Siber Ölüm Zinciri kavramı Bölüm 6 ile karşınızdayız. Önceki makalemizde Siber Güvenlik Saldırılarının Motivasyon ve Amaçlarından bahsederek Siber tehdit istihbaratı konumuza devam ediyoruz.
Siber ölüm zinciri kavramı ilk olarak askeriyede ortaya çıkmıştır. Lockheed Martin firması, Siber Ölüm Zinciri modelini APT saldırılarını analiz etmek amacıyla siber güvenlik dünyasına uyarlamıştır. Bir saldırının aşamalarını belirlemek ve önlem alma için gerek yöntemlerin geliştirilmesine olanak sağlayan bir metadolojidir. Siber Ölüm Zinciri’nin etkili bir şekilde anlaşılması, bilgi güvenliği uzmanlarına, güvenlik ekiplerine, varlıklarını korumaya yardımcı olacak güçlü kontrolle ve karşı önlemler oluşturmada büyük ölçüde yardımcı olacaktır.
Siber Ölüm Zinciri Metodolojisi
Siber Ölüm Zinciri bir siber saldırının evrelerini ortaya koymaktadır. Bu evreler bilgi toplamadan, sisteme sızmaya kadarki süreci kapsamaktadır. Siber Ölüm Zinciri aynı zamanda savunmasız veya savunması zayıf bir ağın güçlendirilmesine yardımcı olmak için bir yönetim aracı olarak da kullanılabilir. Lockheed Martin’e göre, tehditlerin 7 aşamadan geçmesi gerekmektedir. Bu aşamalar Siber Ölüm Zinciri Metodolojisini oluşturmaktadır.
1- Keşif
Siber Ölüm Zinciri’nin ilk aşaması keşif aşamasıdır. Bu aşamada saldırgan hedefi teknik ve teknik olmayan bir bakış açısıyla dışarıdan değerlendirir. Bu aşamadaki amaç saldırganın hangi kaynaktan daha fazla fayda sağlayabileceğini saptamaktır. Saldırgan istismar edebileceği güvenlik açıklarını arar. Bunu yaparken Aktif ve Pasif Bilgi topla olarak adlandırılan iki çeşit bilgi toplama yöntemini kullanabilir.
2- Silahlanma
Bu aşama Siber Ölüm Zinciri’nin ikinci aşamasıdır. Bu aşamada tehdit aktörü, bir önceki aşamada keşfedilen güvenlik açıklarına özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirir. Keşif aşamasında toplanan istihbarat temelinde, saldırgana silahlanma aşamasında nasıl bir yol izlemesi gerektiğine karar vermesi için kullanılır. Bu aşamaya kısacası silahın belirlendiği aşama diyebiliriz.
3- İletme
Siber Ölüm Zinciri metodolojisinin üçüncü aşaması, APT kodunun, kurbanı sömürmek için hedef bilgisayara geçmesidir. 2018 Verizon Veri İhlali Soruşturma Raporundan gelen araştırma ve analizler, bir ağ saldırısının büyük ölçüde kurumun iç çalışanlarını hedef alınarak Phishing saldırılarından kaynaklandığı göstermektedir.
Bilgi toplama aşamasında toplanan verilere dayanarak, bir kuruma özel araştırılmış ve hazırlanmış Phishing saldırısı ile, APT zararlı yazılımı kuruma bulaşabilmektedir. Bu Phishing saldırıları aslında Spear Phishing olarak adlandırılan, hedef temelli saldırılardır. Yine aynı şekilde hedefin kim olacağı da bilgi toplama aşamasında belirlenir ve en zayıf halka hedef olarak seçilir.
Spear phishing çoğunlukla Microsoft Word ve Adobe PDF belgesi gibi bir ek içermektedir. Bu ek, APT’nin kurum içi ağa erişmesine sebep olacak ilk adımı oluşturur.
4- Sömürme
Sömürü aşamasına, APT kötü amaçlı yazılım kodu hedef ağda, uzaktan veye otomatik olarak yürütülür ve hedeflenen bilgi sistemine erişimi sağlamak için mevcut güvenlik açıklarında yararlanır.
5- Kurulum
Sistemin sömürülmesi başarılı olduktan sonra, APT kötü amaçlı yazılım kodu kendisini hedeflenen bilgi sistemine yüklemeye çalışacaktır. Bu noktada ağ erişimi varsa, zararlı yazılım, dışarıdan güncellemeler ve yazılımlar indirmeye başlayacaktır. Bu güncellemeleri kendini daha fazla gizlemek ve iz sürülemez hale getirmek için kullanabilir.
6-Komuta ve Kontrol
Komuta ve kontrol Siber Ölüm Zinciri’in altıncı aşamasıdır. Bu aşama C2 (Command and Control) olarak adlandırılabilir. Bu aşama saldırganın iletişim APT kodlarını hedef ağa yerleştirdiği aşamadır. Bu yazılım, saldırganın ortamdaki APT kodunu tamamen yönetmesine ve saldırganın ağda daha derin bir şekilde hareket etmesine, veri göndermesine ve arkasında bıraktığı izleri yok etmesine olanak sağlar.
7- Hedeflenen Eylem
Hedef sistem ele geçirildikten sonra, saldırgan amacına ulaşmak için çeşitli eylemler gerçekleştirir. Veri çalma, değiştirme ve silme, bulunduğu yerden başka bir sisteme sıçrama, gibi eylemler örnek gösterilebilir. Asıl hedefine ulaşmak için yapması gereken tüm eylemlerin yapıldığı aşamadır. Bu aşama Siber Ölüm Zinciri’nin son aşamasıdır.
Yukarıdaki aşamaların hepsi birbirine zincirleme bağlıdır. Bir aşamada gerçekleşecek aksilik devamındaki aşamayı doğrudan, diğer aşamaları dolaylı olarak etkileyecektir. Bu nedenle her aşamada yapılması gereken işlemler özenle planlanmalı ve organize edilmelidir.
Teknik, Taktik ve Prosedürler (TTP)
Teknik, Taktik ve Prosedürler (TTP) terimi, bir APT’nin çalışmasını analiz etme yaklaşımını açıklar. Belirli bir aktörü profilleme aracı olarak kullanılabilir. Düşmanı anlamak ve onunla savaşmak için saldırganın kullandığı Teknikleri, Taktikleri ve Prosedürleri (TTP) anlamak gerekir. Bir rakibin Taktiklerini bilmek, yaklaşan saldırıları tahmin etmeye ve bunları önceden tespit etmeye yardımcı olur. Saldırı sırasında kullanılan Tekniklerin anlaşılması, kurumun kör noktalarının, güvenlik açıklarını belirlenmesine ve gerekli önlemlerin önceden alınmasına olanak tanır. Son olarak, rakip tarafından kullanılan Prosedürlerin analizi, düşmanın hedef alt yapısında ne aradığını anlamaya yardımcı olur.
Taktik
Bir APT grubunun taktikleri, tehdit aktörünün eylemlerinin farklı aşamalarda nasıl işlendiğini açıklar. Başlangıçtaki bilgi toplama, ilk temasın gerçekleştirilmesi, zafiyetlerin aranması, kurum içinde sistemler arası geçiş, yanal hareket yapılması gibi taktikleri içerir. Saldırının tamamını ve bir kısmını gerçekleştirme biçimi ile ilgilendiği için, tespit edilme zorluğu da saldırı çeşitlerine göre değişir.
Teknik
Bir APT grubu, saldırısını başarıyla yürütebilmek için çeşitli teknikler kullanır. Bu teknikler başlangıçtaki girişi kolaylaştırmak, kontrolü sürdürmek, hedef altyapı içerisinde hareket edebilmek, veri akışını yapıldığını gizlemek gibi işlemleri gerçekleştirmek için kullanılır.
Bu teknikler tehdit oyuncularına göre değişiklik gösterir. Bu nedenle APT gruplarını anlamak için saldırının çeşitli aşamalarında kullanılan teknikleri anlamak önemlidir.
Taktiklerde olduğu gibi, teknikler de APT’nin yaşam döngüsünün her aşamasında analiz edilebilir. İlk aşamalardaki teknikler temel olarak ilk bilgi toplama ve ilk temas noktası için kullanılan araçları tanımlar. Bu aşamadaki teknikler teknolojik olmak zorunda değildir. Örneğin bazı sosyal mühendislik teknikleri ile kurban ve saldırgan arasında bağlantı kurulabilir. Saldırının devamındaki aşamalar genellikle sosyal mühendislikteki gibi teknolojik olmayan yöntemler kullanılmaz. Bu nedenle ara aşamalardaki teknikler genellikle başlangıçta bağlantı kurulan sistemde daha yüksek ayrıcalıklar elde etmek ve hedef ağ içinde yanal hareket ederek ilerleyebilmek için teknolojik araçlar kullanılır. Kullanılan araçların her biri saldırganın tekniği hakkında fikir verir.
Prosedürler
Başarılı bir saldırı gerçekleştirmek için iyi taktik ve tekniklere sahip olmak yeterli değildir. Bu nedenle bir dizi teknik kullanılarak gerçekleştirilen özel olarak düzenlenmiş bir taktiksel harekete ihtiyaç vardır. Başka bir deyişle, APT oyuncuları tarafından saldırı döngüsündeki her adımı gerçekleştirmek için prosedürler olarak adlandırılan eylemler kullanılır. Bir prosedürdeki eylem miktarı genellikle prosedürün amacına ve APT grubuna bağlı olarak değişir. İyi tasarlanmış bir prosedürün, saldırının yaşam döngüsündeki belirli bir adımın başarı oranını arttırmasının ve ayrıca tespit edilme olasılığını azaltması beklenir.
Bir prosedür örneği olarak şunlar gösterebilir; Hedef hakkında ilk bilgilerin toplanması, kritik noktalardaki bireylerin belirlenmesi, hedefe ait harici sistemlerin belirlenmesi, iletişim detaylarının toplanması ve potansiyel savunmasız sistemler hakkında ayrıntılı bilgi toplanması, toplanan bilgilerin belgelendirilmesi.
Taktiklerde ve tekniklerde olduğu gibi, belirli bir APT grubu tarafından kullanılan prosedürler de bir tehdit aktörünün profilini çıkarmak için kullanılabilir. Keşif aşamasında kullanılan prosedürleri gözlemlemek zor olsa da, diğer aşamalar prosedürü yeniden oluşturmak için kullanılabilecek izler bırakabilir. Örneğin bir adli bilişim soruşturması sırasında, saldırgan tarafından gerçekleştirilen eylemler bir zaman çizelgesi yaklaşımında bir dosya sistemi analizi ile yeniden yapılandırılabilir.
Düşman Davranışlarını Tanıma
Bilgisayar korsanlarının kim olduğunu ve ne istediklerini anlamak, ağ güvenliği ihlallerinin etkisini en aza indirmenin en etkili yoludur.
Ağınız bir saldırıyla karşı karşıya ise , ancak bundan kimin sorumlu olduğunu ve motivasyonlarının ne olduğu hakkında hiçbir bilginiz yoksa; güvenliğiniz, verileriniz, müşterileriniz, endüstrideki saygınlığınız tehdit altındadır.
Bir ağ ihlali gerçekleştiğinde, muhtemel saldırganlar hakkında bilgi toplamak, kurumun yararınadır. Bunun nedeni, kim olduklarını ve nereden geldikleri bilmek, daha doğru bir hasar değerlendirmesi çalışması yapmanıza yardımcı olur. Kim tarafından saldırıya uğradığını bilmek aynı zamanda size neden saldırdıkların, neyin peşinde olduklarını ve işiniz için olası sonuçların ne olabileceği hakkında bilgi verir, tahmin yürütülmesine olanak sağlar.
En önemli katkısı geleceğe yöneliktir. Size kimin saldırdığını bilmek, gelecekteki güvenlik planlarınızı belirlemenize ve güvenlik bütçenizi en iyi nasıl değerlendirebileceğinize dair karar vermenize yardımcı olur. Örneğin hedefli bir saldırının merkezi olduğunuzu düşünüyorsanız ve saldırganlar bunu yaparken başarısız oldular ise, tehlike teşkil eden açıklıkları kapatabilir, zayıf halkaları güçlendirebilirsiniz.
Kill Chain Deep Dive Scenario – Spear Phishing
Spear Phishing – Mızrak Avı dolandırıcılığı, bir organizasyondaki belirli bireyleri ve grupları hedefleyen bir Phishing yöntemidir. Kullanıcıların kişisel bilgileri ifşa etmelerine ve ağın tehlikeye girmesine, veri kaybına ve finansal kayıplara neden olan eylemlerdir. Bu eylemleri gerçekleştirmek için e-postalar, sosyal medya ve diğer platformlar kullanılabilir. Phishing saldırıları rastgele kişilere toplu e-posta gönderirken, Spear Phishing saldırıları belirli hedeflere odaklanır ve ön bilgi toplama işleminin merkezine bu hedefleri koyar.
Spear Phishing saldırıları genelde bir kullanıcının hesabına erişmek veya kurum içinde yüksek yetki haklarına sahip bir kullanıcıyı taklit etmek için kullanılabilir.
Spear Phishing saldırganları, saldırılarını başlatmadan önce keşif yöntemlerini uygular. Bunu yapmanın çeşitli yolları vardır. Örneğin hedef şirketin çalışanlarına e-posta adresi açarken nasıl bir isimlendirme kalıbı kullandığını öğrenmek, kurban hakkında sosyal medyadan ve diğer açık kaynak sistemlerden bilgi toplamak.
Indicators of Compromise(IoC) Uzlaşma Göstergelerini Anlamak
Indicators of Compromise (IoC)
IoC göstergeleri, bir sistem ve ağdaki olası izinsiz girişimlerin adli delilleridir. Bu deliller bilgi güvenliği uzmanları ve sistem yöneticilerinin ağa izinsiz giriş denemeleri ve diğer kötü niyetli etkinlikleri tespit etmelerini sağlar. Güvenlik araştırmacıları, belirli bir kötü amaçlı yazılımın tekniklerini ve davranışlarını daha iyi analiz etmek çin IoC verilerini kullanırlar. IoC’ler ayrıca bir organizasyonun olay yanıtını ve iyileştirme stratejilerini daha iyi gerçekleştirebilmesi için topluluk içinde paylaşılabilen eyleme geçirilebilir tehdit istihbaratı verileri suar.
Güvenlik uzmanaları ve araştırmacıları ihlalleri ve saldırıları azaltmalarına yardımcı olmak için IoC’leri işleyen çeşitli araçlar kullanılar.
IoC Neden Önemli?
IoC verileri,bilgi güvenliği uzmanlarının ağın tehlikeye girdiğini tespit etmesine ve tehlikenin ne olduğu, kim olduğu ve saldırının ne zaman gerçekleştiği hakkında ayrıntılı bilgi almalarına izin verir.
Bilgi güvenliği danışmanları, söz konusu eylemin kötü amaçlı olup olmadığına dair ek kanıtlar sağlayarak, uzlaşma göstergelerini otomatik güvenlik çözümlerine (Antivirüsler, SIEM, IDS/IPS) entegre edebilirler.
IoC verileri ,bilgi güvenliği uzmanlarına potansiyel ve devam eden bir siber saldırı hakkında sinyal veren kırmızı bayraklar olarak hareket eder. Özellikle APT’leri avlamada yardımcı olur. Bir APT saldırısı, genelde sıradan güvenlik teknolojilerini atlatır. Keşfedilmeden yaklaşık bir yıl kadar sistemin içerisinde varlık gösterebilirler. IoC’ler bilgi güvenliği uzmanlarının bir APT varlığını tespit etmesine ve veri sızıntısının durdurulmasına yardım eder.
Carbanak’ın APT tespit etmek için kullandığı IoC örneklerinin ortak noktaları aşağıda sıralanmıştır.
- Olağandışı BT araçlarının varlığı
- Sisteme uzaktan giriş yapılması
- Uzaktan yönetim araçları (RAT – Remote Access Trojan) içerisindeki varlığı
- Kullanıcıların izni dahilinde olmayan otomatik yeniden başlatmalar
- Şüpheli konumlardan erişim yetkisi
Anahtar IoC Göstergeleri
Aşağıda güvenlik uzmanlarının göz önünde bulundurduğu bazı IoC göstergeleri bulunmaktadır.
Olağan Dışı Ağ Trafiği: Ağın içindeki trafik genellikle göz ardı edilen bir göstergedir. Giden trafik yoğun bir şekilde artarsa veya her zamankinden anormal bir hal alırsa bir sorunla karşılaşma ihtimali artar. Ağ içerisinde en kolay izlenebilen gösterge ağ trafiği olduğu için herhangi bir tehdit durumunda bu göstergelerden faydalanabiliriz.
Yüksek Yetkili Kullanıcı Hesaplarındaki Anormallikler: Tahdit aktörleri yüksek erişim haklarına sahip kullanıcı hesaplarını ele geçirebilirler. Bu durum sadece yüksek öncelikli hesaplar için değil tüm hesaplar için geçerlidir. Bir hesaptaki herhangi anormal bir davranış takip edilmelidir.
Coğrafi Aykırılıklar: Kullanıcı hesabına alışılmadık bir coğrafi bölgeden erişim, saldırganların uzaktaki ağ sistemlerine saldırdıklarının kanıtı olabilir. Etkileşiminizin bulunmadığı ülkeler üzerinde trafik varsa, bu trafik takip edilmelidir. Bu göstergeler takip edilmesi kolay göstergelerdir.
Anormal Girişler: Anormal girişler ve sistemsel bozukluklar, saldırganların girişimlerde bulunduğunu gösterebilir. Mevcut bir hesapta çok sayıda başarısız oturum açma girişimi ve var olmayan kullanıcı hesaplarıyla başarısız oturum açma eylemleri IoC göstergeleridir.
HTML Yanıt Boyutu: Anormal derecede büyük bir HTML yanıt boyutu, büyük bir veri parçasının gittiğini gösterir.
Aynı Dosya İçinde Çok Sayıda İstek: Saldırganlar, sistemi ele geçirmek için çok sayıda deneme yanılma kullanırlar. Bu başarısız denemeler ve hatalar, tehdit aktörlerinin ne tür bir sömürü peşinde olduklarını gösteren IoC verileridir.
Veri Tabanı Okuma Hacminin Artması: Veritabanı okuma hacmindeki artış, ortada bir tehdit aktörünün bulunduğunu gösterebilir. Veritabanı içerisindeki veriler saldırgan tarafa aktarılıyor olabilir. Örneğin kredi kartı verilerinin bulunduğu veritabanı yüklü veri hacmine sahiptir ve bunlar üzerinden işlem gerçekleştirildiğinde anormal davranışlar gözlemlenir.
Pyramid of Pain
Sqrrl’den David Bianco, IoC’leri sınıflandırmak için Pyramid of Pain adlı bir çalışma gerçekleştirmiştir
Pyramid of Pain’in seviyelerine ilişkin detaylar:
Hash Değerleri: SHA1, MD5 ve belirli şüpheli ve kötü amaçlı dosyalara karşılık gelen diğer karma değerlerdir. Genellikle, belirli kötü amaçlı yzılım örneklerine ve izinsiz girişe karışan dosyalara benzersiz referanslar sağlamak için kullanılır. Hash değerlerinin değiştirilmesi kolay bir işlemdir ve hash değerleri değiştirilebilecek çok fazla veri vardır. Bu nedenle izlenmesi çok yüksek önceliğe sahip değildir.
IP Adresleri: IP adresleri en temel göstergedir. Ancak Tor ve benzeri bir isimsiz bir Proxy servisi kullanılıyorsa, IP adresleri oldukça sık değiştirilebilir. Bu nedenle güvenlik ekipleri ellerindeki IP adreslerine bağlı kalmak zorunda değillerdir.
Alan Adları: Alan adlarını değiştirmek IP adresini değiştirmeye nispeten daha zahmetlidir. Bu iş için Proxy günlükleri ve bu tür işlemleri tespit etmek için web sunucusu günlükleri taranabilir.
Network/Host Yapıları: Network veya Host yapılarında, kötü amaçlı faaliyetlerin izleri bulunabilir. Bunlar, kötü amaçlı bir yazılımın parçaları tarafından oluşturulduğu bilinen değerler, belirli yerlere bırakılan dosyalar veya dizinler gibi ayırt edici özelliklerdir.
Araçlar: Düşmanın amacına hizmet eden yazılımlardır. Çoğunlukla harici yazılımlar ve komutlardır. Phishing zararlı belgelerini oluşturmak için tasarlanmış yardımcı programlar, arka kapıları kullanmak için gerekli uygulamalar örnek olarak gösterilebilir.
TTP’ler: Piramitin zirvesinde TTP’ler vardır. Tehdit aktörünün, amacını nasıl gerçekleştireceğini ve aradaki adımları anlamaya yardımcı olur. Saldırganlara verilecek en büyük zarar bu seviyede tespit yapmak ve karşı aksiyon oluşturmaktır.
Yazar: Cyber Intelligence Analyst Gurbet Başakçi
Bölüm -7 Siber Tehdit İstibaratı Veri İşleme
