Cyber Kill Chain Methodology Nedir ?

LOEN

Katılımcı Üye
24 Mar 2022
408
504
offset
Herkese merhaba,
bu konumda Cyber Kill Chain (Siber Ölüm Zinciri) modeli hakkında bilgilendirme,
ve şirket ve ya devlet kurumlarının saldırılardan nasıl korunduğu meselesini ele alacağım.

Konu içeriği:

Cyber Kill Chain Nedir ?
Adımlar && Aşamalar
Şirketlerin aldıkları tedbirler nelerdir ?


Cyber Kill Chain Nedir ?

maxresdefault.jpg



CHC eskilerde askeri bir metod olarak belirmiştir. Düşmana karşı adım adım zincir şeklinde kurulan saldırı planları
olumlu sonuçlara yol açmıştır. İnformation Security'de bu model siber saldırı adımları olarak bilinir.
Adımlar bir-birine zincir gibi bağlıdır. Bu nedenle 1ci adımdan 3cü adıma, yani atlatarak ilerleme olumsuz sonuçlanır.
Modelin 7 aşaması vardır.

Adımlar && Aşamalar

Cyber-kill-chain-model.ppm


1) Reconnaisance (Keşif)

Saldırgan hedef hakkında aktif ve passif olarak maximum bilgi edinir. Bilgilere örnek olarak e-posta adresleri, şirkete ait site
ile ilgili toplana bilecek bilgiler (serverde bulunan açık portlar, WAF ve b.), çalışanların sosyal medya hesaplarından toplanan
istihbarat bilgileri aittir.

2) Weaponization (Silahlanma)


İstihbaratdan yola çıkarak zararlı yazılım oluşturulur. Hazırlanan içerik çok dikkat çekici ve inandırı olmalı, bu yüzden en önemli adımlardan birisi budur. Her hangi bir crypt etme tekniği ve ya bir dosya içine gömme gibi eylemlerde bulunurlar.

3) Delivery (Teslimat)


Oluşturulan malware hedef şirkete e-posta, USB yoluyla iletilir. E-postalara ulaşma 1ci aşamada anlatıldı.
Web sitesi, sosyal medya yani en çok kullanılan Linkedin buna örnek ola bilir ki burada büyük risk oluşuyor.


4) Exploitation (Zaafiyyet Sömürme)

Bu aşamada sistemde çalışan eski sürüm yazılımlar ve ya servisler hedef alınır. Kernel versionu tespit edilip, önceden yazılmış olan bir exploit kontrolü yapılır. Ek olarak Web Pentesing buraya dahildir.
SQLi, XSS, CSRF, SSTİ, RFİ buraya dahildir.

5) İnstallation (Kurulum)


Artık Malwarenin hedef sistemde kurulum aşamasına geldik. Burada artık bir erişime sahip olacağız ve diğer eylemleri gerçekleştirmek için en önemli adımlardan biride zararlı yazılımı Anti-Virüs ve Firewallardan bypass etmektir. Buna 2ci aşamada değindik sadece karşıya çıka bilecek engelleri hatırlatmak istedim.
Zararlı yazılım artık karşı tarafın bilgisayarına kuruldu.

6) Command & Control (Komut çalıştırma ve Kontrol)


Bu aşamada bazı komutlar çalıştırılarak sistemde tam yetki elde edilmesine öncelik verilir. Ayrıca ortada bir şifreli bağlantı (SSH) olursa saldırgan daha rahat şekilde sonuncu adıma geçiş yapar.

7) Actions on Objections (Eylemler)

Son aşamada saldırgan taraf artık tüm yetkilere sahiptir ve verileri dışarı aktarma, para transferi bilgilerini çekme, silme, yetkileri değiştirme ve bir çok eylemleri gerçekleştirme yetkisine sahiptir.



Şirketlerin aldıkları tedbirler nelerdir ?


Saldırı sonucu olarak itibar, maddi ziyan ve bir çok kayıplar oluşuyor. Peki bunun karşısını almak için nasıl bir tedbir alınır.
Tehdit İstihbaratı, SİEM, İDS, İPS, Lisanslı Firewall ve Anti-Virüsler, Beyaz ve Siyah Listelerin düzgen conf. edilmesi, şirket dahilinde İP subnetin düzgün bir şekilde bölünmesi, kurum ve ya devlet iş yerlerinde çalışan işçilerin sosyal medya ve ya her hangi iletişim platformasında şirkete ve ya kuruma özel bilgileri paylaşmaması (buna Bilgi Paylaşım Politikası denir), Güvenli Parola, 2FA, işçilerin bilgilendirici ders ve ya seminerlere katılmasını sağlamak ve en sonda ROE (Rules of Engagement) uygun şekilde Penetration Test yapılır ve
7/24 çalışan SOC ekipleri sayesinde büyük oranda risk azalır.
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.