THT DUYURU

 
 
Siber Güvenlik Siber Güvenlik ile alakalı araçların kullanımı, bilgi paylaşımı ve siber güvenlik eğitimi ile ilgili kaynakların paylaşıldığı alanımızdır.

Seçenekler

Siber Saldırı Modelleme

BÖKE - ait Kullanıcı Resmi (Avatar)
İstihbarat Tim Lider Yardımcısı
Üyelik tarihi:
08/2016
Mesajlar:
8.661
Konular:
1240
Teşekkür (Etti):
985
Teşekkür (Aldı):
2914
Ticaret:
(0) %
12
2543
01-12-2020 17:28
#1

Tehditlerin sistemlerinizi nasıl etkileyeceğini anlamak için öncelikle gerçek bir siber saldırının bileşenlerini anlamanız gerekir. Güvenlik organizasyonları siber saldırıları temel aşamalarına ayrıştırmak için farklı modeller ortaya çıkarmışlardır. Esas olarak saldırganın kısmen de sistem sahiplerinin perspektiflerinden bakarak siber saldırı modellerini aşama aşama inceleyeceğiz.

Siber saldırı modellerinde öne çıkan iki model bulunmaktadır: Cyber Kill Chain ve Mandiant Attack Life Cycle modelleridir. Siber saldırı modellerinin ardından güncel örnekler vererek bir siber saldırının safhalarını ve son olarak tehtid yaşam döngüsünü inceleyeceğiz.




CYBER KILL CHAIN

Siber saldırı modellerinden ilk olarak inceleyeceğimiz , bir siber saldırnın anatomisini açıklamak için savunma uzmanı Lockheed Martin tarafından geliştirilen Cyber Kill Chain isimli modeldir. Birbirini takip eden yedi aşamadan meydan gelen Cyber Kill Chain , hedeflenen ağı ele geçirip , veri hırsızlığı , Dos veya sistemlere zarar verme gibi zararlı eylemleri başarılı bir şekilde yerine getirebilmek için saldırganın izlemesi gereken adımları göstermektedir. Bu modelde tanımlanan siber saldırı aşamaları aşağıdaki tabloda sunulmuştur.





İsimleri belirtilen aşamaları , her bir aşamada saldırgan yapılan muhtemel faaliyetleri de belirterek ayrıntılarıyla inceleyelim.



Keşif


Saldırganlar operasyonlarını planlama aşamasındadırlar. Hangi hedefin ulaşmak için kullanabileceğinin araştırmasını yaparlar. Hedef belirlendikten saldırının geliştirilebilmesi için gerekli bilgiler toplanmaya başlar.

Ip adresleri , ağ üzerindeki kullanıcılar ve çalışan servisler hedefin tam mimarisi , çalışan bilgileri , e-mail adresleri , telefon numaraları gibi , keşif çalışmaları , sosyal mühendislik ve sosyal medya araştırmalarının yanı sıra iz sürme , tarama ve listeleme gibi bazı yöntemler kullanılarak birbirini takip eder şekilde tamamlanır. Faaliyetini ve bu aşamada kullanılan araç ve yöntemleri ayrıntılı bir şekilde inceleyelim. Bu kapsamda yapılan bazı faaliyetler;

E-mail adreslerinin toplanması,

Çalışanların sosyal ağlardaki bilgilerinin toplanması

Basın açıklamaları, iş ortakları bilgileri , konferans katılım listelerinin toplanması

İnternete bakan sunucuların keşfi






Savunan taraf açısından keşif faaliyetinin tespiti çok zordur.Keşiften sonra dahi olsa bunun tespiti savunma tarafına saldırganın amaçları doğrultusunda önemli bilgiler verebilir. Savunma tarafı herhangi bir keşif varsa tespiti için aşağıda sıralanan faaliyetleri yerine getirebilir.




Silahlanma

Saldırganlar yapacakları saldırının hazırlık safhasındalar Zararlı yazılım bazı özel araçlar kullanarak hazırlanır. Uzaktan erişime yönelik yazılımı, otomatikleştirilmiş bir araç (İstismar Kiti – Exploit Kit EK) vasıtasıyla PDF veya MS Ofice dökümanları gibi masum görünümlü bir dosyaya eklerler. Bu kapsamda yaptıkları bazı faaliyetler;




Savunma tarafının anlaması gereken önemli bir aşamadır. Saldırı esnasında saldırganların silahlarının nelerden oluştuğu anlaşılmasa bile zararlı yazılım ve göstergelerin detaylı incelenmesi sonucunda anlaşılabilir. Bu kapsamda yaptıkları bazı faaliyetler,





Dağıtım

Dağıtım aşamasında zararlı yazılımın hedefe nasıl gönderileceğine ve kurumun ağına nasıl bulaştırılacağına karar verilir. Genellikle oltalama ile bir e-mail bir dosya içerisinde veya zararlı bir adrese yönlendiren bir linki kullanıcının tıklamasını sağlayarak veya hazırlanan ]zararlı yazılım USB bellek ile bir şekilde sisteme bulaştırılmaya çalışır. Zararlı yazılımın sisteme bulaştırılması konusu saldırganlar zararlı yazılımı hedefe göndererek operasyonlarına başlarlar. Bu kapsamda yaptıkları bazı faaliyetler;








Bu savunma tarafı açısından saldırıyı bertaraf etmek için ilk ve en önemli fırsattır. Bu kapsamda yaptıkları bazı faaliyetler;

Dağıtım aracını inceleme

Hedeflenen sunucular , insanlar , görev ve sorumlulukları anlamaya çalışma

Saldırının gün içinde başlama saatini inceleme

E-mail , web loglarının adli bilişim işlemleri için toplama






İstismar

İstismar aşamasında hedef sistemlerdeki açıklar istismar edilir. Zararlı yazılımların sisteme kurulması için fark edilmeden uzaktan erişim ile hedefe erişim sağlanması amaçlanır.İstismar kiti gönderildikten sonra saldırganlar erişim sağlayabilmek için hedef makinedeki zafiyetleri kullanmak zorundadır. İstismarların çoğu uygulama veya işletim sistemlerine yöneliktir , ancak direkt kullanıcılar da hedef olarak seçilebilir. ‘Zeroday’ tabiri bu aşamada kullanılan istismar kodudur. Bu kapsamda yaptıkları faaliyetler ;








Savunma tarafı açısından bu aşamada tedbirleri sıkılaştırmak ilave dayanıklılık getirir, ancak Zero Day istismarını durdurmak için ilave tedbirler de gerekir . Bu kapsamda yapılacak bazı faaliyetler;

Çalışanlara farkındalık ve e –mail test eğitimi verme

Web tasarımcılarına güvenli kod yazma eğitimi verme

Düzenli olarak açık taraması yapma ve sızma testi icrası

Son kullanıcı tedbirlerini sıkılaştırma

Yönetici ayrıcalıklarını sınırlama

İstismar kaynağının tespiti için son kullanıcı terminallerini adli bakış açısıyla denetimini yapma






Kurulum

Saldırganın sistemlere uzaktan bağlanabilmesi için gerekli uygulamaların kurulumunun yapıldığı aşamadır . Saldırganlar uzaktan erişerek uzun süreli erişim elde etmek için trojan veya arka kapı yazılımlarını kurbanın sistemine yükler bu kapsamda yaptıkları bazı faaliyetler;








Savunma tarafından kullanıcı terminallerinde sunucularda güvenlik duvarlarında vb. aktiviteleri tespit etmek amacıyla loglama yazılımı kurulur ve zararlı yazılım analizi yapılır. Bu kapsamda yapılan bazı faaliyetler;


-HIPS (Host based IDS) alarmları veya engellemelerinin incelenmesi

-Zararlı yazılımın yönetici yetkisi gerektirip gerektirmeyeceğinin tespit edilmesi

-Anormal dosya oluşturmalarının terminaller tarafından takibi

-Zararlı yazılımın eski veya yeni olduğunun tespiti için compile edilme sisteminin takibi






Komuta Kontrol

Ele geçirilen host bir komuta kontrol (C2) kanalı oluşturmak için dışarıya gönderir. En bilinen C2 kanalları web , DNS ve e-mail protokollerindedir. (C2) oluşturulduktan sonra[ klavye ve farenizin kontrolü artık saldırgandadır (C2) alt yapı saldırgana ait veya saldırgan tarafından ele geçirilmiştir başka bir kuruma ait olabilir. Savunma tarafının C2 kanalının tesisini engellemek suretiyle saldırıyı önlemek için bu aşama son şansıdır.Saldırgan komut gönderemezse saldırı gerçekleşmez. Bu kapsamda savunma tarafının yapabileceği bazı faaliyetler;








Hedeflere Yönelik Aktiviteler

Sıralanan altı aşamayı geçtikten sonra saldırgan hedeflerini yerine getirmek için amacına göre ele geçirdiği sistemden başka sistemlere saldırı gerçekleştirebilir veya veri hırsızlığı, verileri silmek bozmak veya değiştirmek gibi bu kapsam yaptıkları bazı faaliyetler;

-Güvenlik sistemlerini devre dışı bırakma

-Kullanıcı bilgilerini toplama

-Yetki yükseltme

-Dahili keşif

-Ağ ortamında yatay dolaşım

-Veri toplama ve çıkarma

-Sisteme ait bazı servisleri durdurma

-Verileri bozma ve üstüne yazmaa

-Verileri değiştirme






Saldırgan sistemde ne kadar çok kalırsa verilebileceği zararlar da o kadar artar. Savunma tarafı adli bilişim incelemesi neticesinde tespit ettiği bilgi ve bulguları kullanmak suretiyle saldırganın faaliyetlerini tespit edip engellemeyi çalışır. Bu kapsamda yapabileceği bazı faaliyetler;








Mandıant Attack Lıfe Cycle


Karmaşık siber saldırıların bir yaşam döngüsü şeklinde tanımlandığı Mandıant Attack Lıfe Cycle
Daha çok iç ağ aktivitelerine yoğunlaşmıştır. İlave olarak sekiz adımdan oluşan bu modelde saldırganların ilk izinsiz girişinden sonra tekrarlanan keşif ve yanal hareketlere ait konular ele alınmıştır.



İlk Keşif

Saldırganlar belirledikleri hedef hakkında hazırlık kapsamında münkün olan bilgiyi toplamaya çalışırlar , topladıkları veriler analiz ederler ve saldırı vektörleri kullanacakları saldırı araçlarına karar verirler.




İlk İstila


İlk keşif faaliyeti tamamlandıktan sonra saldırganlar hedef ağa sızmak için çalışmalarına başlarlar. Bu kapsamda daha önce de anlattığımız gibi belirledikleri kullanıcılara yönelik hedefli oltalama saldırılarını e-mail kullanarak yerine getirirler. Bu e-mailler içerisinde zararlı yazılımlar PDF, MS Word veya JPEG gibi dosyalar içerisine gizlenmiş olabilir veya zararlı yazılımların yer aldığı web sitesine yönlendirecek bir link olabilir. Başla bir yöntem , kullanıcıların sıklıkla ziyaret ettikleri web sitelerini ele geçirecek zararlı yazılımın web sayfasını ziyaret eden kullanıcıların bilgisayarlarına buluşmasını sağlamak olabilir.


Yerleşme

Zararlı yazılım hedef ağdaki bilgisayarlardan birine bulaştırıldıktan sonra, saldırganın erişimi için dışarıya bir bağlantı açar. Bu şekilde saldırgan fark edilmeden sisteme ulaşıp faaliyetlerine başlayabilecektir.




Hak Yetki Yükseltme

Saldırganlar ağa girdikten sonra mümkün olan en fazla bilgiyi toplayabilmek veya mümkün olan en fazla zararı verebilmek amacıyla hak/yetki yükseltme çalışmalarına başlar. Hak/ yetki yükseltme teknik ve yöntemlerini örnekleriyle siber saldırı aşamalarını anlatacağımız bir sonraki bölümde ayrıntılı bir şekilde inceleyeceğiz.


İç Keşif

Saldırganlar ağda yetkilerini yükselttikten veya yetkili bir hesabi ele geçirdikten ya da yeni bir hesap oluşturduktan sonra bu hesabı kullanarak bu ağdaki diğer sistemleri keşfetmeye ce istedikleri diğer verilere ulaşmak için araştırma hedeflere göre , ağda yer alan diğer cihazları servisleri incelerler.





Yayılım


Saldırganlar ağda elde edebilecekleri bilgileri veya yapabileceklerini geliştirme kapsamında , ağda dolaşmaya başlarlar. Hedeflerine bağlı olarak ağdaki birçok cihaza nüfuz edip ağa iyice yayılırlar. Savunma tarafı açısından bu noktayı geçmiş bir saldırının durdurulması çok zordur . Yayılma teknik ve yöntemlerini örnekleriyle siber saldırı aşamalarını anlatacağımız bir sonraki bölümde ayrıntılı bir şekilde inceleyeceğiz.


Yerini Sağlamlaştırma

Bu aşamaya kadar saldırganlar ağda yer alan bir çok cihaz ve sistem tespit etmiş, bazılarına erişim sağlamış , arka kapıları (backdoor) kurmuştur. Saldırganların bu aşamadaki amacı ağda yerini sağlamlaştırmaktır. Ele geçirdikleri cihazlardan biri tespit edilse bile diğerleri yedekte bekler ya da arka kapılarından biri bulunsa dahi diğerleri hala onların emrindedir.





Görevi Tamamlama


Nihai amacı veri çalmak olan hedefi saldırılarda görevin tamamlanması mümkün olan en fazla verinin dışarı çıkarılmasıyla gerçekleştirilir . Saldırganlar topladıkları verileri genellikle parola korumalı sıkıştırıp şifreli hatlar üzerinden dışarı çıkarmaya çalışırlar.


Yukarda açıklanan modellerde farklı isimlendirmeler veya aşamalar yer alsa da bir siber saldırıyı genel anlamda üç safhaya bölebiliriz. Bunlar keşif , saldırı ve saldırı sonrasıdır. Keşif , erişim sağlama erişim idamesi ve izleri silme safhalarını takip ederek bir siber saldırıyı aşama aşama yerine getirmektedirler.




Facebook Twitter İnstagram


---------------------
Konu BÖKE tarafından (13-12-2020 03:05 Saat 03:05 ) değiştirilmiştir.
Vepers - ait Kullanıcı Resmi (Avatar)
Stajyer Moderatör
Üyelik tarihi:
12/2015
Nereden:
İstanbul
Yaş:
18
Mesajlar:
2.482
Konular:
105
Teşekkür (Etti):
198
Teşekkür (Aldı):
2026
Ticaret:
(0) %
01-12-2020 17:30
#2
Elinize sağlık hocam
---------------------
Sort - ait Kullanıcı Resmi (Avatar)
Heyk Meyk Yok
Üyelik tarihi:
10/2019
Yaş:
19
Mesajlar:
958
Konular:
27
Teşekkür (Etti):
163
Teşekkür (Aldı):
556
Ticaret:
(0) %
01-12-2020 17:32
#3
Hocam Gerek Renklerin Doğru Kullanmı, Gerek Konunun Çok Yararlı Olmasıyla Mükemmel Olmuş. Elinize sağlık
kanserojen - ait Kullanıcı Resmi (Avatar)
İstihbaratçı
Üyelik tarihi:
12/2018
Mesajlar:
865
Konular:
90
Teşekkür (Etti):
767
Teşekkür (Aldı):
1219
Ticaret:
(0) %
01-12-2020 17:46
#4
Elinize sağlık hocam
---------------------
𝔦𝔰𝔱𝔦𝔥𝔟𝔞𝔯𝔞𝔱 𝔱𝔦𝔪𝔦

"Squ4LL
ICHIDH - ait Kullanıcı Resmi (Avatar)
Uzman Üye
Üyelik tarihi:
09/2013
Nereden:
Erzurum
Mesajlar:
1.517
Konular:
104
Teşekkür (Etti):
442
Teşekkür (Aldı):
693
Ticaret:
(0) %
01-12-2020 18:13
#5
Güzel ve eksiksiz anlatım olmuş elinize sağlık
CiHaN-i TuRaN - ait Kullanıcı Resmi (Avatar)
Uzman Üye
Üyelik tarihi:
07/2017
Nereden:
Engelli Üye
Yaş:
28
Mesajlar:
1.838
Konular:
236
Teşekkür (Etti):
3346
Teşekkür (Aldı):
787
Ticaret:
(0) %
01-12-2020 18:15
#6
başarılarınız daim olsun.
---------------------
Kod:
Dikkatli Geçirilen Vakit Nakittir..! Kader Zamanı Takip Eder..! Zaman İşe Kaderi Kaderin Çizdiği Yol Başarısız Olsa Bile Başarmak..! Mimar Sinan Gibi İş Yap. Kanun-i Sultan Süleyman Han Gibi Büyü Cesaret insanı zafere , kararsızlık tehlikeye , korkaklık ise ölüme götürür. Sen Onlara Hükmediyorsan Onlar Sana Hükmederler
lionnn - ait Kullanıcı Resmi (Avatar)
İstihbarat Tim
Üyelik tarihi:
04/2020
Nereden:
Martian
Mesajlar:
574
Konular:
28
Ticaret:
(0) %
01-12-2020 22:46
#7
Elinize saglik .
---------------------
Yaz Dostum, Güzel Sevmeyene Adam Denir Mi?


Konu BÖKE tarafından (01-12-2020 23:43 Saat 23:43 ) değiştirilmiştir.
TürK.KuRdU - ait Kullanıcı Resmi (Avatar)
Kıdemli Üye
Üyelik tarihi:
04/2016
Nereden:
'm
Mesajlar:
3.984
Konular:
315
Teşekkür (Etti):
964
Teşekkür (Aldı):
1287
Ticaret:
(0) %
01-12-2020 22:48
#8
detaylı hoş bir konu olmuş emeğine sağlık.
--------------------- hate me, won't break me, I’m killing everyone i love
Profesör - ait Kullanıcı Resmi (Avatar)
Haftanın Asistanı
Üyelik tarihi:
04/2020
Nereden:
-Türkistan-
Mesajlar:
3.752
Konular:
208
Teşekkür (Etti):
749
Teşekkür (Aldı):
2272
Ticaret:
(0) %
02-12-2020 02:44
#9
Eline emeğine sağlık
---------------------
İletişim için
Twitter: PROFESOR_THT
E-posta: [email protected]
Telegram: thtprof

belkiran - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
08/2017
Mesajlar:
118
Konular:
9
Teşekkür (Etti):
90
Teşekkür (Aldı):
35
Ticaret:
(0) %
03-12-2020 10:40
#10
Ellerine sağlık dostum
- Teşekkür etti.

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler