Cyber Kill Chain includes 7 stages that are Reconnaissance, Weaponization, Delivery, Exploitation, Installation, C2 and Actions on Objectives.
Askeri anlamda, "Kill Chain" bir saldırının aşamalarını tanımlayan ve bu saldırıyı gerçekleştirmek/önlemek amacıyla çeşitli yöntemlerin geliştirilmesine yarayan bir modeldir.
Lockheed Martin, Kill Chain modelini siber güvenlik olaylarının analizi ve iyileştirme önlemleri belirleme amacıyla uyarlayarak Cyber Kill Chain modelini oluşturmuştur.
Son yıllarda yaygın olarak kullanılan bu modelde,
siber saldırılar yedi adımda modellenmiştir,
kurumların her bir aşamada siber saldırıları tespit etme ve engelleme için yapabilecekleri tartışılmaktadır.
Cyber Kill Chain model 7 aşamadan oluşmaktadır. Bu aşamalar: Keşif, Silahlanma, İletme, Sömürme, Yükleme, Komuta Kontrol, Eyleme Geçme.
3. Süleyman Özarslan
Kurucu Ortak (Picus Security - kurumların siber
tehditlere karşı hazırlık durumlarını denetleyen bilgi
güvenliği yazılımları geliştirir.)
Doktora adayı (ODTÜ Enformatik Enstitüsü)
Siber Savunma Uzmanı ve Eğitmeni (NATO Barış ve
Güvenlik için Bilim Programı)
13 yıllık bilgi güvenliği tecrübesi (2001-ilk akademik
makale)
Bir çok kurum ve kuruluş için sızma testleri, DDoS testleri,
web uygulama, ağ güvenliği ve sosyal mühendislik gibi
güvenlik denetimleri
3 10/2/2014
4. Sunum İçeriği
Cyber Kill Chain modeli nedir?
Cyber Kill Chain aşamaları
Target hack olayının Cyber Kill Chain modeli ile
incelenmesi
Target’ın hacklenmesi nasıl engellenebilirdi?
4 10/2/2014
5. Kill Chain
Askeri anlamda, "Kill Chain" bir saldırının aşamalarını
tanımlayan ve bu saldırıyı gerçekleştirmek/önlemek
amacıyla çeşitli yöntemlerin geliştirilmesine yarayan
bir modeldir.
5 10/2/2014
6. Cyber Kill Chain
Lockheed Martin, Kill Chain modelini siber güvenlik
olaylarının analizi ve iyileştirme önlemleri belirleme
amacıyla uyarlayarak Cyber Kill Chain modelini
oluşturmuştur.
Son yıllarda yaygın olarak kullanılan bu modelde,
siber saldırılar yedi adımda modellenmiştir,
kurumların her bir aşamada siber saldırıları tespit etme
ve engelleme için yapabilecekleri tartışılmaktadır.
6 10/2/2014
7. Reconaissanc
e
Keşif
Cyber Kill Chain
Weaponization
Silahlanma
Delivery
İletme
Exploitation
Sömürme
Installation
Yükleme
Command &
Control
Komuta &
Kontrol
Actions on
Objectives
Eyleme Geçme
7 10/2/2014
8. Recon Weaponize Delivery Exploit Install C2
8 10/2/2014
Reconnaissance – Keşif
Bilgi toplama ve hedefi tespit etme
Çalışanların isimleri, görevleri, e-posta adresleri, Ip adresleri
Araçlar ve teknikler:
Sosyal mühendislik
Sosyal medya
Aktif ve pasif tarama
Ağ haritası çıkarma
Açık kaynak istihbarat (OSINT)
Yeraltı forumları
Act. On
Obj.
9. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
Bilgi satın alma – Devlet ve Askeri
9 10/2/2014
10. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
10 10/2/2014
Bilgi satın alma - Finans:
11. Recon Weaponize Delivery Exploit Install C2
İnternetteki ayak izinizi biliyor musunuz?
Act. On
Obj.
İş ilanları
Çalışanların herkese açık bilgileri (LinkedIn, Google
takvimi, Twitter, Facebook vb.)
Tüm paydaşları göz önüne alıyor musunuz?
Distribütörler, yükleniciler vb.
Paydaşların erişebildiği uygulamalar
Help desk’e sosyal mühendislik
11 10/2/2014
12. Recon Weaponize Delivery Exploit Install C2
Weaponization - Silahlanma
Act. On
Obj.
Zararlı yazılım içeren .pdf, .doc., .xls vb. dosyalar
oluşturma
ilgi çekebilecek dosyalar: Fatura, personel listesi, kredi
kartı ekstresi
Malware içeren web siteleri oluşturma
12 10/2/2014
Araçlar ve teknikler:
Özel bir platforma veya amaca yönelik zararlı yazılımlar
Yamaların tersine mühendisliği
0 gün açıkları
13. Recon Weaponize Delivery Exploit Install C2
Varlık envanteriniz güncel mi?
Act. On
Obj.
Sistemlerinizde hangi donanımlar var?
Sistemlerinizde çalışan tüm yazılımları biliyor musunuz?
Güncel açıklık / tehdit değerlendirmesi yapıldı mı?
Güvenlik açısından zayıf noktalarınızı biliyor musunuz?
Bu zayıflıkları kapatmak için bir plan yaptınız mı?
Olası bir güvenlik ihlalinde yapılması gerekenler
planlandı mı?
13 10/2/2014
14. Recon Weaponize Delivery Exploit Install C2
14 10/2/2014
Delivery - İletme
Hazırlanan zararlı yazılımın iletilmesi
Araçlar ve teknikler:
Çeşitli açık kaynak kodlu yazılımlar
Oltalama (phishing) saldırıları
Sosyal networkler
Tünelleme
Act. On
Obj.
18. Recon Weaponize Delivery Exploit Install C2
Güvenlik farkındalığına sahip misiniz?
Act. On
Obj.
Çalışanlarınız sosyal mühendislik ataklarını veya
oltalama saldırılarını anlayabilir mi?
Çalışanlarınız hangi donanımların kurum ağına
bağlanabildiği veya bağlanamadığı hakkında fikri var
mı?
Bilinen zararlı/şüpheli web sitelerine erişimi blokladınız
mı?
18 10/2/2014
19. Recon Weaponize Delivery Exploit Install C2
19 10/2/2014
Exploitation - Sömürme
Bir hedefi/varlığı ele geçirmek için, var olan bir açığın
sömürülmesi gerekir.
Örnek: ShellShock bash açığı, Adobe Acrobat (PDF)
açıkları, Microsoft Office açıkları
Silah (zararlı PDF, Word dokümanı vb.)
hazırlandıktan ve hedefe iletildikten sonra, bu
aşamada zararlı kod çalıştırılır.
Act. On
Obj.
20. Recon Weaponize Delivery Exploit Install C2
Yazılımlarınız ne kadar sıklıkla güncelleniyor?
Donanımlarınızın veya yazılımlarınızın
güncellenmesinin maliyeti nedir?
Act. On
Obj.
Sistemlerinizdeki zafiyetlerin tespit edilebilmesi için
güvenlik denetimleri yapılıyor mu?
20 10/2/2014
21. Recon Weaponize Delivery Exploit Install C2
Hacker, hedef sisteme erişiminin devamlılığını nasıl
sağlar?
Act. On
Obj.
21 10/2/2014
Remote Access Trojan
Backdoor
Hacker’ın düşünmesi gerekenler:
Malware, hedef sisteme kendisini nasıl yükler?
Hangi dosyaları yaratır?
Hangi yolla çalıştırılır?
Nasıl kendini gizler?
Hedef sistem yeniden başlatıldığında çalışmasına nasıl
devam eder?
22. Recon Weaponize Delivery Exploit Install C2
22 10/2/2014
Araçlar ve Teknikler:
Rootkits
Polimorfik kodlar
Çok aşamalı gizlenme
Şifreleme
Act. On
Obj.
23. Recon Weaponize Delivery Exploit Install C2
23 10/2/2014
Korunma
Rol tabanlı erişim
Sizce hangisi daha güvenli?
Uygulama kara listesi (blacklisting)
Uygulama beyaz listesi (whitelisting)
Act. On
Obj.
24. Recon Weaponize Delivery Exploit Install C2
C2 – Command & Control – Komuta Kontrol
Hacker, ele geçirilen bilgisayarı nasıl kontrol eder?
Ele geçirilen bilgisayardan hacker ait internetteki kontrol
sunucusuna bir C2 kanalı açılır.
Artık, hacker hedef sistem üzerinde her türlü erişime sahiptir.
24 10/2/2014
Araçlar ve teknikler:
Encoding
Şifreleme
Tünelleme
Steganography
Act. On
Obj.
25. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
25 10/2/2014
Korunma yolları:
Saldırı Engelleme Sisteminiz (IPS) devrede mi?
IPS ‘iniz iyi konfigüre edilmiş mi?
Güvenlik Duvarınız (Firewall) iyi konfigüre edilmiş mi?
Güvenlik cihazlarınızı monitör edebiliyor musunuz?
26. Recon Weaponize Delivery Exploit Install C2
Actions on Objectives – Eyleme Geçme
Act. On
Obj.
İlk 6 adımdan sonraki bu adımda artık Hacker gerçek
hedeflerini bu adımda eyleme dönüştürür:
26 10/2/2014
Veri çalma
Veri değiştirme
Veri silme
Veri şifreleme
Sisteme zarar verme
Ele geçirilen sistem üzerinden diğer sistemleri ele
geçirmeye çalışma ve ağ üzerinde hareket etme (lateral
movement)
27. Recon Weaponize Delivery Exploit Install C2
Verileriniz yedekleniyor mu?
Act. On
Obj.
Bir sisteminiz devre dışı kaldığında hizmet verecek
yedek sistemleriniz var mı?
Fikri mülkiyetlerinizi (intellectual property) ne kadar iyi
koruyorsunuz?
27 10/2/2014
29. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
29 10/2/2014
Reconnaissance - Keşif
Saldırgan basit Google aramalarıyla Target’ın tedarikçilerini
ve satıcılarını araştırır.
Fazio isimli bir havalandırma firmasını hedef olarak seçer.
30. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
30 10/2/2014
Güvenlik denetimleri:
Internet üzerinden erişilebilen, herkese açık olan bilgiler
neler?
Bu bilgiler sınırlı mı yoksa önemli bilgiler de var mı?
Herkese açık bilgiler önemsiz bile görünse, önemsiz
görünen farklı bilgiler kullanılarak daha önemli bilgiler
elde edilebilir mi?
Satıcılar ve tedarikçiler gibi paydaşlar ortaya
çıkabilecek güvenlik tehditleri hakkında bilgilendiriliyor
mu?
31. Recon Weaponize Delivery Exploit Install C2
Weaponization - Silahlanma
Saldırgan, hedef firmaya gönderilmek üzere zararlı
yazılım içeren PDF ve Word dokümanları hazırlar.
Act. On
Obj.
31 10/2/2014
32. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
32 10/2/2014
Güvenlik denetimleri:
Zararlı yazılımların bilgisayarlara bulaşmasını önlemek
için antivirüs, anti-malware gibi yazılımlar kullanılıyor
mu?
Ağdaki sistemleri korumak için gateway antivirüs cihazı
var mı?
Bu yazılımlar ve güvenlik cihazları işlevlerini gerektiği
gibi yerine getirebiliyor mu?
33. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
Delivery - İletme
Saldırgan, daha önce hazırladığı zararlı yazılım
içeren dokümanları oltalama (phishing) e-postalarıyla
hedefe gönderir.
Fazio, Target’ın Ariba ismindeki dış faturalama
sistemine kullanıcı adı ve şifresiyle
erişebilmektedir.
Dokümanlar hedef (Fazio) tarafından açıldığında,
içeriğindeki zararlı yazılım aktive olur ve Fazio’nun
kullanıcı adı ve şifrelerini çalarak saldırgana
gönderir. Bunlar arasında Target’ın Ariba sistemi
de vardır.
33 10/2/2014
34. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
Saldırgan, Fazio’dan çaldığı kullanıcı adı ve şifre ile
Target’ın iç ağına erişim sağlar.
Bu ağ üzerinden POS cihazlarına erişim de
mümkündür.
Saldırgan, POS cihazlarının RAM ’inde bulunan bilgileri
çalmak için hazırladığı BlackPOS zararlı yazılımını
Target’ın POS cihazlarına yükler.
34 10/2/2014
35. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
35 10/2/2014
Güvenlik denetimleri:
Çalışanlar oltalama e-postalarını tanıyıp raporlayabiliyor mu?
Yeni nesil zararlı yazılım engelleme sistemleri devrede mi ve
işlevlerini gerektiği gibi yerine getirebiliyor mu?
Fatura sistemleri gibi önemli sistemlere giriş güvenli mi? İki-faktörlü
kimlik doğrulama kullanılıyor mu?
Target, PCI-DSS sertifikasına sahip. PCI-DSS ise sistemlere
girişlerde iki faktörlü kimlik doğrulamayı zorunlu tutmaktadır.
Hackerlar iki faktörlü kimlik doğrulamayı nasıl atlattı?
37. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
BlackPOS zararlı yazılımı POS cihazlarına
gönderildikten sonra, artık milyonlarca kredi kartı
bilgisi saldırgana iletilmeye başlamıştır.
Saldırganlar iç ağa da erişebildiğinden diğer
sistemlerde yer alan müşteri bilgileri gibi bilgileri de
sızdırmaktadırlar.
37 10/2/2014
38. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
Target bu aşamayı engelleyebilecek güvenlik cihazlarını
yakın bir zamanda 6 Milyon $ ek yatırım yapmıştı.
Bu güvenlik cihazları, zararlı yazılım ağ üzerinden
iletilmeye başlandığında “malware.binary” şeklinde jenerik
zararlı yazılım alarmları ürettiler.
Güvenlik cihazları sürekli benzer alarmlar verdiği için
Target güvenlik ekibi bunları önemsemedi.
Visa, Target hack olayından 2 ay önce süpermarket
cihazlarını POS zararlılarına karşı uyaran bir rapor
yayınlamıştı.
38 10/2/2014
39. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
Tam olarak nasıl yapıldığı bilinmese de, Saldırgan Fazio
ve Target’ın sistemlerine erişiminn sürekliliğini sağlamak
için çeşitli yöntemler kullandığı tespit edilmiştir.
İncelemeler sonucunda, Saldırgan’ın iç ağa sağladığı
erişimle ve BlackPOS zararlısını kullanarak 40 milyon
kredi kartı bilgisini ve 70 milyon kullanıcı bilgisini çaldığı
görülmüştür.
39 10/2/2014
40. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
Bu aşamayı engellemek için yapılabilecek güvenlik
denetimleri:
Sistemlerde çalışan bilgisayarlara (sunucu, istemci vs.)
yüklenen yazılımlar denetleniyor mu?
Kullanıcılar istedikleri yazılımları bilgisayarlara
yükleyebiliyor mı?
Whitelisting > Blacklisting
40 10/2/2014
41. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
Raporlara göre Saldırgan, Target’ın iç ağına bir aydan
daha uzun bir süre erişim sağlamış.
Saldırganların komuta ve kontrol için kullandıkları yöntem
tam olarak bilinmemekle birlikte, Target’ın POS
cihazlarının bulunduğu ağ ile dış ağ (Internet) arsında bir
iletişim hattı oluşturduğu açık.
41 10/2/2014
42. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
İç ve dış ağı birbirinden ayıran güvenlik duvarı ve benzeri
güvenlik cihazları devrede mi?
Bu güvenlik cihazları iç ağda ele geçirilen sunucularla dış
ağdaki komuta kontrol sunucusu arasındaki iletişimi
engelleyebiliyor mu?
42 10/2/2014
43. Recon Weaponize Delivery Exploit Install C2
Saldırganlar, iki hafta boyunca çalınan bilgileri FTP
kullanarak Rusya’daki sunuculara iletmiştir.
43 10/2/2014
40 milyon kredi kartı bilgisi
70 milyon müşteri bilgisi
Act. On
Obj.
44. Recon Weaponize Delivery Exploit Install C2
Act. On
Obj.
İç ağdan dışarıya yapılan veri akışı sınırlandırılmış mı?
Sadece bilinen sunucularla veri akışını sağlama
(whitelisting)
Güvenlik denetimlerinde ya da otomatik analizlerle
Rusya’ya veri akışı yapıldığı tespit edilseydi veri sızıntısı
engellenebildi.
44 10/2/2014
45. Sonuçlar
Cyber kill chain, saldırganlar tarafından bir hedefe
ulaşılmakta kullanılan aşamalardır.
Güvenlik ekipleri, cyber kill chain yaklaşımını kullanarak
güvenlik denetimleri yapabilirler.
Böylece zincirin bir ya da daha fazla halkasını kırarak
saldırganların hedefe ulaşmalarını engelleyebiliriz.
Target hack olayı gibi olayların başımıza gelmesini
istemiyorsak sadece güvenlik cihazlarına veya yıllık
denetimlere dayalı yaklaşımlardan vazgeçmeli, güvenliği
bir süreç olarak görmeliyiz.
45 10/2/2014