Selam dostlar, bugün size biraz daha gerçek hayattan, 2024 sonu itibariyle hala iş gören ve para bırakan bir zinciri anlatacağım. Konu Kubernetes cluster'larında container escape ile başlayan, sonra AI modelleri kullanılarak log ve SIEM'lerden kaçınma, en sonda da Initial Access Broker olarak erişimi satma kısmı. Bu tarz işler eskisi gibi sadece "exploit at, shell al" değil, artık operasyonun her adımında para kazanma planı var.
Öncelikle güncel bir vektörle başlayalım. Çoğu firma hala runc 1.1.11 altı kullanıyor ve CVE-2024-21626 gibi path traversal açıkları iş görüyor. Ama asıl mesele escape sonrası cluster içinde kalıcı kalmak ve iz bırakmamak.
Escape sonrası işin eğlenceli kısmı başlıyor. Normalde SIEM'ler pod loglarını direkt yutuyor. Burada devreye küçük bir LLM (mesela fine-tune edilmiş Llama-3-8B) giriyor. Log satırlarını anlık olarak semantic olarak değiştirip, detection rule'larını bypass ediyoruz. Bu yöntem 2024 yazında birkaç grup tarafından kullanıldı ve hâlâ pek az yerde konuşuluyor.
Böylece hem pod event'leri hem audit loglar SIEM'de "normal" görünüyor. İşin para kısmı ise buradan sonra. Escape ettiğin cluster'ı direkt madencilik için kullanmak yerine, daha temiz ve uzun ömürlü bir şekilde "Initial Access" olarak forumlara veya özel gruplara satıyorsun. Fiyatlar genelde 3-8k USD arasında değişiyor, cluster boyutu ve persistence kalitesine göre artıyor.
Tabii bu işin riskleri de var. Özellikle 2024'te bazı broker'lar exit scam yediği için alıcılar önce PoC istiyor. Bu yüzden escape + persistence + evasion zincirini küçük bir test cluster'ında gösterip, sonra parayı escrow ile alıp erişimi veriyorsun.
Kısaca özetlersek; günümüz underground ekonomisinde sadece exploit yetmiyor. Hem teknik olarak kalıcı kalıp iz bırakmamak hem de o erişimi nakde çevirmek için yeni yöntemler şart. Bu tarz zincirler hâlâ para bırakıyor, yeter ki acele etmeden ve dikkatli ilerle.
Öncelikle güncel bir vektörle başlayalım. Çoğu firma hala runc 1.1.11 altı kullanıyor ve CVE-2024-21626 gibi path traversal açıkları iş görüyor. Ama asıl mesele escape sonrası cluster içinde kalıcı kalmak ve iz bırakmamak.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Tabii bu işin riskleri de var. Özellikle 2024'te bazı broker'lar exit scam yediği için alıcılar önce PoC istiyor. Bu yüzden escape + persistence + evasion zincirini küçük bir test cluster'ında gösterip, sonra parayı escrow ile alıp erişimi veriyorsun.
Kısaca özetlersek; günümüz underground ekonomisinde sadece exploit yetmiyor. Hem teknik olarak kalıcı kalıp iz bırakmamak hem de o erişimi nakde çevirmek için yeni yöntemler şart. Bu tarz zincirler hâlâ para bırakıyor, yeter ki acele etmeden ve dikkatli ilerle.
Bu içeriği görmek için giriş yapın.