Yapay Zeka Saldırıları Neden Farklı Bir Tehdit Kategorisi?
Geleneksel siber saldırılar büyük ölçüde tekrar eden, öngörülebilir bir anatomiye sahipti: bir tarama aracı çalıştır, açık bir servis bul, bilinen bir zafiyeti tetikle. Savunma ekipleri bu döngüye karşı imza tabanlı sistemler ve kural kümeleri geliştirerek makul bir denge kurdu. Yapay zeka bu dengeyi kökten değiştiriyor. Artık saldırgan tarafında otomasyon yalnızca hız kazandırmıyor; aynı zamanda saldırıyı hedefin özelliklerine göre gerçek zamanlı olarak şekillendirme kapasitesi de sağlıyor. Bu fark küçük gibi görünse de savunma mimarisi açısından son derece kritiktir.
2025 sonu ve 2026 başı itibarıyla araştırmacılar tarafından belgelenen saldırı kampanyalarına bakıldığında üç temel değişim öne çıkıyor: keşif süresinin dramatik biçimde kısalması, sosyal mühendislik içeriğinin kişiselleşme düzeyinin artması ve zararlı yazılımların tespitten kaçınmak için yeniden derleme yetenekleri kazanması. Bu üç değişimin ortak paydası, yapay zeka modellerinin saldırı döngüsünün farklı evrelerine dahil edilmesidir.
Yapay Zeka Destekli Saldırı Türleri: Teknik Bir Bakış
Yapay Zeka Destekli Kimlik Avı (AI Phishing)
Büyük dil modelleri, hedefin LinkedIn profili, kurumsal web sitesi ve daha önce sızdırılmış veri setlerindeki e-posta geçmişine dayanarak son derece bağlamsal mesajlar üretebiliyor. Geleneksel kimlik avı e-postaları genellikle dilbilgisi hataları ve jenerik hitaplar içerirdi; bu hatalar kullanıcıları uyarmak için bir ipucu işlevi görüyordu. Yapay zeka üretimi metinlerde bu açıklar artık büyük ölçüde kapanmış durumda. Güvenlik araştırmacılarının yürüttüğü kontrollü deneylerde, yapay zeka üretimi kimlik avı e-postalarının tıklanma oranının el yapımı olanlarla karşılaştırılabilir düzeyde olduğu görülmüştür.
Otomatik Zafiyet Keşfi
Geleneksel zafiyet taraması, bilinen CVE kayıtlarını hedef sistemdeki sürüm bilgileriyle eşleştirmek üzerine kuruludur. Yapay zeka destekli keşif araçları bu yaklaşımı bir adım öteye taşıyarak yazılım bileşenleri arasındaki mantıksal ilişkileri analiz edebiliyor ve sıfır gün olabilecek anomalileri tespit edebiliyor. Bu araçların açık kaynak kod tabanlarında yapılandırma hatalarını ve mantık kusurlarını tespit etmede kullanıldığına dair belgelenmiş vakalar mevcuttur.
Polimorfik Zararlı Yazılımlar
İmza tabanlı uç nokta koruma araçları, bir dosyanın karma değerini veya belirli bir bayt dizisini tanımlayarak çalışır. Polimorfik zararlı yazılımlar her enfeksiyon döngüsünde kendi kodunu yeniden şekillendirerek bu tespiti geçersiz kılar. Yapay zeka bu süreci daha da ileriye taşıyarak yalnızca imzayı değiştirmekle kalmıyor, davranış profilini de kısmen değiştirebiliyor. Bu durum, savunmanın imzadan davranışa kayması gerektiğini bir kez daha doğruluyor.
Derin Sahte (Deepfake) Sosyal Mühendislik
Ses klonlama ve yüz sentezi teknolojileri, üst düzey yöneticileri taklit eden sahte aramaların ve video konferansların gerçekleştirilmesine olanak tanıyor. Belgelenmiş bir vakada, sahte bir yönetici sesiyle gerçekleştirilen telefon görüşmesi sonucunda bir finans çalışanının yüksek miktarda para transferi gerçekleştirdiği raporlanmıştır. Bu saldırı türü teknik bir güvenlik açığından değil, insan doğrulama süreçlerindeki boşluklardan yararlanır; bu nedenle yalnızca teknik kontrollerle önlenmesi güçtür.
MITRE ATT&CK Eşleştirmesi: Yapay Zeka Saldırıları Hangi Teknikleri Kullanıyor?
Yapay zeka destekli saldırılar yeni bir çerçeve gerektirmiyor; aksine mevcut MITRE ATT&CK tekniklerini daha hızlı ve daha isabetli biçimde uyguluyor. Aşağıdaki eşleştirme, bu yazıda ele alınan saldırı türlerini ilgili MITRE teknik kimlikleriyle iliştiriyor:
- T1566.001 – Kimlik Avı: Hedefe Yönelik Ek İçerikli E-posta: Yapay zeka üretimi, kişiselleştirilmiş kimlik avı e-postaları bu tekniğin doğrudan örnekleridir.
- T1595 – Aktif Tarama: Otomatik zafiyet keşif araçları bu teknik kapsamında değerlendirilir.
- T1027.005 – Dosya ve Komutların Gizlenmesi: Gösterge Kaldırma: Polimorfik zararlı yazılımların imza temizleme davranışı bu teknikle örtüşür.
- T1036 – Kimlik Sahteciliği (Masquerading): Deepfake sosyal mühendislik bu tekniğin dijital-fiziksel sınırını zorlayan bir örneğidir.
- T1059 – Komut ve Betik Yorumlayıcısı: Yapay zeka destekli saldırılarda otomatik üretilen yük kodları çoğunlukla yorumlayıcı tabanlıdır.
Wazuh, kural tanımlarında MITRE ATT&CK teknik kimliklerini doğrudan destekler. Bu sayede bir uyarı yalnızca “şüpheli süreç başlatıldı” demekle kalmaz; hangi taktik ve teknikle ilişkili olduğunu da raporlar. Olayı inceleyen analistler için bu bağlam, önceliklendirme süresini önemli ölçüde kısaltır.
Wazuh ile Davranış Tabanlı Tespit: Kural Örnekleri
Wazuh’un gücü yalnızca günlük toplamada değil, korelasyon kuralları aracılığıyla anlamlı olayları yüzeysel gürültüden ayırt etmesinde yatar. Aşağıda yapay zeka destekli saldırıların izlerini yakalamaya yönelik üç farklı yaklaşım için örnek yapılandırmalar yer almaktadır.
1. Mesai Saati Dışı Oturum Açma Tespiti (Özel Wazuh Kuralı)
Yapay zeka güdümlü saldırılar çoğunlukla otomasyona dayandığından mesai saatleri ve coğrafi konum gibi davranışsal kalıpların dışına çıkabilir. Aşağıdaki kural, kimlik doğrulama günlüklerinde mesai saati dışı başarılı girişleri işaretler:
<!-- /var/ossec/etc/rules/local_rules.xml -->
<group name="authentication,ai_threat">
<rule id="100201" level="10">
<if_sid>5501</if_sid>
<!-- 5501: Basarili SSH girisi -->
<time>18:00 - 08:00</time>
<description>Mesai saati disinda basarili SSH girisi tespit edildi (olagandisin saat).</description>
<mitre>
<id>T1078</id>
</mitre>
<group>gdpr_IV_32.2,pci_dss_10.2.5</group>
</rule>
<rule id="100202" level="13">
<if_sid>100201</if_sid>
<same_source_ip />
<timeframe>120</timeframe>
<frequency>3</frequency>
<description>Ayni IP'den 2 dakika icinde 3+ mesai disi giris: olagandisin erisim kalıbı.</description>
<mitre>
<id>T1078.002</id>
</mitre>
</rule>
</group>2. Polimorfik Zararlı Yazılım İzlerini Avcılıkla Bulma (FIM + Bash)
Polimorfik zararlı yazılımlar çalıştırılabilir dosyaları yeniden oluşturduğundan Dosya Bütünlüğü İzleme (FIM) önemli bir erken uyarı mekanizması sağlar. Aşağıdaki Bash betiği, kısa sürede birden fazla kez değiştirilen çalıştırılabilir dosyaları raporlar ve Wazuh aracısının FIM günlükleriyle çapraz doğrulama için kullanılabilir:
#!/bin/bash
# polymorphic_fim_check.sh
# Kısa sürede (son 10 dakika) birden fazla değişen çalıştırılabilir dosyaları listeler
# Wazuh FIM ile birlikte kullanılmak üzere tasarlanmıştır
IZLEME_DIZIN="/usr/local/bin /usr/bin /tmp"
DEGISIM_ESIGI=2 # Son 10 dakikada en az bu kadar değişim
DAKIKA=10
echo "[*] Kontrol baslangici: $(date)"
echo "[*] Izlenen dizinler: $IZLEME_DIZIN"
echo "--------------------------------------------"
for dizin in $IZLEME_DIZIN; do
if [ -d "$dizin" ]; then
# Son N dakika içinde değişen çalıştırılabilir dosyalar
degisen=$(find "$dizin" -maxdepth 2 -type f -executable \
-mmin -"$DAKIKA" 2>/dev/null)
if [ -n "$degisen" ]; then
while IFS= read -r dosya; do
degisim_sayisi=$(find "$dizin" -name "$(basename $dosya)" \
-newer /tmp/.fim_ref_$$ 2>/dev/null | wc -l)
sha256=$(sha256sum "$dosya" 2>/dev/null | awk '{print $1}')
echo "[!] DEGISEN DOSYA: $dosya"
echo " SHA256: $sha256"
echo " Son degisim: $(stat -c '%y' $dosya 2>/dev/null)"
done <<< "$degisen"
fi
fi
done
echo "--------------------------------------------"
echo "[*] Kontrol tamamlandi."3. Tehdit İstihbaratı Entegrasyonu: VirusTotal Aktif Yanıt Yapılandırması
Wazuh'un aktif yanıt mekanizması, FIM tarafından tespit edilen bir dosyanın karma değerini otomatik olarak VirusTotal'a sorgulayacak şekilde yapılandırılabilir. Bunun için ossec.conf içine aşağıdaki entegrasyon bloğu eklenmelidir:
<!-- /var/ossec/etc/ossec.conf -->
<integration>
<name>virustotal</name>
<api_key>VIRUSTOTAL_API_ANAHTARINIZ</api_key>
<rule_id>554,550</rule_id>
<!-- 554: Izlenen dizinde yeni dosya olusturuldu -->
<!-- 550: Butunluk ihlali (karma degisikligi) -->
<alert_format>json</alert_format>
</integration>Bu yapılandırma etkinleştirildiğinde Wazuh, izlenen dizinlerdeki yeni veya değiştirilmiş dosyaların karma değerlerini VirusTotal'a otomatik olarak gönderir ve eşleşme bulunması durumunda yüksek öncelikli bir uyarı üretir. Polimorfik zararlı yazılımların çoğu, yeniden derleme sonrası bile bazı bilinen karma değerlerini içeren bileşenler barındırır; bu nedenle oran yüksek tutulmamalı ancak sıfır eşleşme beklentisiyle de yaklaşılmamalıdır.
Tehdit İstihbaratı ve MISP Entegrasyonu
Wazuh'u yalnızca günlük analiz platformu olarak kullanmak, kapasitenin önemli bir bölümünü kullanılmaz bırakmak demektir. Tehdit istihbaratı entegrasyonu, bilinen kötü niyetli aktörlerin göstergelerini (IOC) gerçek zamanlı olarak gelen trafikle ve günlüklerle karşılaştırma imkânı sunar. Açık kaynaklı tehdit paylaşım platformu MISP ile Wazuh arasındaki entegrasyon, özellikle yapay zeka güdümlü kampanyaları takip eden tehdit istihbarat toplulukları tarafından paylaşılan IOC'lerin otomatik olarak devreye alınmasını sağlar.
Pratikte bu entegrasyon şu şekilde çalışır: MISP üzerinde belirli bir tehdit aktörüne ait IP adresleri, alan adları veya karma değerleri yayımlandığında, Wazuh bu verileri periyodik olarak çekerek kendi korelasyon motoruna besler. Eşleşme bulunduğunda uyarı otomatik olarak ilgili MITRE teknik kimliğiyle etiketlenir ve SOC panosunda görünür hâle gelir.
Yapay zeka destekli saldırı gruplarının IOC'leri geleneksel gruplara kıyasla daha hızlı değişme eğilimindedir çünkü otomasyon, altyapı rotasyonunu da hızlandırır. Bu nedenle MISP beslemelerinin mümkün olduğunca kısa aralıklarla güncellenmesi ve IOC yaşam sürelerinin dikkatle takip edilmesi önem taşır.
Aksiyon Maddeleri: Kurumunuzda Bu Hafta Atabileceğiniz Adımlar
Teorik bir güvenlik mimarisinin pratik değeri, uygulamaya alınma hızıyla doğru orantılıdır. Aşağıdaki maddeler, Wazuh altyapısı mevcut olan bir kurumda yapay zeka destekli tehditlere karşı hazırlığı artırmak için önceliklendirilmiş bir başlangıç listesidir:
- Davranışsal temel çizgisi oluşturun: Wazuh'un SCA (Güvenlik Yapılandırma Değerlendirmesi) modülüyle her uç nokta için normal davranış profilini belgeleyin. Temel çizgisi olmadan anomali tespiti güvenilir olmaz.
- FIM kapsama alanını genişletin:
/tmp,/dev/shmve kullanıcı ev dizinlerinin altındaki.local/bingibi alışılmadık çalıştırılabilir konumları izlemeye alın. Polimorfik zararlı yazılımlar kalıcılık için bu dizinleri tercih eder. - Yerel kural düzeyi 10 ve üstü uyarılar için otomatik bilet açın: SOC ekibi olmayan kurumlar için bile bir bilet sistemiyle entegrasyon, uyarıların kaybolmasını önler.
- E-posta güvenliği günlüklerini Wazuh'a dahil edin: Yapay zeka kimlik avı e-postaları e-posta ağ geçidinde filtrelenebildiğinde bir uyarı üretilmeli; Wazuh bu uyarıyı diğer uç nokta olaylarıyla ilişkilendirmelidir.
- MISP veya benzeri bir açık kaynak IOC beslemesi kurun: Ücretsiz MISP örneğini iç ağda çalıştırmak ve Wazuh ile entegre etmek birkaç saatlik bir kurulum çalışmasıyla mümkündür.
- Deepfake farkındalık eğitimini günceller alın: Teknik kontroller tek başına yeterli değildir; çalışanların yapay zeka üretimi ses ve görüntülerini doğrulama için kullandıkları bant dışı kanalların (örneğin önceden belirlenmiş bir kodu geri arama) olması gerekir.
- Wazuh'un MITRE ATT&CK eşleştirmesini etkinleştirin:
ossec.confiçinde MITRE desteği varsayılan olarak aktif gelir ancak özel kurallarınızın da<mitre>etiketleri içerdiğinden emin olun; aksi hâlde özel kurallardan üretilen uyarılar ATT&CK görünümünde yer almaz.
Bu maddelerin tamamını aynı anda uygulamak gerekmez. Kapsam ve kaynak durumuna göre önceliklendirme yapılması, her birini yarım bırakmaktan çok daha değerlidir. Kurumun mevcut Wazuh dağıtımının olgunluk düzeyine göre ilk üç madde genellikle en hızlı ölçülebilir etkiyi sağlar.
İlgili Yazılar
- Siber Güvenlik kategorisindeki tüm yazılar
- Wazuh kurulum ve yapılandırma rehberleri
- Yapay zeka ve güvenlik üzerine analizler
Kurumunuzda yapay zeka destekli bir saldırı izine rastladınız mı ya da bu yazıdaki kural örneklerini uyguladığınızda farklı bir davranışla karşılaştınız mı? Aşağıya yorum bırakın veya iletişim sayfasından doğrudan ulaşın; belgelenmiş vakalar üzerine konuşmaktan memnuniyet duyarım.
Bir Cevap Yazın