Privilege Escalation / Yetki Yükseltme Nedir?

Siber saldırılarda ilk sızma noktası genellikle düşük yetkili bir kullanıcı hesabıdır. Ancak, bir Infostealer'ın işletim sisteminin derinliklerine (bellek, kayıt defteri, sistem dosyaları) tam erişim sağlaması için daha yüksek yetkilere ihtiyacı vardır. Privilege Escalation / Yetki Yükseltme, bu sınırları aşma sürecidir.

Yetki Yükseltme Teknikleri ve Infostealerlar

Zararlı yazılımlar yetkilerini artırmak için şu yolları izler:

1. Dikey Yetki Yükseltme: Standart bir kullanıcının, işletim sistemindeki bir güvenlik açığını kullanarak "Administrator" veya "System" yetkilerine sahip olması.
2. Yatay Yetki Yükseltme: Bir kullanıcının yetkileriyle, aynı seviyedeki başka bir kullanıcının (örneğin başka bir çalışanın) verilerine erişmesi.
3. UAC (Kullanıcı Hesabı Denetimi) Atlatma: Windows'un "Bu uygulamanın cihazınızda değişiklik yapmasına izin veriyor musunuz?" uyarısını kullanıcıya göstermeden geçme teknikleri.

Veri Hırsızlığı İçin Neden Kritik?

Düşük yetkili bir Infostealer sadece o anki tarayıcıyı görebilirken, yetki yükseltmiş bir yazılım sistemdeki tüm kullanıcıların şifrelerini, VPN sertifikalarını ve ağ yapılandırmalarını çalabilir. Dark Radar sistemleri, uç noktalardaki (endpoint) anormal yetki değişimlerini izleyerek bir "standart kullanıcı" sürecinin aniden "admin" yetkileriyle çalışmaya başlamasını tespit eder.

Zafiyet Analizinde En Az Yetki İlkesi

Zafiyet analizlerinin en temel önerisi "En Az Yetki İlkesi"dir (Principle of Least Privilege). Eğer çalışanların bilgisayarlarında gereksiz yere yönetici yetkileri varsa, bir Infostealer'ın yetki yükseltmesine bile gerek kalmadan tüm sisteme zarar vermesine kapı açılmış demektir.

Özetle; Yetki Yükseltme, bir hırsızın girdiği evin tüm odalarının anahtarlarını ele geçirmesidir. Bu süreci durdurmak, yerel bir sızıntının tam kapsamlı bir felakete dönüşmesini engeller.