Son dönemde yapay zeka destekli saldırılar, hem kod gizleme hem de zararlı betik üretiminde gerçek zamanlı adaptasyon yetenekleriyle siber tehdit ortamını karmaşıklaştırdı. Büyük Dil Modelleri (LLM’ler) kullanılarak yürütülen bu saldırılar, geleneksel antivirüs ve EDR sistemlerinden kaçmayı başarıyor. Kasım 2025’te raporlanan “Yapay Zeka tarafından yönetilen siber casusluk kampanyası” gibi örnekler, saldırının tüm aşamalarında yapay zekanın otonom görev aldığını gösteriyor.
Saldırı Zinciri ve Teknik Detaylar
Bu gelişmiş saldırılar, sosyal mühendislik, ortadaki adam (MITM) ve SIM takası gibi tekniklerle antivirüs hariç tutma kurallarını tetikleyerek uç noktalarda sessizce yayılıyor. “Octo Tempest” adlı tehdit aktörünün e-posta bildirimlerini otomatik silme ve güvenlik ürünlerini devre dışı bırakma taktikleri, saldırıların tespitini zorlaştırıyor. Ayrıca ClickFix kampanyasında steganografi kullanılarak zararlı yazılımlar resim dosyalarına gizlendi ve imza tabanlı taramalardan kaçıldı.
Microsoft tarafından gözlemlenen “Volt Typhoon” saldırısı, SOHO yönlendiriciler ve IoT cihazlarını hedef alarak LoTL (living off the land) teknikleriyle EDR’den kaçmayı başardı. Ancak ağ trafiğindeki anormallikler NDR tarafından tespit edildi. Bu örnekler, saldırıların uç nokta ve ağ seviyesinde birlikte izlenmesinin önemini ortaya koyuyor.
EDR ve NDR’nin Birlikte Çalışmasının Önemi
EDR, uç noktalarda gerçekleşen olayları detaylı izlerken, NDR ağ trafiğini sürekli analiz ederek davranışsal anormallikleri ve ağ kalıplarındaki sapmaları tespit eder. Yapay zeka destekli saldırılar hız ve ölçek açısından yüksek olduğu için, sadece EDR’ye güvenmek yetersiz kalıyor. NDR, ağdaki şüpheli hareketleri yakalayarak savunmayı güçlendiriyor ve bu iki sistemin entegrasyonu, saldırıların erken tespiti ve müdahalesi için kritik hale geliyor.
Özellikle uzaktan çalışma modellerinin yaygınlaşması ve VPN kullanımının artması, ağ görünürlüğünü azaltarak saldırganlara yeni fırsatlar sunuyor. Ele geçirilmiş VPN bağlantıları, yatay hareketleri gizleyebilir ve bu durum, hem EDR hem de NDR’nin koordineli çalışmasını zorunlu kılıyor.
Güvenlik Ekipleri İçin Pratik Öneriler
- EDR ve NDR sistemlerinin entegrasyonunu sağlayarak olay müdahale süreçlerini hızlandırın.
- Steganografi ve LoTL tekniklerine karşı davranışsal analiz yeteneklerini geliştirin.
- VPN ve uzaktan erişim trafiğini detaylı izleyerek anormal aktiviteleri tespit edin.
- Güvenlik ürünlerinin devre dışı bırakılmasını önlemek için kapsamlı politika ve kural setleri oluşturun.
- Kimlik ve erişim yönetimi (IAM) ile çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın.
- Ağ segmentasyonu uygulayarak yatay hareketliliği sınırlayın.
- Log yönetimi ve SIEM çözümleri ile uç nokta ve ağ verilerini merkezi olarak toplayın ve analiz edin.
- Bulut güvenliği ve yerel altyapı arasında koordineli savunma stratejileri geliştirin.
Teknik Özet
- Kullanılan araçlar ve teknikler: LLM tabanlı zararlı betik üretimi, steganografi, SIM takası, ortadaki adam saldırıları, LoTL teknikleri.
- Hedef sektörler: Kurumsal ağlar, bulut altyapıları, IoT cihazları, uzaktan çalışan kullanıcılar.
- Saldırı zinciri: Sosyal mühendislik ile başlangıç, zararlı yazılım yükleme, güvenlik ürünlerini devre dışı bırakma, ağda yatay hareket, veri sızıntısı/fidye talebi.
- Önerilen savunma: EDR ve NDR entegrasyonu, MFA, ağ segmentasyonu, kapsamlı log analizi, düzenli yama ve güncelleme.
Gelişen yapay zeka teknolojileriyle birlikte saldırganların yetenekleri artarken, savunma stratejilerinin de bu değişime uyum sağlaması gerekiyor. EDR ve NDR’nin birlikte kullanımı, modern siber saldırılara karşı kritik bir savunma hattı oluşturuyor ve kurumların güvenlik duruşunu güçlendiriyor.