemlerinde belirgin bir iz bırakır. İlk adım olarak, bir güvenlik analisti olarak sistem trafiğinde sıkça gözlemleyebileceğiniz "Başarısız Giriş" (Failed Logon) kayıtlarını incelemek kritik öneme sahiptir.

Loglarda tespit edilen başarısız giriş denemeleri şu durumlarda tehlikeli hale gelir:

  • Sürekli olarak aynı kullanıcı adları ile hatalı giriş denemeleri.
  • Çok kısa zaman diliminde sayıca fazla olan hatalı giriş denemeleri.

Aşağıdaki kod örneği, log dosyalarındaki başarısız giriş denemelerini incelemeniz için kullanılabilir:

grep "4625" security.log | awk '{print $1, $2, $3, $5}' | sort | uniq -c | sort -nr

Yukarıdaki komut, Windows sistemlerinde "Başarısız Giriş" olay kodu olan 4625 üzerinden loglara erişim sağlar ve her bir hatalı girişin sayısını listeler.

Yorumlama Süreci

Brute Force saldırılarında, yaklaşımların yorumlanması, saldırganın hangi stratejileri kullandığına bağlıdır. İki temel tip strateji vardır:

  • Dikey (Vertical) Brute Force: Bu türde, saldırgan tek bir kullanıcı adına yönelik olarak binlerce farklı şifre denemesi yapmaktadır. Örneğin, "admin" kullanıcı adı için bir dizi şifreyi denemek.

  • Yatay (Horizontal) Brute Force: Bu durumda, saldırgan belirli bir popüler şifreyi (örneğin "123456") birden fazla kullanıcı adına denemekte.

Saldırının etkin bir şekilde tespit edilmesi için, log kayıtlarında bu tür örüntülerin dikkatlice analiz edilmesi gerekmektedir. Çok sayıda başarısız giriş kaydı, şüpheli bir faaliyet göstergesi olabileceği gibi, kullanıcıların şifrelerini unuttukları durumlarda da ortaya çıkabilir.

Savunma Mekanizmaları

Brute Force saldırılarına karşı alınabilecek en etkili tedbirlerden biri, hesabın geçici olarak kilitlenmesi (Account Lockout) politikasını uygulamaktır. Active Directory sistemlerinde, üst üste belirli sayıda hatalı giriş yapıldığında hesap geçici olarak dondurulur. Bu durum, saldırganın hesabı ele geçirmesini zorlaştırır. Örneğin, loglama kullanan bir sistemde aşağıdaki olay kodu (Event ID 4740) yardımıyla saldırganın nereye odaklandığı görülebilir:

4740: Account Locked Out

Bu tür loglar, sistem yöneticileri için önemli bir uyarı niteliği taşır. Analistler, bu logları incelediklerinde, hesabın kilitlendiği anı, dolayısıyla saldırganın durdurulduğunu fark edeceklerdir.

Ancak, yalnızca "hesap kilitlenme" ile yetinmemek gerekir. İç ağ kaynaklı (Internal IP) ve dış ağ kaynaklı (Public IP) saldırıları da dikkatlice takip etmek gereklidir. İç ağ kaynaklı bir saldırıda, bir bilgisayarın ele geçirilip kullanılma riski oldukça yüksektir; bu nedenle, ağ topolojisinin analizi daha büyük bir öneme sahiptir. Dış ağ kaynaklı saldırılar ise genellikle bir firewall veya Web Application Firewall (WAF) kullanılarak engellenebilir.

Sonuç

Brute Force saldırılarını etkili bir şekilde tespit etmek, güvenlik analistleri için kritik bir beceridir. Başarısız giriş logları ve saldırı stratejilerinin analizi, potansiyel tehditlerin anlaşılmasına yardımcı olur. Hesap kilitlenme politikaları gibi savunma mekanizmaları, kullanıcı hesaplarının güvenliğini artırmak için oldukça etkilidir. Son olarak, hem iç hem de dış ağ kaynaklı saldırıları izlemek ve analiz etmek, güvenlik altyapınızın sağlamlığını artırmak adına önemlidir. Sızan veriler ve sistem dengesizliği durumlarında hızlı müdahaleler, olası bir veri ihlalinin önüne geçebilir.