Siber Ölüm Zinciri
Siber güvenlik artık tüm dünyanın ihtiyacı haline gelmiş bulunmaktadır. Özellikle devletler, şirketler uğradıkları siber saldırılar sonucu uğradıkları zararın farkına varınca, siber güvenliğe ayrı bir önem vermeye başladılar. Siber güvenlik konusu artık devletlerin stratejik savunma konusunun önemli alt başlığı haline gelmiş, firmalar ise bu alanda uzman kişi ya da firmalarla çalışarak eksiklerini kapatmaya çalışmaktadır. Bugün bahsedeceğimiz konu önemli bir siber saldırı metodu olan “Cyber Kill Chain”.
Cyber Kill Chain ;
Türkçesi “Siber Ölüm Zinciri” anlamına gelen cyber kill chain ilk olarak askeriyede ortaya çıkmıştır. Kısaca cyber kill chain; bir siber saldırının aşamalarını tanımlayarak önlem almak için gerekli yöntemlerin geliştirilmesi, strateji ve taktiklerin belirlenmesine yönelik kullanılan bir metodolojidir. Bu gelişmiş model bir hedefte başarıya ulaşmak için saldırganın hangi aşamalardan geçmesi gerektiğini tanımlar. Dolayısıyla bu metodolojiye hakim olmak, zihniyeti kavramak siber savunmada, saldırgan gibi düşünerek sistemlerin daha güvenli hale getirilmesi için kullanılabilir.
Siber ölüm zinciri, somelerin (siber olaya müdahale ekiplerinin), kötü amaçlı yazılım analistlerinin müşterek bir şekilde çalışması için örnek bir modellemedir. Bu model önemli bir haritadır aslında. Bunun sebebi, saldırganın izleyeceği yol ve yöntemleri detaylı inceleyerek ne gibi açık ve zafiyetlerin olabileceğine dair güçlü fikirler sunarak, önlemler alınmasını sağlamaktadır.
Tabi birçok saldırganın siber saldırı eylemlerinde siber ölüm zinciri metodolojisini kullandığı da unutulmamalıdır. Burada bir siber saldırının çok karmaşık yapısını aslında basite indirgeyerek ve gruplandırarak analiz etmek önemlidir.
Siber ölüm zinciri bir siber saldırının evrelerini ortaya koymaktadır. Bu evreleri birazdan inceleyeceğiz ama şimdiden şunu söyleyelim ki bilgi toplama aşamasından sızma eylemine kadar gerçekleşen tüm süreçleri kapsamaktadır. Siber ölüm zinciri litaretüre “Lockheed Martin” firması kazandırmıştır. Etkilendikleri alan ise askeriyedir. Şöyle örneklendirebiliriz; KISS (Keep ıt simple, stupid), DMZ (Demilitarized zone), Command and control ve benzeri terimler siber güvenlik uzmanlarının aşina olduğu terimlerdir. Dolayısıyla askeriyede kullanılan terimlerin siber güvenliğe uyarlanarak oluşturulmuş bir metodolojidir diyebiliriz Cyber kill chain için. Siber güvenlikte ise örneğin; güvenlik duvarlarındaki ağ ayrıştırmaları “DMZ” ile, zararlı yazılımlara merkezi olarak komut gönderen sunucular “Comman and Control” terimleriyle eşleştirilmektedir. Şimdi gelelim siber ölüm zincirinin evrelerine. Siber ölüm zincirinin 7 aşaması bulunmaktadır. Bunlar ;
Keşif
Siber Ölüm Zinciri’nin ilk aşaması keşif aşamasıdır. Saldırı başlamadan önce hedef hakkında bilgi toplanır. Bu aşamada saldırgan hedefi teknik ve teknik olmayan bir bakış açısıyla dışarıdan değerlendirir.
Saldırgan bu noktada sistemlere giriş yapılacak hassas noktalara ve yöntemlere dair ön eylem raporunu oluşturur. Bunu yaparken Aktif ve Pasif Bilgi topla olarak adlandırılan iki çeşit bilgi toplama yöntemini kullanabilir.
Sızılacak firmanın IP adresleri, çalışan bilgileri, ifşa olan basit parolaları, kullanılan güvenlik sistemleri tespit edilir. Bilgi toplama aşamasında, sosyal mühendislik kapsamında LinkedIn, Instagram gibi sosyal medya hesapları da kullanılabiliyor hatta hedef firmanın çöpleri bile karıştırılabiliyor. Bu literatürde dumpster diving olarak adlandırılıyor. Bu süreçte pasif atak olarak nitelendirebileceğimiz bir süreç yürütülür. Amaç hedef hakkında bilgi alıp profil çıkarmaktır. Pasif ve Aktif olmak üzere iki bilgi toplama yöntemi vardır ;
Pasif Bilgi Toplama
Pasif Bilgi Toplamada Hedef sistem hakkında bilgi toplanırken, sunucu ile direkt iletişime geçmeden yapılan bilgi toplama yöntemidir. Pasif bilgi toplama araçları olarak, whois sorguları, archieve.org, theHarvester, recon-ng, maltego, shodan, sosyal medya platformları kullanılabilir.
Aktif Bilgi Toplama
Aktif Bilgi Toplamada; Hedef sistem hakkında bilgi toplanırken sunucu veya sistem ile direkt olarak iletişime geçilerek yapılan bilgi toplama yöntemidir. Burada ise, nmap, dirb, dmitry gibi araçlar kullanılabilir.
Atak öncesi süreç olan keşif aşamasında amaç dinleme yapmak, bilgi toplamaktır. Verilerin içeriği değiştirilmeden hedef profili hakkında veriler toplanır. Saldırı öncesi ilk hazırlık aşamasıdır. Bu aşamada Sniffing yani monitörleme dediğimiz bir süreç yürütülmektedir. Pasif HUG veya Aktif Switch yöntemleri ile bilgi toplama, dinleme işlemleri yapılabilmektedir. Amaç footprinting yaparak hedef profili çıkarmaktır.
Silahlanma
Saldırgan bu aşamada henüz saldırısını gerçekleştirmiyor. Bulduğu zafiyetlerin sömürülmesi için yönetimini belirliyor ve saldırısı öncesinde son hazırlığını yapıyor. Gerekli bilgilere ulaştıktan sonra sıra işletim sistemindeki ya da internette açık bir uygulamadaki eksik bir patch (yama)’den ya da açık olmaması gereken bir port dan kaynaklanan bir zafiyetin sömürülmesi için hazırlık aşamasında.
Bu aşamada tehdit aktörü, bir önceki aşamada keşfedilen güvenlik açıklarına özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirir. Aynı zamanda malware içeren web siteleri de oluşturma da yapılan hazırlıklardan biridir. Edindiği bilgiler doğrultusunda güvenlik açıklarına özel hazırlanmış kötü amaçlı yazılımlarını geliştirir. Bu aşamaya kısacası silahın belirlendiği aşama diyebiliriz. Bu aşamada saldırganın silahı güçlenmiştir. Bu süreç tamamlandıktan sonra saldırgan artık kullanıcıya gönderilecek bir Phishing yani oltalama hazırlığına girer.
İletme
Siber Ölüm Zinciri metodolojisinin üçüncü aşaması, APT kodunun, kurbanı sömürmek için hedef bilgisayara geçmesidir. Bu aşama yapılan tüm hazırlığın, zararlı yazılımın, hedefe iletilmesidir. Aslında bombanın fitili burada ateşleniyor diyebiliriz. Saldırgan en çok tercih edilen yöntem olan phishing (oltalama) yani paketlenen zararlı yazılımını bir e-posta ekinde hedefe gönderilmesi veya USB benzeri medya ile iletir. 2018 Verizon Veri İhlali Soruşturma Raporundan gelen araştırma ve analizler, bir ağ saldırısının büyük ölçüde kurumun iç çalışanlarını hedef alınarak Phishing saldırılarından kaynaklandığı göstermektedir.
Sömürme
Hedef sisteme erişim elde etmek için daha önceden tespit edilen zafiyetlerin sömürülerek zararlı kodun çalıştırılma aşamasıdır. Sömürü aşamasına, APT kötü amaçlı yazılım kodu hedef ağda, uzaktan veya otomatik olarak yürütülür ve hedeflenen bilgi sistemine erişimi sağlamak için mevcut güvenlik açıklarında yararlanır.
Yükleme
Sömürülme başarılı olduktan sonra, zararlı yazılım hedefe yüklenir. Bununla birlikte saldırganın kendini daha fazla gizlemek, iz sürülemez hale getireceği aşamadır. Saldırganın uzaktan bağlanabilmesi için dışarıdan güncellemeler ve yazılımlar indirmeye başlayacaktır, çünkü bu kadar zahmetten sonra erişimi kaybetmek istemeyecektir. Elbette bu aşamada hedef bir şeylerin ters gittiğini görüp zafiyeti kapatabilir, hesap şifrelerini güncelleyebilir. Bu durumda saldırgan, client makinasında kalıcılık sağlamak için yeni bir servis oluşturabilir, kullanıcının yetkilerini değiştirebilir, logon script yazabilir, yeni bir kullanıcı oluşturulduğunda zararlı yazılımının çalışması için registryde değişiklik vs yapabilir. Amaç daha yetkili bir hesap ele geçirmek, kritik kullanıcıların bilgisayarlarına erişmek ki bu hassas doküman ve verileri bulmak anlamına geliyor.
Komuta Kontrol
Komuta ve kontrol Siber Ölüm Zinciri’in altıncı aşamasıdır. Bu aşama C2 (Command and Control) olarak adlandırılır. Bu aşamada hedef sistem tamamen veya kısmi olarak ele geçirilmiştir diyebiliriz. Saldırganın iletişim APT kodlarını hedef ağa yerleştirmiştir. Zararlı yazılımın bulaştırıldığı hedef sistem saldırgan kontrol sunucusuna (C&C) bir haberleşme kanalı açar böylece artık her türlü erişime sahiptir. Bu yazılım, saldırganın ortamdaki APT kodunu tamamen yönetmesine ve saldırganın ağda daha derin bir şekilde hareket etmesine, veri göndermesine ve arkasında bıraktığı izleri yok etmesine olanak sağlar. Bunun için bazı teknikler kullanır örneğin, encoding, tünelleme, şifreleme… Bu haberleşme kanalı ile saldırgan APT kodlarını hedef ağa yerleştirir ve ortamdaki kodu yönetmeye başlar. Bu şekilde ağda rahatça hareket eder, veri gönderir fakat arkasında iz bırakmamaya çalışır.
Eyleme Geçme
Saldırganın eyleme geçtiği aşamadır. Hedef sistem ele geçirildikten sonra, saldırgan amacına ulaşmak için çeşitli eylemler gerçekleştirir. Veri çalma, değiştirme ve silme, bulunduğu yerden başka bir sisteme sıçrama, gibi eylemler örnek gösterilebilir. Asıl hedefine ulaşmak için yapması gereken tüm eylemlerin yapıldığı aşamadır. Bu aşama Siber Ölüm Zinciri’nin son aşamasıdır.
Başarılı bir saldırı hedeflemek için sadece iyi teknik bilgiye sahip olmak yetmez. Plan ve prosedüre uyularak yapılan taktiksel saldırılar ile sistemlerinizin kontrolü bir anda başkasının eline geçebilir Cyber Kill Chain bu prosedürlerden biridir. Aynı zamanda bu saldırıları göğüslemek de ustalık gerektirir. Yukarıdaki aşamaların hepsi birbirine zincirleme bağlıdır. Bir aşamada gerçekleşecek aksilik devamındaki aşamayı doğrudan, diğer aşamaları dolaylı olarak etkileyecektir. Bu nedenle her aşamada yapılması gereken işlemler özenle planlanmalı ve organize edilmelidir.
Teknik , Taktik ve Prosedürler (TTP)
Teknik, Taktik ve Prosedürler (TTP) terimi, bir APT’nin çalışmasını analiz etme yaklaşımını açıklar. Belirli bir aktörü profilleme aracı olarak kullanılabilir. Düşmanı anlamak ve onunla savaşmak için saldırganın kullandığı Teknikleri, Taktikleri ve Prosedürleri (TTP) anlamak gerekir. Bir rakibin Taktiklerini bilmek, yaklaşan saldırıları tahmin etmeye ve bunları önceden tespit etmeye yardımcı olur. Saldırı sırasında kullanılan Tekniklerin anlaşılması, kurumun kör noktalarının, güvenlik açıklarını belirlenmesine ve gerekli önlemlerin önceden alınmasına olanak tanır. Son olarak, rakip tarafından kullanılan Prosedürlerin analizi, düşmanın hedef alt yapısında ne aradığını anlamaya yardımcı olur.
Taktik
Bir APT grubunun taktikleri, tehdit aktörünün eylemlerinin farklı aşamalarda nasıl işlendiğini açıklar. Başlangıçtaki bilgi toplama, ilk temasın gerçekleştirilmesi, zafiyetlerin aranması, kurum içinde sistemler arası geçiş, yanal hareket yapılması gibi taktikleri içerir. Saldırının tamamını ve bir kısmını gerçekleştirme biçimi ile ilgilendiği için, tespit edilme zorluğu da saldırı çeşitlerine göre değişir.
Teknik
Bir APT grubu, saldırısını başarıyla yürütebilmek için çeşitli teknikler kullanır. Bu teknikler başlangıçtaki girişi kolaylaştırmak, kontrolü sürdürmek, hedef altyapı içerisinde hareket edebilmek, veri akışını yapıldığını gizlemek gibi işlemleri gerçekleştirmek için kullanılır.
Bu teknikler tehdit oyuncularına göre değişiklik gösterir. Bu nedenle APT gruplarını anlamak için saldırının çeşitli aşamalarında kullanılan teknikleri anlamak önemlidir.
Taktiklerde olduğu gibi, teknikler de APT’nin yaşam döngüsünün her aşamasında analiz edilebilir. İlk aşamalardaki teknikler temel olarak ilk bilgi toplama ve ilk temas noktası için kullanılan araçları tanımlar. Bu aşamadaki teknikler teknolojik olmak zorunda değildir. Örneğin bazı sosyal mühendislik teknikleri ile kurban ve saldırgan arasında bağlantı kurulabilir. Saldırının devamındaki aşamalar genellikle sosyal mühendislikteki gibi teknolojik olmayan yöntemler kullanılmaz. Bu nedenle ara aşamalardaki teknikler genellikle başlangıçta bağlantı kurulan sistemde daha yüksek ayrıcalıklar elde etmek ve hedef ağ içinde yanal hareket ederek ilerleyebilmek için teknolojik araçlar kullanılır. Kullanılan araçların her biri saldırganın tekniği hakkında fikir verir.
Prosedürler
Başarılı bir saldırı gerçekleştirmek için iyi taktik ve tekniklere sahip olmak yeterli değildir. Bu nedenle bir dizi teknik kullanılarak gerçekleştirilen özel olarak düzenlenmiş bir taktiksel harekete ihtiyaç vardır. Başka bir deyişle, APT oyuncuları tarafından saldırı döngüsündeki her adımı gerçekleştirmek için prosedürler olarak adlandırılan eylemler kullanılır. Bir prosedürdeki eylem miktarı genellikle prosedürün amacına ve APT grubuna bağlı olarak değişir. İyi tasarlanmış bir prosedürün, saldırının yaşam döngüsündeki belirli bir adımın başarı oranını arttırmasının ve ayrıca tespit edilme olasılığını azaltması beklenir.
Bir prosedür örneği olarak şunlar gösterebilir; Hedef hakkında ilk bilgilerin toplanması, kritik noktalardaki bireylerin belirlenmesi, hedefe ait harici sistemlerin belirlenmesi, iletişim detaylarının toplanması ve potansiyel savunmasız sistemler hakkında ayrıntılı bilgi toplanması, toplanan bilgilerin belgelendirilmesi.
Taktiklerde ve tekniklerde olduğu gibi, belirli bir APT grubu tarafından kullanılan prosedürler de bir tehdit aktörünün profilini çıkarmak için kullanılabilir. Keşif aşamasında kullanılan prosedürleri gözlemlemek zor olsa da, diğer aşamalar prosedürü yeniden oluşturmak için kullanılabilecek izler bırakabilir. Örneğin bir adli bilişim soruşturması sırasında, saldırgan tarafından gerçekleştirilen eylemler bir zaman çizelgesi yaklaşımında bir dosya sistemi analizi ile yeniden yapılandırılabilir.
Siber Ölüm Zincirine Neden İhtiyaç Duyulur ?
Siber saldırılara karşı önlem alabilmek için saldırı metodolojilerini iyi bilmek gerekmektedir. Bunun gibi modeller sayesinde bir siber saldırının öncesinde eksik noktalar tespit edilebilir, saldırı anında saldırının aşamasına göre müdahale yöntemine karar verilebilir ve saldırı sonrasında kurumun bu saldırıdan ne ölçüde etkilendiğinin risk analizi yapılabilir. Siber Ölüm Zinciriyle zaman içinde birden fazla kill chain'in analizi yapılır, aradaki benzerlikler analiz edilerek tanımlama sağlanır.
Kaynaklar
bbsteknoloji.com
www.defenceturk.net
www.bgasecurity.com
Saygılarımla...
Siber güvenlik artık tüm dünyanın ihtiyacı haline gelmiş bulunmaktadır. Özellikle devletler, şirketler uğradıkları siber saldırılar sonucu uğradıkları zararın farkına varınca, siber güvenliğe ayrı bir önem vermeye başladılar. Siber güvenlik konusu artık devletlerin stratejik savunma konusunun önemli alt başlığı haline gelmiş, firmalar ise bu alanda uzman kişi ya da firmalarla çalışarak eksiklerini kapatmaya çalışmaktadır. Bugün bahsedeceğimiz konu önemli bir siber saldırı metodu olan “Cyber Kill Chain”.
Cyber Kill Chain ;
Türkçesi “Siber Ölüm Zinciri” anlamına gelen cyber kill chain ilk olarak askeriyede ortaya çıkmıştır. Kısaca cyber kill chain; bir siber saldırının aşamalarını tanımlayarak önlem almak için gerekli yöntemlerin geliştirilmesi, strateji ve taktiklerin belirlenmesine yönelik kullanılan bir metodolojidir. Bu gelişmiş model bir hedefte başarıya ulaşmak için saldırganın hangi aşamalardan geçmesi gerektiğini tanımlar. Dolayısıyla bu metodolojiye hakim olmak, zihniyeti kavramak siber savunmada, saldırgan gibi düşünerek sistemlerin daha güvenli hale getirilmesi için kullanılabilir.
Siber ölüm zinciri, somelerin (siber olaya müdahale ekiplerinin), kötü amaçlı yazılım analistlerinin müşterek bir şekilde çalışması için örnek bir modellemedir. Bu model önemli bir haritadır aslında. Bunun sebebi, saldırganın izleyeceği yol ve yöntemleri detaylı inceleyerek ne gibi açık ve zafiyetlerin olabileceğine dair güçlü fikirler sunarak, önlemler alınmasını sağlamaktadır.
Tabi birçok saldırganın siber saldırı eylemlerinde siber ölüm zinciri metodolojisini kullandığı da unutulmamalıdır. Burada bir siber saldırının çok karmaşık yapısını aslında basite indirgeyerek ve gruplandırarak analiz etmek önemlidir.
Siber ölüm zinciri bir siber saldırının evrelerini ortaya koymaktadır. Bu evreleri birazdan inceleyeceğiz ama şimdiden şunu söyleyelim ki bilgi toplama aşamasından sızma eylemine kadar gerçekleşen tüm süreçleri kapsamaktadır. Siber ölüm zinciri litaretüre “Lockheed Martin” firması kazandırmıştır. Etkilendikleri alan ise askeriyedir. Şöyle örneklendirebiliriz; KISS (Keep ıt simple, stupid), DMZ (Demilitarized zone), Command and control ve benzeri terimler siber güvenlik uzmanlarının aşina olduğu terimlerdir. Dolayısıyla askeriyede kullanılan terimlerin siber güvenliğe uyarlanarak oluşturulmuş bir metodolojidir diyebiliriz Cyber kill chain için. Siber güvenlikte ise örneğin; güvenlik duvarlarındaki ağ ayrıştırmaları “DMZ” ile, zararlı yazılımlara merkezi olarak komut gönderen sunucular “Comman and Control” terimleriyle eşleştirilmektedir. Şimdi gelelim siber ölüm zincirinin evrelerine. Siber ölüm zincirinin 7 aşaması bulunmaktadır. Bunlar ;
Keşif
Siber Ölüm Zinciri’nin ilk aşaması keşif aşamasıdır. Saldırı başlamadan önce hedef hakkında bilgi toplanır. Bu aşamada saldırgan hedefi teknik ve teknik olmayan bir bakış açısıyla dışarıdan değerlendirir.
Saldırgan bu noktada sistemlere giriş yapılacak hassas noktalara ve yöntemlere dair ön eylem raporunu oluşturur. Bunu yaparken Aktif ve Pasif Bilgi topla olarak adlandırılan iki çeşit bilgi toplama yöntemini kullanabilir.
Sızılacak firmanın IP adresleri, çalışan bilgileri, ifşa olan basit parolaları, kullanılan güvenlik sistemleri tespit edilir. Bilgi toplama aşamasında, sosyal mühendislik kapsamında LinkedIn, Instagram gibi sosyal medya hesapları da kullanılabiliyor hatta hedef firmanın çöpleri bile karıştırılabiliyor. Bu literatürde dumpster diving olarak adlandırılıyor. Bu süreçte pasif atak olarak nitelendirebileceğimiz bir süreç yürütülür. Amaç hedef hakkında bilgi alıp profil çıkarmaktır. Pasif ve Aktif olmak üzere iki bilgi toplama yöntemi vardır ;
Pasif Bilgi Toplama
Pasif Bilgi Toplamada Hedef sistem hakkında bilgi toplanırken, sunucu ile direkt iletişime geçmeden yapılan bilgi toplama yöntemidir. Pasif bilgi toplama araçları olarak, whois sorguları, archieve.org, theHarvester, recon-ng, maltego, shodan, sosyal medya platformları kullanılabilir.
Aktif Bilgi Toplama
Aktif Bilgi Toplamada; Hedef sistem hakkında bilgi toplanırken sunucu veya sistem ile direkt olarak iletişime geçilerek yapılan bilgi toplama yöntemidir. Burada ise, nmap, dirb, dmitry gibi araçlar kullanılabilir.
Atak öncesi süreç olan keşif aşamasında amaç dinleme yapmak, bilgi toplamaktır. Verilerin içeriği değiştirilmeden hedef profili hakkında veriler toplanır. Saldırı öncesi ilk hazırlık aşamasıdır. Bu aşamada Sniffing yani monitörleme dediğimiz bir süreç yürütülmektedir. Pasif HUG veya Aktif Switch yöntemleri ile bilgi toplama, dinleme işlemleri yapılabilmektedir. Amaç footprinting yaparak hedef profili çıkarmaktır.
Silahlanma
Saldırgan bu aşamada henüz saldırısını gerçekleştirmiyor. Bulduğu zafiyetlerin sömürülmesi için yönetimini belirliyor ve saldırısı öncesinde son hazırlığını yapıyor. Gerekli bilgilere ulaştıktan sonra sıra işletim sistemindeki ya da internette açık bir uygulamadaki eksik bir patch (yama)’den ya da açık olmaması gereken bir port dan kaynaklanan bir zafiyetin sömürülmesi için hazırlık aşamasında.
Bu aşamada tehdit aktörü, bir önceki aşamada keşfedilen güvenlik açıklarına özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirir. Aynı zamanda malware içeren web siteleri de oluşturma da yapılan hazırlıklardan biridir. Edindiği bilgiler doğrultusunda güvenlik açıklarına özel hazırlanmış kötü amaçlı yazılımlarını geliştirir. Bu aşamaya kısacası silahın belirlendiği aşama diyebiliriz. Bu aşamada saldırganın silahı güçlenmiştir. Bu süreç tamamlandıktan sonra saldırgan artık kullanıcıya gönderilecek bir Phishing yani oltalama hazırlığına girer.
İletme
Siber Ölüm Zinciri metodolojisinin üçüncü aşaması, APT kodunun, kurbanı sömürmek için hedef bilgisayara geçmesidir. Bu aşama yapılan tüm hazırlığın, zararlı yazılımın, hedefe iletilmesidir. Aslında bombanın fitili burada ateşleniyor diyebiliriz. Saldırgan en çok tercih edilen yöntem olan phishing (oltalama) yani paketlenen zararlı yazılımını bir e-posta ekinde hedefe gönderilmesi veya USB benzeri medya ile iletir. 2018 Verizon Veri İhlali Soruşturma Raporundan gelen araştırma ve analizler, bir ağ saldırısının büyük ölçüde kurumun iç çalışanlarını hedef alınarak Phishing saldırılarından kaynaklandığı göstermektedir.
Sömürme
Hedef sisteme erişim elde etmek için daha önceden tespit edilen zafiyetlerin sömürülerek zararlı kodun çalıştırılma aşamasıdır. Sömürü aşamasına, APT kötü amaçlı yazılım kodu hedef ağda, uzaktan veya otomatik olarak yürütülür ve hedeflenen bilgi sistemine erişimi sağlamak için mevcut güvenlik açıklarında yararlanır.
Yükleme
Sömürülme başarılı olduktan sonra, zararlı yazılım hedefe yüklenir. Bununla birlikte saldırganın kendini daha fazla gizlemek, iz sürülemez hale getireceği aşamadır. Saldırganın uzaktan bağlanabilmesi için dışarıdan güncellemeler ve yazılımlar indirmeye başlayacaktır, çünkü bu kadar zahmetten sonra erişimi kaybetmek istemeyecektir. Elbette bu aşamada hedef bir şeylerin ters gittiğini görüp zafiyeti kapatabilir, hesap şifrelerini güncelleyebilir. Bu durumda saldırgan, client makinasında kalıcılık sağlamak için yeni bir servis oluşturabilir, kullanıcının yetkilerini değiştirebilir, logon script yazabilir, yeni bir kullanıcı oluşturulduğunda zararlı yazılımının çalışması için registryde değişiklik vs yapabilir. Amaç daha yetkili bir hesap ele geçirmek, kritik kullanıcıların bilgisayarlarına erişmek ki bu hassas doküman ve verileri bulmak anlamına geliyor.
Komuta Kontrol
Komuta ve kontrol Siber Ölüm Zinciri’in altıncı aşamasıdır. Bu aşama C2 (Command and Control) olarak adlandırılır. Bu aşamada hedef sistem tamamen veya kısmi olarak ele geçirilmiştir diyebiliriz. Saldırganın iletişim APT kodlarını hedef ağa yerleştirmiştir. Zararlı yazılımın bulaştırıldığı hedef sistem saldırgan kontrol sunucusuna (C&C) bir haberleşme kanalı açar böylece artık her türlü erişime sahiptir. Bu yazılım, saldırganın ortamdaki APT kodunu tamamen yönetmesine ve saldırganın ağda daha derin bir şekilde hareket etmesine, veri göndermesine ve arkasında bıraktığı izleri yok etmesine olanak sağlar. Bunun için bazı teknikler kullanır örneğin, encoding, tünelleme, şifreleme… Bu haberleşme kanalı ile saldırgan APT kodlarını hedef ağa yerleştirir ve ortamdaki kodu yönetmeye başlar. Bu şekilde ağda rahatça hareket eder, veri gönderir fakat arkasında iz bırakmamaya çalışır.
Eyleme Geçme
Saldırganın eyleme geçtiği aşamadır. Hedef sistem ele geçirildikten sonra, saldırgan amacına ulaşmak için çeşitli eylemler gerçekleştirir. Veri çalma, değiştirme ve silme, bulunduğu yerden başka bir sisteme sıçrama, gibi eylemler örnek gösterilebilir. Asıl hedefine ulaşmak için yapması gereken tüm eylemlerin yapıldığı aşamadır. Bu aşama Siber Ölüm Zinciri’nin son aşamasıdır.
Başarılı bir saldırı hedeflemek için sadece iyi teknik bilgiye sahip olmak yetmez. Plan ve prosedüre uyularak yapılan taktiksel saldırılar ile sistemlerinizin kontrolü bir anda başkasının eline geçebilir Cyber Kill Chain bu prosedürlerden biridir. Aynı zamanda bu saldırıları göğüslemek de ustalık gerektirir. Yukarıdaki aşamaların hepsi birbirine zincirleme bağlıdır. Bir aşamada gerçekleşecek aksilik devamındaki aşamayı doğrudan, diğer aşamaları dolaylı olarak etkileyecektir. Bu nedenle her aşamada yapılması gereken işlemler özenle planlanmalı ve organize edilmelidir.
Teknik , Taktik ve Prosedürler (TTP)
Teknik, Taktik ve Prosedürler (TTP) terimi, bir APT’nin çalışmasını analiz etme yaklaşımını açıklar. Belirli bir aktörü profilleme aracı olarak kullanılabilir. Düşmanı anlamak ve onunla savaşmak için saldırganın kullandığı Teknikleri, Taktikleri ve Prosedürleri (TTP) anlamak gerekir. Bir rakibin Taktiklerini bilmek, yaklaşan saldırıları tahmin etmeye ve bunları önceden tespit etmeye yardımcı olur. Saldırı sırasında kullanılan Tekniklerin anlaşılması, kurumun kör noktalarının, güvenlik açıklarını belirlenmesine ve gerekli önlemlerin önceden alınmasına olanak tanır. Son olarak, rakip tarafından kullanılan Prosedürlerin analizi, düşmanın hedef alt yapısında ne aradığını anlamaya yardımcı olur.
Taktik
Bir APT grubunun taktikleri, tehdit aktörünün eylemlerinin farklı aşamalarda nasıl işlendiğini açıklar. Başlangıçtaki bilgi toplama, ilk temasın gerçekleştirilmesi, zafiyetlerin aranması, kurum içinde sistemler arası geçiş, yanal hareket yapılması gibi taktikleri içerir. Saldırının tamamını ve bir kısmını gerçekleştirme biçimi ile ilgilendiği için, tespit edilme zorluğu da saldırı çeşitlerine göre değişir.
Teknik
Bir APT grubu, saldırısını başarıyla yürütebilmek için çeşitli teknikler kullanır. Bu teknikler başlangıçtaki girişi kolaylaştırmak, kontrolü sürdürmek, hedef altyapı içerisinde hareket edebilmek, veri akışını yapıldığını gizlemek gibi işlemleri gerçekleştirmek için kullanılır.
Bu teknikler tehdit oyuncularına göre değişiklik gösterir. Bu nedenle APT gruplarını anlamak için saldırının çeşitli aşamalarında kullanılan teknikleri anlamak önemlidir.
Taktiklerde olduğu gibi, teknikler de APT’nin yaşam döngüsünün her aşamasında analiz edilebilir. İlk aşamalardaki teknikler temel olarak ilk bilgi toplama ve ilk temas noktası için kullanılan araçları tanımlar. Bu aşamadaki teknikler teknolojik olmak zorunda değildir. Örneğin bazı sosyal mühendislik teknikleri ile kurban ve saldırgan arasında bağlantı kurulabilir. Saldırının devamındaki aşamalar genellikle sosyal mühendislikteki gibi teknolojik olmayan yöntemler kullanılmaz. Bu nedenle ara aşamalardaki teknikler genellikle başlangıçta bağlantı kurulan sistemde daha yüksek ayrıcalıklar elde etmek ve hedef ağ içinde yanal hareket ederek ilerleyebilmek için teknolojik araçlar kullanılır. Kullanılan araçların her biri saldırganın tekniği hakkında fikir verir.
Prosedürler
Başarılı bir saldırı gerçekleştirmek için iyi taktik ve tekniklere sahip olmak yeterli değildir. Bu nedenle bir dizi teknik kullanılarak gerçekleştirilen özel olarak düzenlenmiş bir taktiksel harekete ihtiyaç vardır. Başka bir deyişle, APT oyuncuları tarafından saldırı döngüsündeki her adımı gerçekleştirmek için prosedürler olarak adlandırılan eylemler kullanılır. Bir prosedürdeki eylem miktarı genellikle prosedürün amacına ve APT grubuna bağlı olarak değişir. İyi tasarlanmış bir prosedürün, saldırının yaşam döngüsündeki belirli bir adımın başarı oranını arttırmasının ve ayrıca tespit edilme olasılığını azaltması beklenir.
Bir prosedür örneği olarak şunlar gösterebilir; Hedef hakkında ilk bilgilerin toplanması, kritik noktalardaki bireylerin belirlenmesi, hedefe ait harici sistemlerin belirlenmesi, iletişim detaylarının toplanması ve potansiyel savunmasız sistemler hakkında ayrıntılı bilgi toplanması, toplanan bilgilerin belgelendirilmesi.
Taktiklerde ve tekniklerde olduğu gibi, belirli bir APT grubu tarafından kullanılan prosedürler de bir tehdit aktörünün profilini çıkarmak için kullanılabilir. Keşif aşamasında kullanılan prosedürleri gözlemlemek zor olsa da, diğer aşamalar prosedürü yeniden oluşturmak için kullanılabilecek izler bırakabilir. Örneğin bir adli bilişim soruşturması sırasında, saldırgan tarafından gerçekleştirilen eylemler bir zaman çizelgesi yaklaşımında bir dosya sistemi analizi ile yeniden yapılandırılabilir.
Siber Ölüm Zincirine Neden İhtiyaç Duyulur ?
Siber saldırılara karşı önlem alabilmek için saldırı metodolojilerini iyi bilmek gerekmektedir. Bunun gibi modeller sayesinde bir siber saldırının öncesinde eksik noktalar tespit edilebilir, saldırı anında saldırının aşamasına göre müdahale yöntemine karar verilebilir ve saldırı sonrasında kurumun bu saldırıdan ne ölçüde etkilendiğinin risk analizi yapılabilir. Siber Ölüm Zinciriyle zaman içinde birden fazla kill chain'in analizi yapılır, aradaki benzerlikler analiz edilerek tanımlama sağlanır.
Kaynaklar
BBS Teknoloji – Yeni Nesil Teknoloji
bbsteknoloji.com
Anasayfa
SON HABERLER Ukrayna Devlet Başkanı Zelensky, Ukrayna’ya ait kayıpları açıkladı 20 Nisan 2022 AKSUNGUR’a baz istasyonu özelliği kazandırıldı 19
www.defenceturk.net
BGA Cyber Security - Siber Güvenlik Çözümleri
BGA Cyber Security olarak siber güvenlik alanında teknoloji bağımsız siber güvenlik çözümleri sunuyoruz.
Saygılarımla...
