Siber güvenlik dünyasında son yılların önemli konularından biri APT olarak karşımıza çıkmaktadır. Farklı tanımları olsa da APT – Advanced PErsisten Threat- kısaca hedef odaklı karmaşık ve kalıcı tehditler anlamına gelmektedir ki burada her bir harfi önem taşımaktadır. Klasik arz talep dengesi mantığıyla hareket edildiği için piyasada hızlı bir şekilde APT engelleme ürünlerinin çıkmaya başladığını görmekteyiz. Bu ürünlerin bir kısmı gerçekten APT kavramını karşılar nitelikte olsa da büyük çoğunluğu klasik Antivirüs/IDS ve Antimalware ürünlerine yapılan makyajla APT olarak sunulmasıdır.
Bu yazıda APT ürünü seçerken nelere dikkat edilmeli ve APT ürünü demoları nasıl gerçekleştirilmeli gibi konulara değinilmektedir. BGA olarak iki yıldır farklı APT engelleme sistemi üreticilerinin ürünlerini test ediyoruz, yazıda bu konudaki tecrübelerimizi bulabilirsiniz.
Yazıya başlamadan önce temel olarak bilinmesinde fayda olan bir şey var ki, profesyonel olarak tasarlanmış, internette bulunan hazır araçlar harici özel geliştirilmiş açıklık ve araçlar kullanılarak gerçekleştirilen APT saldırısını sihirbazvari bir ürün ile yakalamak veya engellemek mümkün değildir. APT ürünlerini konumlandırırkan geri kalan Firewall, IPS, WAF, Antivirüs, AntiSpam, DLP, ADS vs gibi ürünlerin yakalayamayacağı %5’lik küçük ama değerli alanı hedeflemek gerekir.
APT Ürünü Seçim Kriterleri
APT ürünü alımı öncesinde min. sağlaması gereken özellikler aşağıda yazılmıştır.
- Internetten gelebilecek tehditler için Web ve SMTP üzerinden indirilebilecek çalıştırılabilir dosyaları kontrol edebilmeli(sadece exe veya pdf değil diğer ikili dosyalar da dahil)
- E-posta üzerinden gönderilen oltalama maillerindeki linklerin veya çalıştırılabilir dosyaların son kullanıcıya ulaşmadan incelenmesi.
- Cloud üzerinden istihbarat paylaşımı desteği olmalı
- Hiçbir şekilde internete bilgi göndermeden/almadan offline olarak inceleme yapabilmeli (sandbox)
- Inline olarak ve active response modunda konumlandırılabilmeli
- Internet’den indirilmemiş ama usb, dosya paylaşımı vs gibi yöntemlerle sistemlere bulaşmış zararlı yazılımlara ait call-back bağlantılarını yakalayabilme.
- IP reputasyon veritabanı kullanarak gün yüzüne çıkmamış komuta merkezlerine olan bağlantıları tespit edebilmeli.
- False pozitif değerleri düşük olmalı
- Gerektiğinde dosya sunucuları yedekleme sunucuları da offline olarak tarayabilmeli
Türkiye’de Aktif Olarak Satışı/Desteği Olan APT Çözümleri
- Fireeye
- Trend Micro DeepSecurity
- Palo Alto Wildfire
- Mcafee Advanced Threat Defense
- Checkpoint Threat Prevention
- Bluecoat
- Cisco Sourcefire FireAmp
APT Ürünü Demo/POC Çalışması
Bu konuda genellikle yapılan hata APT ürününün ağ altyapısına yerleştirerek klasik IDS/IPS veya benzeri işlev gören AntiVirüs ürünleri benzeri ortamdaki zararlıları keşfetmesini beklemektir. APT ürünleri imza tabanlı ürünler gibi davranırsa amacını yerine getirmemiş olur, iyi çalışan bir APT ürününden beklenen diğer çözümlerin kaçırdığı, yakalayamadığı karmaşıklıktaki zararlıları false positive olmadan ortaya çıkartmasıdır.
Bu sebepten “ortama koyduk bir ay boyunca bir şey yakalamadı, demek ki bu ürün kötü veya bizim APT’e ihtiyacımız yok” sık karşılaşılan hatalı bir düşüncedir. APT ürünlerinin ayda yılda oluşabilecek ve klasik güvenlik sistemleri tarafından yakalanamayacak türde ataklara karşı yerleştirildiğini bilmek gerekir. APT ürünü demosu yaparken aşağıdaki maddelere dikkat etmek ve bunların sonuçlarını bir Excel tablosu olarak satın alma kriterlerine eklemek doğru bir adım olacaktır.
APT Testleri icin oluşturulması gereken ortam:
Kurumların tercih ettiği ana işletim sistemlerinden birer adet kurulmalı, özellikle APT ürünlerinin çoğunun 64 bit desteklemediği gözönünde bulundurulduğunda kurumun kullandığı işletim sistemleri daha fazla değer kazanmaktadır. Standart Windows XP desteği olup diğer işletim sistemlerini ve mimarilerini desteklemeyen bir APT çözümü gerek ortamda bir işe yaramayacaktır zira kurumların büyük çoğunluğu artık XP/7 ve benzeri işletim sistemlerini birlikte kullanmaktadır.
Demo ortamında bulunması gereken asgari işletim sistemleri
- Windows XP 32/64 bit
- Windows 7 32/64 bit
- Windows 8 32/64 bit
Bu sistemlerden bir kısmı üzerine(32 bit olanlara) güncel Antivirüs yazılımı yüklenmelidir. APT ürününün AV’nin tanıyamadığı özellikteki zararlıları da tanıdığından emin olmak gerekir.
APT Ürünü Yerleşimi (Demo Amaçlı)
Ürünün hem pasif hem de aktif (inline mod) özelliklerinin test edilebilmesi için farklı iki konuma yerleştirilerek test edilmesi , inline yerleştirildiğinde varsa önünde içerik filtreleme sistemi ve IPS’i de aktif etmek ve APT ürünü tarafından yakalanabilecek zararlı dosya ve hareketlerin diğer ürünler tarafından yakalanıp yakalanmadığından emin olmak gerekir.
APT Testleri
Bilinen Zararlı Yazılım Testi
Google ve benzeri arama motorları kullanılarak internet üzerinden 15 adet bilinen zararlı yazılım dosyası indirerek aradaki sistemin bunları yakalayıp yakalamadığı not alınmalı.
SMTPS/HTTPS Üzerinden Zararlı Dosya İndirme ve Tespit Testleri
Zararlı yazılım geliştiricileri tarafından çok tercih edilmese de Network güvenlik sistemleri tarafından çoğunlukla incelenmediği bilinen SSL/TLS trafiği kullanılarak zararlı yazılım bulaştırma denemeleri de APT testleri kapsamında gerçekleştirilmelidir. İyi bir APT ürününden SSL/TLS trafiğini sonlandırabilmesi ve içinde geçen dosyaları ayıklayarak zararlı yazılım kontrolündeen geçirebilmesi beklenir. Burada bazı APT ürünleri pasif inceleme (trafiği önce yakala, kaydet sonra da gecerli CA ile tekrar aç…) yaptığı için PFS(Perfect Forward Secrecy) kullanılan sitelerde bu yöntem işe yaramayacaktır. Bir Alt test maddesi olarak PFS destekli site üzerinden de APT testi yapılmalıdır.
PFS Destekli HTTP Sunucu Kullanarak Pasif SSL Offload Testleri
PFS destekli http sunucu kurup üzerinden zararlı fonksiyonlar içeren ikili dosyaların transfer edilmesi esnasında APT sisteminin bunları yakalayıp yakalamadığı test edilmelidir.
SSL/TLS Üzerinden Call-back yapan Zararlı Yazılım Testleri
Bu test aşamasında amaç HTTP veya benzeri bir kanaldan(açık ve okunabilir) elde edilmiş zararlı yazılımlar çalıştırıldıktan sonra internete doğru komuta merkezine bağlanırken şifreli iletişim kullanırsa APT ürünü tarafından yakalanıp yakalanmadığının test edilmesidir.
SMTP Testleri
Bulaşan zararlı yazılımların çoğunluğu ya e-posta içinde link olarak gelir veya e-posta eklentisi olarak gelir. İyi bir APT ürünü hem e-posta içinde geçen linkleri inceleyebilmeli hem de e-posta ile birlikte gelen eklentileri kendi kum havuzunda (Sandbox) inceleyerek karar verebilme yeteneğine sahip olmalıdır. Bunun için E-posta üzerinden farklı adreslerden aşağıdaki uzantılarda zararlı yazılım/fonksiyon içeren ikili dosyalar hedef sisteme gönderilmeli ve APT ürününün bu trafikleri yakalayıp yakalamadığı tespit edilmelidir.
Bu test aşamasında amac APT sistemini denemek olduğu icin AntiSpam ürünleri devre dışı bırakılmalı veya mail gönderilecek test hesabı icin beyaz liste oluşturulmalıdır.
- zararlı yazılım içeren pdf uzantılı e-post
- zararlı yazılım içeren exe.pdf, exe uzantılı e-posta
- zararlı yazılım içeren xls,xlsx, doc,docx uzantılı e-posta
- zararlı yazılım içeren jar ve zip uzantılı e-posta
Bilinen Browser tabanlı Exploitlerin Test Edilmesi
Yazınn başlangıcında APT ürünlerini sadece Antimalware kategorisinde düşünmemek gerektiğinden bahsedilmiştir, buradan hareketle APT ürünlerinin işletim sisteminde çıkan ve sistemi sömürmek için kullanılan çeşitli exploitlere karşı da koruma sağlaması gerekir. Bazı APT ürünleri bunu birlikte geldikleri IPS fonksiyonları ile icra edebilmektedir. Bu test aşamasında Internet Explorer , Java , Flash benzeri 3-4 farklı üreticiye ait yeni çıkmış güvenlik zafiyetlerini Metasploit kullanarak simule edip test makinelerinden bu sayfaları ziyaret etmek ve APT ürününün engelleyip engellemediği test edilmelidir. Özellikle Metasploit ile birlikte gelen evasion teknikleri de kullanılmalı ve APT ürününün atlatma yöntemlerine karşı ne kadar korumaya sahip olduğu tespit edilmelidir.
Pdf, jar, xls gibi çalıştırılabilir zararlı dosyaların Testleri
Internet üzerinden indirilebilecek şekilde hazırlanmış ve içinde zararlı fonksiyonlar barındıran pdf, jar, zip, xls, exe gibi çalıştırılabilir dosyalar hazırlanmalı ve bu dosyalar APT tarafından korunaklı test sistemleri üzerinde açık kanallar üzerinden indirilerek çalıştırılmalı.
USB ve Paylaşım Üzerinden Aktarılan Zararlı Yazılım Testleri
USB veya dosya paylaşımı gibi offline bir metodla bulaştırılmış dosyalara ait call-back bağlantılarının APT ürünü tarafından yakalanıp yakalanmadığı test edilmeli. Bunun icin ilk aşamada farklı kanallardan indirilen 15 adet malware ve Veil gibi yazılımlar tarafından oluşturulmuş ikili dosyalar çalıştırılmalı, sonuçları not edilmeli.
Antivirüs Atlatma ve APT Testleri
Internet üzerinde antivirüs yazılımlarından kaçınmak amacıyla kullanılan smbexec ve Veil gibi yazılımlar kullanılarak üretilecek ikili dosyaların APT ürünü tarafından yakalanıp yakalanmadığı test edilmeli.
12 Yorum
APT ürünleri için Magic Quadrant var mıdır ? Gartner ya da forrester raporu ?
Merhaba,
Sadece yanlış bir bilgiyi düzeltmek adına, FireEye için dosya boyutu varsayılan olarak 3 MB olsa da bu değer değiştirilebiliyor.
McAfee , Fireeye ve TrendMicro denendi. 3 ürünü de kendi yazdığım apt ile atlattım. Atlatma yöntemi de öyle dandirik yok timezone'a bakarım, device id kontrol ederim, büyük boyutlu memory tahsis ederim filan değil, doğrudan bluepill türevi privilege instructionların side effectlerini analiz ederek yaptım. Ama sonuçta her üründe kurumumuza 3.party iş kritik uygulama geliştiren firmanın activex yolu ile kullanıcıya yüklemeye çalıştığı masum görünümlü zararlıyı yakaladı ve dibine kadarda analiz sonucunu raporladı. Şimdi soru şurada ortaya çıkıyor! Ben veya bir başkası bypass edebiliyor diye bu ürünler gereksiz mi? Yoksa her şeye rağmen mevcut hiç bir güvenlik ürününün (ips,firewall,av,siem,dam etc..) varlığından haberdar olamadığı potansiyel zararlıyı bulduğu için satın alınmaya layık mı? Bu sorunun cevabını verdikten sonra çözüm üretici firma üzerinde seçim yapmak daha doğru olur kanaatindeyim.
Selamlar,
Çok güzel bir başlığa dönüşecek gibi görünüyor. Sanırım ürünlerde bir hata var, Trend'in ürünü Deep Discovery diye biliyorum.
Merhaba,
Ben email güvenliği için Fireeye'ın Email Security sağlayan ve SMTP içinde gelen zararlı dosyaları analiz eden ve engellemek üzere EX modelini test ettim, maalesef MTA modda (inline) koymak bize zor anlar yaşattı, cihaz ilk başta düzgün çalşıyordu ama bir süre sonra emailler gelmemeye başladı, cihaz analiz ettiği mailleri biriktirip yaklaşık 30 dakikada bir bulk şeklinde Exchange sunucusuna yollamaya başladı, exchange server aynı anda ve tek seferde mailler gelince dağıldı :(( BCC mode en garantilisi!
Tekrar merhaba ,
2 ürünü deneyen arkadaşım söylediklerine katılıyorum ve eklemek istiyorum bizim de yaptığımız testlerde,
malware bulunan web sayfasından indirdiğimzi sample ları daha indirme aşamsında trend micro nun gördüğünü ve dosyaların (xls,pdf,exe,cab,jar) içinde trojan ve virus ler olduğunu farkettiğini ve rapolaradığını gördüm,yaklaşık 8 zararlı indirdim test makineme ve trend micro 8 ini de görürken fire-eye 3 te kaldı , ben fire-eye ın çalışma mantığını anlamadım , inline koyduğumuzda web den gelen zararları ilk sefer geçiyor dediler ve analiz ettikten sonra tekrar indirilmek istendiğinde indirmemesini bekliyordum fakat indirebiliyorum dosyaları bunu engellemiyor,anlıyorum fire-eye bir av kadar basit değil !!!??? fakat eğer sadece zer-day için yazılmışsa ve bilinenleri yakalamıyorsa o zaman bilinen olduğunu kıyasladığı bir malware veritabanı olmalı ki bu durumda da aslında trojan leri de yakalabiliyor olduğu halde yakalamamış oluyor . yani bana sorarsanız ben apt lerin şu an için çok ta hazır olduğunu ve verilen paraya değeceğini sanmıyorum.istedikten sonra fire eye da atlatılabilir,trend micro da bunu da unutmamak lazım.şöyle de bir örnek verip bu konuyu kendi adıma kapatıyorum,fire-eye mail den gelen bir zararlıyı yakaladı ve zararlı dedi ve zero day olduğunu söyledi buraya kadar güzel,ben bu zararlıyı web e update ettim ve indirmek istedim fire-eye ın web tarafı aynı dosyayı indirmeme engel olmadı uyarı vermedi.
bence bu konu güzel olmuş burada deneyimlerini paylaşırsa insanlar faydalı olacaktır bu yatırımı yapmak isteyen şirketlere.
saygılar.
Merhaba,
Makale için teşekkür ederiz Huzeyfe Bey,
bizde su anda iki üretici ile demo calısması yapıyoruz, hatta demoların pen testi süreçlerine denk gelmesi bizim için ayrıca anamlı oldu. Test ettiğimiz ürünler, Fireeye ve Trend Micro. APT konusunda Fireeye tam bir pazarlama stratejisi ve aslında dediğiniz gibi güvenlik’in sadece kutu ve kutu bütünü olarak olmayacağına tanık olduk. Aynı anda iki kutu aynı trafiği dinlemeye başladık ve şöyle olaylarlar gelişti, Umarım herkes için faydalı bir paylaşım olacaktır, şöyle:
Fireeye ilk başta inline olarak olması hosumuza gitti ve malware yakaladığını ve kestiğini gördük, yalnız pen testleri sırasında güvenlik danışmanı fireeye’ın limitlerini incelediğini, inline durumunda iken nasıl cihazını atlattığını gösterdi, tam olarak hangi teknikleri uyguladığını söylemedi ama dosya büyüklüğü ve kullandığı sandbox ing yönteminde çok büyük eksiklikler olduğunu göstermiş oldu. işin daha ilginç yanı bazı limitasyonların hardcoded olarak olduğunu duyduğunu iletti. Turkiye’deki yetkili kişiler dosyaların örneklerini istediler ama tabii ki tahmin ettiğiniz gibi sonrası uzun hikaye. update yapalım etc….
Özellikle makalede bahsettiğiniz SSL trafiğinde Fireeye şu an için bir çözüm sunamadı. Trend Micro tarafı ise SSL Inspection tarafını Palo Alto ile çözdüğünü anlattı ve test edelim istedik, Sanırım özel geliştirilen bir API’leri sayesinde whitelist, blacklist ve botnet ip’lerini aktarıp Palo Alto bunları kesebiliyor. Aynı zamanda Palo Alto’da sonlandırılan SSL trafiğini cihaza yönlendirip SSL inspection yapabildik. Bu bizim için çok önemli bir kriter oldu.
Trend Micro özellikle 100’den fazla protokol analizi yaptığını söylediğinde ilk başta çok önemli bir fark olmadığını düşündük ama Pen testleri sırasında Remote Registry, RPC, PSExec, SQL ve VMI üzerinden yapılan testleri yakaladı, Fireeye tarafında herhangi bir log göremedik. Bunun önemli diğer bir ayrıntı olabileceğini düşünüyorum.
Şu sıralar 3 ürünü inceliyoruz , wildfire , trend micro , fire-eye .
trend micro da gördüğüm eksiler , mirror olarak çalışması ve bu şekilde çalışırken tcp-reset dönerek engelliyor demeleri fakat bu şekilde engellemeyi pratikte uygulamamış olmalarr.yine eğer trend micro yu alıp işe yarar hale getirmek istiyorsak , bol bileşenli lego vari bir yapı oluşturmak şöyle ki ;
trend micro dd alıyorsunuz şayet av tarafı trend değilse mitigator koyuyorsunuz ve son kullanıcıya ajan yükleyerek engelliyorsunuz , mitigator kullanmıyorsanız , trend web tarafını alıyorsunuz entegre çalışıyor,ve yine mailtarafını da alıp entegre ediyorsunuz alın size sorun olduğunda içinden çıkılamayacak bir yapı 🙂 dosya boyutu her protokol için maks 50 mb olması burada fire-eye noktasında bir soru işareti getiriyor.fire-eye inline giriyor güzel hoş fakat fiziksel olarak port sayısı ticari olarak ayarlanmış,kutular pahalı oldukça pahalı,mesele en büyük kutudan 1 tane alıp 2 firefall umun arasına alamıyorum illa iki tane fire-eye almam gerekiyor , web tarafı 3 mb ile sınırlı olması neden trend bunu koz olarak kullanıyor sorusunu akla getiriyor , sahi neden apt de dosya boyutu bu kadar ufak tutuluyor performans kaybı haricinde ? çünkü bu alet 3,1 mb olursa bypass ediyor.wildfire a da değinelim biraz eğer firewall palo alto ise para verip almaya gerek yok bence , çünkü wildfire bu alanda bence en yetersiz ürün diyebiliriz,tek bir örnek veriyorum , kutuyu aldınız koydunuz kutu sandbox etti bulamadığında yine cloud a çıkıyor dosyayı ne kadar saçma değil mi ? o zaman kutu almanın anlamı nedir cloud dan farkı ne ola ? kamunun ilk şikayeti ben dosyamı internete çıkmak istemiyorum 🙂 kimse kusura bakmasın fakat kimsenin kamudaki personelin torrentten indirdği filmi clouda çıkma niyeti yokaslında,risk pdf,xls…vs gibi dosyalarda.kişisel kanaatim ve incelediğim kadarıyla wildfire ın cloud versiyonu trend ile aynı işi yapıyor fakat fire-eye ile aynı işi yapamıyor.firewall olarak palo alto var ise ve içimiz rahat etsin deniliyorsa fire-eye dan yanayım fakat burunlarından kıl aldırmamazlıktan vazgeçerlerse onlar için iyi olur,kendilerini sektörde 1 numara olarak görüyorlar biraz sakin olalım atlatmak kolay değil mi istedikten sonra sonuçta dosya boyutu gibi bir kısıtlama var.
trend diyor ki ;
1-tükçe işletim desteği ben de var kimsede yok.
2-dosya boyutum sadece mail tarafı için değil tamamı için 50 mb.
3-sanalıma istediğin işletim sistemini import edebilirsin.
fire-eye diyor ki;
1-dosya boyutu önemli değil yapılan incelemeler sonucu 3-4 mb lik dosyalara eklenmiş malware ler.(yetersiz cevap)
2-türkçe işletim sistemi önemli değil , çekirdek aynı(işletim sistemi uzmanı değilim bu sebepten sizin görüşünüzü almak siterim Huzeyfe bey)
3-sanalım kapalı,başka da bir şey import etmene izin vermiyorum vermem,vermeyeceğim,o sanal benim arkadaşım 🙂
wildfire diyor ki;
…
yazdıklarımı okum asabrı gösterdiyseniz Huzeyfe hocam sizden tarafsız bir yorum alabilirim siz ce dosya boyutu , dil desteği gibi yazdıklarım arasında soru olarak geçen şeyler önemli midir değil midir , cevaplarsanız sevinirim,
saygılar.
APT konsept olarak daha yeni bir kavram, -4 yıllık bir populer gecmise sahip (her ne kadar 10 yıl oncesinde bu kavrami kullanan ceistli makaleler vs ola da dünya son 3-4 yılda duymaya basladi), bir de sihirbazvari bir ürünle gecistirilemeyecek kadar onemli bir kavram dolayısıyla bir ürün aldım bu is oldu dusuncesi yanlıs ama kurumsal is düzeninde malesef ki bir ürün alayım sorunu cozeyim anlayisi cok yaygin oldugu icin insanlar hap misali cozum istiyor, burada APT ürünleri gönül rahatlatmak icin devreye giriyor. Yoksa bana gore iyi bir APT icin once iyi bir SOC kurulması, SIEM cozumlerinin ve kıdemli uzmanların olması sart.
Şuan çok aktif olan bir konuya Türkiye özelinde tepeden bakan geniş kapsamlı bir çalışma olmuş. Emeğiniz için teşekkürler. Ancak burada konuyu çepeçevre işleyerek olması gereken özellikleri anlatmanıza rağmen bu belirttiğiniz özellikleri en azından belli ölçüde karşılar bir ürün ne yazık ki henüz yok. Burada mükemmellikten bahsetmiyorum. Sadece "APT" sloganıyla markete sunulan bir ürünün sizin de belirttiğiniz genel özelliklerin hepsini karşılaması gerekiyor. Ama ne yazıkki bu ürünlerin karması bir ürün bile bunu yapmaya çok uzak. Bu konunun en azından şuan için köpük olduğunu düşünüyorum. Bu konsept çok gerekli ama başta browser bazlı açıların tespiti kullanıcıya yansıtılmaması olmak üzere ssl trafiğin incelenmesine kadar çözümden çok uzakta.
Siz ne dersiniz? Yoksa genel güvenlik konsepti gereğince olduğu kadar koruma getirmesi bile bir güvenliktir mi dersiniz?
Bence olgunlaşmamış bir güvenlik ürünü pratikte BT altında kaos dışında birşey getirmiyor.
BGA Fireeye satmiyor ama burada yazılı tüm ürünleri test edip cesitli musterileri icin oneriler sunuyor. Yazılı maddelerle ilgili "teknik" yorumlarınız varsa onları da görmek, eklemek isterim.
bga fireeye mı satıyor? manidar olmus yorumlarınız 🙂