apt eğitimi sunumu
TRANSCRIPT
www.alperbasaran.com
Yeni Nesil Siber SaldırılarAPT
Alper BaşaranC|EH, E|CSA, LPT
ISTQB [email protected]
@basaranalper
www.alperbasaran.com
APT “Modası”
Değişen Tehdit
Özel olan artık “çevrimiçi”
Saldırı yüzeyi
genişliyor
www.alperbasaran.com
APT
• Gelişmiş: Teknik açıdan gelişmiş• Devamlı: Hedefe ulaşana kadar devam eder• Tehdit: Kaynak ve motivasyona sahip
www.alperbasaran.com
Saldırganları Anlamak
• Hacker• Siber-suçlu• Hacktivist• Hacking grupları• Ülkeler• Organize suç orgütleri• Tekno-suçlular
www.alperbasaran.com
Basit Tehditler
• Sayısı her gün artan tehdit türü• Basit araçlarla yapılabilecek saldırıların sayısı
artıyor;– Saldırgan sayısı artıyor– Saldırı araçlarının sayısı artıyor
www.alperbasaran.com
Akıllı Tehditler
• “Düşünülmüş” saldırılar• Genellikle “bildikleriyle” yetinirler• Genellikle eldekini kullanırlar
www.alperbasaran.com
Gelişmiş Tehditler
• Akıllı tehditlerden temel farklar;– Stratejik düşünme– Sistemli yaklaşım– Gizliliğe verilen önem– Geniş bir saldırı yöntemi envanteri
www.alperbasaran.com
Gelişmiş Devamlı Tehdit
• Ekonomik veya zaman bakımından sınırı yok• Hedefe/amaca ulaşana kadar çalışıyorlar
www.alperbasaran.com
APT Hangi Nedenlerle Yapılır?
• Kurumsal verileri çalmak için• Özel bilgilerin çalınması• Maddi kazanç için• Devlet sırlarını çalmak için• Siyasi/ideolojik amaçlar için
www.alperbasaran.com
APT Saldırıları ve Mevcut Güvenlik
1 milyon TL’yi korumak için 1 milyon TL harcar mısınız?
Mevcut Savunma Durumu
www.alperbasaran.com
Bilgi İşlem
Yama yönetimi
Sunucular
Güvenlik cihazları
Bütçe Eğitim
Kullanıcı talepleri
Uygulamalar
Diğer
Saldırgan
@basaranalper | www.alperbasaran.com
Hacking Döngüsü
Bilgi Toplama Tarama Erişim
SağlamaErişim
Korumaİzleri Yok
Etme
www.alperbasaran.com
APT Hacker
• Bildiğini değil, en zayıf halkayı hedef alır• L33t olmayı değil, etkili olmayı amaçlar• Her zaman gelişmiş istismar kodlarını aramaz
www.alperbasaran.com
APT Hacker
• Bildiğini değil, en zayıf halkayı hedef alır• L33t olmayı değil, etkili olmayı amaçlar• Her zaman gelişmiş istismar kodlarını aramaz• Bilgiye değer verir• Yaratıcı düşünebilir
Siber Ölüm Zinciri Döngüsü
Bilgi Toplama
• Pasif bilgi toplama
• Kuruluş şemaları
• IP adresleri• Port
taramaları• İnternet
servis sağlayıcısı bilgileri
• Dışarıya dönük sistemler
• ...
Silahlandırma
• İstismar kodunun hazırlanması
• Zararlı yazılım• Ambalaj
Teslimat
• Hedefli oltalama saldırısı (spear phishing)
• Zararlı içerikli web sayfası
• İnternet servis sağlayıcısı
İstismar
• Kodun çalıştırılması
• Hedef sistemle bağlantı kurma
• Üçüncü tarafların istismarı
Kurulum
• Trojan veya arkakapı
• Kalıcı erişim kurabilme
• Yetki yükseltme
• Kullanıcı adlarını ve parolaları çalma
Komuta ve kontrol
• Hedefle iletişim yolunun açılması
• Yatay hareket• İç ağda bilgi
toplama• Erişimi kalıcı
hale getirme
Hedef üzerinde işlemler
• Derinleşme• Bağlantıyı ve
erişimi kalıcı hale getirecek ek yöntemler
• Veri sızdırma
1 2 3 4 5 6 7
www.alperbasaran.com
APT DöngüsüHedef seçimi
Destek/Yardım bulma
Araç ve teknoloji
Bilgi toplama
Tespit yöntemlerinin testi
Saldırı
İlk sızmaDışarıya bağlantı
İç ağda yayılma
Kalıcılık
Veri sızdırmak
İzleri sil
Görünmez kal
www.alperbasaran.com
APT Tespit Etmek
• Önkoşullar:– Savunma hattınız atlatılacak– İzin verdiğiniz port/protokoller kullanılacak– Saldırı “imzası” olmayacak– Verinin peşinde olacaklar
www.alperbasaran.com
APT Tespit Etmek
• IoC : Indicators of Compromise
• Saldırganların “yapmak zorunda” oldukları şeyler var
• “Operation Cleaver” için 150’den fazla IoC vardı
www.alperbasaran.com
Temel IoC Prensipleri
• Alarmı çerçevesiyle ele alın• İstihabarat bilgilerinden faydalanın• Sosyal mühendislik izlerini takip edin• Makine davranışlarını izleyin• Politika ihlallerini kapsama oturtun• Komuta sunucusu iletişimini yakalayın• Ağ gürültüsünü azaltın• Gelen trafiği izleyin• Trafik anormalliklerini tespit edin
www.alperbasaran.com
REGIN
• GHCQ tarafından kullanıldığı bilinen casusluk yazılımı
• Belgacom olayında kullanıldı• Suudi Arabistan, Meksika, Pakistan, gibi pek
çok ülkede teyitli örnekleri var
www.alperbasaran.com
REGIN’e ait bazı IoC’ler• 32 bit sürüm 1. kademe dosyaları:
– 06665b96e293b23acc80451abb413e50– 187044596bc1328efa0ed636d8aa4a5c– …
• 64 bit sürüm 2. kademe dosyaları:– d446b1ed24dad48311f287f3c65aeb80– …
• IP adresleri:– 61.67.114.73– 202.71.144.113– 203.199.89.80– 194.183.237.145– …
www.alperbasaran.com
APT Cephesinden
• İş ortaklarından birinin sistemindeki açık nedeniyle muhasebe yazılımına müdahale edildi: 5.4 milyon TL çalındı.
• Banka: 9.5 milyon TL çalındı
@basaranalper | www.alperbasaran.com
Sosyal Mühendislik Nedir?
• İnsanları kandırarak istediğinizi elde etmek için kullanılan yöntemlerdir
• Ne isteriz?– Gizli bilgi– Yetki bilgileri– Giriş bilgileri
@basaranalper | www.alperbasaran.com
iOS99 Zafiyetleri: Saldırıya Açık Davranışlar
• Güvenmek• Saldırılar konusunda bilgi sahibi olmamak• Tehdit altına girmek• Kazanç beklentisi ile hareket etmek
@basaranalper | www.alperbasaran.com
Şirketleri Sosyal Mühendislik Saldırılarına karşı zayıflatan etkenler
• Yetersiz bilgi güvenliği eğitimi• Kullanıcıların bilgiye kolay erişmesi• Birden fazla bölüm (Satış, Teknik Destek,
Muhasebe, vs.)• Güvenlik politikalarının olmayışı
@basaranalper | www.alperbasaran.com
Sosyal Mühendislik neden etkili bir yöntem?
• Sosyal mühendislik saldırı girişimlerini tespit etmek zor
• Sosyal mühendislik saldırılarına karşı kurulabilecek cihaz/sistemlerin olmaması
• Sosyal mühendislik saldırılarına karşı bilinen bir savunma yok
@basaranalper | www.alperbasaran.com
Sosyal Mühendislik Saldırısı Aşamaları
• Araştırma• Kurban seçme• Geliştirme• İstismar etme
@basaranalper | www.alperbasaran.com
Sosyal Mühendislik Saldırılarının Etkileri
• Maddi kayıp• Terör• Gizlilik ihlali• Prestij kaybı• Iflas • ... Bilgi güvenliği ihalinden beklenen bütün
etkiler görülebilir