Siber Öldürme Zincirine Giriş / Introduction to Cyber Kill Chain

Lockheed Martin nedir?

Lockheed Martin, 1995 yılında kurulmuş olup, ileri teknolojik sistemler araştıran, geliştiren, tasarlayan ve üreten bir güvenlik ve havacılık şirketidir.

Siber Öldürme Zinciri Nedir?

Cyber ​​Kill Chain, Lockheed Martin tarafından 2011 yılında oluşturulan ve saldırganların saldırılarını modellemek için kullanılan bir çerçevedir. Bu çerçevede saldırgan davranışları ve tüm siber saldırı süreci birbirini takip eden 7 adımdan oluşmaktadır. 

Siber Öldürme Zinciri Resmi Sayfası : https://www.lockheedmartin.com/en-us/capaibility/cyber/cyber-kill-chain.html

Siber Öldürme Zincirinin Önemi

Siber Öldürme Zinciri, SOC analistinin bir siber saldırının aşamalarını daha iyi anlaması ve siber saldırının hangi eylem(ler) ile başlayıp hangi eylem(ler)in ardından geldiğini belirlemesi açısından önemlidir. SOC analisti, siber saldırıda saldırganın sistemlerde fark ettiği eylemlerin nerede gerçekleştiğini analiz etmek için Cyber ​​Kill Chain’i kullanabilir. Siber Öldürme Zinciri, kuruluşun güvenlik kusurlarının nerede ve ne kadar ciddi olduğunu belirlemesine olanak tanır. Blueteam’ler bu aksaklıklardan yola çıkarak güvenlik önlemlerinin eksik olduğu alanları tespit edip gerekli aksiyonları alabilmektedir. 

The Cyber Kill Chain Adımları

Başarılı bir siber saldırı öncesinde, sırasında ve sonrasında bir saldırganın yapabileceği çeşitli eylemler vardır. Bu eylemler sıralıdır ve saldırganın bir aşamada başarısız olması halinde siber saldırının bir sonraki adımını gerçekleştirmesi mümkün olmamaktadır. Siber Öldürme Zinciri modeli saldırganların bu aşamalarını 7 adıma ayırıyor. Siber saldırıların adımları aşağıdaki görselde gösterilmektedir:

  1. Keşif
  2. Silahlanma
  3. Teslimat
  4. Sömürü
  5. Kurulum
  6. Komuta ve Kontrol (C2)
  7. Hedeflere İlişkin Eylemler

Keşif / Reconnaissance

Siber Öldürme Zinciri “Keşif” adımıyla başlar. Saldırgan bu adımda hedef sistem hakkında bilgi edinmeye çalışır. Saldırganın hedef sistem hakkında ne kadar çok bilgisi varsa, saldırı yüzeyi ona o kadar fazla görünür. Hedefe yönelik saldırı vektörleri bu şekilde açıklanır. Bu aşamada kullanılan teknikler iki alt kategoriye ayrılabilir:

  1. Pasif Keşif
  2. Aktif Keşif

” Pasif Keşif ” terimi, hedef sistemle fiziksel olarak etkileşime girmeden, hedef sistem hakkında kaynaklardan bilgi toplanmasını ifade eder. Bunun bir örneği olarak, hedef sistemin web sitesinde artık bulunmayan bilgileri elde etmek için Web arşivi web siteleri kullanılabilir.

” Aktif Keşif “, hedef sistemle doğrudan etkileşime geçerek onun hakkında bilgi edinme yöntemini ifade eder. Örneğin bir web sunucusuna bir istek gönderilerek, yanıttan web sunucusunun sürüm bilgisi elde edilebilir.

Düşman

Saldırgan, “Keşif” sürecinde çeşitli yaklaşımlar kullanarak çeşitli kaynaklardan bilgi toplayabilir. Bu aşamada saldırgan aşağıdaki işlemleri gerçekleştirebilir:

  • Hedefe ait sunucu ve yazılımların versiyon bilgilerinin alınması
  • Hedefle ilgili açık kaynaklardan bilgi elde edilmesi daha önce yayınlanmıştı
  • Kuruluş çalışanlarının e-posta adreslerinin alınması
  • Sosyal ağ platformlarını kullanarak kuruluşun çalışanları hakkında dahili veya kişisel bilgilerin elde edilmesi
  • İnternete bağlı cihazların tespiti
  • İnternet üzerinde erişime açık sunuculardaki güvenlik açıklarının tespiti
  • Kuruluşa ait IP adresi bloğunun belirlenmesi
  • Kuruluşun işbirliği yaptığı satıcıların belirlenmesi

Defans

Saldırganların girişimlerine karşı bu aşamada Blueteam’ler harekete geçebilir. Bu, bir saldırganın elde edebileceği bilgi miktarını azaltır. SOC analistlerinin ve mavi takımların uygulayabileceği bazı yöntemler aşağıda listelenmiştir:

  • Harici sızma testi ile bilgilerin açığa çıktığı alanların tespiti
  • Tehdit İstihbaratı kaynaklarından örgüte ilişkin sızıntı bilgilerinin elde edilmesi
  • Organizasyona ilişkin bilgileri içeren belgeleri internette saklamamak
  • Şirketin internet üzerinden erişilebilen alanlarına güvenlik duvarı gibi güvenlik çözümleri kurarak trafiğin izlenmesi
  • Yeni güvenlik açıklarının istismar edilmesini önlemek için anında güncelleme

Silahlanma / Weaponization

“Silahlaştırma” Siber Öldürme Zincirinin ikinci adımıdır. Bu aşamada saldırgan, bir önceki aşamada elde ettiği bilgileri kullanarak saldırı için gerekli araçlara ulaşır veya aracı/komutu doğrudan geliştirir. Bu aşamada siber saldırıya hazırlık, saldırının türüne göre farklılık gösterebilir. Örneğin, kimlik avı türü bir siber saldırı gerçekleştirilecekse, bilinen bir güvenlik açığına yanıt olarak bir istismar oluşturulabilir veya kötü amaçlı e-posta içeriği oluşturulabilir. Eğer siber saldırı için gerekli araçlar hazırsa saldırgan bu aşamayı hızlı bir şekilde tamamlar ve siber saldırının bir sonraki aşamasına geçer. Bu noktada saldırı henüz başlamamıştır ve mağdur genellikle saldırgandan habersizdir.

Düşman

Saldırgan “Silahlaştırma” sürecinde birçok alternatif saldırı tekniği geliştirebilir veya siber saldırı için gerekli bileşenleri hazırlayabilir. Saldırganın bu aşamada uygulayabileceği işlemlerden bazıları şunlardır:

  • Kötü amaçlı yazılım oluşturma
  • Açıklardan yararlanma geliştirme
  • Kimlik avı girişiminde kullanılmak üzere kötü amaçlı içerik oluşturmak (bir e-posta şablonu ve kötü amaçlı bir belge gibi).
  • Siber saldırı için en iyi aracı belirlemek

Defans

SOC analistlerinin ve Blueteam’lerin saldırganların saldırı hazırlıklarını doğrudan engellemesi şu aşamada mümkün değil. Ancak sınırlı da olsa bazı önlemler alınabilir. Bu önlemlerden bazıları şunlardır:

  • Tanımlanan güvenlik açıklarının olup olmadığını görmek için sistemlerin düzenli olarak kontrol edilmesi.
  • Kurumların sistemlerine yönelik güvenlik güncellemelerinin en kısa sürede kurulması
  • Bilinen veya yeni geliştirilen saldırı araçlarının takip edilerek, bilinen veya yeni üretilen siber saldırı araçlarının sistemler üzerindeki etkisinin analiz edilmesi ve dolayısıyla aracın ne zaman kullanıldığının tespit edilebilmesi

Teslimat / Delivery

Siber Öldürme Zincirinin üçüncü adımı “Teslimat” aşamasıdır. Saldırgan bu aşamada daha önceki aşamalarda hazırladığı siber saldırıyı gerçekleştirir. Mağdurla ilk etkileşimin gerçekleştiği aşama budur. Örneğin, bu adımda kötü amaçlı yazılım uygun ortama yüklenir ve kurban, kötü amaçlı yazılımı yüklenen ortamdan kendi sistemlerine indirir. Kötü amaçlı içerik, dağıtım aşamasında mağdurların cihazlarına çeşitli yollarla aktarılabilmektedir. Kötü amaçlı içerik dağıtmak için kullanılan yöntemler, saldırı türüne bağlı olarak farklılık gösterebilir. Örneğin phishing saldırısı için e-posta kullanmak tercih edilebilir ya da e-postadaki kötü amaçlı içerik bir web adresine yüklenebilir.

Düşman

“Teslim” aşamasında saldırgan, çeşitli yöntemlerle çeşitli siber silahları kurbana ulaştırabilir. Bu aşamada saldırgan aşağıdaki işlemleri gerçekleştirebilir:

  • Kötü amaçlı bir URL’yi e-posta yoluyla teslim etme
  • Kötü amaçlı yazılımın e-posta yoluyla dosya eki olarak teslim edilmesi
  • Web sitesi aracılığıyla kötü amaçlı yazılım dağıtma
  • Kötü amaçlı URL’yi sosyal medya aracılığıyla dağıtma
  • Kötü amaçlı yazılımların sosyal medya aracılığıyla dağıtılması
  • Kötü amaçlı yazılımın doğrudan hedef sunucuya yüklenmesi (sunucuya doğrudan erişim mümkünse) 
  • Kötü amaçlı yazılımın bir USB aygıtı aracılığıyla doğrudan hedef sisteme fiziksel olarak yüklenmesi veya yüklenmesinin sağlanması

Defans

Blueteam’ler ve bireysel kullanıcılar bu aşamada pek çok önlem alabilirler. Her ne kadar siber saldırının gerçekleşmesini tamamen engelleyemeseler de bu önlemler başarılı bir siber saldırı riskini büyük ölçüde en aza indirebilir. Bu önlemlerden bazıları aşağıda sıralanmıştır:

  • E-posta içeriğindeki URL’lere karşı şüpheci bir tutum benimsemek ve bunları korumalı alan ortamında görüntülemek
  • Antivirüs yazılımı kullanarak e-postanın eklerini tarama
  • Kuruluşlarda e-posta güvenlik çözümü ürünlerini kullanma
  • Kullanıcıların/kurum çalışanlarının bilgi güvenliği konusunda eğitim almalarının sağlanması
  • Sunucu erişiminin sürekli izlenmesi ve günlüklerin kaydedilmesi
  • Firewall gibi güvenlik çözümlerinin etkin kullanımı ve yönetimi
  • Gerektiğinde şüpheli faaliyetlerin detaylı analizinin yapılması
  • Anormallikleri tespit etmek ve ilk sebebini belirlemek

Sömürü / Exploitation

Siber Öldürme Zincirinin dördüncü adımı “Sömürü” aşamasıdır. Saldırgan, bir önceki adımda kurbana sunulan kötü amaçlı içeriğin bu aşamada aktif hale gelmesini sağlar. İstismar adımı sırasında mağdurun cihazına iletilen kötü amaçlı yazılımın çalıştırılması işlemi gerçekleştirilir. Sistemdeki ilk işlem bu aşamada saldırgan tarafından gerçekleştirilir. Burada gerçekleştirilen istismar işlemi daha sonraki aşamalarda gerçekleştirilecek saldırı faaliyetlerinin habercisidir. Burada bir nedenden dolayı istismarın başarısız olması veya teslim edilen kötü amaçlı yazılımın çalıştırılamaması durumunda siber saldırının sonraki aşamaları gerçekleştirilemez.

Düşman

Saldırganın, hedefte istismar edilmesi amaçlanan program veya sistem hakkında bazı temel bilgileri vardır ve “Sömürme” aşamasında uygun saldırı araçlarını önceden hazırlamıştır. Bu, saldırganın istismarının veya aracının çalıştırıldığı/test edildiği adımdır. Eğer istismar veya araç kurbanın sisteminde kullanılmaya uygun değilse bu adım başarısız olabilir. Bu seviyede saldırgan aşağıdaki işlemleri gerçekleştirebilir:

  • Donanım güvenlik açığından yararlanan istismarın yürütülmesi
  • Yazılımın veya işletim sisteminin güvenlik açığından yararlanan istismarın yürütülmesi
  • Kötü amaçlı yazılım çalıştırma

Defans

Sömürüye karşı savunma, diğer aşamalara kıyasla Blueteam’ler için çok daha karmaşık ve emek yoğun bir görev teşkil etmektedir. Bunun temel nedeni, daha önce görülmemiş kötü amaçlı yazılım veya açıklardan yararlanma olasılığıyla karşılaşma olasılığıdır ve bu da savunma sürecine bir karmaşıklık katmanı ekler. Açıklamak gerekirse, sıfır gün açıklarından yararlanmanın kullanılması, bu aşamada tespit ve önleme prosedürlerini karmaşık hale getirebilir. Kötü niyetli etkinliklerin tespit edilmesi ve engellenmesi için aşağıdaki hususlar dikkate alınabilir:

  • Sistemlere yüklenen bir dosyanın ne zaman açılması gerektiği/gerekmediği ve hangi hususlara dikkat edilmesi gerektiği konusunda kurum çalışanlarına eğitim verilmesi
  • Kuruma ait varlıklar üzerindeki sistem güvenliği işlemlerinin sürekli izlenmesi ve anormalliklerin tespiti
  • Kuruluşa ait varlıklar için yayınlanan güvenlik açıklarının takibi, uygun izleme kuralının yazılması ve istismar edildiğinde tespit edilmesi
  • Kuruma ait varlıkların güvenlik güncellemelerinin takip edilmesi ve anında kurulumu
  • EDR ürünlerini kullanarak uç noktalardaki etkinlikleri izleme
  • Yerli geliştirilen uygulamalardaki güvenlik açıklarının önlenmesi amacıyla yazılım geliştiricilere güvenli kodlama eğitimlerinin verilmesi 
  • Kuruluşun varlıkları üzerinde düzenli olarak sızma testleri yapılması
  • Düzenli otomatik güvenlik açığı taraması ve raporların izlenmesi
  • Kuruma ait varlıklar üzerindeki yetkilerin düzenlenmesi ve her hesaba ihtiyaç duyulan yetkinin verilmesi

Installation / Kurulum

Siber Öldürme Zincirinin beşinci aşaması “Kurulum” aşamasıdır. Bu aşamada saldırgan, istismar edilen hedef sistemde kalıcılığı korumaya çalışır. Saldırgan sisteme arka kapı kurarak istediği zaman erişebileceği bir erişim yolu elde etmeye çalışır. İstismar edilen güvenlik açığı belirli bir süre sonra yamanacak ve çalışmaz hale getirileceğinden, saldırganın hedef sisteme erişim sağlamak için farklı bir yöntem kullanması gerekir. Bu noktada hedef cihaza yüklenecek kötü amaçlı yazılım alternatif olarak bir damlalık yardımıyla yerleştirilebilir. Bu noktada saldırgan, sistemin kalıcılığını sağlamak amacıyla ayrıcalık yükseltme taktikleri yoluyla sistemdeki yüksek yetkili bir kullanıcı hesabına erişim sağlamaya çalışabilir. Siber saldırı başladıktan sonra nihai hedeflere ulaşmak için saldırı hazırlıklarının yapıldığı aşamadır.

Düşman

“Kurulum” adımında saldırgan çok çeşitli işlemleri gerçekleştirebilir. Saldırgan, yararlandığı sistemdeki yetkileri sınırlı olmak kaydıyla çeşitli teknolojik faaliyetleri başarıyla gerçekleştirebilmektedir. Saldırgan bu işlemleri gerçekleştirirken sistemde mümkün olduğunca az iz bırakmaya çalışır ve güvenlik ürünlerinin işlemlere müdahale etmemesini sağlar. Bu sayede saldırgan sistemde daha uzun süre fark edilmeden kalarak, saldırıyı gerçekleştirmek için gerekli süreyi kazanabilir. Bu aşamada saldırgan aşağıdaki eylemleri gerçekleştirebilir:

  • Kurbanın cihazına kötü amaçlı yazılım yükleyin.
  • Kurbanın sistemine arka kapı yerleştirmek
  • Web kabuğunu web sunucusuna yükleyin (eğer bir web sunucusu ise).
  • Mağdur cihazın kalıcılığını sağlamak için bir hizmet, güvenlik duvarı kuralı veya zamanlanmış görev ekleme

Defans

Blueteam’in bu aşamada saldırganlara karşı uyguladığı operasyonlar Tehdit Avcılığı operasyonlarından oluşmaktadır. Bu aşamaya gelen bir saldırganın sistemler üzerinde kötü amaçlı faaliyetlerde bulunması saldırganın tespit edilemediğini göstermektedir. Bu nedenle, saldırgan bulunsun veya bulunmasın, SOC ekibinin güvenlik operasyonlarını sistemde her zaman bir saldırganın bulunduğunu varsayarak yönetmesi ve yürütmesi gerekir. Bu seviyede gerçekleştirilebilecek güvenlik işlemleri mevcut yapıya bağlı olacaktır. Genel olarak gerçekleştirilebilecek bazı faaliyetler şunlardır:

  • Kurumun tüm varlıkları üzerinde Ağ Güvenliği İzleme operasyonlarını yürütmek
  • Her uç noktaya uygulanan yapılandırma değişikliklerinden haberdar olmak için EDR güvenlik çözümlerini kullanma
  • Sistemlerdeki kritik dosyalara erişimin kısıtlanması ve erişimin izlenmesi 
  • Sistemlerdeki kritik yollara erişimin kısıtlanması ve erişimin izlenmesi
  • Sistemlerde kullanıcılara yönelik yetkilendirme düzenlemeleri yapılarak yönetici ayrıcalıklarının yalnızca zorunlu durumlarda kullanılmasına olanak sağlanması
  • Sistemlerde çalışan süreçlerin izlenmesi yoluyla kötü amaçlı süreç etkinliklerinin tespit edilmesi
  • Sistemde yalnızca geçerli imzaya sahip yürütülebilir dosyaların çalıştırılmasına izin verme
  • İzlenen tüm sistem etkinliklerindeki anormallikleri tespit edin ve temel nedeni bulun

Komuta ve Kontrol (C2) / Command & Control (C2)

Siber Öldürme Zincirinin altıncı aşaması “Komuta ve Kontrol (C2)” adımıdır. Bu noktada saldırgan, saldırının birçok önemli görevini tamamlamış ve Komuta Kontrol (C2) sunucusunu sisteme komutları iletmek üzere hazırlamıştır. Saldırgan bu adımda sisteme uzaktan komutlar gönderebilir ve bunları çalıştırabilir.

Düşman

“Komuta Kontrol (C2)” aşamasında saldırganın yaptığı şey C2 ile hedef sistem arasında iletişim kurmaktır. Bu aşama saldırganın hedeflediği eylemlerin yürütülmesini içermez. C2 iletişimi tamamlandıktan sonra saldırgan kötü niyetli faaliyetlere devam edecektir. 

 Saldırganın bu aşamada yaptığı kısaca şu şekildedir:

  • Kurbanla iletişim kurmak için C2 Sunucusunu yapılandırma
  • Mağdurun cihazında C2 ile temasını mümkün kılmak için gerekli eylemlerin uygulanması.

Defans

Bu aşamada mavi takımlara yönelik özel bir aksiyon bulunmamakla birlikte, C2 iletişimi kapsamında genel güvenlik izleme ve tespit teknikleri ve uygulamaları dikkate alınmalıdır. Blueteam’ler potansiyel C2 ağ trafiği akışını tanımak ve önlemek için uygun adımları atmalıdır. Atılması gereken bazı adımlar şunlardır:

  • Bilinen C2 araçlarının sistemlerde mevcut olup olmadığını belirlemek için
  • Güvenlik Duvarı gibi güvenlik ürünleri aracılığıyla Siber Tehdit İstihbaratı kaynaklarından gelen C2 sunucusu IP adreslerinin engellenmesi
  • Sistemdeki Network Security Monitoring ile C2 iletişimi olabilecek ağ trafiğini tespit etmek için

Hedeflere İlişkin Eylemler / Action On Objectives

“Hedeflere Göre Eylemler” Siber Öldürme Zincirinin yedinci ve son adımıdır. Saldırgan bu noktada siber saldırının ilk aşamalarında planlanan aksiyonları alır. Saldırgan bu adıma geçmeden önce her birinin başarıyla tamamlanması gereken çok sayıda aşamadan geçer. Bu sayede saldırgan sistem üzerinde istediği işlemleri gerçekleştirebilmektedir.

Düşman

Saldırganlar bu seviyeye ulaştıklarında hedeflenen hamleleri farklılık gösterebilir. Bu adımda saldırganların eylemleri amaç ve motivasyonlarına göre belirlenir. Saldırganın öncelikli hedefi sisteme zarar vermekse, örneğin kritik bilgileri silebilir. Saldırganın bu aşamada gerçekleştirebileceği adımlardan bazıları şunlardır:

  • Fidye yazılımı yardımıyla sistemdeki dosyaları şifrelemek için
  • Sistem içerisindeki kritik bilgi/belgelerin sızması
  • Sistemdeki kritik bilgilerin silinerek sisteme zarar verilmesi
  • Ayrıcalık yükseltme işlemleri ile daha yetkili operasyonlar uygulayabilmek ve ağdaki diğer makinelere de erişim sağlanarak siber saldırının kapsamının genişletilmesi
  • Ağdaki başka bir cihaza erişim sağlamak için kullanıcı kimlik bilgilerini toplama
  • Sistem içerisinde bilgi toplanması
  • Sistemdeki bilgilerin değiştirilmesi veya manipüle edilmesi

Defans

Bu aşamada mavi ekiplerin saldırgan faaliyetlerini tespit etmek ve durdurmak için her bir sürece bağlı olarak farklı eylemler gerçekleştirmesi gerekebilir. Öncelikle sistemin düzenli olarak kontrol edilmesi gerekmektedir. Sistemdeki kötü amaçlı etkinliklerin bu şekilde tespit edilmesi mümkün olabilir. Tespit aşamasından sonra, tespit edilen eylemin ardından uygun eylem uygulanmalıdır. SOC ekiplerinin alabileceği en temel önlemlerden biri, saldırganların kuruluştan dışarıya veri sızdırmasını önlemektir. Çünkü veri sızıntısı günümüzde en yaygın siber saldırı sonuçlarından biridir. Bu aşamada alınması gereken bazı önlemler şunlardır:

  • Ağ trafiğindeki anormallikleri tespit etme
  • Ağ erişiminin dışarıya kısıtlanması ve sürekli izlenmesi
  • Kritik bilgiler içeren dosya/klasörlere erişimin kısıtlanması ve erişimin düzenli olarak kontrol edilmesi
  • Kritik bilgiler içeren veritabanlarına erişim yetkilerinin kısıtlanması ve erişimin sürekli izlenmesi
  • Veri sızıntısını önlemek için DLP ürünlerini kullanma
  • Kullanıcıların yetkisiz erişimlerini tespit etme

Diyerek başlıklar için açıklamalarımızı tamamlayabiliriz.

Yorum bırakın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Scroll to Top