Siber Ölüm Zinciri(Cyber Kill Chain) - SİBER GÜVENLİK EĞİTİMİ

NELER VAR

24 Aralık 2019 Salı

Siber Ölüm Zinciri(Cyber Kill Chain)

, ,
Herkese merhaba. Bu yazımda sizlere siber ölüm zincirinden bahsedeceğim. Bir işi yapmaya başlarken öncelikle bir plan yapmamız gerekir. Plansız yapılan işlerde yüksek ihtimalle sıkıntılar çıkar ve o işte başarısız olunur. Plan yapıp başarısız olmakta var tabii fakat oraya çok değinmeyeceğim. Hackerlar da bir yere saldırı yapacağı sırada belirli aşamaları yani planlamaları yaparak saldırılarını başlatırlar. Tabi ki yetenekleri ve motivasyonları yüksek olan hackerlardan söz ediyorum. Hedef belirlemeden ya da belirli sıralamaları gerçekleştirmeden bu tür hackerlar, saldırıya geçmezler. Bir hedef belirledikten sonra bu hedefle ilgili bilgiler toplamaya başlarlar. Sistemli ve organize hareket ederek saldırının başarılı olma ihtimalini arttırmayı amaçlarlar. Genellikle bu organizasyonlar ortak unsurlar oluşturmaktadır. Burada savunmacılar ise bu planın unsurlarını ortaya çıkarmak için çalışma yapmaktadırlar.
Locheed-Martin firması Siber Ölüm Zinciri sistemini, yapılan siber saldırıları analiz edebilmek amacıyla geliştirmiştir. Siber Ölüm Zinciri'ne göre hedefli bir saldırı 7 aşamada gerçekleşmektedir. Bu 7 aşamanın gerçekleşmesi ile saldırı başarılı olmaktadır. Çünkü 7 aşamanın her bir aşaması bir sonrakini etkilemektedir. Siber Ölüm Zinciri'nin oluşturulmasındaki temel amaç, saldırı esnasında meydana gelen olayları sınıflandırarak tehditlerin daha kolay tespit edilmesidir. Şimdi bu aşamaları tek tek inceleyelim. Her bir aşamada kali üzerinde kullanabileceğimiz toolları da yazmaya çalışacağım.
1-Keşif (Reconnaissance) 
Siber Ölüm Zinciri'nin ilk aşaması keşiftir. Bu aşamada amaç hedef hakkında bilgi toplamaktır. Hedefe sızmak isteyen saldırgan hedef hakkında sosyal mühendislik, osint, ağ haritası çıkarma, pasif bilgi toplama ve aktif bilgi toplama yöntemlerini kullanarak bilgi toplamaya çalışır.

Pasif Bilgi Toplama: Hedef sistem hakkında bilgi toplanırken, sunucu ile direkt iletişime geçmeden yapılan bilgi toplama yöntemidir. Pasif bilgi toplama araçları olarak, whois sorguları, archieve.org, theHarvester, recon-ng, maltego, shodan, sosyal medya platformları kullanılabilir.

Aktif Bilgi Toplama: Hedef  sistem hakkında bilgi toplanırken sunucu veya sistem ile direkt olarak iletişime geçilerek yapılan bilgi toplama yöntemidir. Burada ise, nmap, dirb, dmitry gibi araçlar kullanılabilir.
2-Silahlanma (Weaponization)
Keşif aşamasında hedef sisteme giriş noktasını belirleyen saldırgan, bu giriş noktasında hangi atak vektörünü kullanacağına bu aşamada karar verir. Saldırgan, en iyi sızabileceği aracı burada belirler. Phishing(oltalama), trojan, malware gibi yöntemler kullanılabilir. 
3- İletme (Delivery)
Saldırının başladığı  noktadır. Bu aşamada oluşturulan zararlı yazılım, oltalama, tünellemeler hedefe gönderilir. Saldırgan burada doğrudan web server'a saldırabileceği gibi, usb, e-posta ya da sosyal medyayı da kullanarak hedefine iletebilir.
4-Sömürme (Exploitation)
Saldırganın silanlanma aşamasında oluşturmuş olduğu atak vektörünü kullanarak hedef sistemdeki güvenlik zafiyetini sömürdüğü aşamadır. Buradaki amaç zararlı yazılımın sistem üzerinde çalışmasını sağlamaktır.
5- Yükleme (Installation)
Sistem üzerinde başarı ile çalışan zararlı yazılım, kalıcı bir tehdit haline gelmek için sisteme kendini yüklemelidir. Yükleme aşamasının en önemli amacı, zararlı yazılımın sistemde kalacağı süreyi mümkün oldukça arttırmaktır. Zararlı yazılım kendine sistemde bir yer edinerek sisteme kurar. Böylece kontrol saldırganın eline geçer.
6- Komuta ve Kontrol (Command And Control)
Hedef sistemin uzaktan kontrol edildiği aşamadır. Artık sistemde kendine yer etmiş olan zararlı yazılım sayesinde saldırgan, tünelleme gibi yöntemlerle uzaktan kontrol etmeye, sistem üzerinde veri göndermeye ve sistem hakkında daha önemli bilgileri öğrenmeye başlar. Saldırgan bu sayede arkasında bıraktığı izleri de silebilir. En yaygın erişim kanalları web, dns ve e-posta protokolleridir.
7- Eylem (Actions on objectives)
Hedef sistemi ele geçiren saldırgan, bu aşama ile birlikte amacına ulaşmak için çeşitli eylemler gerçekleştirir. Bu eylemlere veri çıkarma, silme veya başka bir sisteme saldırma örnek olarak verilebilir. Yani kısacası saldırgan sisteme saldırmasındaki amacına bu aşamada ulaşmaya çalışır ve amacına ulaşırken yaptığı her eylem bu aşamada değerlendirilir.
Aşağıdaki tablo ile Siber Ölüm Zinciri daha akılda kalıcı şekilde kavrayabilir ve öğrenebilirsiniz;

Bu aşamaların her biri birbirine bağlı zincir gibidir. Bir aşama gerçekleşmeden diğerine geçilemez. Geçilse bile iyi planlanmamış bir saldırının başarılı olma ihtimali oldukça düşük olduğunu söyleyebiliriz. Her bir aşama bir diğerini doğrudan etkileyecektir.
Örnek bir saldırı aşamalarını inceleyerek devam edelim. Bu örneği inceledikten sonra konunun anlaşılırlığı daha da artacaktır.

Keşif Aşaması --> Saldırgan hedefin mail adreslerini Linkedin sosyal medya aracılığıyla tespit eder.
Silahlanma Aşaması --> Saldırgan hedefe mail üzerinden göndereceği zararlı yazılımını herhangi bir dosya formatında (pdf, doc vb.) oluşturur.
İletme Aşaması --> Saldırgan oluşturduğu zararlı yazılımı hedefin mail adresine gönderir.
Sömürme Aşaması -->  CVE-2017-8570 zafiyeti istismar edilir. Hedefteki bu zafiyet sömürülmeye başlanır.
Yükleme Aşaması --> Zararlı yazılım kendini registry dosyasına ekler.
HKEY_CURRENT_USER\USER\Software\Microsoft\Windows\CurrentVersion\Run
Komuta Kontrol --> Saldırgan şifrelenmiş haberleşme ile sistem ile iletişim halinde olur.
Eylem Aşaması --> Saldırgan hedef sistem üzerindeki bilgileri ele geçirir.

Örneğimizde, siber saldırgan kurumsal bir x firmasını hedef almaktadır. Bu hedefi belirledikten sonra kurum ile ilgili keşif aşamasına başlamaktadır. Keşif esnasında kurumun çalışanlarının LinkedIn hesabını kullandıklarını tespit eder ve bu hesaplardan mail adreslerini bir havuza çeker. Silahlanma aşamasına geçtiğinde ise phishing yani oltalama yöntemi ile mail üzerinden göndereceği pdf veya doc uzantılı zararlı yazılımını oluşturur. Bu zararlıyı oluştururken, keşif aşamasında tespit ettiği kurumun kullandığı işletim sistemini tespit eder ve bu işletim sisteminin zafiyetini bulur. Bu zafiyete sömürebilecek bir zararlı oluşturur. Saldırgan iletme aşamasında e-posta aracılığıyla zararlıyı hedefine iletir. Hedef, bu dosyayı açtıktan sonra zararlı sisteme bulaşmış olur. Bu aşamadan sonra zararlı dosya zafiyeti istismar ederek kendini sistemin başlangıcına yükleyerek kalı hale gelir. (registry) Bu aşamadan sonra zararlı yazılımla saldırgan arasında şifreli haberleşme gerçekleşerek uzaktan hedef sistemi kontrol etme aşaması başlar. Sistemi yavaş yavaş ele geçiren saldırgan, aradığı dokümanları bulur ve komuta kontrol sunucusuna yani şifreli sunucuya çıkarmayı başarır.

Siber Ölüm Zincirine Neden İhtiyaç Duyarız? 
Siber saldırılara karşı önlem alabilmek için saldırı metodolojilerini iyi bilmek gerekmektedir. Bunun gibi modeller sayesinde bir siber saldırının öncesinde eksik noktalar tespit edilebilir, saldırı anında saldırının aşamasına göre müdahale yöntemine karar verilebilir ve saldırı sonrasında kurumun bu saldırıdan ne ölçüde etkilendiğinin risk analizi yapılabilir. Siber Ölüm Zinciriyle zaman içinde birden fazla kill chain'in analizi yapılır, aradaki benzerlikler analiz edilerek tanımlama sağlanır.
Bu yazımda Siber Ölüm Zinciri'nin 7 aşamasından ve ölüm zincirine ait bir örnek sunmaya çalıştım. Bir sonraki yazımda görüşmek üzere.
Read more
Author Image

About Sergen YANMIŞ
SoraTemplates is a blogger resources site is a provider of high quality blogger template with premium looking layout and robust design. The main mission of SoraTemplates is to provide the best quality blogger templates.

By zaman:
Etiketler: , ,

Hiç yorum yok:

Yorum Gönder

Kaydol: Kayıt Yorumları (Atom)