Cyber Kill Chain Nedir? Detaylı Anlatım

Cyber Kill Chain, Lockheed Martin tarafından geliştirilen ve siber saldırıların adımlarını sistematik olarak tanımlayan bir modeldir. Amaç, saldırının hangi aşamada olduğunu anlamak ve mümkünse erken safhada durdurmaktır. Hem saldırı hem de savunma işlemlerinde faydalı olabilir.

1. Bilgi Toplama (Reconnaissance)​

• Hedefin IP aralıkları, alan adları, alt alan adları, çalışan bilgileri, teknolojik altyapısı araştırılır.
• Araçlar: whois, nslookup, Shodan, theHarvester, OSINT teknikleri.

2. Zafiyet Analizi (Vulnerability Analysis)​

• Toplanan bilgilerle sistemdeki güvenlik açıkları tespit edilir.
• Araçlar: Nmap (versiyon tespiti), Nessus, OpenVAS, manuel testler.

3. Sömürme (Exploitation)​

• Tespit edilen güvenlik açıkları üzerinden sisteme giriş yapılır.
• Örnek: SQL Injection, RCE (Remote Code Execution), zayıf parola istismarı.

4. Yetki Yükseltme (Privilege Escalation)​

• Sisteme düşük yetki ile girildiyse yönetici/root haklarına ulaşılır.
• Teknikler: Kernel exploit’leri, yanlış yapılandırılmış izinler, sudo hataları.

5. Yatay Hareket (Lateral Movement)​

• Ağda başka sistemlere geçiş yapılır.
• Örnek: Paylaşılan dosya dizinlerinden credential çalma, RDP/SMB ile diğer makineler.

6. İz Silme (Covering Tracks)​

• Log dosyaları silinir veya değiştirilir.
• Komutlar: rm -rf /var/log/*, Windows Event Log temizleme, WAF/IDS log bypass.

7. Kalıcılık (Persistence)​

• Sistemde uzun süre erişim sağlamak için yöntemler bırakılır.
• Örnek: Arka kapı servisleri, cron job’lar, registry değişiklikleri, web shell.

8. Rapor (Reporting)​

• Sızma testi ise, yapılan işlemler, bulgular, riskler ve öneriler raporlanır.
• Gerçek saldırıdaysa rapor olmaz elbette ama siber güvenlik uzmanı olayı inceleyip olası saldırı adımlarını belgeler.

Cyber Kill Chain modelinin birçok farklı versiyonu bulunuyor ama benim en beğendiğim versiyon bu.
Umarım konumu beğenmişsinizdir, kendinize iyi bakın!

Yetersiz başlık lütfen başlığınızı düzenleyin

ProD3viL' Alıntı:

Yetersiz başlık lütfen başlığınızı düzenleyin

Genişletmek için tıkla ...

Cyber Kill Chain'in ne olduğundan ve adımlarından bahsettim. İsteğiniz "Cyber Kill Chain Nedir?" tarzında bir başlık ise bu, gereksiz süsten başka bir şey değildir.




Bu kaynaklar, Cyber Kill Chain modelinden bahseden en değerli kaynaklar ve başlık da gördüğünüz gibi benimkiyle aynı.

Eğer halen başlığımın yetersiz olduğu düşüncesindeyseniz uygun gördüğünüz başlıkla, benim başlığımı değiştirebilirsiniz. Lakin ben başlığı değiştirmiyorum.

İyi forumlar, iyi çalışmalar!

werxy' Alıntı:

Cyber Kill Chain, Lockheed Martin tarafından geliştirilen ve siber saldırıların adımlarını sistematik olarak tanımlayan bir modeldir. Amaç, saldırının hangi aşamada olduğunu anlamak ve mümkünse erken safhada durdurmaktır. Hem saldırı hem de savunma işlemlerinde faydalı olabilir.

1. Bilgi Toplama (Reconnaissance)​

• Hedefin IP aralıkları, alan adları, alt alan adları, çalışan bilgileri, teknolojik altyapısı araştırılır.
• Araçlar: whois, nslookup, Shodan, theHarvester, OSINT teknikleri.

2. Zafiyet Analizi (Vulnerability Analysis)​

• Toplanan bilgilerle sistemdeki güvenlik açıkları tespit edilir.
• Araçlar: Nmap (versiyon tespiti), Nessus, OpenVAS, manuel testler.

3. Sömürme (Exploitation)​

• Tespit edilen güvenlik açıkları üzerinden sisteme giriş yapılır.
• Örnek: SQL Injection, RCE (Remote Code Execution), zayıf parola istismarı.

4. Yetki Yükseltme (Privilege Escalation)​

• Sisteme düşük yetki ile girildiyse yönetici/root haklarına ulaşılır.
• Teknikler: Kernel exploit’leri, yanlış yapılandırılmış izinler, sudo hataları.

5. Yatay Hareket (Lateral Movement)​

• Ağda başka sistemlere geçiş yapılır.
• Örnek: Paylaşılan dosya dizinlerinden credential çalma, RDP/SMB ile diğer makineler.

6. İz Silme (Covering Tracks)​

• Log dosyaları silinir veya değiştirilir.
• Komutlar: rm -rf /var/log/*, Windows Event Log temizleme, WAF/IDS log bypass.

7. Kalıcılık (Persistence)​

• Sistemde uzun süre erişim sağlamak için yöntemler bırakılır.
• Örnek: Arka kapı servisleri, cron job’lar, registry değişiklikleri, web shell.

8. Rapor (Reporting)​

• Sızma testi ise, yapılan işlemler, bulgular, riskler ve öneriler raporlanır.
• Gerçek saldırıdaysa rapor olmaz elbette ama siber güvenlik uzmanı olayı inceleyip olası saldırı adımlarını belgeler.

Cyber Kill Chain modelinin birçok farklı versiyonu bulunuyor ama benim en beğendiğim versiyon bu.
Umarım konumu beğenmişsinizdir, kendinize iyi bakın!

Genişletmek için tıkla ...

Ellerine Sağlık

ATK' Alıntı:

Ellerine Sağlık

Genişletmek için tıkla ...

Teşekkür ederim