süleyman Özarslan - cyber kill chain modeli güvenlik denetim yaklaşımı
DESCRIPTION
Bilişim Zirvesi 2014TRANSCRIPT
Cyber Kill ChainSüleyman Özarslan
04/12/20232
Siber Ölüm Zinciri
04/12/20233
Süleyman Özarslan
Kurucu Ortak (Picus Security - kurumların siber tehditlere karşı hazırlık durumlarını denetleyen bilgi güvenliği yazılımları geliştirir.)
Doktora adayı (ODTÜ Enformatik Enstitüsü)
Siber Savunma Uzmanı ve Eğitmeni (NATO Barış ve Güvenlik için Bilim Programı)
13 yıllık bilgi güvenliği tecrübesi (2001-ilk akademik makale)
Bir çok kurum ve kuruluş için sızma testleri, DDoS testleri, web uygulama, ağ güvenliği ve sosyal mühendislik gibi güvenlik denetimleri
04/12/20234
Sunum İçeriği
Cyber Kill Chain modeli nedir?
Cyber Kill Chain aşamaları
Target hack olayının Cyber Kill Chain modeli ile incelenmesi
Target’ın hacklenmesi nasıl engellenebilirdi?
04/12/20235
Kill Chain
Askeri anlamda, "Kill Chain" bir saldırının aşamalarını tanımlayan ve bu saldırıyı gerçekleştirmek/önlemek amacıyla çeşitli yöntemlerin geliştirilmesine yarayan bir modeldir.
04/12/20236
Cyber Kill Chain
Lockheed Martin, Kill Chain modelini siber güvenlik olaylarının analizi ve iyileştirme önlemleri belirleme amacıyla uyarlayarak Cyber Kill Chain modelini oluşturmuştur.
Son yıllarda yaygın olarak kullanılan bu modelde,
siber saldırılar yedi adımda modellenmiştir,
kurumların her bir aşamada siber saldırıları tespit etme ve engelleme için yapabilecekleri tartışılmaktadır.
04/12/20237
Reconaissance
Keşif
Weaponization
Silahlanma
Delivery
İletme
Exploitation
Sömürme
Installation
Yükleme
Command & Control
Komuta & Kontrol
Actions on Objectives
Eyleme Geçme
Cyber Kill Chain
04/12/20238
Reconnaissance – Keşif
Bilgi toplama ve hedefi tespit etmeÇalışanların isimleri, görevleri, e-posta adresleri, Ip adresleri
Araçlar ve teknikler:Sosyal mühendislik
Sosyal medya
Aktif ve pasif tarama
Ağ haritası çıkarma
Açık kaynak istihbarat (OSINT)
Yeraltı forumları
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/20239
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
Bilgi satın alma – Devlet ve Askeri
04/12/202310
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
Bilgi satın alma - Finans:
04/12/202311
İnternetteki ayak izinizi biliyor musunuz?İş ilanları
Çalışanların herkese açık bilgileri (LinkedIn, Google takvimi, Twitter, Facebook vb.)
Tüm paydaşları göz önüne alıyor musunuz? Distribütörler, yükleniciler vb.
Paydaşların erişebildiği uygulamalar
Help desk’e sosyal mühendislik
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202312
Weaponization - Silahlanma
Zararlı yazılım içeren .pdf, .doc., .xls vb. dosyalar oluşturma
ilgi çekebilecek dosyalar: Fatura, personel listesi, kredi kartı ekstresi
Malware içeren web siteleri oluşturma
Araçlar ve teknikler:Özel bir platforma veya amaca yönelik zararlı yazılımlar
Yamaların tersine mühendisliği
0 gün açıkları
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202313
Varlık envanteriniz güncel mi?Sistemlerinizde hangi donanımlar var?
Sistemlerinizde çalışan tüm yazılımları biliyor musunuz?
Güncel açıklık / tehdit değerlendirmesi yapıldı mı? Güvenlik açısından zayıf noktalarınızı biliyor musunuz?
Bu zayıflıkları kapatmak için bir plan yaptınız mı?
Olası bir güvenlik ihlalinde yapılması gerekenler planlandı mı?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202314
Delivery - İletme
Hazırlanan zararlı yazılımın iletilmesi
Araçlar ve teknikler:Çeşitli açık kaynak kodlu yazılımlar
Oltalama (phishing) saldırıları
Sosyal networkler
Tünelleme
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202315
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202316
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202317
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202318
Güvenlik farkındalığına sahip misiniz?Çalışanlarınız sosyal mühendislik ataklarını veya oltalama saldırılarını anlayabilir mi?
Çalışanlarınız hangi donanımların kurum ağına bağlanabildiği veya bağlanamadığı hakkında fikri var mı?
Bilinen zararlı/şüpheli web sitelerine erişimi blokladınız mı?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202319
Exploitation - Sömürme
Bir hedefi/varlığı ele geçirmek için, var olan bir açığın sömürülmesi gerekir.
Örnek: ShellShock bash açığı, Adobe Acrobat (PDF) açıkları, Microsoft Office açıkları
Silah (zararlı PDF, Word dokümanı vb.) hazırlandıktan ve hedefe iletildikten sonra, bu aşamada zararlı kod çalıştırılır.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202320
Yazılımlarınız ne kadar sıklıkla güncelleniyor?
Donanımlarınızın veya yazılımlarınızın güncellenmesinin maliyeti nedir?
Sistemlerinizdeki zafiyetlerin tespit edilebilmesi için güvenlik denetimleri yapılıyor mu?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202321
Hacker, hedef sisteme erişiminin devamlılığını nasıl sağlar?
Remote Access Trojan
Backdoor
Hacker’ın düşünmesi gerekenler:Malware, hedef sisteme kendisini nasıl yükler?
Hangi dosyaları yaratır?
Hangi yolla çalıştırılır?
Nasıl kendini gizler?
Hedef sistem yeniden başlatıldığında çalışmasına nasıl devam eder?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202322
Araçlar ve Teknikler:Rootkits
Polimorfik kodlar
Çok aşamalı gizlenme
Şifreleme
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202323
KorunmaRol tabanlı erişim
Sizce hangisi daha güvenli?
Uygulama kara listesi (blacklisting)
Uygulama beyaz listesi (whitelisting)
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202324
C2 – Command & Control – Komuta Kontrol
Hacker, ele geçirilen bilgisayarı nasıl kontrol eder?Ele geçirilen bilgisayardan hacker ait internetteki kontrol sunucusuna bir C2 kanalı açılır.
Artık, hacker hedef sistem üzerinde her türlü erişime sahiptir.
Araçlar ve teknikler:
Encoding
Şifreleme
Tünelleme
Steganography
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202325
Korunma yolları:Saldırı Engelleme Sisteminiz (IPS) devrede mi?
IPS ‘iniz iyi konfigüre edilmiş mi?
Güvenlik Duvarınız (Firewall) iyi konfigüre edilmiş mi?
Güvenlik cihazlarınızı monitör edebiliyor musunuz?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202326
Actions on Objectives – Eyleme Geçme
İlk 6 adımdan sonraki bu adımda artık Hacker gerçek hedeflerini bu adımda eyleme dönüştürür:
Veri çalma
Veri değiştirme
Veri silme
Veri şifreleme
Sisteme zarar verme
Ele geçirilen sistem üzerinden diğer sistemleri ele geçirmeye çalışma ve ağ üzerinde hareket etme (lateral movement)
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202327
Verileriniz yedekleniyor mu?
Bir sisteminiz devre dışı kaldığında hizmet verecek yedek sistemleriniz var mı?
Fikri mülkiyetlerinizi (intellectual property) ne kadar iyi koruyorsunuz?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202328
Target Hack
04/12/202329
Reconnaissance - Keşif
Saldırgan basit Google aramalarıyla Target’ın tedarikçilerini ve satıcılarını araştırır.
Fazio isimli bir havalandırma firmasını hedef olarak seçer.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202330
Güvenlik denetimleri:Internet üzerinden erişilebilen, herkese açık olan bilgiler neler?
Bu bilgiler sınırlı mı yoksa önemli bilgiler de var mı?
Herkese açık bilgiler önemsiz bile görünse, önemsiz görünen farklı bilgiler kullanılarak daha önemli bilgiler elde edilebilir mi?
Satıcılar ve tedarikçiler gibi paydaşlar ortaya çıkabilecek güvenlik tehditleri hakkında bilgilendiriliyor mu?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202331
Weaponization - Silahlanma
Saldırgan, hedef firmaya gönderilmek üzere zararlı yazılım içeren PDF ve Word dokümanları hazırlar.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202332
Güvenlik denetimleri:Zararlı yazılımların bilgisayarlara bulaşmasını önlemek için antivirüs, anti-malware gibi yazılımlar kullanılıyor mu?
Ağdaki sistemleri korumak için gateway antivirüs cihazı var mı?
Bu yazılımlar ve güvenlik cihazları işlevlerini gerektiği gibi yerine getirebiliyor mu?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202333
Delivery - İletmeSaldırgan, daha önce hazırladığı zararlı yazılım içeren dokümanları oltalama (phishing) e-postalarıyla hedefe gönderir.Fazio, Target’ın Ariba ismindeki dış faturalama sistemine kullanıcı adı ve şifresiyle erişebilmektedir.Dokümanlar hedef (Fazio) tarafından açıldığında, içeriğindeki zararlı yazılım aktive olur ve Fazio’nun kullanıcı adı ve şifrelerini çalarak saldırgana gönderir. Bunlar arasında Target’ın Ariba sistemi de vardır.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202334
Saldırgan, Fazio’dan çaldığı kullanıcı adı ve şifre ile Target’ın iç ağına erişim sağlar.
Bu ağ üzerinden POS cihazlarına erişim de mümkündür.
Saldırgan, POS cihazlarının RAM ’inde bulunan bilgileri çalmak için hazırladığı BlackPOS zararlı yazılımını Target’ın POS cihazlarına yükler.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202335
Güvenlik denetimleri:Çalışanlar oltalama e-postalarını tanıyıp raporlayabiliyor mu?
Yeni nesil zararlı yazılım engelleme sistemleri devrede mi ve işlevlerini gerektiği gibi yerine getirebiliyor mu?
Fatura sistemleri gibi önemli sistemlere giriş güvenli mi? İki-faktörlü kimlik doğrulama kullanılıyor mu?
Target, PCI-DSS sertifikasına sahip. PCI-DSS ise sistemlere girişlerde iki faktörlü kimlik doğrulamayı zorunlu tutmaktadır.
Hackerlar iki faktörlü kimlik doğrulamayı nasıl atlattı?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202336
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202337
BlackPOS zararlı yazılımı POS cihazlarına gönderildikten sonra, artık milyonlarca kredi kartı bilgisi saldırgana iletilmeye başlamıştır.
Saldırganlar iç ağa da erişebildiğinden diğer sistemlerde yer alan müşteri bilgileri gibi bilgileri de sızdırmaktadırlar.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202338
Target bu aşamayı engelleyebilecek güvenlik cihazlarını yakın bir zamanda 6 Milyon $ ek yatırım yapmıştı.
Bu güvenlik cihazları, zararlı yazılım ağ üzerinden iletilmeye başlandığında “malware.binary” şeklinde jenerik zararlı yazılım alarmları ürettiler.
Güvenlik cihazları sürekli benzer alarmlar verdiği için Target güvenlik ekibi bunları önemsemedi.
Visa, Target hack olayından 2 ay önce süpermarket cihazlarını POS zararlılarına karşı uyaran bir rapor yayınlamıştı.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202339
Tam olarak nasıl yapıldığı bilinmese de, Saldırgan Fazio ve Target’ın sistemlerine erişiminn sürekliliğini sağlamak için çeşitli yöntemler kullandığı tespit edilmiştir.
İncelemeler sonucunda, Saldırgan’ın iç ağa sağladığı erişimle ve BlackPOS zararlısını kullanarak 40 milyon kredi kartı bilgisini ve 70 milyon kullanıcı bilgisini çaldığı görülmüştür.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202340
Bu aşamayı engellemek için yapılabilecek güvenlik denetimleri:
Sistemlerde çalışan bilgisayarlara (sunucu, istemci vs.) yüklenen yazılımlar denetleniyor mu?
Kullanıcılar istedikleri yazılımları bilgisayarlara yükleyebiliyor mı?
Whitelisting > Blacklisting
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202341
Raporlara göre Saldırgan, Target’ın iç ağına bir aydan daha uzun bir süre erişim sağlamış.
Saldırganların komuta ve kontrol için kullandıkları yöntem tam olarak bilinmemekle birlikte, Target’ın POS cihazlarının bulunduğu ağ ile dış ağ (Internet) arsında bir iletişim hattı oluşturduğu açık.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202342
İç ve dış ağı birbirinden ayıran güvenlik duvarı ve benzeri güvenlik cihazları devrede mi?
Bu güvenlik cihazları iç ağda ele geçirilen sunucularla dış ağdaki komuta kontrol sunucusu arasındaki iletişimi engelleyebiliyor mu?
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202343
Saldırganlar, iki hafta boyunca çalınan bilgileri FTP kullanarak Rusya’daki sunuculara iletmiştir.
40 milyon kredi kartı bilgisi
70 milyon müşteri bilgisi
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202344
İç ağdan dışarıya yapılan veri akışı sınırlandırılmış mı?
Sadece bilinen sunucularla veri akışını sağlama (whitelisting)
Güvenlik denetimlerinde ya da otomatik analizlerle Rusya’ya veri akışı yapıldığı tespit edilseydi veri sızıntısı engellenebildi.
Recon Weaponize Delivery Exploit Install C2 Act. On
Obj.
04/12/202345
Sonuçlar
Cyber kill chain, saldırganlar tarafından bir hedefe ulaşılmakta kullanılan aşamalardır.
Güvenlik ekipleri, cyber kill chain yaklaşımını kullanarak güvenlik denetimleri yapabilirler.
Böylece zincirin bir ya da daha fazla halkasını kırarak saldırganların hedefe ulaşmalarını engelleyebiliriz.
Target hack olayı gibi olayların başımıza gelmesini istemiyorsak sadece güvenlik cihazlarına veya yıllık denetimlere dayalı yaklaşımlardan vazgeçmeli, güvenliği bir süreç olarak görmeliyiz.