APT (Advanced Persistent Threat - Gelişmiş Devamlı Tehdit) saldırıları konusunda düzenlediğim seminere ait sunumun bir kısmıdır. Sunum içerisinde yer alan konu başlıkları buradadır, sunumun tamamını dağıtımını kontrol edebilmek ve içerisindeki hassas bilgilerin korunması amacıyla paylaşmıyorum.
7. Basit Tehditler
• Sayısı her gün artan tehdit türü
• Basit araçlarla yapılabilecek saldırıların sayısı
artıyor;
– Saldırgan sayısı artıyor
– Saldırı araçlarının sayısı artıyor
www.alperbasaran.com
8. Akıllı Tehditler
• “Düşünülmüş” saldırılar
• Genellikle “bildikleriyle” yetinirler
• Genellikle eldekini kullanırlar
www.alperbasaran.com
9. Gelişmiş Tehditler
• Akıllı tehditlerden temel farklar;
– Stratejik düşünme
– Sistemli yaklaşım
– Gizliliğe verilen önem
– Geniş bir saldırı yöntemi envanteri
www.alperbasaran.com
10. Gelişmiş Devamlı Tehdit
• Ekonomik veya zaman bakımından sınırı yok
• Hedefe/amaca ulaşana kadar çalışıyorlar
www.alperbasaran.com
11. APT Hangi Nedenlerle Yapılır?
• Kurumsal verileri çalmak için
• Özel bilgilerin çalınması
• Maddi kazanç için
• Devlet sırlarını çalmak için
• Siyasi/ideolojik amaçlar için
www.alperbasaran.com
12. APT Saldırıları ve Mevcut Güvenlik
1 milyon TL’yi korumak için
1 milyon TL harcar mısınız?
www.alperbasaran.com
13. Suç İşlemek ve Risk
www.alperbasaran.com
Risk
Kazanç
Kazanç
Risk
18. APT Hacker
• Bildiğini değil, en zayıf halkayı hedef alır
• L33t olmayı değil, etkili olmayı amaçlar
• Her zaman gelişmiş istismar kodlarını aramaz
www.alperbasaran.com
19. APT Hacker
• Bildiğini değil, en zayıf halkayı hedef alır
• L33t olmayı değil, etkili olmayı amaçlar
• Her zaman gelişmiş istismar kodlarını aramaz
• Bilgiye değer verir
• Yaratıcı düşünebilir
www.alperbasaran.com
20. Siber Ölüm Zinciri Döngüsü
Bilgi Toplama
• Pasif bilgi
toplama
• Kuruluş
şemaları
• IP adresleri
• Port
taramaları
• İnternet
servis
sağlayıcısı
bilgileri
• Dışarıya
dönük
sistemler
• ...
Silahlandırma
• İstismar
kodunun
hazırlanması
• Zararlı yazılım
• Ambalaj
Teslimat
• Hedefli
oltalama
saldırısı
(spear
phishing)
• Zararlı içerikli
web sayfası
• İnternet
servis
sağlayıcısı
İstismar
• Kodun
çalıştırılması
• Hedef
sistemle
bağlantı
kurma
• Üçüncü
tarafların
istismarı
Kurulum
• Trojan veya
arkakapı
• Kalıcı erişim
kurabilme
• Yetki
yükseltme
• Kullanıcı
adlarını ve
parolaları
çalma
Komuta ve
kontrol
• Hedefle
iletişim
yolunun
açılması
• Yatay hareket
• İç ağda bilgi
toplama
• Erişimi kalıcı
hale getirme
Hedef üzerinde
işlemler
• Derinleşme
• Bağlantıyı ve
erişimi kalıcı
hale getirecek
ek yöntemler
• Veri sızdırma
1 2 3 4 5 6 7
21. APT Döngüsü
Hedef seçimi
Destek/Yardım
bulma
Araç ve teknoloji
Bilgi toplama
Tespit
yöntemlerinin
testi
Saldırı
İlk sızmaDışarıya bağlantı
İç ağda yayılma
Kalıcılık
Veri sızdırmak
İzleri sil
Görünmez kal
www.alperbasaran.com
24. APT Tespit Etmek
• Önkoşullar:
– Savunma hattınız atlatılacak
– İzin verdiğiniz port/protokoller kullanılacak
– Saldırı “imzası” olmayacak
– Verinin peşinde olacaklar
www.alperbasaran.com
25. APT Tespit Etmek
• IoC : Indicators of Compromise
• Saldırganların “yapmak zorunda” oldukları
şeyler var
• “Operation Cleaver” için 150’den fazla IoC
vardı
www.alperbasaran.com
26. Temel IoC Prensipleri
• Alarmı çerçevesiyle ele alın
• İstihabarat bilgilerinden faydalanın
• Sosyal mühendislik izlerini takip edin
• Makine davranışlarını izleyin
• Politika ihlallerini kapsama oturtun
• Komuta sunucusu iletişimini yakalayın
• Ağ gürültüsünü azaltın
• Gelen trafiği izleyin
• Trafik anormalliklerini tespit edin
www.alperbasaran.com
28. REGIN
• GHCQ tarafından kullanıldığı bilinen casusluk
yazılımı
• Belgacom olayında kullanıldı
• Suudi Arabistan, Meksika, Pakistan, gibi pek
çok ülkede teyitli örnekleri var
www.alperbasaran.com
29. REGIN’e ait bazı IoC’ler
• 32 bit sürüm 1. kademe dosyaları:
– 06665b96e293b23acc80451abb413e50
– 187044596bc1328efa0ed636d8aa4a5c
– …
• 64 bit sürüm 2. kademe dosyaları:
– d446b1ed24dad48311f287f3c65aeb80
– …
• IP adresleri:
– 61.67.114.73
– 202.71.144.113
– 203.199.89.80
– 194.183.237.145
– …
www.alperbasaran.com
31. APT Cephesinden
• İş ortaklarından birinin sistemindeki açık
nedeniyle muhasebe yazılımına müdahale
edildi: 5.4 milyon TL çalındı.
• Banka: 9.5 milyon TL çalındı
www.alperbasaran.com
32. Sosyal Mühendislik Nedir?
• İnsanları kandırarak istediğinizi elde etmek için
kullanılan yöntemlerdir
• Ne isteriz?
– Gizli bilgi
– Yetki bilgileri
– Giriş bilgileri
@basaranalper | www.alperbasaran.com
34. iOS99 Zafiyetleri:
Saldırıya Açık Davranışlar
• Güvenmek
• Saldırılar konusunda bilgi sahibi olmamak
• Tehdit altına girmek
• Kazanç beklentisi ile hareket etmek
@basaranalper | www.alperbasaran.com
35. Şirketleri Sosyal Mühendislik
Saldırılarına karşı zayıflatan etkenler
• Yetersiz bilgi güvenliği eğitimi
• Kullanıcıların bilgiye kolay erişmesi
• Birden fazla bölüm (Satış, Teknik Destek,
Muhasebe, vs.)
• Güvenlik politikalarının olmayışı
@basaranalper | www.alperbasaran.com
36. Sosyal Mühendislik neden etkili bir
yöntem?
• Sosyal mühendislik saldırı girişimlerini tespit
etmek zor
• Sosyal mühendislik saldırılarına karşı
kurulabilecek cihaz/sistemlerin olmaması
• Sosyal mühendislik saldırılarına karşı bilinen
bir savunma yok
@basaranalper | www.alperbasaran.com
37. Sosyal Mühendislik Saldırısı Aşamaları
• Araştırma
• Kurban seçme
• Geliştirme
• İstismar etme
@basaranalper | www.alperbasaran.com
38. Sosyal Mühendislik Saldırılarının
Etkileri
• Maddi kayıp
• Terör
• Gizlilik ihlali
• Prestij kaybı
• Iflas
• ... Bilgi güvenliği ihalinden beklenen bütün
etkiler görülebilir
@basaranalper | www.alperbasaran.com