Saldırı Yaşam Döngüleri 2 : Mandiant Attack Life Cycle
Efendim bir önceki yazımızda Locheed Martin tarafından oluşturulan Cyber Kill Chain modelini ( Saldırı Yaşam Döngüleri 1: Cyber Kill Chain) anlatmıştım. Bu yazıda da Mandiant tarafından (Fireeye tarafından satın alındı) oluşturulan Attack Life Cycle Modelini işlemeye çalışacağım.
Attack Life Cycle Modeli ilk olarak, yine Mandiant tarafından yazılan APT1 Exposing One of China’s Cyber Espionage Units raporunda gözüküyor. Bu rapor Çin tarafından dünya çapında bir çok siber casusluk olayını içeren APT1 isimli kampanya ve Çin’de bu ve benzeri bir çok kampanyanın yönetildiği iddia edilen Unit 61398 departmanı hakkında detaylı bir araştırma sunan bir rapor. Okumadıysanız kesin bir göz atın derim. Mandiant Attack Life Cycle modeli de aslında bu kampanyadaki uzun soluklu saldırı adımlarını modellemek için kullanılmış. Ama model aslında uzun soluklu (yazar burada APT demek istiyor) tüm hedefli saldırılar için kullanılabilir. Model Cyber Kill Chain modelinden aslında ilk bakışta zamanla ilgili olan bu yaklaşımıyla ayrılıyor. Bunun dışında saldırganın içeri girip, verinin dışarı çıkarılmasına kadar olan faaliyetlerinin bir döngü olduğu ve sürekli bir çalışma olduğunun altı çiziliyor.
Özellikle Cyber Kill Chain modelindeki 2–5 (Silahlanma, iletim, sömürme ve yükleme) arasındaki adımlar burada Initial Compromise olarak özetlenmiştir. Bununla birlikte saldırı için kullanılan araçlar ve bu araçlar ile ilgili faaliyetler yerine saldırganın içeride yapmış olduğu faaliyetler detaylı olarak incelenmektedir. Kısaca özetlemek gerekirse
Cyber Kill Chain Araçlar ile Attack Life Cycle saldırganlar ile ilgilenmektedir
dersek yanlış olmaz. Dilerseniz hemen modeli inceleyelim.
Mandiant Attack Life Cycle
8 adımdan oluşan modele baktığımızda, saldırganın keşif çalışması sonrası içeri bir şekilde girdiği sonrasında da amacına ulaşana kadar ağda gidebildiği kadar derinlere nüfuz etmeye ve yerini sağlamlaştırmaya çalıştığı öngörülmektedir. Aslında bu model ile daha çok APT şeklinde yapılan ve amacı veri sızıntısı olan saldırılar daha iyi analiz edilebilir veya anlatılabilir. Kişisel bilgisayarlara yapılan saldırılar bu modelden ziyade Cyber Kill Chain ile daha kolay analiz edilip anlatılabilir. Bu yaklaşım konusunda da iki model arasında farklılıklar mevcuttur. Hemen saldırı adımlarını inceleyelim.
İlk keşif (Initial Recon)
Saldırganların belirlemiş oldukları hedef Kurum/Kuruluş/Şirket/Kişi hakkında yapmış oldukları ilk keşif faaliyetlerini kapsar. Bu aşamada saldırganlar Google vb. arama motorları ile Linkedin, Twitter, Facebook vb. sosyal medya sitelerinden bununla birlikte Shodan gibi daha enterasan arama motorları veya kişisel zafiyet tarama uygulamaları ile ilgili varlıklar hakkında geniş miktarda veri toplar, bunları analiz eder, saldırı vektörlerine ve buna bağlı olarak kullanacakları saldırı Araç, Teknik ve Taktiklerine (TTP) karar verirler.
İlk istila (Initial Compromise)
Hedef ve saldırı vektörleri belirlendikten sonra saldırganlar içeri sızmak için bir çok farklı yöntem denerler. Günümüz saldırılarında en çok kullanılan yöntem “spear phishing” olarak adlandırılan hedefli oltalama saldırılarıdır. Hedefli oltalama saldırılarında İlk keşif aşamasında tespit edilen kullanıcı bilgileri kullanılarak toplu veya kişiye özel e-posta gönderimi yapılabilir. Bu e-postalar içerisinde zararlı kodların kendileri bulunabilir veya ilgili zararlı kodun saklandığı bir web sayfasına yönlendirilebilir. Bu mesajlar kullanıcılara sosyal medya araçları üzerinden de gönderilebilir.
Bir başka yöntem ise kurum kullanıcılarının sıklıkla ziyaret ettiği bir web sayfasının ele geçirilerek içerisine zararlı kodların gömülmesi ve gömülen zararlı kodun sayfaya giren kullanıcılara bulaşması ile de sağlanabilir, sayfaya yerleştirilen zararlı kod genellikle kullanıcıların kullanmış olduğu masa üstü uygulamalarının zafiyetlerini sömürerek sistemlerine bulaşmaktadır.
Benzer şekilde gün geçtikçe daha az rastlansa da hedefli saldırılarda kurumun internet üzerinden vermiş olduğu servislerin zafiyetleri kullanılarak yüklenen webshell’ler ile sistemlere dışarıdan girmek de mümkün olmaktadır. Tüm bu saldırı vektörlerinin başarılı olabilmesi için ilk keşif aşamasında yeterli miktarda veri toplanması ve analiz edilmesi gerekmektedir.
Yerleşme (Establish Foothold)
Bir kere kullanıcı bilgisayarlarına zararlı yazılım bulaştığında, ilgili zararlı yazılım dışarıdaki bir sunucuya bir bağlantı açar, bu bağlantı arka kapı olarak isimlendirilir. Bu arka kapı yazılımları saldırganlar tarafından özel olarak üretilebileceği gibi Gh0st RAT ve Poison Ivy gibi başka saldırganlar tarafından üretilip ticari olarak satılan yazılımlar da olabilir. Her iki durumda da içeride istila edilmiş bir bilgisayar saldırganlar tarafından kontrol edilen sunuculara bir arka kapı açar ve saldırganlar bu arka kapıyı kullanarak ilgili sistemlere komut satırından veya grafik arabiriminden erişim sağlarlar.
Yetki Yükseltme (Escalate Priviliges)
Saldırganlar istila edilmiş bilgisayara girdikten sonra nihai amaçlarına yani kıymetli verileri elde etmek için gerekli kaynaklara ulaşmak isteyecektir. Bu kaynaklar çoğunlukla kullanıcı adı/parola bilgileri olmakla birlikte, PKI sertifikaları, VPN bilgileri, ayrıcalıklı bilgisayarlar veya uygulamalardan vb. oluşmaktadır. Saldırganlar mümkün olduğunca yüksek yetkilere sahip, Domain Administrator, Servis Hesapları, Yerel Administrator ve ayrıcalıklı kullanıcıların bilgilerini ele geçirmek için çaba göstermektedir. Bu amaçla kullanıcı parolalarının Hash değerlerinden parola bilgilerini ele geçirmekten, “Pass-the-hash” gibi hash değerlerini parola yerine kullanarak sistemlere girmeye kadar bir çok farklı seviyede saldırı yapmaktadırlar.
İç Keşif (Internal Recon)
Saldırganlar sistemde yetkili bir hesap ele geçirdikten sonra bu hesabı kullanarak ağdaki diğer sistemleri keşfetmeye ve arzu ettikleri verilere ulaşmak için araştırma yapmaya başlarlar. Bu veriler için ilk etapta ağdaki diğer makinaları listeler, ağdaki ortak paylaşımda bulunan dokümanları tararlar, içerde verilen servisleri araştırır bu servislerden ele edebilecek verileri çekerler. Arzu edilen veriler bir çok formatta olabilir ancak bu veriler genellikle doküman içerikleri, e-posta içerikleri veya veri tabanlarında bulunmaktadır. Bu nedenle genellikle ilk hedefler e-posta sunucusu, dosya paylaşım sunucuları, uygulama sunucuları veya Aktif Dizin gibi servislerdir. Bu işi elle veya bazı betikler kullanarak yapabilirler.
Yayılma (Move Laterally)
Bir çok durumda saldırganlar ilk istila aşamasında arzu ettikleri verileri elde edemezler. Bu nedenle daha derinlere giderek ağ içerisindeki bir çok noktaya bakmaları gerekir. Bu amaçla kullanıcı yükseltme faaliyetleri yapmaları gerekecektir. Arzu ettikleri verilere ulaşmak için ağ içerisindeki bir çok cihaza nüfuz ederek sistemde yayılırlar. Uzak sistemlere zararlı uygulama kurmak için genellikle PsExec ve/veya Windows Task Scheduler komutlarını ele geçirdikleri kullanıcı bilgileri ile kullanırlar.
Bütün saldırı adımları kritik olsa da benim naçizane görüşüm savunma tarafındaki kişiler için en kritik adım Yayılma (Lateral Movement) adımıdır. Zira bir şekilde içeri girmiş saldırganı en kolay yakalayabilecemiz adım aslında bu adımdır. Çünkü saldırganlar bu adıma saatler mertebesinde ulaşabilmektedir ancak bu adımdan sonra işlerini bitirip çıkıp gitmeleri haftalar hatta aylar almaktadır (inanmayan Verizon raporuna baksın).
Yerini Sağlamlaştırma (Maintain Presence)
Bu aşamada saldırganlar daha önceden ele geçirmiş oldukları sistemlere ve yayılma aşamasında tespit ettikleri yeni cihazlara yerleşme aşamasında kurduklarından farklı bir çok farklı zararlı yazılım kurarak ve bu yazılımların açtığı arka kapıları farklı komuta kontrol merkezleri ile ilişkilendirerek ağdaki varlıklarını korumaya çalışırlar.
Zararlı yazılımlardan ya da ele geçirilmiş sistemlerden biri yakalandığında dahi diğerleri üzerinden sistemlere olan erişimlerinin devam etmesini amaçlarlar. Bu aşamadaki belki de en iyi yaklaşım arka kapılar dışında VPN, PKI ve çok faktörlü sistemleri gerçek kullanıcı bilgileri ile kullanmaktır. Saldırganlar gerçek kullanıcı bilgilerini ve sistemlere dışarıdan erişmek için geçerli teknolojileri kullandıklarından yaptıkları eylemlerin takibi ve tespiti çok daha zor olmaktadır.
Görevi Tamamlama (Complete Mission)
Hedefli saldırıların nihai amacı daha önce de belirttiğimiz gibi veri sızıntısı sağlamaktır. Bu veriler fikri mülkü varlıklar, proje raporları, anlaşmalar, ihale bilgileri, devlet sırları, kişisel bilgiler gibi veriler olmaktadır. Saldırganlar sistemlerdeki bu verilere eriştikten sonra bu verileri genellikle, RAR veya ZIP gibi araçlar ile parola korumalı olarak sıkıştırmakta ve genellikle şifreli hatlar üzerinden internet üzerindeki komuta kontrol merkezlerine aktarmaktadırlar.
Bir yazımızın daha sonuna geldik, umarım faydalı olmuştur. İyi haftalar.
Kaynaklar
Not: Bu yazı https://www.linkedin.com adresinde aynı isimle 21 Kasım 2016 tarihinde yayımladığım makalenin güncellenmiş halidir.
