Siber Ölüm Zinciri kavramı Bölüm 6 ile karşınızdayız. Önceki makalemizde Siber Güvenlik Saldırılarının Motivasyon ve Amaçlarından bahsederek Siber tehdit istihbaratı konumuza devam ediyoruz.
Siber ölüm zinciri kavramı ilk olarak askeriyede ortaya çıkmıştır. Lockheed Martin firması, Siber Ölüm Zinciri modelini APT saldırılarını analiz etmek amacıyla siber güvenlik dünyasına uyarlamıştır. Bir saldırının aşamalarını belirlemek ve önlem alma için gerek yöntemlerin geliştirilmesine olanak sağlayan bir metadolojidir. Siber Ölüm Zinciri’nin etkili bir şekilde anlaşılması, bilgi güvenliği uzmanlarına, güvenlik ekiplerine, varlıklarını korumaya yardımcı olacak güçlü kontrolle ve karşı önlemler oluşturmada büyük ölçüde yardımcı olacaktır.
Siber Ölüm Zinciri Metodolojisi
Siber Ölüm Zinciri bir siber saldırının evrelerini ortaya koymaktadır. Bu evreler bilgi toplamadan, sisteme sızmaya kadarki süreci kapsamaktadır. Siber Ölüm Zinciri aynı zamanda savunmasız veya savunması zayıf bir ağın güçlendirilmesine yardımcı olmak için bir yönetim aracı olarak da kullanılabilir. Lockheed Martin’e göre, tehditlerin 7 aşamadan geçmesi gerekmektedir. Bu aşamalar Siber Ölüm Zinciri Metodolojisini oluşturmaktadır.
1- Keşif
Siber Ölüm Zinciri’nin ilk aşaması keşif aşamasıdır. Bu aşamada saldırgan hedefi teknik ve teknik olmayan bir bakış açısıyla dışarıdan değerlendirir. Bu aşamadaki amaç saldırganın hangi kaynaktan daha fazla fayda sağlayabileceğini saptamaktır. Saldırgan istismar edebileceği güvenlik açıklarını arar. Bunu yaparken Aktif ve Pasif Bilgi topla olarak adlandırılan iki çeşit bilgi toplama yöntemini kullanabilir.
2- Silahlanma
Bu aşama Siber Ölüm Zinciri’nin ikinci aşamasıdır. Bu aşamada tehdit aktörü, bir önceki aşamada keşfedilen güvenlik açıklarına özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirir. Keşif aşamasında toplanan istihbarat temelinde, saldırgana silahlanma aşamasında nasıl bir yol izlemesi gerektiğine karar vermesi için kullanılır. Bu aşamaya kısacası silahın belirlendiği aşama diyebiliriz.
3- İletme
Siber Ölüm Zinciri metodolojisinin üçüncü aşaması, APT kodunun, kurbanı sömürmek için hedef bilgisayara geçmesidir. 2018 Verizon Veri İhlali Soruşturma Raporundan gelen araştırma ve analizler, bir ağ saldırısının büyük ölçüde kurumun iç çalışanlarını hedef alınarak Phishing saldırılarından kaynaklandığı göstermektedir.
Bilgi toplama aşamasında toplanan verilere dayanarak, bir kuruma özel araştırılmış ve hazırlanmış Phishing saldırısı ile, APT zararlı yazılımı kuruma bulaşabilmektedir. Bu Phishing saldırıları aslında Spear Phishing olarak adlandırılan, hedef temelli saldırılardır. Yine aynı şekilde hedefin kim olacağı da bilgi toplama aşamasında belirlenir ve en zayıf halka hedef olarak seçilir.
Spear phishing çoğunlukla Microsoft Word ve Adobe PDF belgesi gibi bir ek içermektedir. Bu ek, APT’nin kurum içi ağa erişmesine sebep olacak ilk adımı oluşturur.
4- Sömürme
Sömürü aşamasına, APT kötü amaçlı yazılım kodu hedef ağda, uzaktan veye otomatik olarak yürütülür ve hedeflenen bilgi sistemine erişimi sağlamak için mevcut güvenlik açıklarında yararlanır.
5- Kurulum
Sistemin sömürülmesi başarılı olduktan sonra, APT kötü amaçlı yazılım kodu kendisini hedeflenen bilgi sistemine yüklemeye çalışacaktır. Bu noktada ağ erişimi varsa, zararlı yazılım, dışarıdan güncellemeler ve yazılımlar indirmeye başlayacaktır. Bu güncellemeleri kendini daha fazla gizlemek ve iz sürülemez hale getirmek için kullanabilir.
6-Komuta ve Kontrol
Komuta ve kontrol Siber Ölüm Zinciri’in altıncı aşamasıdır. Bu aşama C2 (Command and Control) olarak adlandırılabilir. Bu aşama saldırganın iletişim APT kodlarını hedef ağa yerleştirdiği aşamadır. Bu yazılım, saldırganın ortamdaki APT kodunu tamamen yönetmesine ve saldırganın ağda daha derin bir şekilde hareket etmesine, veri göndermesine ve arkasında bıraktığı izleri yok etmesine olanak sağlar.
Ağınız bir saldırıyla karşı karşıya ise , ancak bundan kimin sorumlu olduğunu ve motivasyonlarının ne olduğu hakkında hiçbir bilginiz yoksa; güvenliğiniz, verileriniz, müşterileriniz, endüstrideki saygınlığınız tehdit altındadır.
Bir ağ ihlali gerçekleştiğinde, muhtemel saldırganlar hakkında bilgi toplamak, kurumun yararınadır. Bunun nedeni, kim olduklarını ve nereden geldikleri bilmek, daha doğru bir hasar değerlendirmesi çalışması yapmanıza yardımcı olur. Kim tarafından saldırıya uğradığını bilmek aynı zamanda size neden saldırdıkların, neyin peşinde olduklarını ve işiniz için olası sonuçların ne olabileceği hakkında bilgi verir, tahmin yürütülmesine olanak sağlar.
En önemli katkısı geleceğe yöneliktir. Size kimin saldırdığını bilmek, gelecekteki güvenlik planlarınızı belirlemenize ve güvenlik bütçenizi en iyi nasıl değerlendirebileceğinize dair karar vermenize yardımcı olur. Örneğin hedefli bir saldırının merkezi olduğunuzu düşünüyorsanız ve saldırganlar bunu yaparken başarısız oldular ise, tehlike teşkil eden açıklıkları kapatabilir, zayıf halkaları güçlendirebilirsiniz.
Kill Chain Deep Dive Scenario – Spear Phishing
Spear Phishing – Mızrak Avı dolandırıcılığı, bir organizasyondaki belirli bireyleri ve grupları hedefleyen bir Phishing yöntemidir. Kullanıcıların kişisel bilgileri ifşa etmelerine ve ağın tehlikeye girmesine, veri kaybına ve finansal kayıplara neden olan eylemlerdir. Bu eylemleri gerçekleştirmek için e-postalar, sosyal medya ve diğer platformlar kullanılabilir. Phishing saldırıları rastgele kişilere toplu e-posta gönderirken, Spear Phishing saldırıları belirli hedeflere odaklanır ve ön bilgi toplama işleminin merkezine bu hedefleri koyar.
Spear Phishing saldırıları genelde bir kullanıcının hesabına erişmek veya kurum içinde yüksek yetki haklarına sahip bir kullanıcıyı taklit etmek için kullanılabilir.
Spear Phishing saldırganları, saldırılarını başlatmadan önce keşif yöntemlerini uygular. Bunu yapmanın çeşitli yolları vardır. Örneğin hedef şirketin çalışanlarına e-posta adresi açarken nasıl bir isimlendirme kalıbı kullandığını öğrenmek, kurban hakkında sosyal medyadan ve diğer açık kaynak sistemlerden bilgi toplamak.
Pyramid of Pain
Sqrrl’den David Bianco, IoC’leri sınıflandırmak için Pyramid of Pain adlı bir çalışma gerçekleştirmiştir
Pyramid of Pain’in seviyelerine ilişkin detaylar:
Ş
Siber ölüm zinciri kavramı ilk olarak askeriyede ortaya çıkmıştır. Lockheed Martin firması, Siber Ölüm Zinciri modelini APT saldırılarını analiz etmek amacıyla siber güvenlik dünyasına uyarlamıştır. Bir saldırının aşamalarını belirlemek ve önlem alma için gerek yöntemlerin geliştirilmesine olanak sağlayan bir metadolojidir. Siber Ölüm Zinciri’nin etkili bir şekilde anlaşılması, bilgi güvenliği uzmanlarına, güvenlik ekiplerine, varlıklarını korumaya yardımcı olacak güçlü kontrolle ve karşı önlemler oluşturmada büyük ölçüde yardımcı olacaktır.
Siber Ölüm Zinciri Metodolojisi
Siber Ölüm Zinciri bir siber saldırının evrelerini ortaya koymaktadır. Bu evreler bilgi toplamadan, sisteme sızmaya kadarki süreci kapsamaktadır. Siber Ölüm Zinciri aynı zamanda savunmasız veya savunması zayıf bir ağın güçlendirilmesine yardımcı olmak için bir yönetim aracı olarak da kullanılabilir. Lockheed Martin’e göre, tehditlerin 7 aşamadan geçmesi gerekmektedir. Bu aşamalar Siber Ölüm Zinciri Metodolojisini oluşturmaktadır.
1- Keşif
Siber Ölüm Zinciri’nin ilk aşaması keşif aşamasıdır. Bu aşamada saldırgan hedefi teknik ve teknik olmayan bir bakış açısıyla dışarıdan değerlendirir. Bu aşamadaki amaç saldırganın hangi kaynaktan daha fazla fayda sağlayabileceğini saptamaktır. Saldırgan istismar edebileceği güvenlik açıklarını arar. Bunu yaparken Aktif ve Pasif Bilgi topla olarak adlandırılan iki çeşit bilgi toplama yöntemini kullanabilir.
2- Silahlanma
Bu aşama Siber Ölüm Zinciri’nin ikinci aşamasıdır. Bu aşamada tehdit aktörü, bir önceki aşamada keşfedilen güvenlik açıklarına özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirir. Keşif aşamasında toplanan istihbarat temelinde, saldırgana silahlanma aşamasında nasıl bir yol izlemesi gerektiğine karar vermesi için kullanılır. Bu aşamaya kısacası silahın belirlendiği aşama diyebiliriz.
3- İletme
Siber Ölüm Zinciri metodolojisinin üçüncü aşaması, APT kodunun, kurbanı sömürmek için hedef bilgisayara geçmesidir. 2018 Verizon Veri İhlali Soruşturma Raporundan gelen araştırma ve analizler, bir ağ saldırısının büyük ölçüde kurumun iç çalışanlarını hedef alınarak Phishing saldırılarından kaynaklandığı göstermektedir.
Bilgi toplama aşamasında toplanan verilere dayanarak, bir kuruma özel araştırılmış ve hazırlanmış Phishing saldırısı ile, APT zararlı yazılımı kuruma bulaşabilmektedir. Bu Phishing saldırıları aslında Spear Phishing olarak adlandırılan, hedef temelli saldırılardır. Yine aynı şekilde hedefin kim olacağı da bilgi toplama aşamasında belirlenir ve en zayıf halka hedef olarak seçilir.
Spear phishing çoğunlukla Microsoft Word ve Adobe PDF belgesi gibi bir ek içermektedir. Bu ek, APT’nin kurum içi ağa erişmesine sebep olacak ilk adımı oluşturur.
4- Sömürme
Sömürü aşamasına, APT kötü amaçlı yazılım kodu hedef ağda, uzaktan veye otomatik olarak yürütülür ve hedeflenen bilgi sistemine erişimi sağlamak için mevcut güvenlik açıklarında yararlanır.
5- Kurulum
Sistemin sömürülmesi başarılı olduktan sonra, APT kötü amaçlı yazılım kodu kendisini hedeflenen bilgi sistemine yüklemeye çalışacaktır. Bu noktada ağ erişimi varsa, zararlı yazılım, dışarıdan güncellemeler ve yazılımlar indirmeye başlayacaktır. Bu güncellemeleri kendini daha fazla gizlemek ve iz sürülemez hale getirmek için kullanabilir.
6-Komuta ve Kontrol
Komuta ve kontrol Siber Ölüm Zinciri’in altıncı aşamasıdır. Bu aşama C2 (Command and Control) olarak adlandırılabilir. Bu aşama saldırganın iletişim APT kodlarını hedef ağa yerleştirdiği aşamadır. Bu yazılım, saldırganın ortamdaki APT kodunu tamamen yönetmesine ve saldırganın ağda daha derin bir şekilde hareket etmesine, veri göndermesine ve arkasında bıraktığı izleri yok etmesine olanak sağlar.
Ağınız bir saldırıyla karşı karşıya ise , ancak bundan kimin sorumlu olduğunu ve motivasyonlarının ne olduğu hakkında hiçbir bilginiz yoksa; güvenliğiniz, verileriniz, müşterileriniz, endüstrideki saygınlığınız tehdit altındadır.
Bir ağ ihlali gerçekleştiğinde, muhtemel saldırganlar hakkında bilgi toplamak, kurumun yararınadır. Bunun nedeni, kim olduklarını ve nereden geldikleri bilmek, daha doğru bir hasar değerlendirmesi çalışması yapmanıza yardımcı olur. Kim tarafından saldırıya uğradığını bilmek aynı zamanda size neden saldırdıkların, neyin peşinde olduklarını ve işiniz için olası sonuçların ne olabileceği hakkında bilgi verir, tahmin yürütülmesine olanak sağlar.
En önemli katkısı geleceğe yöneliktir. Size kimin saldırdığını bilmek, gelecekteki güvenlik planlarınızı belirlemenize ve güvenlik bütçenizi en iyi nasıl değerlendirebileceğinize dair karar vermenize yardımcı olur. Örneğin hedefli bir saldırının merkezi olduğunuzu düşünüyorsanız ve saldırganlar bunu yaparken başarısız oldular ise, tehlike teşkil eden açıklıkları kapatabilir, zayıf halkaları güçlendirebilirsiniz.
Kill Chain Deep Dive Scenario – Spear Phishing
Spear Phishing – Mızrak Avı dolandırıcılığı, bir organizasyondaki belirli bireyleri ve grupları hedefleyen bir Phishing yöntemidir. Kullanıcıların kişisel bilgileri ifşa etmelerine ve ağın tehlikeye girmesine, veri kaybına ve finansal kayıplara neden olan eylemlerdir. Bu eylemleri gerçekleştirmek için e-postalar, sosyal medya ve diğer platformlar kullanılabilir. Phishing saldırıları rastgele kişilere toplu e-posta gönderirken, Spear Phishing saldırıları belirli hedeflere odaklanır ve ön bilgi toplama işleminin merkezine bu hedefleri koyar.
Spear Phishing saldırıları genelde bir kullanıcının hesabına erişmek veya kurum içinde yüksek yetki haklarına sahip bir kullanıcıyı taklit etmek için kullanılabilir.
Spear Phishing saldırganları, saldırılarını başlatmadan önce keşif yöntemlerini uygular. Bunu yapmanın çeşitli yolları vardır. Örneğin hedef şirketin çalışanlarına e-posta adresi açarken nasıl bir isimlendirme kalıbı kullandığını öğrenmek, kurban hakkında sosyal medyadan ve diğer açık kaynak sistemlerden bilgi toplamak.
Pyramid of Pain
Sqrrl’den David Bianco, IoC’leri sınıflandırmak için Pyramid of Pain adlı bir çalışma gerçekleştirmiştir
Pyramid of Pain’in seviyelerine ilişkin detaylar:
Ş
