Siber tehdit aktörleri gün geçtikçe ciddi yıkıcı saldırılarda bulunmaya başladı. Özellikle devletler, şirketler siber saldırılar sonucu uğradıkları zararın farkına varınca, siber güvenliğin önemi arttı. Siber güvenlik araştırmacıları, siber saldırıları analiz edebilmek amacıyla çeşitli modeller üzerinde çalışmaktadır yani bir saldırgan gibi düşünerek gelen saldırıyı bertaraf etmeyi ya da gerçekleşen saldırıyı analiz etmek için çeşitli modelleri kullanmaktadır. Siber saldırganların eylemleri arkasındaki nedeni bulmak, saldırganın neyin peşinde olduğunu ve düşmana karşı neyi korumamız gerektiğini anlamamız açısından çok önemlidir. Siber saldırıyı anlamlandırmak için kullanılan modellerden biri olan Cyber Kill Chain saldırı metodolojisidir.

Cyber Kill Chain, Locheed Martin firması tarafından geliştirilmiştir. Askeri anlamda “Kill Chain” bir saldırının aşamalarını tanımlayan ve bu saldırıyı gerçekleştirmek/önlemek amacıyla çeşitli yöntemlerin gerçekleştirmesine yarayan bir modeldir ve siber güvenliğe uyarlanmış halidir.

Cyber Kill Chain saldırı metodolojisine göre hedefli bir siber saldırı 7 aşamada gerçekleşmektedir. Siber tehdit aktörlerinin hedef sistemindeki keşif aşamasından, siber saldırganın amacına ulaşmasına kadarki tüm süreci modellemeyi hedefler.

⦁ Keşif (Reconnaissance):
Saldırganın hedef sistem üzerinde bilgi toplama aşamasıdır. Bu aşamanın amacı, sisteme sızma yönteminin tespit edilmesidir. Saldırgan hedef sistemin IP adresleri, çalışan bilgileri, kullanılan güvenlik sistemlerinin tespitini gerçekleştirir. Saldırganın asıl amacı istismar edebileceği güvenlik açıklarını aramaktır.

Saldırganlar whois sorgulamaları, shodan, sosyal medya platformları, forum siteleri, ağ haritası çıkarılması, recon-ng, theHarvester, archieve.org, nmap, dmitry. sosyal mühendislik saldırı yöntemlerinin kullanılması, açık kaynak istihbaratı (OSINT), malware içeren web sitesi oluşturma, mevcut Zeroday açıklarının tespit edilmesi gibi çeşitli yöntemleri kullanmaktadır.

⦁ Silahlanma (Weaponization):
Keşif aşamasında hedef sistem hakkında gerekli bilgileri alıp sisteme sızabilecek giriş noktasını belirleyen saldırgan, bu giriş noktasında hangi atak vektörünü kullanacağına bu aşamada karar verir. Saldırganın saldırı öncesi son hazırlıklarını tamamladığı aşamadır. Aynı zamanda kullanılması gereken zararlı yazılımlar burada oluşturulur.

Saldırganlar, zararlı yazılım içeren .pdf, .doc, .xls, gibi zararlı dosyaları oluşturur, bilgi çekebilecek dosyalar (Fatura, personel listesi, kredi kartı ekstresi), zeroday açıklarını sömürebilecek noktalar tespit edildikten sonra exploitleri elde eder.

⦁ İletme (Delivery):
Hazırlanan zararlı aktivitenin hedef sisteme iletildiği aşamadır. İletim yöntemi bu aşamada belirlenir. Saldırgan bu aşamada bir e-posta, usb gibi aracılığı ile zararlı yazılımı hedefe iletir. Burada saldırgan oltalama saldırısını gerçekleştirir. Burada siber güvenliğin zayıf halkası olan insanı hedefleyerek saldırıyı onun üzerinden yapar.

⦁ Sömürme (Exploitataion):
Saldırganın 2.aşamada oluşturduğu silahı kullanarak hedef sistemin güvenlik zafiyetini sömürdüğü aşamadır. Buradaki amaç zararlı yazılımın hedef sistem üzerinde çalışmasıdır. ShellShock bash açığı, Adobe Acrobat açıklıkları, Microsoft Office açıkları gibi mevcut zafiyetlerden yararlanabilir veya oltalama saldırısı sonrasında hedef sisteme bulaştırılan malwarelar ile saldırgan sistemi sömürebilmektedir.

⦁ Yükleme (Installation):
Hedef sisteme sömürme işlemi başarıya ulaştıktan sonra saldırgan zararlı aktivitelerini gerçekleştirmeye başlar. Başarılı bir şekilde sistem üzerine yerleşen saldırgan gizlemek için çeşitli teknikleri de bu aşamada kullanır ve sistem üzerinde kalıcılığı sağlamak için farklı yazılımları da yükleyebilir. Bu aşamada saldırganın başarılı bir şekilde sistemi kontrol etmesinin önü açılır.

⦁ Komuta & Kontrol (command & control, c2):

Hedef sistemin uzaktan kontrol edildiği aşamadır. Saldırgan hedef sistemi ele geçirmiştir. Zararlı kodlar ağa yerleştirilmiştir. Bu aşamada hedef sistemi ele geçirdikten sonra hedeflemiş olduğu sistem üzerindeki aktiviteleri gerçekleştirir ve hedef sistemde bir haberleşme kanalı oluşturur.

⦁ Eylem (Actions On Objectives):
Saldırgan amacına ulaşmak için çeşitli eylemler gerçekleştirir. Bu eylemler veri çalma, silme veya başka bir sisteme saldırma olarak örneklendirilebilir. Yukardaki adımları gerçekleştirildikten sonra saldırgan bu adımda eyleme geçer.

Bu 7 aşama bir zincir gibi birbirlerine bağlıdır. Her aşamadaki başarı bir sonraki aşamayı etkileyecektir.

CyberArts Bilgi Güvenliği Ekibinin Önerileri

Siber saldırılara karşı önlem alabilmek için saldırı metodolojilerini iyi bilmek gerekir. Cyber Kill Chain gibi modeller sayesinde kurumların IT altyapısında eksik noktalar tespit edilebilir, saldırı anında saldırı aşamasına göre müdahale yöntemine karar verilebilir ve saldırı sonrasında kurumun bu saldırı sonucunda ne ölçüde etkilendiğinin risk analizini yapabilir.

Kendi iç yapınızda sormanız gereken sorular;

⦁ Var olan sistemler güncel mi?
⦁ Sistemlerde çalışan tüm yazılımları biliyor musunuz?
⦁ Güncel tehdit değerlendirmesi yapıldı mı?
⦁ Güvenlik açısından zayıf noktalarınızı biliyor musunuz?
⦁ Bu zayıflıkları kapatmak için plan yaptınız mı?
⦁ Olası bir güvenlik ihlalinde yapılması gerekenler planlı mı?
⦁ Güvenlik farkındalığına sahip mi?
⦁ Çalışanlar sosyal mühendislik ataklarını veya oltalama saldırılarını anlayabilirler mi?
⦁ Bilinen zararlı web sitelerine erişim bloklandı mı?
⦁ Firewall iyi konfigüre edilmiş mi?
⦁ Güvenlik cihazları iyi monitüre ediliyor mu?
⦁ Veriler yedekleniyor mu?
⦁ Sistem devre dışı kaldığı zaman yedek sistem var mı?
⦁ Siber olay müdahale planınız var mı?

Kaynak:
lockheedmartin.com

---