Advanced Persistent Threat Saldırısı - Metonya

metonya

Uzman üye
9 Ara 2017
1,292
8
Türkiye
Merhaba Herkese;




Bu makalede özetle APT'den bahsedeceğim. Açılımı Advanced Persistent Threat olan;

Öncelikle sözlük anlamından bahedeyim, " APT "; Gelişmiş Devamlı Tehdit unsuru anlamına gelmektedir. Peki nedir bu ne işe yarar? Bulunuş tarihi 2006 yılına dayanmaktadır.





Amerikan Hava Kuvvetlerinde analistlerce keşfedilmiştir.

APT Olarak adlandırılan saldırı çeşitlerinde hedef sisteme sızdıktan sonra kalıcı Olarak birçok bilgiyi ele geçirmek amaçlanmakta olup , farkedilmeden kalıcı olmayı amaçlamaktadır.



Hedef sistemimiz ne kadar korunursa korunsun APT'ler birçok yöntem sayesinde hedef sisteme sızmayı başardıkları varsayılır.


Birçok senaryo yöntemi bulunmakta , unutmayın hacking sadece bilgisayar başında olan bir eylem unsuru değildir. Birçok etkenden bahsedebiliriz bunlardan bazıları ;

1- Fiziksel sosyal mühendislik saldırıları donanımsal cihazlar olabilir.


2- İnternet Üzerinden Zararlı yazılım , sisteme backdoor gömme olabilir.


Bu sadece birkaç öngörü bunun gibi birçok saldırı yöntemleri üretilebilir.

Bu tarz saldırılar Kurum , şirket gibi isminden de belli olduğu gibi kalıcı hasar yıkım sonuçları vermektedir.


Korsanların APT'deki amaçları uyarı amaçlı zarar yerine kalıcı hasar vermek .Saldırı adım adım gelişir.







Örnek verecek olursak ;


Öncelikle saldırganın hedef sisteme ulaşabilmesi ve istediklerini elde etmesi için adım adım ilerlemesi gerekli önce zararlı yazılım sokması gerekmektedir hedef sistemine.


Hedef sistemine kendi backdoorunu soktuktan sonra / birçok yöntem kullanabilir mail yoluyla yada sosyal mühendislik yada Fiziksel olarak hedef ağına zararlı yazılımını bulaştırdıktan sonra. Kalıcı olmak adına bıraktıkları arkakapıyı hemen kullanmazlar aradan biraz zaman geçer tabi logları silmeyi ihmal etmez.


Daha sonra , sistemde geniş yetkiler elde etme amaçlı sistemde kendisini yönetici konumuna getirmek ve sistemi tam anlamıyla kontrol edebilmesi için parola kırma metodları kullanırlar. Sistemde yetki kazandıktan sonra ise ağın kontrolünü eline alır.


Bundan sonrası zaten korsana kalmış, sisteme gözle görülür zarar vermez burdaki amaç kalıcı olmak bu nedenle açık açık yapılan hacking demek doğru olmaz.


Kısaca özetleyecek olursak saldırgan planlı birşekilde sisteme sızar ve olabildiğince sistemde kalır. APT mantığını böyle özetleyebiliriz.
Peki hassas bilgi ve kurumsal ağlarda bu tarz salırılara maruz kalmamak ve korunmak için ne gibi önlemler almalıyız.










Bunu çıplak gözle göremesek de birkaç unsur üzerinden farkedebiliriz.



Örneğin;


Şüpheli veri akışları serverler içinde trafikde abartılı birşekilde artış varsa , çalışma , mesai saatleri haricinde log kayıtlarında artış oluyorsaki en önemli belirti bu diyeblirim APT saldırısına maruz kalmış olabilirsiniz.


APT Saldırısına maruz kalmış bir kurumun yapması gereken birkaç şey;

Öncelikle şunu söyleyim zararın neresinden dönülse kardır.



Lakin APT salırısında maruz kalmış bir ağ her ne kadar sistem temizlenmeye log kayıtlarından backdoorlar tespit edilmeye çalışılsada ne yazikki bu yetersiz olabiliyor.


Bu nedenle çok derin bir inceleme ve silinen log kayıtlarının geri getirilmesi denenebilir.
 

'Taipan

Kıdemli Üye
30 Haz 2015
3,847
73
Eline sağlık. Bilmeyen için temel düzeyde açıklayıcı güzel bir yazı olmuş yalnız bazı yazım hataları mevcut onları da düzeltirsen daha güzel olur. Kolay gelsin :)
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.