Endpoint Detection and Response ifadesinin kısaltması olan EDR, Türkçe’ye Uç Nokta Tespit ve Yanıt olarak çevrilen gelişmiş bir siber güvenlik teknolojisidir. Sunucu, bilgisayar ve mobil cihazlar gibi ağdaki uç noktaları sürekli izleyerek, antivirüslerin kaçırabileceği şüpheli davranışları gerçek zamanlı tespit eder ve otomatik yanıtlar verir. Siber suçluların çalışanların dizüstü bilgisayarlarını, masaüstü bilgisayarlarını ve mobil cihazlarını iş verilerine ve altyapıya sızmak için kullanmasını önlemek için işletmeler açısından önemli bir araçtır. EDR Killer, bir siber saldırganın hedef sistemdeki güvenlik yazılımlarını etkisiz hâle getirmek için kullandığı araç veya teknikleri ifade eder. EDR katilleri, modern fidye yazılımı saldırılarının temel bir parçasıdır; bu nedenle, iş ortakları yükleri sürekli olarak değiştirmek yerine şifreleyicileri çalıştırmak için kısa ve güvenilir bir zaman aralığını tercih ederler. ESET araştırmacıları, son zamanlarda gözlemlenen EDR katillerinden en azından bazılarının, yapay zekâ destekli üretime işaret eden özellikler sergilediğini değerlendiriyor. ESET telemetri ve olay araştırmalarına dayanan bu çalışma, sahada aktif olarak kullanılan yaklaşık 90 EDR katilinin analizine ve izlenmesine dayanmaktadır. 

Fidye yazılımı saldırılarındaki yeni taktik önce güvenliği devre dışı bırakmak

Son yıllarda, EDR katilleri modern fidye yazılımı saldırılarında en sık görülen araçlardan biri hâline geldi. Bir saldırgan yüksek ayrıcalıklar elde eder, korumayı bozmak için bu tür bir araç kullanır ve ancak o zaman şifreleyicisini başlatır. Her yerde görülen Bring Your Own Vulnerable Driver (BYOVD) tekniğinin yanı sıra ESET saldırganların sık sık meşru anti-rootkit yardımcı programlarını kötüye kullandığını veya sürücüsüz yaklaşımlar kullanarak uç nokta algılama ve yanıt (EDR) yazılımının iletişimini engellediğini veya onu askıya aldığını da gözlemlemektedir. Kötüye kullanılan bu araçlar sadece bol miktarda mevcut olmakla kalmaz, aynı zamanda öngörülebilir ve tutarlı bir şekilde davranır; işte bu yüzden de iş ortakları bunlara yönelmektedir.

EDR katillerini araştıran ESET araştırmacısı Jakub Souček “Bu araştırmanın ortaya çıkardığı manzara, kavram kanıtlarının sonsuz çatallanmasından karmaşık profesyonel uygulamalara kadar uzanan devasa bir alandır. Darknet’te reklamları yapılan ticari EDR katillerine odaklanmak, müşteri tabanlarını daha iyi anlamamızı ve aksi takdirde gizli kalacak bağlantıları tespit etmemizi sağlıyor. Şirket içinde geliştirilen EDR katilleri, kapalı grupların iç işleyişi hakkında fikir vermektedir. Ayrıca vibe kodlama da işleri daha da karmaşık hâle getirmektedir” açıklaması yaptı.

Saldırı ekosistemi büyüyor

Verileri başarılı bir şekilde şifrelemek için fidye yazılımı şifreleyicilerinin tespit edilmekten kaçınması gerekir. Günümüzde, paketleme ve kod sanallaştırmadan sofistike enjeksiyona kadar uzanan çok çeşitli olgun kaçınma teknikleri mevcuttur. Ancak ESET, şifreleyicilerde bunların uygulandığını nadiren görmektedir. Bunun yerine, fidye yazılımı saldırganları, şifreleyicinin dağıtımından hemen önce güvenlik çözümlerini bozmak için EDR katillerini tercih etmektedir. Aynı zamanda, EDR katilleri genellikle meşru ancak savunmasız sürücülere dayanır; bu da eski veya kurumsal yazılımların kesintiye uğraması riski olmadan savunmayı önemli ölçüde zorlaştırır. Sonuç, minimum geliştirme çabasıyla çekirdek düzeyinde etki sunan bir araç sınıfıdır; bu da bu araçları basitlikleri göz önüne alındığında orantısız bir şekilde güçlü kılar. Bu nedenle ESET, güvenlik açığı bulunan sürücülerin yüklenmesini engellemenin savunma hattında çok önemli bir adım olduğunu ancak mevcut çeşitli atlatma teknikleri nedeniyle bunun kolay bir adım olmadığını vurguluyor. Bu durum, neden sadece buna güvenilmemesi gerektiğini ve EDR katillerinin sürücüyü yükleme şansı bulamadan onları devre dışı bırakmayı hedeflemesi gerektiğini ortaya koyuyor. 

Aslında, en basit EDR engelleyiciler güvenlik açığı bulunan sürücülere veya diğer gelişmiş tekniklere dayanmaz. Bunun yerine, yerleşik yönetim araçlarını ve komutlarını kötüye kullanırlar. BYOVD teknikleri, modern EDR engelleyicilerin ayırt edici özelliği hâline gelmiştir: Her yerde bulunur, güvenilirdir ve yaygın olarak kullanılır. Tipik bir senaryoda, bir saldırgan kurbanın makinesine meşru ancak güvenlik açığı bulunan bir sürücü yerleştirir, sürücüyü yükler ve ardından sürücünün güvenlik açığını kötüye kullanan bir kötü amaçlı yazılımı çalıştırır. Daha küçük ancak büyümekte olan bir EDR katili sınıfı, çekirdeğe hiç dokunmadan hedeflerine ulaşır. Bu araçlar, EDR işlemlerini sonlandırmak yerine diğer kritik özelliklere müdahale eder. 

Yapay zekâ etkisiyle yeni nesil saldırı araçları gelişiyor

Yapay zekâ artık EDR katillerinin cephaneliklerindeki en yeni silah olarak kabul edilebilir. Yapay zekânın belirli bir kod tabanının oluşturulmasına doğrudan yardımcı olup olmadığını belirlemek genellikle pratik olarak imkânsızdır. Özellikle saldırganlar kodu sonradan işlediklerinde veya gizlediklerinde, yapay zekâ tarafından üretilen kodu insan tarafından yazılan koddan güvenilir bir şekilde ayıran kesin bir adli belirteç yoktur. Ancak ESET araştırmacıları, son zamanlarda gözlemlenen EDR katillerinden en azından bazılarının, yapay zekâ destekli üretimi güçlü bir şekilde ima eden özellikler sergilediğini değerlendiriyor. Buna açık bir örnek, Warlock fidye yazılımı çetesi tarafından yakın zamanda kullanılan bir EDR katilinde görülmektedir. Araç, yapay zekâ tarafından üretilen şablonlar için tipik bir örüntü olan olası düzeltmelerin bir listesini yazdırmakla kalmayıp, belirli bir sürücüyü istismar etmek yerine, çalışan bir sürücü bulana kadar birbiriyle ilgisiz, yaygın olarak kötüye kullanılan birkaç cihaz adını döngüsel olarak deneyen bir deneme-yanılma mekanizması da içermektedir. 

ESET araştırmacısı Jakub Souček  yaptığı açıklamada  şunları söyledi : “Önemli bir gözlem, hizmet olarak fidye yazılımı (RaaS) ekosistemlerindeki iş bölümü. Operatörler genellikle şifreleyiciyi ve destekleyici altyapıyı sağlar ancak EDR katili seçimi iş ortaklarına bırakılır. Bu, iş ortağı havuzu ne kadar büyükse EDR katili araçlarının o kadar çeşitli hâle geldiği anlamına gelir. Fidye yazılımına karşı savunma, otomatik tehditlere karşı savunmadan temelde farklı bir zihniyet gerektirir. Oltalama e-postaları, yaygın kötü amaçlı yazılımlar ve istismar zincirleri, güvenlik çözümleri tarafından tespit edilip etkisiz hâle getirildiğinde durur; ancak fidye yazılımı saldırıları durmaz. Bunlar etkileşimli, insan odaklı operasyonlardır ve saldırganlar tespitlere, araç arızalarına ve çevresel engellere sürekli olarak uyum sağlar.”

Şirketlerin güvenlik sistemlerini etkisizleştiren yöntemler artıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Bu kampanyada saldırganlar, “chatgpt atlas” gibi arama sorguları için sponsorlu reklamlar satın alıyor ve kullanıcıları, chatgpt.com alan adı üzerinde barındırılan “ChatGPT Atlas for macOS” adlı sözde bir kurulum rehberine yönlendiriyor. Gerçekte ise bu sayfa, istem mühendisliği (prompt engineering) kullanılarak oluşturulmuş paylaşıma açık bir ChatGPT sohbetinden ibaret. İçerik, yalnızca adım adım “kurulum” talimatları kalacak şekilde düzenlenmiş durumda. Rehber, kullanıcılardan tek satırlık bir kodu kopyalamalarını, macOS Terminal’i açarak bu komutu yapıştırmalarını ve istenen tüm izinleri vermelerini istiyor.

Kaspersky araştırmacılarının analizine göre, bu komut atlas-extension[.]com adlı harici bir alan adından bir betik indirip çalıştırıyor. Betik, sistem komutlarını çalıştırmayı deneyerek doğrulama yapmak amacıyla kullanıcıdan tekrar tekrar sistem parolasını talep ediyor. Doğru parola girildiğinde ise betik, AMOS bilgi hırsızını indiriyor, ele geçirilen kimlik bilgilerini kullanarak zararlı yazılımı sisteme kuruyor ve çalıştırıyor. Bu enfeksiyon süreci, kullanıcıların uzaktaki sunuculardan kod indirip çalıştıran kabuk komutlarını manuel olarak yürütmeye ikna edildiği ClickFix olarak bilinen tekniğin bir varyasyonunu temsil ediyor.

AMOS, kurulumun ardından maddi kazanç sağlamak veya daha sonraki saldırılarda kullanılmak üzere çeşitli verileri topluyor. Zararlı yazılım; popüler tarayıcılardan parola ve çerezleri, Electrum, Coinomi ve Exodus gibi kripto para cüzdanlarına ait verileri, ayrıca Telegram Desktop ve OpenVPN Connect gibi uygulamalardan bilgileri hedef alıyor. Bununla birlikte Masaüstü, Belgeler ve İndirilenler klasörlerinde bulunan TXT, PDF ve DOCX uzantılı dosyaları, Notes uygulaması tarafından saklanan dosyalarla birlikte tarıyor ve bu verileri saldırganların kontrolündeki altyapıya sızdırıyor. Paralel olarak, sistem yeniden başlatıldığında otomatik olarak devreye giren bir arka kapı da kuruluyor; bu arka kapı saldırganlara uzaktan erişim imkânı sağlıyor ve AMOS ile büyük ölçüde örtüşen bir veri toplama mantığıyla çalışıyor.

Bu kampanya, bilgi hırsızı zararlı yazılımların 2025 yılının en hızlı büyüyen tehditleri arasında yer aldığına işaret eden daha geniş bir eğilimin parçası olarak öne çıkıyor. Saldırganlar, oltalama senaryolarını daha inandırıcı kılmak için yapay zekâ temalarını, sahte YZ araçlarını ve YZ tarafından üretilmiş içerikleri giderek daha fazla kullanıyor. Son dönemde sahte YZ tarayıcı kenar çubukları ve popüler modeller için hazırlanmış sahte istemci uygulamaları gibi örnekler görülürken, Atlas temalı bu faaliyet, meşru bir YZ platformunun yerleşik içerik paylaşım özelliğinin kötüye kullanılmasına kadar uzanıyor.

Kaspersky Zararlı Yazılım Analisti Vladimir Gursky, konuyla ilgili şunları söyledi: “Bu vakayı etkili kılan unsur, gelişmiş bir teknik açık değil; sosyal mühendisliğin tanıdık bir yapay zekâ bağlamı içinde sunulması. Sponsorlu bir bağlantı, güvenilir bir alan adındaki düzenli bir sayfaya yönlendiriyor ve ‘kurulum rehberi’ tek bir Terminal komutundan ibaret. Birçok kullanıcı için bu güven ve basitlik birleşimi, alışıldık temkin mekanizmalarını devre dışı bırakmaya yetiyor. Oysa sonuç, sistemin tamamen ele geçirilmesi ve saldırgan için uzun vadeli erişim anlamına geliyor.”

Kaspersky, kullanıcılara şu önerilerde bulunuyor:

• Özellikle bir web sitesi, belge ya da sohbet üzerinden tek satırlık bir betiğin kopyalanıp yapıştırılmasını içeren ve Terminal veya PowerShell çalıştırılmasını isteyen, talep edilmemiş “rehberlere” karşı temkinli olun.
• Talimatlar net değilse bu tür sayfaları kapatın veya mesajları silin; devam etmeden önce bilgili bir kaynaktan görüş alın.
• Şüpheli komutları çalıştırmadan önce, kodun ne yaptığını anlamak için ayrı bir yapay zekâ veya güvenlik aracına yapıştırarak incelemeyi değerlendirin.
• macOS ve Linux sistemler dâhil olmak üzere tüm cihazlarda, Kaspersky Premium gibi saygın bir güvenlik yazılımı kullanarak bilgi hırsızlarını ve ilişkili zararlı yükleri tespit edip engelleyin.

Kaspersky, ChatGPT’nin sohbet paylaşım özelliğini istismar eden macOS bilgi hırsızı kampanyasını ortaya çıkardı yazısı ilk önce En Gazete üzerinde ortaya çıktı.

Antalya ve Ege’de son günlerde köpek balıklarının görüldüğüne dair sosyal medyada paylaşılan görüntüler tam da yaz ayına yeni girerken tatilcileri endişelendirdi.

Kaynak: TR Sputnik

Konyaaltı, Datça, Gökova’da görüldü: Akdeniz ve Ege’deki köpek balıkları saldırgan mı? yazısı ilk önce En Gazete üzerinde ortaya çıktı.