CyberFlow Logo CyberFlow BLOG
Mysql Pentest

Veri Tabanı Düzeyinde Saldırılarda Algılamadan Kaçınma Taktikleri

✍️ Ahmet BİRKAN 📂 Mysql Pentest

Veri tabanı düzeyindeki saldırılarda algılamadan kaçınma yöntemlerini keşfedin.

Veri Tabanı Düzeyinde Saldırılarda Algılamadan Kaçınma Taktikleri

Veri tabanı düzeyinde saldırılarda algılamadan kaçınmak, güvenlik stratejilerinin en zorlu yönlerinden biridir. Bu yazıda, etkili taktikleri inceleyeceğiz.

Giriş ve Konumlandırma

Veri tabanı düzeyindeki saldırılar, modern siber güvenlik tehditleri arasında oldukça kritik bir yer tutmaktadır. Bu tür saldırılar, kötü niyetli aktörlerin veri tabanlarından yetkisiz bilgi alması, veri manipülasyonu ya da veri kaybı amaçlarıyla gerçekleştirdiği siber eylemler olarak tanımlanabilir. Ancak, saldırıların en tehlikeli yanlarından biri, saldırganların bunları algılamadan gerçekleştirme becerisidir. Dolayısıyla, veri tabanı düzeyindeki saldırılarda algılamadan kaçınma taktiklerini anlamak, hem siber güvenlik uzmanları hem de veri yöneticileri için hayati öneme sahiptir.

Veri Tabanı Saldırıları ve Önemi

Günümüzde birçok kuruluş, kritik bilgilerini veri tabanlarında depolamaktadır. Bu bilgiler, kişisel verilerden finansal kayıtlara kadar geniş bir yelpazeye yayılmaktadır. Veri tabanı saldırıları, genellikle bu bilgilerin sızdırılması ve kötüye kullanılması amacıyla gerçekleştirilir. Örneğin, bir saldırganın veri tabanına girmesi ve bu ortamda kötü amaçlı sorgular çalıştırması, potansiyel olarak büyük zararlara yol açabilir. Öte yandan, veri tabanı saldırıları; hacim olarak düşük görünse bile bağlam açısından ciddi riskler taşıyabilir. Özellikle uzun zaman dilimleri boyunca gerçekleştirilmek istenen "low and slow" (yavaş ve düşük hacimli) saldırılar, tespit edilmeden yürütülme şansını artırmaktadır.

Algılamadan Kaçınma Taktiklerinin Temelleri

Siber güvenlik alanında, saldırıların tespiti genellikle birden fazla katmanda sağlanmaktadır. Ancak, saldırganlar bu katmanları aşmanın yollarını keşfederek, saldırılarını algılamadan gerçekleştirme stratejileri geliştirmektedir. Örneğin, bir saldırgan mevcut yetkili bir oturumu kullanarak görünürlüğünü azaltma çabasındadır. Bu tür yöntemler, özellikle "living off trusted accounts" yani meşru hesaplar üzerinden hareket etme tekniği ile birleşerek, sistemdeki algılama mekanizmalarını aşmayı mümkün kılmaktadır. Bu noktada, aktif kullanıcı bağlamı ve oturum değişkenleri, saldırının fark edilip edilmeyeceği konusunda belirleyici unsurlar arasında yer almaktadır.

Teknik Bağlamda Yaklaşım

Veri tabanlarının korunmasında en önemli araçlardan biri, etkin bir denetim (audit log) sisteminin kurulmasıdır. Denetim logları, kimlerin ne zaman ve hangi sorguları çalıştırdığını kaydederek, şüpheli aktivitelerin izlenmesine olanak tanır. Ancak, yalnızca log toplamak yeterli değildir; bağlamsal korelasyon ve kullanıcı profillemesi de yapılmalıdır. Bu sayede, normal davranıştan sapmalar daha belirgin hale gelir ve saldırı tespit sistemleri için kritik veriler sağlanır.

-- Audit loglarını sorgulamak için kullanılabilecek SQL komutu
SHOW PLUGINS;

Bu komut, kurulu eklentiler arasında audit (denetim) eklentisinin olup olmadığını kontrol etmenizi sağlar. Denetim katmanı olmadan, veri tabanında gerçekleşen işlemleri izlemek imkânsız hale gelir.

Eğitim Amaçlı İçerik Üretimi

Bu yazıda ele alacağımız konular, veri tabanı düzeyindeki saldırılarda algılamadan kaçınma taktiklerinin çeşitli boyutlarını içerecek. İzleme katmanlarının işlevselliğinden, oturum değişkenlerinin incelenmesine kadar birçok önemli açıklama ve örnek üzerinden geçeceğiz. Ayrıca, bu taktikleri siber güvenlik, penetrasyon testi (pentest) ve genel savunma stratejileri ile ilişkilendirerek, okuyucuya kapsamlı bir perspektif sunmayı hedefleyeceğiz.

Sonuç olarak, veri tabanı düzeyindeki saldırılarda algılamadan kaçınma taktiklerini anlamak, sadece saldırganların potansiyel hareketlerini önceden tahmin etmekle kalmayıp, aynı zamanda başarılı bir savunma mekanizmasının kurulmasında da kritik rol oynamaktadır. Bu konudaki daha derinlemesine bilgiye geçmeden önce, bu taktiklerin işlemesi ve savunma stratejilerinin geliştirilmesi sürecindeki temel kavramların üzerinde duracağız.

Teknik Analiz ve Uygulama

Audit Log Eklentisini Sorgulama

Veri tabanlarında yapılan aktivitelerin izlenmesi, güvenlik açısından büyük önem taşır. İlk adım olarak, veri tabanında aktif olan audit eklentilerinin sorgulanması gerekir. Örneğin, MySQL veri tabanında etkin olan eklentileri kontrol etmek için aşağıdaki SQL komutunu kullanabiliriz:

SHOW PLUGINS;

Bu komut, yüklü olan tüm eklentilerin bir listesini dökecek ve bu listede audit bileşeninin mevcut olup olmadığını kontrol etmemize olanak tanıyacaktır. Eğer audit bileşeni yüklü değilse, bu, izleme katmanının eksik olduğuna işaret eder.

İzleme Katmanları

Veri tabanı güvenliğinde, izleme katmanları kritik bir rol oynamaktadır. Bu katmanlar, veri tabanı aktivitelerinin etkin bir şekilde gözlemlenmesini sağlar. Üç ana izleme katmanı arasında şu şekilde bir ilişki vardır:

  1. Database Audit: Kimin, ne zaman ve hangi sorguyu çalıştırdığına dair verileri kayıt altına alır.
  2. Application Logging: Uygulamanın veri tabanına gönderdiği işlemleri, uygulama bağlamında izler.
  3. Network Telemetry: İstemci ve veri tabanı arasındaki bağlantı davranışlarını ağa yönelik izler.

Bu katmanların birlikte çalışması, veri saldırılarını tespit etme şansını artırır ve veri güvenliğini kuvvetlendirir.

Güvenlikte Saklanma Kavramı

Bir saldırganın yaptığı işlemleri normal trafik gibi göstererek görünürlüğünü azaltması, "güvenlikte saklanma" kavramı ile tanımlanır. Bu yaklaşımın altında yatan temel strateji, saldırının algılanmasını minimize etmektir. Örneğin, saldırganlar yeni hesap açmak yerine mevcut yetkilere sahip hesapları kullanarak aktivitelerini sürdürürler.

Mevcut Oturum Kullanıcısını Doğrulama

Mevcut oturumun güvenliğini sağlamak için, aktif kullanıcı bağlamının kontrol edilmesi önemlidir. Aşağıdaki SQL komutu, mevcut oturum kullanıcısını gösterir:

SELECT CURRENT_USER();

Bu komut, hangi kullanıcının o an oturum açtığını ortaya çıkararak, şüpheli aktivitelerin tespitini kolaylaştırır.

Evasion Davranış Desenleri

Saldırganların kaçınma (evasion) taktikleri arasında, genellikle hacim olarak küçük görünen aktiviteler bulunur. Ancak bu küçük saldırılar, bağlamda yüksek risk taşımaktadır. Örneğin, "Low and Slow" yaklaşımı olarak bilinen bu yöntem, sorguları uzun bir süreye yayarak güvenlik algılamalarından kaçmayı hedefler.

Oturum Değişkenlerini İnceleme

Şüpheli aktivite tespitinde bir diğer önemli adım, oturum değişkenlerinin incelenmesidir. Aşağıdaki komut, mevcut oturumun değişkenlerini gösterir:

SHOW SESSION VARIABLES;

Bu veriler, oturum düzeyindeki aktiviteleri anlamak için kritik bilgiler sağlar ve şüpheli davranışlar olup olmadığını değerlendirmeye yardımcı olur.

Şüpheli Erişim Göstergeleri

Saldırganların aktiviteleri bazen doğrudan zararlı görünmeyebilir. Ancak, aşağıdaki gösterge türleri, potansiyel tehditleri ortaya çıkarabilir:

  1. Off-Hours Queries: Normal çalışma saatleri dışında yapılan sorgular.
  2. Admin Account from Unusual Host: Yönetici hesabının alışılmadık bir istemciden bağlanması.
  3. Rare Schema Access: Normalde erişilmeyen tablo veya şemalara yapılan sorgular.

Bu tür aktiviteler, sistemin normal davranışından sapmaları işaret edebilir.

Davranış Sapması

Algılama kaçırma amacı taşıyan aktivitelerde, beklenen erişim modelinden farklılıklar sıklıkla gözlemlenir. Bu tür sapmalar, güvenlik analisti tarafından değerlendirilmelidir. Eş zamanlı bir bağlam analizi, güvenlik ihlallerinin daha iyi anlaşılmasını sağlar.

İstemci Bağlantı Bilgilerini Görüntüleme

Saldırgan aktivitelerinin kaynağını belirlemek için istemci bağlantı bilgileri üzerinde durulmalıdır. Aşağıdaki SQL komutu, bu bilgileri özetler:

SHOW STATUS;

Bu komut, veri tabanına yapılan bağlantıların kurulduğu istemcileri ve onların performans bilgilerini sağlar.

Savunma Stratejileri

Veri tabanı seviyesinde algılamadan kaçınma taktiklerinin etkin bir şekilde bertaraf edilmesi için çeşitli savunma stratejileri uygulanmalıdır. Örneğin:

  • Baseline Profiling: Normal kullanıcı ve uygulama davranışını öğrenerek sapmaları görünür hale getirir.
  • Cross-Layer Correlation: Uygulama, veri tabanı ve ağ kayıtlarını birlikte analiz ederek gizlenen aktiviteleri ortaya çıkarır.
  • Privilege Segmentation: Yüksek yetkili hesapların kullanım alanını daraltarak kötüye kullanımı tespit etme sürecini kolaylaştırır.

Nihai Savunma Hedefi

Sonuç olarak, veri tabanı düzeyinde yapılan saldırılara karşı savunma stratejileri, yalnızca log toplamakla kalmamalıdır. Bağlamsal bir korrelasyon ve kullanım profillemesi, algılama kaçırma vakalarının azaltılmasında kritik rol oynamaktadır. Temel hedef, normal davranışlardan meydana gelen sapmaları tespit etmek ve etkili bir şekilde analiz etmektir.

Risk, Yorumlama ve Savunma

Veri tabanları, birçok işletme için kritik öneme sahip bilgiler barındırdıkları için, siber saldırganların hedefinde sıklıkla yer alır. Bu saldırılara karşı etkili bir savunma stratejisi geliştirmek, yalnızca teknolojik önlemleri değil, aynı zamanda risk değerlendirme ve olay yorumlama süreçlerini de kapsar.

Elde Edilen Bulguların Güvenlik Anlamı

Veri tabanına yönelik potansiyel tehditler arasında izleme, audit ve güvenlik açıkları gibi faktörler yer alır. Saldırıların belirlenmesi ve etkisinin yorumlanması için öncelikleAudit Log eklentisinin kurulu olup olmadığı kontrol edilmelidir. Audit mekanizması, kimlerin, ne zaman ve hangi verileri sorguladığını kayıt altına alarak, şüpheli aktivitelerin tespit edilmesinde temel bir rol oynar.

SHOW PLUGINS;

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırılmış veri tabanı sistemleri veya bilinen zafiyetler, saldırganlar için kapı aralayan unsurlar haline gelir. Özellikle "Living off Trusted Accounts" yaklaşımı, mevcut yetkili hesaplar kullanılarak gerçekleştirilen saldırılarda görülür. Saldırganlar, yeni hesap açmak yerine mevcut yetkili bir oturumu kullanarak görünürlüğü azaltabilirler. Bu, saldırının tespit edilmesini zorlaştırabilir.

Sızan Veri ve Diğer Sonuçlar

Bir veri tabanı saldırısının etkileri arasında veri sızıntıları, topoloji değişiklikleri ve hizmet kesintileri yer alır. Özellikle "Rare Schema Access" durumu, normalde erişilmeyen tablo veya şemalara yapılan sorgularla kendini gösterir. Bu durum, kesif veya sızma girişimlerini işaret edebilir. Saldırganların bu tür anomalilerle nasıl davrandığını anlamak için bağlantı kökeni analizi yapılmalıdır.

SELECT CURRENT_USER();

Profesyonel Önlemler

Veri tabanı güvenliği sağlamak için birçok teknik ve stratejik yaklaşım mevcuttur. "Privilege Segmentation" ilkesi; yüksek yetkili hesapların kullanım alanını daraltarak, kötüye kullandıkları hesapların daha kolay tespit edilmesini sağlar. Ayrıca, "Baseline Profiling" uygulamalarla, kullanıcı davranışlarının normal seviyeleri öğrenilir ve bu seviyelerden sapmalar daha belirgin hale getirilir.

  • İzleme Katmanı: Veri tabanı düzeyinde birden fazla izleme katmanı oluşturulmalıdır. Uygulama logları, ağ telemetri ve veri tabanı audit kayıtları birlikte analiz edilmelidir.
SHOW SESSION VARIABLES;
  • Davranış Analizi: Şüpheli aktiviteleri tespit etmek için davranış profilleme yapılmalıdır. "Low and Slow Access" tekniği, sorguları zaman dilimine yayarak ani alarm üretme olasılığını azaltır.

Nihai Savunma Hedefi

Sonuç olarak, algılama kaçınma amacı taşıyan saldırganların faaliyetlerini başarılı bir şekilde izleyebilmek için, tekil log kayıtlarının ötesinde bir yaklaşım benimsemek gereklidir. "Cross-Layer Correlation" yöntemi, uygulama, veri tabanı ve ağ seviyesinde görüntüleme sağlayarak sanal ortamda gizlenen aktiviteleri ortaya çıkarmakta önemli bir rol oynar.

Veri tabanı güvenliği, yalnızca teknoloji odaklı değil, aynı zamanda proaktif bir düşünce yapısı ve sürekli güncellenen savunma mekanizmaları gerektirir. Sistemi koruma almak, veri sızıntılarını önlemek ve saldırıların etkisini minimize etmek için kritik bir adımdır. Kısa ama etkili bir savunma stratejisi ile potansiyel tehditlerin etkileri en aza indirilebilir.