Bu yazı teorik değil. İhlalden saatler sonra AWS hesaplarına girdik, saldırganların yarım düzine bölgede kripto madenciliği için GPU filoları kaldırdığını izledik ve sonrasında AWS ile fatura görüşmelerini biz yürüttük. Saldırı deseni şaşırtıcı derecede tutarlı — hasarı sınırlayan playbook da öyle. İşte gerçekten müdahale ettiğimiz olaylara dayanarak, ilk 24 saatin sırasıyla nasıl görünmesi gerektiği.

Nasıl fark edersiniz (genellikle geç)

Neredeyse hiç kimse sızmanın kendisini tespit etmez; yan etkilerini tespit eder:

  • Maliyet anomali uyarısı — ya da daha kötüsü, ay sonu faturası. Madencilik filoları, hiç kullanmadığınız bölgelerde ani EC2/GPU harcaması olarak görünür.
  • Tanımadığınız bölgelerde kaynaklar — saldırganlar bilerek izlemediğiniz bölgeleri kullanır (São Paulo, Osaka, Cape Town). Yalnızca Frankfurt'ta çalışıyorsanız, ap-northeast-3'teki her şey kırmızı bayraktır.
  • GuardDuty bulguları — açıksa tabii. Girdiğimiz ele geçirilmiş hesapların çoğunda açık değildi.
  • Sizin açmadığınız kota artırım talepleri — saldırganlar operasyonu büyütmek için EC2 ve SES limit artışı başvurusu yapar. Destek geçmişinizdeki açıklanamayan kota case'i idari bir merak konusu değil, ihlal göstergesidir.
  • SES gönderim patlaması ya da blok bildirimi — hesabınız spam altyapısına dönüşmüştür.

Kök neden, tecrübemizde sıkıcı derecede tutarlı: sızmış uzun ömürlü bir access key — public repoya commit edilmiş, imaja gömülmüş, CI loguna düşmüş — ya da MFA'sız, zayıf parolalı bir IAM kullanıcısı.

Saat 0-1: erişimi kesin, temizliğe henüz başlamayın

  • 1. Ele geçirilen kimliği tespit edin. CloudTrail → sizin açmadığınız kaynaklar → onları hangi access key / kullanıcı / rol açmış. Bu adımı atlamayın: yanlış kimliği rotate ederseniz, siz kendinizi güvende hissederken saldırgan çalışmaya devam eder.
  • 2. Kimliği öldürün. Access key'i devre dışı bırakın, sonra silin. Kullanıcı/role silmeden önce açık deny politikası ekleyin — geçici oturum token'ları key devre dışı kalsa da yaşamaya devam eder; canlı erişimi gerçekten kesen şey deny politikası (ve rollerde oturum iptali)dir.
  • 3. Root'u güvene alın. Root parolasını değiştirin, root'ta MFA'yı doğrulayın, e-posta yönlendirme kurallarını kontrol edin. Root'un kendisi ele geçirildiyse bu artık bir AWS Support konusudur — derhal en yüksek önem derecesinde case açın.
  • 4. Kanıtı koruyun. Panikle CloudTrail loglarını silmeyin, her şeyi kapatmayın. Zaman çizelgesine ihtiyacınız olacak — adli analiz için, AWS için ve muhtemelen düzenleyiciler için.

Saat 1-6: her bölgede containment

  • Tüm bölgeleri tarayın, sadece kendinizinkini değil. Script'leyin ya da Resource Explorer kullanın: EC2, spot fleet, auto scaling grupları, Lambda, ECS, SageMaker — her bölgede. Temizlediğimiz madencilik operasyonları altı bölgede aynı anda çalışıyordu; kapattığınız instance'ı ASG yeniden yaratır — önce ASG'yi bulup silin.
  • Kalıcılık avına çıkın. Saldırgan madencileri bulacağınızı varsayar; geri dönüş yolları eker. Kontrol edin: yeni IAM kullanıcıları ve access key'ler, trust policy'si dış hesaplara bakan yeni roller, değiştirilmiş trust ilişkileri, zamanlanmış yeni Lambda'lar, ekstra policy almış instance profilleri ve arka kapı OIDC/SAML kimlik sağlayıcıları.
  • Neye dokunduklarına bakın. CloudTrail, olayın saf kaynak istismarı mı (madencilik, spam) yoksa veri erişimi mi olduğunu söyler: S3 GetObject fırtınaları, dışarıyla paylaşılmış RDS snapshot'ları, Secrets Manager'dan okunan sırlar. Cevap, hukuki yükümlülüklerinizi değiştirir.
  • Karantinaya alın, sonra yeniden kurun. Saldırganın dokunduğu her şey güvensizdir. Adli analiz için snapshot alın; canlı sistemi "temizlemek" yerine temiz kaynaktan yeniden kurun.

Saat 6-24: AWS, para ve yükümlülükler

  • "Compromised account" diyen bir destek case'i açın. AWS'nin bunun için özel akışı var; Trust & Safety devreye girer ve onların ekibi sizin göremediğiniz saldırgan aktivitesini görebilir.
  • Fatura görüşmesini yapın. AWS, ihlal kaynaklı yetkisiz kullanım ücretlerini rutin olarak değerlendirir — beş haneli ve daha büyük olay faturalarının önemli ölçüde kredilendirildiğini bizzat gördük. İşinizi kolaylaştıran şartlar: hızlı tespit ve containment, kanıtlanabilir zaman çizelgesi ve kök nedenin kapatılmış olması (soracaklar). Güvenlik case'ine referans veren bir fatura case'i açın; olgusal ve eksiksiz olun.
  • Bildirim yükümlülüklerinizi kontrol edin. Kişisel veriye erişildiyse ihlal bildirim saatleri işliyor olabilir — KVKK pratiğinde 72 saat referans alınır. Hukukçunuzu erken dahil edin; ayrıntılı çerçeve KVKK ve AWS rehberimizde.
  • Zaman çizelgesini tazeyken yazın. Tespit anı, containment adımları, kanıtlar. Üç kez lazım olacak: AWS'ye, olası düzenleyiciye ve kendi postmortem'inize.

Sonraki hafta: ikinci turu imkânsız kılın

Müdahale ettiğimiz her olay aynı kısa listeye çıkıyor; sıkılaştırma listesi de o yüzden kısa: uzun ömürlü access key'leri bitirin (IAM rolleri + kimlik federasyonu; repoları secret taramasından geçirin), her yerde MFA zorlayın, GuardDuty'yi ve organizasyon genelinde CloudTrail'i açın (loglar ayrı, kilitli bir hesapta), günlük eşikli fatura anomali uyarıları kurun ve kullanılmayan bölgeleri SCP ile kapatın. 98 maddelik AWS güvenlik kontrol listemiz hepsini işaretlenebilir halde içerir; olay müdahale playbook'umuz bu yazıyı AWS ötesine genelleştirir.

Sık sorulan sorular

AWS, hacklenen hesabın faturasını iade eder mi?
Sözleşmesel garanti yok; ama pratikte AWS yetkisiz kullanım ücretlerini vaka bazında değerlendirir ve hızlı containment + belgelenmiş zaman çizelgesi + kapatılmış kök neden varsa ciddi tutarları kredilendirir. Güvenlik case'ine referanslı bir fatura case'i açın.

Saldırganlar içeri nasıl giriyor?
Ezici çoğunlukla: sızmış uzun ömürlü access key'ler (public repo, imaj, CI logu) ve MFA'sız IAM kullanıcıları. Sofistike zero-day istisnadır; kimlik hijyeni ihmalleri kuraldır.

Access key'i devre dışı bırakmak yeterli mi?
Hayır. Aktif oturum token'ları key devre dışı kalsa da çalışmaya devam edebilir. Kimliğe açık deny politikası ekleyin, rol oturumlarını iptal edin, sonra saldırganın okumuş olabileceği her sırrı rotate edin.

Hesabı komple kapatsak olmaz mı?
İlk tepki olarak neredeyse asla: kanıt kaybedersiniz, meşru iş yüklerini kırarsınız ve sızan kimlik bilgilerini gerçekten iptal etmiş olmazsınız. Önce contain edin, inceleyin, sonra karar verin.

Özet

Bir AWS ihlali atlatılabilir — genellikle paranın çoğu da geri alınır — yeter ki ilk gün doğru sırayla yürütülsün: erişimi kes, her yerde contain et, kanıtı koru, AWS ile konuş, sonra sıkılaştır. En çok zarar gören ekipler, bu sırayı gece 3'te ilk kez doğaçlama yapanlardır.

Şu anda bir olayın ortasında mısınız? Güvenlik ekibimiz acil olay müdahalesini aynı gün başlangıçla yürütür. Yangın yok ama içiniz de rahat değilse: AWS Güvenlik Denetimi sızmış key ve eksik MFA problemlerini saldırgandan önce bulur — dilerseniz ücretsiz AWS Sağlık Taraması ile başlayalım.