apt eğitimi sunumu

www.alperbasaran.com

Yeni Nesil Siber SaldırılarAPT

Alper BaşaranC|EH, E|CSA, LPT

ISTQB [email protected]

@basaranalper


APT “Modası”

Değişen Tehdit

Özel olan artık “çevrimiçi”

Saldırı yüzeyi

genişliyor


APT

• Gelişmiş: Teknik açıdan gelişmiş• Devamlı: Hedefe ulaşana kadar devam eder• Tehdit: Kaynak ve motivasyona sahip


Tehdit Fikrini Anlamak

Tehdit: “zafiyeti istismar edebilen kişi veya şeydir”


Saldırganları Anlamak

• Hacker• Siber-suçlu• Hacktivist• Hacking grupları• Ülkeler• Organize suç orgütleri• Tekno-suçlular

Tehdit Sınıfları


Gelişmiş

Akıllı

Basit


Basit Tehditler

• Sayısı her gün artan tehdit türü• Basit araçlarla yapılabilecek saldırıların sayısı

artıyor;– Saldırgan sayısı artıyor– Saldırı araçlarının sayısı artıyor


Akıllı Tehditler

• “Düşünülmüş” saldırılar• Genellikle “bildikleriyle” yetinirler• Genellikle eldekini kullanırlar


Gelişmiş Tehditler

• Akıllı tehditlerden temel farklar;– Stratejik düşünme– Sistemli yaklaşım– Gizliliğe verilen önem– Geniş bir saldırı yöntemi envanteri


Gelişmiş Devamlı Tehdit

• Ekonomik veya zaman bakımından sınırı yok• Hedefe/amaca ulaşana kadar çalışıyorlar


APT Hangi Nedenlerle Yapılır?

• Kurumsal verileri çalmak için• Özel bilgilerin çalınması• Maddi kazanç için• Devlet sırlarını çalmak için• Siyasi/ideolojik amaçlar için


APT Saldırıları ve Mevcut Güvenlik

1 milyon TL’yi korumak için 1 milyon TL harcar mısınız?

Suç İşlemek ve Risk


Risk

Kazanç

Kazanç

Risk

Mevcut Savunma Durumu


Bilgi İşlem

Yama yönetimi

Sunucular

Güvenlik cihazları

Bütçe Eğitim

Kullanıcı talepleri

Uygulamalar

Diğer

Saldırgan


Mevcut Savunma Durumu

RİSK

ZAMAN

1

2 3

@basaranalper | www.alperbasaran.com

Hacking Döngüsü

Bilgi Toplama Tarama Erişim

SağlamaErişim

Korumaİzleri Yok

Etme

APT Hacker


Araştırma

Araştırma


APT Hacker

• Bildiğini değil, en zayıf halkayı hedef alır• L33t olmayı değil, etkili olmayı amaçlar• Her zaman gelişmiş istismar kodlarını aramaz


APT Hacker

• Bildiğini değil, en zayıf halkayı hedef alır• L33t olmayı değil, etkili olmayı amaçlar• Her zaman gelişmiş istismar kodlarını aramaz• Bilgiye değer verir• Yaratıcı düşünebilir

Siber Ölüm Zinciri Döngüsü

Bilgi Toplama

• Pasif bilgi toplama

• Kuruluş şemaları

• IP adresleri• Port

taramaları• İnternet

servis sağlayıcısı bilgileri

• Dışarıya dönük sistemler

• ...

Silahlandırma

• İstismar kodunun hazırlanması

• Zararlı yazılım• Ambalaj

Teslimat

• Hedefli oltalama saldırısı (spear phishing)

• Zararlı içerikli web sayfası

• İnternet servis sağlayıcısı

İstismar

• Kodun çalıştırılması

• Hedef sistemle bağlantı kurma

• Üçüncü tarafların istismarı

Kurulum

• Trojan veya arkakapı

• Kalıcı erişim kurabilme

• Yetki yükseltme

• Kullanıcı adlarını ve parolaları çalma

Komuta ve kontrol

• Hedefle iletişim yolunun açılması

• Yatay hareket• İç ağda bilgi

toplama• Erişimi kalıcı

hale getirme

Hedef üzerinde işlemler

• Derinleşme• Bağlantıyı ve

erişimi kalıcı hale getirecek ek yöntemler

• Veri sızdırma

1 2 3 4 5 6 7


APT DöngüsüHedef seçimi

Destek/Yardım bulma

Araç ve teknoloji

Bilgi toplama

Tespit yöntemlerinin testi

Saldırı

İlk sızmaDışarıya bağlantı

İç ağda yayılma

Kalıcılık

Veri sızdırmak

İzleri sil

Görünmez kal


APT Örnekleri

• RSA • Stuxnet• Cleaver• Volatile Cedar


APT Zararlıları

• Poison Ivy• Flame• Finfisher


APT Tespit Etmek

• Önkoşullar:– Savunma hattınız atlatılacak– İzin verdiğiniz port/protokoller kullanılacak– Saldırı “imzası” olmayacak– Verinin peşinde olacaklar


APT Tespit Etmek

• IoC : Indicators of Compromise

• Saldırganların “yapmak zorunda” oldukları şeyler var

• “Operation Cleaver” için 150’den fazla IoC vardı


Temel IoC Prensipleri

• Alarmı çerçevesiyle ele alın• İstihabarat bilgilerinden faydalanın• Sosyal mühendislik izlerini takip edin• Makine davranışlarını izleyin• Politika ihlallerini kapsama oturtun• Komuta sunucusu iletişimini yakalayın• Ağ gürültüsünü azaltın• Gelen trafiği izleyin• Trafik anormalliklerini tespit edin


IoC Listeleri


REGIN

• GHCQ tarafından kullanıldığı bilinen casusluk yazılımı

• Belgacom olayında kullanıldı• Suudi Arabistan, Meksika, Pakistan, gibi pek

çok ülkede teyitli örnekleri var


REGIN’e ait bazı IoC’ler• 32 bit sürüm 1. kademe dosyaları:

– 06665b96e293b23acc80451abb413e50– 187044596bc1328efa0ed636d8aa4a5c– …

• 64 bit sürüm 2. kademe dosyaları:– d446b1ed24dad48311f287f3c65aeb80– …

• IP adresleri:– 61.67.114.73– 202.71.144.113– 203.199.89.80– 194.183.237.145– …


APT Cephesinden


APT Cephesinden

• İş ortaklarından birinin sistemindeki açık nedeniyle muhasebe yazılımına müdahale edildi: 5.4 milyon TL çalındı.

• Banka: 9.5 milyon TL çalındı


Sosyal Mühendislik Nedir?

• İnsanları kandırarak istediğinizi elde etmek için kullanılan yöntemlerdir

• Ne isteriz?– Gizli bilgi– Yetki bilgileri– Giriş bilgileri


Sosyal Mühendislik Sözlüğü

• Saldırgan• Kurban• Senaryo• Amaç


iOS99 Zafiyetleri: Saldırıya Açık Davranışlar

• Güvenmek• Saldırılar konusunda bilgi sahibi olmamak• Tehdit altına girmek• Kazanç beklentisi ile hareket etmek


Şirketleri Sosyal Mühendislik Saldırılarına karşı zayıflatan etkenler

• Yetersiz bilgi güvenliği eğitimi• Kullanıcıların bilgiye kolay erişmesi• Birden fazla bölüm (Satış, Teknik Destek,

Muhasebe, vs.)• Güvenlik politikalarının olmayışı


Sosyal Mühendislik neden etkili bir yöntem?

• Sosyal mühendislik saldırı girişimlerini tespit etmek zor

• Sosyal mühendislik saldırılarına karşı kurulabilecek cihaz/sistemlerin olmaması

• Sosyal mühendislik saldırılarına karşı bilinen bir savunma yok


Sosyal Mühendislik Saldırısı Aşamaları

• Araştırma• Kurban seçme• Geliştirme• İstismar etme


Sosyal Mühendislik Saldırılarının Etkileri

• Maddi kayıp• Terör• Gizlilik ihlali• Prestij kaybı• Iflas • ... Bilgi güvenliği ihalinden beklenen bütün

etkiler görülebilir


Alper BaşaranTwitter: @basaranalper

[email protected]

apt eğitimi sunumu

Technology