02 Haz, 2021

[:tr]Cyber Kill Chain Nedir? [:en]What is the Cyber Kill Chain[:]

[:tr]Siber tehdit aktörleri gün geçtikçe ciddi yıkıcı saldırılarda bulunmaya başladı. Özellikle devletler, şirketler siber saldırılar sonucu uğradıkları zararın farkına varınca, siber güvenliğin önemi arttı. Siber güvenlik araştırmacıları, siber saldırıları analiz edebilmek amacıyla çeşitli modeller üzerinde çalışmaktadır yani bir saldırgan gibi düşünerek gelen saldırıyı bertaraf etmeyi ya da gerçekleşen saldırıyı analiz etmek için çeşitli modelleri kullanmaktadır. Siber saldırganların eylemleri arkasındaki nedeni bulmak, saldırganın neyin peşinde olduğunu ve düşmana karşı neyi korumamız gerektiğini anlamamız açısından çok önemlidir. Siber saldırıyı anlamlandırmak için kullanılan modellerden biri olan Cyber Kill Chain saldırı metodolojisidir.

Cyber Kill Chain, Locheed Martin firması tarafından geliştirilmiştir. Askeri anlamda “Kill Chain” bir saldırının aşamalarını tanımlayan ve bu saldırıyı gerçekleştirmek/önlemek amacıyla çeşitli yöntemlerin gerçekleştirmesine yarayan bir modeldir ve siber güvenliğe uyarlanmış halidir.

Cyber Kill Chain saldırı metodolojisine göre hedefli bir siber saldırı 7 aşamada gerçekleşmektedir. Siber tehdit aktörlerinin hedef sistemindeki keşif aşamasından, siber saldırganın amacına ulaşmasına kadarki tüm süreci modellemeyi hedefler.

⦁ Keşif (Reconnaissance):
Saldırganın hedef sistem üzerinde bilgi toplama aşamasıdır. Bu aşamanın amacı, sisteme sızma yönteminin tespit edilmesidir. Saldırgan hedef sistemin IP adresleri, çalışan bilgileri, kullanılan güvenlik sistemlerinin tespitini gerçekleştirir. Saldırganın asıl amacı istismar edebileceği güvenlik açıklarını aramaktır.

Saldırganlar whois sorgulamaları, shodan, sosyal medya platformları, forum siteleri, ağ haritası çıkarılması, recon-ng, theHarvester, archieve.org, nmap, dmitry. sosyal mühendislik saldırı yöntemlerinin kullanılması, açık kaynak istihbaratı (OSINT), malware içeren web sitesi oluşturma, mevcut Zeroday açıklarının tespit edilmesi gibi çeşitli yöntemleri kullanmaktadır.

⦁ Silahlanma (Weaponization):
Keşif aşamasında hedef sistem hakkında gerekli bilgileri alıp sisteme sızabilecek giriş noktasını belirleyen saldırgan, bu giriş noktasında hangi atak vektörünü kullanacağına bu aşamada karar verir. Saldırganın saldırı öncesi son hazırlıklarını tamamladığı aşamadır. Aynı zamanda kullanılması gereken zararlı yazılımlar burada oluşturulur.

Saldırganlar, zararlı yazılım içeren .pdf, .doc, .xls, gibi zararlı dosyaları oluşturur, bilgi çekebilecek dosyalar (Fatura, personel listesi, kredi kartı ekstresi), zeroday açıklarını sömürebilecek noktalar tespit edildikten sonra exploitleri elde eder.

⦁ İletme (Delivery):
Hazırlanan zararlı aktivitenin hedef sisteme iletildiği aşamadır. İletim yöntemi bu aşamada belirlenir. Saldırgan bu aşamada bir e-posta, usb gibi aracılığı ile zararlı yazılımı hedefe iletir. Burada saldırgan oltalama saldırısını gerçekleştirir. Burada siber güvenliğin zayıf halkası olan insanı hedefleyerek saldırıyı onun üzerinden yapar.

⦁ Sömürme (Exploitataion):
Saldırganın 2.aşamada oluşturduğu silahı kullanarak hedef sistemin güvenlik zafiyetini sömürdüğü aşamadır. Buradaki amaç zararlı yazılımın hedef sistem üzerinde çalışmasıdır. ShellShock bash açığı, Adobe Acrobat açıklıkları, Microsoft Office açıkları gibi mevcut zafiyetlerden yararlanabilir veya oltalama saldırısı sonrasında hedef sisteme bulaştırılan malwarelar ile saldırgan sistemi sömürebilmektedir.

⦁ Yükleme (Installation):
Hedef sisteme sömürme işlemi başarıya ulaştıktan sonra saldırgan zararlı aktivitelerini gerçekleştirmeye başlar. Başarılı bir şekilde sistem üzerine yerleşen saldırgan gizlemek için çeşitli teknikleri de bu aşamada kullanır ve sistem üzerinde kalıcılığı sağlamak için farklı yazılımları da yükleyebilir. Bu aşamada saldırganın başarılı bir şekilde sistemi kontrol etmesinin önü açılır.

⦁ Komuta & Kontrol (command & control, c2):

Hedef sistemin uzaktan kontrol edildiği aşamadır. Saldırgan hedef sistemi ele geçirmiştir. Zararlı kodlar ağa yerleştirilmiştir. Bu aşamada hedef sistemi ele geçirdikten sonra hedeflemiş olduğu sistem üzerindeki aktiviteleri gerçekleştirir ve hedef sistemde bir haberleşme kanalı oluşturur.

⦁ Eylem (Actions On Objectives):
Saldırgan amacına ulaşmak için çeşitli eylemler gerçekleştirir. Bu eylemler veri çalma, silme veya başka bir sisteme saldırma olarak örneklendirilebilir. Yukardaki adımları gerçekleştirildikten sonra saldırgan bu adımda eyleme geçer.

Bu 7 aşama bir zincir gibi birbirlerine bağlıdır. Her aşamadaki başarı bir sonraki aşamayı etkileyecektir.

CyberArts Bilgi Güvenliği Ekibinin Önerileri

Siber saldırılara karşı önlem alabilmek için saldırı metodolojilerini iyi bilmek gerekir. Cyber Kill Chain gibi modeller sayesinde kurumların IT altyapısında eksik noktalar tespit edilebilir, saldırı anında saldırı aşamasına göre müdahale yöntemine karar verilebilir ve saldırı sonrasında kurumun bu saldırı sonucunda ne ölçüde etkilendiğinin risk analizini yapabilir.

Kendi iç yapınızda sormanız gereken sorular;

⦁ Var olan sistemler güncel mi?
⦁ Sistemlerde çalışan tüm yazılımları biliyor musunuz?
⦁ Güncel tehdit değerlendirmesi yapıldı mı?
⦁ Güvenlik açısından zayıf noktalarınızı biliyor musunuz?
⦁ Bu zayıflıkları kapatmak için plan yaptınız mı?
⦁ Olası bir güvenlik ihlalinde yapılması gerekenler planlı mı?
⦁ Güvenlik farkındalığına sahip mi?
⦁ Çalışanlar sosyal mühendislik ataklarını veya oltalama saldırılarını anlayabilirler mi?
⦁ Bilinen zararlı web sitelerine erişim bloklandı mı?
⦁ Firewall iyi konfigüre edilmiş mi?
⦁ Güvenlik cihazları iyi monitüre ediliyor mu?
⦁ Veriler yedekleniyor mu?
⦁ Sistem devre dışı kaldığı zaman yedek sistem var mı?
Siber olay müdahale planınız var mı?

Kaynak:
lockheedmartin.com

KVKK, ISO 27001, Bilgi ve İletişim Güvenliği Rehberi, ISO 27701, Bilgi Güvenliği, Siber Güvenlik ve Bilgi Teknolojileri konularında destek ve teklif almak için lütfen

[:en]Cyber ​​threat actors began to carry out serious destructive attacks day by day. The importance of cyber security has increased, especially when states and companies have become aware of the damage they have suffered as a result of cyber attacks. Cyber ​​security researchers are working on various models to analyze cyber attacks, that is, they use various models to think like an attacker and eliminate the incoming attack or to analyze the attack. Finding the reason behind the cyber attackers’ actions is crucial to understanding what the attacker is up to and what we need to protect against the enemy. One of the models used to make sense of the cyber attack is the Cyber ​​Kill Chain attack methodology.

Cyber ​​Kill Chain was developed by Locheed Martin. In military terms, “Kill Chain” is a model that defines the stages of an attack and uses various methods to carry out/prevent this attack and is adapted to cyber security.

According to the Cyber ​​Kill Chain attack methodology, a targeted cyber attack takes place in 7 stages. It aims to model the entire process from the discovery phase of the cyber threat actors’ target system to the cyber attacker’s achievement of his goal.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


⦁ Reconnaissance: This is the

attacker’s stage of gathering information on the target system. The purpose of this stage is to determine the method of infiltration into the system. The attacker detects the IP addresses of the target system, employee information, and the security systems used. The attacker’s main goal is to look for vulnerabilities that they can exploit.

Attackers include whois queries, shodan, social media platforms, forum sites, network mapping, recon-ng, theHarvester, archieve.org, nmap, dmitry. It uses various methods such as using social engineering attack methods, open source intelligence (OSINT), creating websites containing malware, and detecting existing Zeroday vulnerabilities.

⦁ Weaponization:
The attacker, who obtains the necessary information about the target system and determines the entry point to infiltrate the system during the discovery phase, decides which attack vector to use at this entry point. It is the stage where the attacker completes his final preparations before the attack. Malware that should be used at the same time is created here.

Attackers create malicious files such as .pdf, .doc, .xls, which contain malware, files that can extract information (Invoice, personnel list, credit card statement), exploits after detecting points that can exploit zeroday vulnerabilities.

⦁ Delivery:
It is the stage where the prepared malicious activity is transmitted to the target system. The transmission method is determined at this stage. At this stage, the attacker transmits the malware to the target via an e-mail or usb. Here the attacker performs the phishing attack. Here, it targets the person who is the weak link of cyber security and makes the attack through him.

⦁ Exploitation:
It is the stage where the attacker exploits the security vulnerability of the target system by using the weapon created in the 2nd stage. The purpose here is for the malware to run on the target system. It can take advantage of existing vulnerabilities such as ShellShock bash vulnerability, Adobe Acrobat vulnerabilities, Microsoft Office vulnerabilities, or the attacker can exploit the system with malwares that are infected with the target system after a phishing attack.

⦁ Installation:
After the exploitation of the target system is successful, the attacker starts to perform its malicious activities. The attacker, who has successfully settled on the system, uses various techniques at this stage to hide and can also install different software to ensure persistence on the system. At this stage, the attacker can successfully control the system.

⦁ Command & Control (command & control, c2):
It is the stage where the target system is controlled remotely. The attacker has taken over the target system. Malicious codes are embedded in the network. At this stage, after capturing the target system, it performs activities on the targeted system and creates a communication channel in the target system.

⦁ Actions On Objectives: The
attacker performs various actions to achieve his goal. These actions can be exemplified as stealing data, deleting or attacking another system. After performing the above steps, the attacker takes action in this step.

These 7 stages are interconnected like a chain. Success at each stage will affect the next stage.

Recommendations of CyberArts Information Security Team

In order to take precautions against cyber attacks, it is necessary to know the attack methodologies well. Thanks to models such as Cyber ​​Kill Chain, missing points in the IT infrastructure of the institutions can be detected, the intervention method can be decided according to the attack stage at the time of the attack, and a risk analysis can be made after the attack to what extent the institution is affected by this attack.

Questions you should ask in your own internal structure;

⦁ Are existing systems up to date?
⦁ Do you know all the software running on the systems?
⦁ Has an up-to-date threat assessment been made?
⦁ Do you know your weak points in terms of security?
⦁ Have you made plans to close these weaknesses?
⦁ Is the action planned in case of a potential security breach?
⦁ Does it have security awareness?
⦁ Can employees understand social engineering attacks or phishing attacks?
⦁ Is access to known malicious websites blocked?
⦁ Is the firewall well configured?
⦁ Are safety devices well-monitored?
⦁ Is data backed up?
⦁ Is there a backup system when the system is down?
Do you have a cyber incident response plan?

source:
lockheedmartin.com[:]

İçerik Hakkında:
Sosyal Medyada Paylaş:
Facebook
Twitter
LinkedIn
Telegram