Cyber Kill Chain

Download Cyber Kill Chain

Post on 20-Jun-2015

466 views

Category:

Technology

3 download

Embed Size (px)

DESCRIPTION

Cyber Kill Chain includes 7 stages that are Reconnaissance, Weaponization, Delivery, Exploitation, Installation, C2 and Actions on Objectives. Askeri anlamda, "Kill Chain" bir saldrnn aamalarn tanmlayan ve bu saldry gerekletirmek/nlemek amacyla eitli yntemlerin gelitirilmesine yarayan bir modeldir. Lockheed Martin, Kill Chain modelini siber gvenlik olaylarnn analizi ve iyiletirme nlemleri belirleme amacyla uyarlayarak Cyber Kill Chain modelini oluturmutur. Son yllarda yaygn olarak kullanlan bu modelde, siber saldrlar yedi admda modellenmitir, kurumlarn her bir aamada siber saldrlar tespit etme ve engelleme iin yapabilecekleri tartlmaktadr. Cyber Kill Chain model 7 aamadan olumaktadr. Bu aamalar: Keif, Silahlanma, letme, Smrme, Ykleme, Komuta Kontrol, Eyleme Geme.

TRANSCRIPT

<ul><li> 1. Cyber Kill ChainSleyman zarslan</li></ul> <p> 2. Siber lm Zinciri 2 10/2/2014 3. Sleyman zarslanKurucu Ortak (Picus Security - kurumlarn sibertehditlere kar hazrlk durumlarn denetleyen bilgigvenlii yazlmlar gelitirir.)Doktora aday (ODT Enformatik Enstits)Siber Savunma Uzman ve Eitmeni (NATO Bar veGvenlik iin Bilim Program)13 yllk bilgi gvenlii tecrbesi (2001-ilk akademikmakale)Bir ok kurum ve kurulu iin szma testleri, DDoS testleri,web uygulama, a gvenlii ve sosyal mhendislik gibigvenlik denetimleri3 10/2/2014 4. Sunum eriiCyber Kill Chain modeli nedir?Cyber Kill Chain aamalarTarget hack olaynn Cyber Kill Chain modeli ileincelenmesiTargetn hacklenmesi nasl engellenebilirdi?4 10/2/2014 5. Kill ChainAskeri anlamda, "Kill Chain" bir saldrnn aamalarntanmlayan ve bu saldry gerekletirmek/nlemekamacyla eitli yntemlerin gelitirilmesine yarayanbir modeldir.5 10/2/2014 6. Cyber Kill ChainLockheed Martin, Kill Chain modelini siber gvenlikolaylarnn analizi ve iyiletirme nlemleri belirlemeamacyla uyarlayarak Cyber Kill Chain modelinioluturmutur.Son yllarda yaygn olarak kullanlan bu modelde,siber saldrlar yedi admda modellenmitir,kurumlarn her bir aamada siber saldrlar tespit etmeve engelleme iin yapabilecekleri tartlmaktadr.6 10/2/2014 7. ReconaissanceKeifCyber Kill ChainWeaponizationSilahlanmaDeliveryletmeExploitationSmrmeInstallationYklemeCommand &amp;ControlKomuta &amp;KontrolActions onObjectivesEyleme Geme7 10/2/2014 8. Recon Weaponize Delivery Exploit Install C28 10/2/2014Reconnaissance KeifBilgi toplama ve hedefi tespit etmealanlarn isimleri, grevleri, e-posta adresleri, Ip adresleriAralar ve teknikler:Sosyal mhendislikSosyal medyaAktif ve pasif taramaA haritas karmaAk kaynak istihbarat (OSINT)Yeralt forumlarAct. OnObj. 9. Recon Weaponize Delivery Exploit Install C2Act. OnObj.Bilgi satn alma Devlet ve Askeri9 10/2/2014 10. Recon Weaponize Delivery Exploit Install C2Act. OnObj.10 10/2/2014Bilgi satn alma - Finans: 11. Recon Weaponize Delivery Exploit Install C2nternetteki ayak izinizi biliyor musunuz?Act. OnObj. ilanlaralanlarn herkese ak bilgileri (LinkedIn, Googletakvimi, Twitter, Facebook vb.)Tm paydalar gz nne alyor musunuz?Distribtrler, ykleniciler vb.Paydalarn eriebildii uygulamalarHelp deske sosyal mhendislik11 10/2/2014 12. Recon Weaponize Delivery Exploit Install C2Weaponization - SilahlanmaAct. OnObj.Zararl yazlm ieren .pdf, .doc., .xls vb. dosyalaroluturmailgi ekebilecek dosyalar: Fatura, personel listesi, kredikart ekstresiMalware ieren web siteleri oluturma12 10/2/2014Aralar ve teknikler:zel bir platforma veya amaca ynelik zararl yazlmlarYamalarn tersine mhendislii0 gn aklar 13. Recon Weaponize Delivery Exploit Install C2Varlk envanteriniz gncel mi?Act. OnObj.Sistemlerinizde hangi donanmlar var?Sistemlerinizde alan tm yazlmlar biliyor musunuz?Gncel aklk / tehdit deerlendirmesi yapld m?Gvenlik asndan zayf noktalarnz biliyor musunuz?Bu zayflklar kapatmak iin bir plan yaptnz m?Olas bir gvenlik ihlalinde yaplmas gerekenlerplanland m?13 10/2/2014 14. Recon Weaponize Delivery Exploit Install C214 10/2/2014Delivery - letmeHazrlanan zararl yazlmn iletilmesiAralar ve teknikler:eitli ak kaynak kodlu yazlmlarOltalama (phishing) saldrlarSosyal networklerTnellemeAct. OnObj. 15. Recon Weaponize Delivery Exploit Install C2Act. OnObj.15 10/2/2014 16. Recon Weaponize Delivery Exploit Install C2Act. OnObj.16 10/2/2014 17. Recon Weaponize Delivery Exploit Install C2Act. OnObj.17 10/2/2014 18. Recon Weaponize Delivery Exploit Install C2Gvenlik farkndalna sahip misiniz?Act. OnObj.alanlarnz sosyal mhendislik ataklarn veyaoltalama saldrlarn anlayabilir mi?alanlarnz hangi donanmlarn kurum anabalanabildii veya balanamad hakknda fikri varm?Bilinen zararl/pheli web sitelerine eriimi blokladnzm?18 10/2/2014 19. Recon Weaponize Delivery Exploit Install C219 10/2/2014Exploitation - SmrmeBir hedefi/varl ele geirmek iin, var olan bir ansmrlmesi gerekir.rnek: ShellShock bash a, Adobe Acrobat (PDF)aklar, Microsoft Office aklarSilah (zararl PDF, Word dokman vb.)hazrlandktan ve hedefe iletildikten sonra, buaamada zararl kod altrlr.Act. OnObj. 20. Recon Weaponize Delivery Exploit Install C2Yazlmlarnz ne kadar sklkla gncelleniyor?Donanmlarnzn veya yazlmlarnzngncellenmesinin maliyeti nedir?Act. OnObj.Sistemlerinizdeki zafiyetlerin tespit edilebilmesi iingvenlik denetimleri yaplyor mu?20 10/2/2014 21. Recon Weaponize Delivery Exploit Install C2Hacker, hedef sisteme eriiminin devamlln naslsalar?Act. OnObj.21 10/2/2014Remote Access TrojanBackdoorHackern dnmesi gerekenler:Malware, hedef sisteme kendisini nasl ykler?Hangi dosyalar yaratr?Hangi yolla altrlr?Nasl kendini gizler?Hedef sistem yeniden balatldnda almasna nasldevam eder? 22. Recon Weaponize Delivery Exploit Install C222 10/2/2014Aralar ve Teknikler:RootkitsPolimorfik kodlarok aamal gizlenmeifrelemeAct. OnObj. 23. Recon Weaponize Delivery Exploit Install C223 10/2/2014KorunmaRol tabanl eriimSizce hangisi daha gvenli?Uygulama kara listesi (blacklisting)Uygulama beyaz listesi (whitelisting)Act. OnObj. 24. Recon Weaponize Delivery Exploit Install C2C2 Command &amp; Control Komuta KontrolHacker, ele geirilen bilgisayar nasl kontrol eder?Ele geirilen bilgisayardan hacker ait internetteki kontrolsunucusuna bir C2 kanal alr.Artk, hacker hedef sistem zerinde her trl eriime sahiptir.24 10/2/2014Aralar ve teknikler:EncodingifrelemeTnellemeSteganographyAct. OnObj. 25. Recon Weaponize Delivery Exploit Install C2Act. OnObj.25 10/2/2014Korunma yollar:Saldr Engelleme Sisteminiz (IPS) devrede mi?IPS iniz iyi konfigre edilmi mi?Gvenlik Duvarnz (Firewall) iyi konfigre edilmi mi?Gvenlik cihazlarnz monitr edebiliyor musunuz? 26. Recon Weaponize Delivery Exploit Install C2Actions on Objectives Eyleme GemeAct. OnObj.lk 6 admdan sonraki bu admda artk Hacker gerekhedeflerini bu admda eyleme dntrr:26 10/2/2014Veri almaVeri deitirmeVeri silmeVeri ifrelemeSisteme zarar vermeEle geirilen sistem zerinden dier sistemleri elegeirmeye alma ve a zerinde hareket etme (lateralmovement) 27. Recon Weaponize Delivery Exploit Install C2Verileriniz yedekleniyor mu?Act. OnObj.Bir sisteminiz devre d kaldnda hizmet verecekyedek sistemleriniz var m?Fikri mlkiyetlerinizi (intellectual property) ne kadar iyikoruyorsunuz?27 10/2/2014 28. Target Hack28 10/2/2014 29. Recon Weaponize Delivery Exploit Install C2Act. OnObj.29 10/2/2014Reconnaissance - KeifSaldrgan basit Google aramalaryla Targetn tedarikilerinive satclarn aratrr.Fazio isimli bir havalandrma firmasn hedef olarak seer. 30. Recon Weaponize Delivery Exploit Install C2Act. OnObj.30 10/2/2014Gvenlik denetimleri:Internet zerinden eriilebilen, herkese ak olan bilgilerneler?Bu bilgiler snrl m yoksa nemli bilgiler de var m?Herkese ak bilgiler nemsiz bile grnse, nemsizgrnen farkl bilgiler kullanlarak daha nemli bilgilerelde edilebilir mi?Satclar ve tedarikiler gibi paydalar ortayakabilecek gvenlik tehditleri hakknda bilgilendiriliyormu? 31. Recon Weaponize Delivery Exploit Install C2Weaponization - SilahlanmaSaldrgan, hedef firmaya gnderilmek zere zararlyazlm ieren PDF ve Word dokmanlar hazrlar.Act. OnObj.31 10/2/2014 32. Recon Weaponize Delivery Exploit Install C2Act. OnObj.32 10/2/2014Gvenlik denetimleri:Zararl yazlmlarn bilgisayarlara bulamasn nlemekiin antivirs, anti-malware gibi yazlmlar kullanlyormu?Adaki sistemleri korumak iin gateway antivirs cihazvar m?Bu yazlmlar ve gvenlik cihazlar ilevlerini gerektiigibi yerine getirebiliyor mu? 33. Recon Weaponize Delivery Exploit Install C2Act. OnObj.Delivery - letmeSaldrgan, daha nce hazrlad zararl yazlmieren dokmanlar oltalama (phishing) e-postalarylahedefe gnderir.Fazio, Targetn Ariba ismindeki d faturalamasistemine kullanc ad ve ifresiyleeriebilmektedir.Dokmanlar hedef (Fazio) tarafndan aldnda,ieriindeki zararl yazlm aktive olur ve Fazionunkullanc ad ve ifrelerini alarak saldrganagnderir. Bunlar arasnda Targetn Ariba sistemide vardr.33 10/2/2014 34. Recon Weaponize Delivery Exploit Install C2Act. OnObj.Saldrgan, Faziodan ald kullanc ad ve ifre ileTargetn i ana eriim salar.Bu a zerinden POS cihazlarna eriim demmkndr.Saldrgan, POS cihazlarnn RAM inde bulunan bilgilerialmak iin hazrlad BlackPOS zararl yazlmnTargetn POS cihazlarna ykler.34 10/2/2014 35. Recon Weaponize Delivery Exploit Install C2Act. OnObj.35 10/2/2014Gvenlik denetimleri:alanlar oltalama e-postalarn tanyp raporlayabiliyor mu?Yeni nesil zararl yazlm engelleme sistemleri devrede mi veilevlerini gerektii gibi yerine getirebiliyor mu?Fatura sistemleri gibi nemli sistemlere giri gvenli mi? ki-faktrlkimlik dorulama kullanlyor mu?Target, PCI-DSS sertifikasna sahip. PCI-DSS ise sistemleregirilerde iki faktrl kimlik dorulamay zorunlu tutmaktadr.Hackerlar iki faktrl kimlik dorulamay nasl atlatt? 36. Recon Weaponize Delivery Exploit Install C2Act. OnObj.36 10/2/2014 37. Recon Weaponize Delivery Exploit Install C2Act. OnObj.BlackPOS zararl yazlm POS cihazlarnagnderildikten sonra, artk milyonlarca kredi kartbilgisi saldrgana iletilmeye balamtr.Saldrganlar i aa da eriebildiinden diersistemlerde yer alan mteri bilgileri gibi bilgileri deszdrmaktadrlar.37 10/2/2014 38. Recon Weaponize Delivery Exploit Install C2Act. OnObj.Target bu aamay engelleyebilecek gvenlik cihazlarnyakn bir zamanda 6 Milyon $ ek yatrm yapmt.Bu gvenlik cihazlar, zararl yazlm a zerindeniletilmeye balandnda malware.binary eklinde jenerikzararl yazlm alarmlar rettiler.Gvenlik cihazlar srekli benzer alarmlar verdii iinTarget gvenlik ekibi bunlar nemsemedi.Visa, Target hack olayndan 2 ay nce spermarketcihazlarn POS zararllarna kar uyaran bir raporyaynlamt.38 10/2/2014 39. Recon Weaponize Delivery Exploit Install C2Act. OnObj.Tam olarak nasl yapld bilinmese de, Saldrgan Faziove Targetn sistemlerine eriiminn srekliliini salamakiin eitli yntemler kulland tespit edilmitir.ncelemeler sonucunda, Saldrgann i aa saladeriimle ve BlackPOS zararlsn kullanarak 40 milyonkredi kart bilgisini ve 70 milyon kullanc bilgisini aldgrlmtr.39 10/2/2014 40. Recon Weaponize Delivery Exploit Install C2Act. OnObj.Bu aamay engellemek iin yaplabilecek gvenlikdenetimleri:Sistemlerde alan bilgisayarlara (sunucu, istemci vs.)yklenen yazlmlar denetleniyor mu?Kullanclar istedikleri yazlmlar bilgisayarlaraykleyebiliyor m?Whitelisting &gt; Blacklisting40 10/2/2014 41. Recon Weaponize Delivery Exploit Install C2Act. OnObj.Raporlara gre Saldrgan, Targetn i ana bir aydandaha uzun bir sre eriim salam.Saldrganlarn komuta ve kontrol iin kullandklar yntemtam olarak bilinmemekle birlikte, Targetn POScihazlarnn bulunduu a ile d a (Internet) arsnda biriletiim hatt oluturduu ak.41 10/2/2014 42. Recon Weaponize Delivery Exploit Install C2Act. OnObj. ve d a birbirinden ayran gvenlik duvar ve benzerigvenlik cihazlar devrede mi?Bu gvenlik cihazlar i ada ele geirilen sunucularla dadaki komuta kontrol sunucusu arasndaki iletiimiengelleyebiliyor mu?42 10/2/2014 43. Recon Weaponize Delivery Exploit Install C2Saldrganlar, iki hafta boyunca alnan bilgileri FTPkullanarak Rusyadaki sunuculara iletmitir.43 10/2/201440 milyon kredi kart bilgisi70 milyon mteri bilgisiAct. OnObj. 44. Recon Weaponize Delivery Exploit Install C2Act. OnObj. adan darya yaplan veri ak snrlandrlm m?Sadece bilinen sunucularla veri akn salama(whitelisting)Gvenlik denetimlerinde ya da otomatik analizlerleRusyaya veri ak yapld tespit edilseydi veri szntsengellenebildi.44 10/2/2014 45. SonularCyber kill chain, saldrganlar tarafndan bir hedefeulalmakta kullanlan aamalardr.Gvenlik ekipleri, cyber kill chain yaklamn kullanarakgvenlik denetimleri yapabilirler.Bylece zincirin bir ya da daha fazla halkasn kraraksaldrganlarn hedefe ulamalarn engelleyebiliriz.Target hack olay gibi olaylarn bamza gelmesiniistemiyorsak sadece gvenlik cihazlarna veya yllkdenetimlere dayal yaklamlardan vazgemeli, gvenliibir sre olarak grmeliyiz.45 10/2/2014 46. Sorular?Sleyman zarslansuleyman@picussecurity.com@su13ym4n </p>

Recommended

View more >