cyber kill chain @bilisimzirvesi

Cyber Kill ChainSüleyman Özarslan

Siber Ölüm Zinciri

2

Süleyman Özarslan

Kurucu Ortak (Picus Security - kurumların siber tehditlere karşı hazırlık durumlarını denetleyen bilgi güvenliği yazılımları geliştirir.)

Doktora adayı (ODTÜ Enformatik Enstitüsü)

Siber Savunma Uzmanı ve Eğitmeni (NATO Barış ve Güvenlik için Bilim Programı)

13 yıllık bilgi güvenliği tecrübesi (2001-ilk akademik makale)

Bir çok kurum ve kuruluş için sızma testleri, DDoS testleri, web uygulama, ağ güvenliği ve sosyal mühendislik gibi güvenlik denetimleri

3

Sunum İçeriği

Cyber Kill Chain modeli nedir?

Cyber Kill Chain aşamaları

Target hack olayının Cyber Kill Chain modeli ile incelenmesi

Target’ın hacklenmesi nasıl engellenebilirdi?

4

Kill Chain

Askeri anlamda, "Kill Chain" bir saldırının aşamalarını

tanımlayan ve bu saldırıyı gerçekleştirmek/önlemek

amacıyla çeşitli yöntemlerin geliştirilmesine yarayan bir

modeldir.

5

Cyber Kill Chain

Lockheed Martin, Kill Chain modelini siber güvenlik

olaylarının analizi ve iyileştirme önlemleri belirleme

amacıyla uyarlayarak Cyber Kill Chain modelini

oluşturmuştur.

Son yıllarda yaygın olarak kullanılan bu modelde,

siber saldırılar yedi adımda modellenmiştir,

kurumların her bir aşamada siber saldırıları tespit etme ve

engelleme için yapabilecekleri tartışılmaktadır.

6

Reconaissance

Keşif

Weaponization

Silahlanma

Delivery

İletme

Exploitation

Sömürme

Installation

Yükleme

Command & Control

Komuta & Kontrol

Actions on Objectives

Eyleme Geçme

7

Cyber Kill Chain

8

Reconnaissance – Keşif

Bilgi toplama ve hedefi tespit etme

Çalışanların isimleri, görevleri, e-posta adresleri, Ip adresleri

Araçlar ve teknikler:

Sosyal mühendislik

Sosyal medya

Aktif ve pasif tarama

Ağ haritası çıkarma

Açık kaynak istihbarat (OSINT)

Yeraltı forumları

Recon Weaponize Delivery Exploit Install C2Act. On

Obj.

9


Obj.

Bilgi satın alma – Devlet ve Askeri

10


Obj.

Bilgi satın alma - Finans:

11

İnternetteki ayak izinizi biliyor musunuz?

İş ilanları

Çalışanların herkese açık bilgileri (LinkedIn, Google

takvimi, Twitter, Facebook vb.)

Tüm paydaşları göz önüne alıyor musunuz?

Distribütörler, yükleniciler vb.

Paydaşların erişebildiği uygulamalar

Help desk’e sosyal mühendislik


Obj.

12

Weaponization - Silahlanma

Zararlı yazılım içeren .pdf, .doc., .xls vb. dosyalar oluşturma

ilgi çekebilecek dosyalar: Fatura, personel listesi, kredi kartı ekstresi

Malware içeren web siteleri oluşturma


Özel bir platforma veya amaca yönelik zararlı yazılımlar

Yamaların tersine mühendisliği

0 gün açıkları


Obj.

13

Varlık envanteriniz güncel mi?

Sistemlerinizde hangi donanımlar var?

Sistemlerinizde çalışan tüm yazılımları biliyor musunuz?

Güncel açıklık / tehdit değerlendirmesi yapıldı mı?

Güvenlik açısından zayıf noktalarınızı biliyor musunuz?

Bu zayıflıkları kapatmak için bir plan yaptınız mı?

Olası bir güvenlik ihlalinde yapılması gerekenler planlandı

mı?


Obj.

14

Delivery - İletme

Hazırlanan zararlı yazılımın iletilmesi


Çeşitli açık kaynak kodlu yazılımlar

Oltalama (phishing) saldırıları

Sosyal networkler

Tünelleme


Obj.

15


Obj.

16


Obj.

17


Obj.

18

Güvenlik farkındalığına sahip misiniz?

Çalışanlarınız sosyal mühendislik ataklarını veya

oltalama saldırılarını anlayabilir mi?

Çalışanlarınız hangi donanımların kurum ağına

bağlanabildiği veya bağlanamadığı hakkında fikri var mı?

Bilinen zararlı/şüpheli web sitelerine erişimi blokladınız

mı?


Obj.

19

Exploitation - Sömürme

Bir hedefi/varlığı ele geçirmek için, var olan bir açığın

sömürülmesi gerekir.

Örnek: ShellShock bash açığı, Adobe Acrobat (PDF)

açıkları, Microsoft Office açıkları

Silah (zararlı PDF, Word dokümanı vb.) hazırlandıktan

ve hedefe iletildikten sonra, bu aşamada zararlı kod

çalıştırılır.


Obj.

20

Yazılımlarınız ne kadar sıklıkla güncelleniyor?

Donanımlarınızın veya yazılımlarınızın

güncellenmesinin maliyeti nedir?

Sistemlerinizdeki zafiyetlerin tespit edilebilmesi için

güvenlik denetimleri yapılıyor mu?


Obj.

21

Hacker, hedef sisteme erişiminin devamlılığını nasıl sağlar?

Remote Access Trojan

Backdoor

Hacker’ın düşünmesi gerekenler:

Malware, hedef sisteme kendisini nasıl yükler?

Hangi dosyaları yaratır?

Hangi yolla çalıştırılır?

Nasıl kendini gizler?

Hedef sistem yeniden başlatıldığında çalışmasına nasıl devam

eder?


Obj.

22

Araçlar ve Teknikler:

Rootkits

Polimorfik kodlar

Çok aşamalı gizlenme

Şifreleme


Obj.

23

Korunma

Rol tabanlı erişim

Sizce hangisi daha güvenli?

Uygulama kara listesi (blacklisting)

Uygulama beyaz listesi (whitelisting)


Obj.

24

C2 – Command & Control – Komuta Kontrol

Hacker, ele geçirilen bilgisayarı nasıl kontrol eder?

Ele geçirilen bilgisayardan hacker ait internetteki kontrol

sunucusuna bir C2 kanalı açılır.

Artık, hacker hedef sistem üzerinde her türlü erişime sahiptir.


Encoding

Şifreleme

Tünelleme

Steganography


Obj.

25

Korunma yolları:

Saldırı Engelleme Sisteminiz (IPS) devrede mi?

IPS ‘iniz iyi konfigüre edilmiş mi?

Güvenlik Duvarınız (Firewall) iyi konfigüre edilmiş mi?

Güvenlik cihazlarınızı monitör edebiliyor musunuz?


Obj.

26

Actions on Objectives – Eyleme Geçme

İlk 6 adımdan sonraki bu adımda artık Hacker gerçek

hedeflerini bu adımda eyleme dönüştürür:

Veri çalma

Veri değiştirme

Veri silme

Veri şifreleme

Sisteme zarar verme

Ele geçirilen sistem üzerinden diğer sistemleri ele geçirmeye

çalışma ve ağ üzerinde hareket etme (lateral movement)


Obj.

27

Verileriniz yedekleniyor mu?

Bir sisteminiz devre dışı kaldığında hizmet verecek

yedek sistemleriniz var mı?

Fikri mülkiyetlerinizi (intellectual property) ne kadar iyi

koruyorsunuz?


Obj.

Target Hack

28

29

Reconnaissance - Keşif

Saldırgan basit Google aramalarıyla Target’ın tedarikçilerini ve

satıcılarını araştırır.

Fazio isimli bir havalandırma firmasını hedef olarak seçer.


Obj.

30

Güvenlik denetimleri:

Internet üzerinden erişilebilen, herkese açık olan bilgiler

neler?

Bu bilgiler sınırlı mı yoksa önemli bilgiler de var mı?

Herkese açık bilgiler önemsiz bile görünse, önemsiz

görünen farklı bilgiler kullanılarak daha önemli bilgiler

elde edilebilir mi?

Satıcılar ve tedarikçiler gibi paydaşlar ortaya çıkabilecek

güvenlik tehditleri hakkında bilgilendiriliyor mu?


Obj.

31

Weaponization - Silahlanma

Saldırgan, hedef firmaya gönderilmek üzere zararlı yazılım

içeren PDF ve Word dokümanları hazırlar.


Obj.

32


Zararlı yazılımların bilgisayarlara bulaşmasını önlemek

için antivirüs, anti-malware gibi yazılımlar kullanılıyor

mu?

Ağdaki sistemleri korumak için gateway antivirüs cihazı

var mı?

Bu yazılımlar ve güvenlik cihazları işlevlerini gerektiği gibi

yerine getirebiliyor mu?


Obj.

33

Delivery - İletme

Saldırgan, daha önce hazırladığı zararlı yazılım

içeren dokümanları oltalama (phishing) e-postalarıyla

hedefe gönderir.

Fazio, Target’ın Ariba ismindeki dış faturalama

sistemine kullanıcı adı ve şifresiyle erişebilmektedir.

Dokümanlar hedef (Fazio) tarafından açıldığında,

içeriğindeki zararlı yazılım aktive olur ve Fazio’nun

kullanıcı adı ve şifrelerini çalarak saldırgana gönderir.

Bunlar arasında Target’ın Ariba sistemi de vardır.


Obj.

34

Saldırgan, Fazio’dan çaldığı kullanıcı adı ve şifre ile

Target’ın iç ağına erişim sağlar.

Bu ağ üzerinden POS cihazlarına erişim de mümkündür.

Saldırgan, POS cihazlarının RAM ’inde bulunan bilgileri

çalmak için hazırladığı BlackPOS zararlı yazılımını

Target’ın POS cihazlarına yükler.


Obj.

35


Çalışanlar oltalama e-postalarını tanıyıp raporlayabiliyor mu?

Yeni nesil zararlı yazılım engelleme sistemleri devrede mi ve

işlevlerini gerektiği gibi yerine getirebiliyor mu?

Fatura sistemleri gibi önemli sistemlere giriş güvenli mi? İki-

faktörlü kimlik doğrulama kullanılıyor mu?

Target, PCI-DSS sertifikasına sahip. PCI-DSS ise sistemlere

girişlerde iki faktörlü kimlik doğrulamayı zorunlu tutmaktadır.

Hackerlar iki faktörlü kimlik doğrulamayı nasıl atlattı?


Obj.

36


Obj.

37

BlackPOS zararlı yazılımı POS cihazlarına

gönderildikten sonra, artık milyonlarca kredi kartı

bilgisi saldırgana iletilmeye başlamıştır.

Saldırganlar iç ağa da erişebildiğinden diğer sistemlerde

yer alan müşteri bilgileri gibi bilgileri de

sızdırmaktadırlar.


Obj.

38

Target bu aşamayı engelleyebilecek güvenlik cihazlarını

yakın bir zamanda 6 Milyon $ ek yatırım yapmıştı.

Bu güvenlik cihazları, zararlı yazılım ağ üzerinden iletilmeye

başlandığında “malware.binary” şeklinde jenerik zararlı

yazılım alarmları ürettiler.

Güvenlik cihazları sürekli benzer alarmlar verdiği için Target

güvenlik ekibi bunları önemsemedi.

Visa, Target hack olayından 2 ay önce süpermarket

cihazlarını POS zararlılarına karşı uyaran bir rapor

yayınlamıştı.


Obj.

39

Tam olarak nasıl yapıldığı bilinmese de, Saldırgan Fazio ve

Target’ın sistemlerine erişiminn sürekliliğini sağlamak için

çeşitli yöntemler kullandığı tespit edilmiştir.

İncelemeler sonucunda, Saldırgan’ın iç ağa sağladığı erişimle

ve BlackPOS zararlısını kullanarak 40 milyon kredi kartı

bilgisini ve 70 milyon kullanıcı bilgisini çaldığı görülmüştür.


Obj.

40

Bu aşamayı engellemek için yapılabilecek güvenlik

denetimleri:

Sistemlerde çalışan bilgisayarlara (sunucu, istemci vs.)

yüklenen yazılımlar denetleniyor mu?

Kullanıcılar istedikleri yazılımları bilgisayarlara

yükleyebiliyor mı?

Whitelisting > Blacklisting


Obj.

41

Raporlara göre Saldırgan, Target’ın iç ağına bir aydan daha

uzun bir süre erişim sağlamış.

Saldırganların komuta ve kontrol için kullandıkları yöntem

tam olarak bilinmemekle birlikte, Target’ın POS cihazlarının

bulunduğu ağ ile dış ağ (Internet) arsında bir iletişim hattı

oluşturduğu açık.


Obj.

42

İç ve dış ağı birbirinden ayıran güvenlik duvarı ve benzeri

güvenlik cihazları devrede mi?

Bu güvenlik cihazları iç ağda ele geçirilen sunucularla dışağdaki komuta kontrol sunucusu arasındaki iletişimi

engelleyebiliyor mu?


Obj.

43

Saldırganlar, iki hafta boyunca çalınan bilgileri FTP

kullanarak Rusya’daki sunuculara iletmiştir.

40 milyon kredi kartı bilgisi

70 milyon müşteri bilgisi


Obj.

44

İç ağdan dışarıya yapılan veri akışı sınırlandırılmış mı?

Sadece bilinen sunucularla veri akışını sağlama (whitelisting)

Güvenlik denetimlerinde ya da otomatik analizlerle Rusya’ya

veri akışı yapıldığı tespit edilseydi veri sızıntısı engellenebildi.


Obj.

Sonuçlar

Cyber kill chain, saldırganlar tarafından bir hedefe

ulaşılmakta kullanılan aşamalardır.

Güvenlik ekipleri, cyber kill chain yaklaşımını kullanarak

güvenlik denetimleri yapabilirler.

Böylece zincirin bir ya da daha fazla halkasını kırarak

saldırganların hedefe ulaşmalarını engelleyebiliriz.

Target hack olayı gibi olayların başımıza gelmesini

istemiyorsak sadece güvenlik cihazlarına veya yıllık

denetimlere dayalı yaklaşımlardan vazgeçmeli, güvenliği bir

süreç olarak görmeliyiz.

45

Sorular?

Süleyman Özarslan

[email protected]

@su13ym4n

cyber kill chain @bilisimzirvesi

Technology