Cyber Kill Chain - Saldırı Yaşam Döngüsü Nedir ?

Starzz

Starzz

Üye
21 Haz 2015
238
58
my-visual_48888367-1010x1024.png

CYBER KILL CHAIN - YAŞAM DÖNGÜSÜ

Günümüzde siber camiada analiz amacıyla kullanılan tüm saldırı analiz modelleri bu modeller üzerine kurulmuştur. Bu modeller dünyanın büyük silah üreticilerinden biri olan Locheed Martin Firmasının geliştirdiği Cyber Kill Chain ile sonradan Fireeye tarafından satın alınan Mandiant firması tarafından geliştirilen Attack Life Cycle modelleridir. Ben bugün sizlere Cyber Kill Chan'i anlatacağım.

Nedir Bu Cyber Kill Chain ?

"Kill Chain" ya da Ölüm Zinciri aslında askeri bir terim olarak ortaya çıkmıştır ve askerler tarafından hedefli bir saldırının aşamalarını tanımlamak için kullanılmaktadır. Lockheed Martin firması, Cyber Kill Chain modelini hedefli saldırıları (veya APT'leri) analiz etmek amacıyla uyarlayarak sonradan oluşturmuştur. Son yıllarda yaygın olarak kullanılagelen bu model de hedefli siber saldırıların 7 adımda gerçekleştiği öngörülmektedir.

Bu adımların her biri bir diğerine bağlıdır, bir adım gerçekleşmeden diğer adıma geçilemez, o nedenle zincir olarak nitelenmiştir. Zincir, en zayıf halkası kadar güçlüdür deyimi bu noktada savunan taraf için değil saldıran taraf için kullanılmaktadır. Modelin ana fikrini "Saldırı adımlarının herhangi birinin başarısızlığa uğraması saldırıyı başarısız kılacaktır" düşüncesi oluşturmaktadır. Kısaca bu adımları açıklayalım.

THE-CYBER-KILL-CHAIN-body.png.pc-adaptive.1920.medium.png

1- Keşif (Reconnaisance):

Keşifin birincil amacı sistemlere giriş yapılacak noktaların belirlenmesidir. Hedef Kurum/Kuruluş ve saldırının amacı belirlendikten sonra, saldırının geliştirilebilmesi için gerekli bilgiler toplanmaya başlar. Bu bilgiler hedefe ait IP adresleri, dışarı doğru açık servisler, çalışan bilgileri, Kurum/Kuruluşun çalışma yöntemleri vb. bilgilerdir. Keşif çalışmalarında sosyal mühendislik, sosyal medya araştırmaları, yeraltı forumları, aktif/pasif tarama araçları ve teknikleri kullanılır.

2- Silahlanma (Weaponization):

Hedefe ait saldırı yüzeyi ve saldırı noktaları tespit edildikten sonra saldırı vektörleri belirlenir. Silahlanma aşaması, kullanılacak silahın belirlendiği, zararlı yazılımların oluşturulduğu ve paketlendiği aşamadır. Zararlı yazılım bir web sayfasına, PDF, office veya resim/fotoğraf dosyası içerisine yerleştirilebilir.

3- İletme (Delivery):

İletme aşamasında zararlı yazılımın Kurum/Kuruluş ağına nasıl sızdırılacağına karar verilir. Paketlenen zararlı yazılım bir URL üzerinden servis edilebileceği gibi e-posta ekinde veya USB vb. medya ile de iletilebilir. İletme aşamasında en çok kullanılan yöntem oltalama (phishing) yöntemidir. Fatura, kredi kartı ekstresi, kurumsal duyuru gibi gösterilen e-postalar içerisinde ek olarak veya bir URL üzerinden, zararlı yazılım içeren dosyanın kullanıcı bilgisayarlarına iletilmesi sağlanır.

4- Sömürme (Exploitation):

Sömürme aşaması genellikle kullanıcı sistemlerdeki zafiyetin sömürülmesi aşamasıdır. Hedefin ele geçirilebilmesi ve kontrol altına alınabilmesi için zararlı yazılımın sisteme kurulması ve kullanıcı farkında olmadan uzak erişim sağlanması gerekecektir. Bunun olabilmesi için ilgili kullanıcı makinasındaki işletim sisteminde veya uygulamalarda bir zafiyet olması şarttır. İletme aşaması ile bilgisayara indirilen dosya çalıştırıldığında, sistemdeki zafiyet sömürülerek yükleme aşamasının önü açılmış olur.

5- Yükleme (Installation):

Yükleme aşaması saldırganın sistemlere uzaktan bağlanabilmesi için gerekli uygulamaların kurulumunun yapıldığı aşamadır. Kullanıcı sistemindeki zafiyetleri sömüren zararlı yazılım, işletim sistemlerindeki erişim kontrollerini ve/veya güvenlik yazılımlarını atlatarak bu programların kurulmasını sağlar. Bu programlar ya zararlı yazılım içerisinde paket halinde bulunur veya internet üzerinde saldırganların önceden koymuş olduğu bir yerden indirilmesi sağlanır.

6- Komuta kontrol (Command & Control):

Uzak erişim açılan hedef veya hedefler internet üzerindeki bir komuta kontrol sunucusuna (genellikle şifreli bir protokol üzerinden) bağlantı sağlar. Bu adımdan itibaren hedef sistem tamamen veya kısmi olarak ele geçirilmiştir.

7- Eyleme Geçme (Actions on Objections):

Bu aşama saldırganın eyleme geçtiği aşamadır. Kullanıcı sistemleri ele geçirildikten sonra saldırganların amacına göre ya bu sistemler bir başka sisteme saldırmak için (botnet veya saldırganın kimliğini gizlemesi için) kullanılır ya bilgisayar içerisindeki kişisel verileri silmek, bozmak, değiştirmek veya çalmak (Ramsomware) için ya da içerideki kıymetli verilerin tutulduğu sistemlere erişmek için pivot olarak olarak kullanılır.
 
V

VERRY

Katılımcı Üye
24 Nis 2021
342
57
Bu seni hiç alakadar etmet
Starzz' Alıntı:
my-visual_48888367-1010x1024.png

CYBER KILL CHAIN - YAŞAM DÖNGÜSÜ

Günümüzde siber camiada analiz amacıyla kullanılan tüm saldırı analiz modelleri bu modeller üzerine kurulmuştur. Bu modeller dünyanın büyük silah üreticilerinden biri olan Locheed Martin Firmasının geliştirdiği Cyber Kill Chain ile sonradan Fireeye tarafından satın alınan Mandiant firması tarafından geliştirilen Attack Life Cycle modelleridir. Ben bugün sizlere Cyber Kill Chan'i anlatacağım.

Nedir Bu Cyber Kill Chain ?

"Kill Chain" ya da Ölüm Zinciri aslında askeri bir terim olarak ortaya çıkmıştır ve askerler tarafından hedefli bir saldırının aşamalarını tanımlamak için kullanılmaktadır. Lockheed Martin firması, Cyber Kill Chain modelini hedefli saldırıları (veya APT'leri) analiz etmek amacıyla uyarlayarak sonradan oluşturmuştur. Son yıllarda yaygın olarak kullanılagelen bu model de hedefli siber saldırıların 7 adımda gerçekleştiği öngörülmektedir.

Bu adımların her biri bir diğerine bağlıdır, bir adım gerçekleşmeden diğer adıma geçilemez, o nedenle zincir olarak nitelenmiştir. Zincir, en zayıf halkası kadar güçlüdür deyimi bu noktada savunan taraf için değil saldıran taraf için kullanılmaktadır. Modelin ana fikrini "Saldırı adımlarının herhangi birinin başarısızlığa uğraması saldırıyı başarısız kılacaktır" düşüncesi oluşturmaktadır. Kısaca bu adımları açıklayalım.

THE-CYBER-KILL-CHAIN-body.png.pc-adaptive.1920.medium.png

1- Keşif (Reconnaisance):

Keşifin birincil amacı sistemlere giriş yapılacak noktaların belirlenmesidir. Hedef Kurum/Kuruluş ve saldırının amacı belirlendikten sonra, saldırının geliştirilebilmesi için gerekli bilgiler toplanmaya başlar. Bu bilgiler hedefe ait IP adresleri, dışarı doğru açık servisler, çalışan bilgileri, Kurum/Kuruluşun çalışma yöntemleri vb. bilgilerdir. Keşif çalışmalarında sosyal mühendislik, sosyal medya araştırmaları, yeraltı forumları, aktif/pasif tarama araçları ve teknikleri kullanılır.

2- Silahlanma (Weaponization):

Hedefe ait saldırı yüzeyi ve saldırı noktaları tespit edildikten sonra saldırı vektörleri belirlenir. Silahlanma aşaması, kullanılacak silahın belirlendiği, zararlı yazılımların oluşturulduğu ve paketlendiği aşamadır. Zararlı yazılım bir web sayfasına, PDF, office veya resim/fotoğraf dosyası içerisine yerleştirilebilir.

3- İletme (Delivery):

İletme aşamasında zararlı yazılımın Kurum/Kuruluş ağına nasıl sızdırılacağına karar verilir. Paketlenen zararlı yazılım bir URL üzerinden servis edilebileceği gibi e-posta ekinde veya USB vb. medya ile de iletilebilir. İletme aşamasında en çok kullanılan yöntem oltalama (phishing) yöntemidir. Fatura, kredi kartı ekstresi, kurumsal duyuru gibi gösterilen e-postalar içerisinde ek olarak veya bir URL üzerinden, zararlı yazılım içeren dosyanın kullanıcı bilgisayarlarına iletilmesi sağlanır.

4- Sömürme (Exploitation):

Sömürme aşaması genellikle kullanıcı sistemlerdeki zafiyetin sömürülmesi aşamasıdır. Hedefin ele geçirilebilmesi ve kontrol altına alınabilmesi için zararlı yazılımın sisteme kurulması ve kullanıcı farkında olmadan uzak erişim sağlanması gerekecektir. Bunun olabilmesi için ilgili kullanıcı makinasındaki işletim sisteminde veya uygulamalarda bir zafiyet olması şarttır. İletme aşaması ile bilgisayara indirilen dosya çalıştırıldığında, sistemdeki zafiyet sömürülerek yükleme aşamasının önü açılmış olur.

5- Yükleme (Installation):

Yükleme aşaması saldırganın sistemlere uzaktan bağlanabilmesi için gerekli uygulamaların kurulumunun yapıldığı aşamadır. Kullanıcı sistemindeki zafiyetleri sömüren zararlı yazılım, işletim sistemlerindeki erişim kontrollerini ve/veya güvenlik yazılımlarını atlatarak bu programların kurulmasını sağlar. Bu programlar ya zararlı yazılım içerisinde paket halinde bulunur veya internet üzerinde saldırganların önceden koymuş olduğu bir yerden indirilmesi sağlanır.

6- Komuta kontrol (Command & Control):

Uzak erişim açılan hedef veya hedefler internet üzerindeki bir komuta kontrol sunucusuna (genellikle şifreli bir protokol üzerinden) bağlantı sağlar. Bu adımdan itibaren hedef sistem tamamen veya kısmi olarak ele geçirilmiştir.

7- Eyleme Geçme (Actions on Objections):

Bu aşama saldırganın eyleme geçtiği aşamadır. Kullanıcı sistemleri ele geçirildikten sonra saldırganların amacına göre ya bu sistemler bir başka sisteme saldırmak için (botnet veya saldırganın kimliğini gizlemesi için) kullanılır ya bilgisayar içerisindeki kişisel verileri silmek, bozmak, değiştirmek veya çalmak (Ramsomware) için ya da içerideki kıymetli verilerin tutulduğu sistemlere erişmek için pivot olarak olarak kullanılır.
Genişletmek için tıkla ...
Teşekkürler
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.