Tehditlerin sistemlerinizi nasıl etkileyeceğini anlamak için öncelikle gerçek bir siber saldırının bileşenlerini anlamanız gerekir. Güvenlik organizasyonları siber saldırıları temel aşamalarına ayrıştırmak için farklı modeller ortaya çıkarmışlardır. Esas olarak saldırganın kısmen de sistem sahiplerinin perspektiflerinden bakarak siber saldırı modellerini aşama aşama inceleyeceğiz.
Siber saldırı modellerinde öne çıkan iki model bulunmaktadır: Cyber Kill Chain ve Mandiant Attack Life Cycle modelleridir. Siber saldırı modellerinin ardından güncel örnekler vererek bir siber saldırının safhalarını ve son olarak tehtid yaşam döngüsünü inceleyeceğiz.
CYBER KILL CHAIN
Siber saldırı modellerinden ilk olarak inceleyeceğimiz , bir siber saldırnın anatomisini açıklamak için savunma uzmanı Lockheed Martin tarafından geliştirilen Cyber Kill Chain isimli modeldir. Birbirini takip eden yedi aşamadan meydan gelen Cyber Kill Chain , hedeflenen ağı ele geçirip , veri hırsızlığı , Dos veya sistemlere zarar verme gibi zararlı eylemleri başarılı bir şekilde yerine getirebilmek için saldırganın izlemesi gereken adımları göstermektedir. Bu modelde tanımlanan siber saldırı aşamaları aşağıdaki tabloda sunulmuştur.
İsimleri belirtilen aşamaları , her bir aşamada saldırgan yapılan muhtemel faaliyetleri de belirterek ayrıntılarıyla inceleyelim.
Keşif
Saldırganlar operasyonlarını planlama aşamasındadırlar. Hangi hedefin ulaşmak için kullanabileceğinin araştırmasını yaparlar. Hedef belirlendikten saldırının geliştirilebilmesi için gerekli bilgiler toplanmaya başlar.
Ip adresleri , ağ üzerindeki kullanıcılar ve çalışan servisler hedefin tam mimarisi , çalışan bilgileri , e-mail adresleri , telefon numaraları gibi , keşif çalışmaları , sosyal mühendislik ve sosyal medya araştırmalarının yanı sıra iz sürme , tarama ve listeleme gibi bazı yöntemler kullanılarak birbirini takip eder şekilde tamamlanır. Faaliyetini ve bu aşamada kullanılan araç ve yöntemleri ayrıntılı bir şekilde inceleyelim. Bu kapsamda yapılan bazı faaliyetler;
E-mail adreslerinin toplanması,
Çalışanların sosyal ağlardaki bilgilerinin toplanması
Basın açıklamaları, iş ortakları bilgileri , konferans katılım listelerinin toplanması
İnternete bakan sunucuların keşfi
Savunan taraf açısından keşif faaliyetinin tespiti çok zordur.Keşiften sonra dahi olsa bunun tespiti savunma tarafına saldırganın amaçları doğrultusunda önemli bilgiler verebilir. Savunma tarafı herhangi bir keşif varsa tespiti için aşağıda sıralanan faaliyetleri yerine getirebilir.
Silahlanma
Saldırganlar yapacakları saldırının hazırlık safhasındalar Zararlı yazılım bazı özel araçlar kullanarak hazırlanır. Uzaktan erişime yönelik yazılımı, otomatikleştirilmiş bir araç (İstismar Kiti Exploit Kit EK) vasıtasıyla PDF veya MS Ofice dökümanları gibi masum görünümlü bir dosyaya eklerler. Bu kapsamda yaptıkları bazı faaliyetler;
Savunma tarafının anlaması gereken önemli bir aşamadır. Saldırı esnasında saldırganların silahlarının nelerden oluştuğu anlaşılmasa bile zararlı yazılım ve göstergelerin detaylı incelenmesi sonucunda anlaşılabilir. Bu kapsamda yaptıkları bazı faaliyetler,
Dağıtım
Dağıtım aşamasında zararlı yazılımın hedefe nasıl gönderileceğine ve kurumun ağına nasıl bulaştırılacağına karar verilir. Genellikle oltalama ile bir e-mail bir dosya içerisinde veya zararlı bir adrese yönlendiren bir linki kullanıcının tıklamasını sağlayarak veya hazırlanan ]zararlı yazılım USB bellek ile bir şekilde sisteme bulaştırılmaya çalışır. Zararlı yazılımın sisteme bulaştırılması konusu saldırganlar zararlı yazılımı hedefe göndererek operasyonlarına başlarlar. Bu kapsamda yaptıkları bazı faaliyetler;
Bu savunma tarafı açısından saldırıyı bertaraf etmek için ilk ve en önemli fırsattır. Bu kapsamda yaptıkları bazı faaliyetler;
Dağıtım aracını inceleme
Hedeflenen sunucular , insanlar , görev ve sorumlulukları anlamaya çalışma
Saldırının gün içinde başlama saatini inceleme
E-mail , web loglarının adli bilişim işlemleri için toplama
İstismar
İstismar aşamasında hedef sistemlerdeki açıklar istismar edilir. Zararlı yazılımların sisteme kurulması için fark edilmeden uzaktan erişim ile hedefe erişim sağlanması amaçlanır.İstismar kiti gönderildikten sonra saldırganlar erişim sağlayabilmek için hedef makinedeki zafiyetleri kullanmak zorundadır. İstismarların çoğu uygulama veya işletim sistemlerine yöneliktir , ancak direkt kullanıcılar da hedef olarak seçilebilir. Zeroday tabiri bu aşamada kullanılan istismar kodudur. Bu kapsamda yaptıkları faaliyetler ;
Savunma tarafı açısından bu aşamada tedbirleri sıkılaştırmak ilave dayanıklılık getirir, ancak Zero Day istismarını durdurmak için ilave tedbirler de gerekir . Bu kapsamda yapılacak bazı faaliyetler;
Çalışanlara farkındalık ve e mail test eğitimi verme
Web tasarımcılarına güvenli kod yazma eğitimi verme
Düzenli olarak açık taraması yapma ve sızma testi icrası
Son kullanıcı tedbirlerini sıkılaştırma
Yönetici ayrıcalıklarını sınırlama
İstismar kaynağının tespiti için son kullanıcı terminallerini adli bakış açısıyla denetimini yapma
Kurulum
Saldırganın sistemlere uzaktan bağlanabilmesi için gerekli uygulamaların kurulumunun yapıldığı aşamadır . Saldırganlar uzaktan erişerek uzun süreli erişim elde etmek için trojan veya arka kapı yazılımlarını kurbanın sistemine yükler bu kapsamda yaptıkları bazı faaliyetler;
Savunma tarafından kullanıcı terminallerinde sunucularda güvenlik duvarlarında vb. aktiviteleri tespit etmek amacıyla loglama yazılımı kurulur ve zararlı yazılım analizi yapılır. Bu kapsamda yapılan bazı faaliyetler;
-HIPS (Host based IDS) alarmları veya engellemelerinin incelenmesi
-Zararlı yazılımın yönetici yetkisi gerektirip gerektirmeyeceğinin tespit edilmesi
-Anormal dosya oluşturmalarının terminaller tarafından takibi
-Zararlı yazılımın eski veya yeni olduğunun tespiti için compile edilme sisteminin takibi
Komuta Kontrol
Ele geçirilen host bir komuta kontrol (C2) kanalı oluşturmak için dışarıya gönderir. En bilinen C2 kanalları web , DNS ve e-mail protokollerindedir. (C2) oluşturulduktan sonra[ klavye ve farenizin kontrolü artık saldırgandadır (C2) alt yapı saldırgana ait veya saldırgan tarafından ele geçirilmiştir başka bir kuruma ait olabilir. Savunma tarafının C2 kanalının tesisini engellemek suretiyle saldırıyı önlemek için bu aşama son şansıdır.Saldırgan komut gönderemezse saldırı gerçekleşmez. Bu kapsamda savunma tarafının yapabileceği bazı faaliyetler;
Hedeflere Yönelik Aktiviteler
Sıralanan altı aşamayı geçtikten sonra saldırgan hedeflerini yerine getirmek için amacına göre ele geçirdiği sistemden başka sistemlere saldırı gerçekleştirebilir veya veri hırsızlığı, verileri silmek bozmak veya değiştirmek gibi bu kapsam yaptıkları bazı faaliyetler;
-Güvenlik sistemlerini devre dışı bırakma
-Kullanıcı bilgilerini toplama
-Yetki yükseltme
-Dahili keşif
-Ağ ortamında yatay dolaşım
-Veri toplama ve çıkarma
-Sisteme ait bazı servisleri durdurma
-Verileri bozma ve üstüne yazmaa
-Verileri değiştirme
Saldırgan sistemde ne kadar çok kalırsa verilebileceği zararlar da o kadar artar. Savunma tarafı adli bilişim incelemesi neticesinde tespit ettiği bilgi ve bulguları kullanmak suretiyle saldırganın faaliyetlerini tespit edip engellemeyi çalışır. Bu kapsamda yapabileceği bazı faaliyetler;
Mandıant Attack Lıfe Cycle
Karmaşık siber saldırıların bir yaşam döngüsü şeklinde tanımlandığı Mandıant Attack Lıfe Cycle
Daha çok iç ağ aktivitelerine yoğunlaşmıştır. İlave olarak sekiz adımdan oluşan bu modelde saldırganların ilk izinsiz girişinden sonra tekrarlanan keşif ve yanal hareketlere ait konular ele alınmıştır.
İlk Keşif
Saldırganlar belirledikleri hedef hakkında hazırlık kapsamında münkün olan bilgiyi toplamaya çalışırlar , topladıkları veriler analiz ederler ve saldırı vektörleri kullanacakları saldırı araçlarına karar verirler.
İlk İstila
İlk keşif faaliyeti tamamlandıktan sonra saldırganlar hedef ağa sızmak için çalışmalarına başlarlar. Bu kapsamda daha önce de anlattığımız gibi belirledikleri kullanıcılara yönelik hedefli oltalama saldırılarını e-mail kullanarak yerine getirirler. Bu e-mailler içerisinde zararlı yazılımlar PDF, MS Word veya JPEG gibi dosyalar içerisine gizlenmiş olabilir veya zararlı yazılımların yer aldığı web sitesine yönlendirecek bir link olabilir. Başla bir yöntem , kullanıcıların sıklıkla ziyaret ettikleri web sitelerini ele geçirecek zararlı yazılımın web sayfasını ziyaret eden kullanıcıların bilgisayarlarına buluşmasını sağlamak olabilir.
Yerleşme
Zararlı yazılım hedef ağdaki bilgisayarlardan birine bulaştırıldıktan sonra, saldırganın erişimi için dışarıya bir bağlantı açar. Bu şekilde saldırgan fark edilmeden sisteme ulaşıp faaliyetlerine başlayabilecektir.
Hak Yetki Yükseltme
Saldırganlar ağa girdikten sonra mümkün olan en fazla bilgiyi toplayabilmek veya mümkün olan en fazla zararı verebilmek amacıyla hak/yetki yükseltme çalışmalarına başlar. Hak/ yetki yükseltme teknik ve yöntemlerini örnekleriyle siber saldırı aşamalarını anlatacağımız bir sonraki bölümde ayrıntılı bir şekilde inceleyeceğiz.
İç Keşif
Saldırganlar ağda yetkilerini yükselttikten veya yetkili bir hesabi ele geçirdikten ya da yeni bir hesap oluşturduktan sonra bu hesabı kullanarak bu ağdaki diğer sistemleri keşfetmeye ce istedikleri diğer verilere ulaşmak için araştırma hedeflere göre , ağda yer alan diğer cihazları servisleri incelerler.
Yayılım
Saldırganlar ağda elde edebilecekleri bilgileri veya yapabileceklerini geliştirme kapsamında , ağda dolaşmaya başlarlar. Hedeflerine bağlı olarak ağdaki birçok cihaza nüfuz edip ağa iyice yayılırlar. Savunma tarafı açısından bu noktayı geçmiş bir saldırının durdurulması çok zordur . Yayılma teknik ve yöntemlerini örnekleriyle siber saldırı aşamalarını anlatacağımız bir sonraki bölümde ayrıntılı bir şekilde inceleyeceğiz.
Yerini Sağlamlaştırma
Bu aşamaya kadar saldırganlar ağda yer alan bir çok cihaz ve sistem tespit etmiş, bazılarına erişim sağlamış , arka kapıları (backdoor) kurmuştur. Saldırganların bu aşamadaki amacı ağda yerini sağlamlaştırmaktır. Ele geçirdikleri cihazlardan biri tespit edilse bile diğerleri yedekte bekler ya da arka kapılarından biri bulunsa dahi diğerleri hala onların emrindedir.
Görevi Tamamlama
Nihai amacı veri çalmak olan hedefi saldırılarda görevin tamamlanması mümkün olan en fazla verinin dışarı çıkarılmasıyla gerçekleştirilir . Saldırganlar topladıkları verileri genellikle parola korumalı sıkıştırıp şifreli hatlar üzerinden dışarı çıkarmaya çalışırlar.
Yukarda açıklanan modellerde farklı isimlendirmeler veya aşamalar yer alsa da bir siber saldırıyı genel anlamda üç safhaya bölebiliriz. Bunlar keşif , saldırı ve saldırı sonrasıdır. Keşif , erişim sağlama erişim idamesi ve izleri silme safhalarını takip ederek bir siber saldırıyı aşama aşama yerine getirmektedirler.
Facebook Twitter İnstagram
Son düzenleme:
)
