Siber saldırılar teknolojinin gelişmesi ile birlikte kendisine yeni yöntem ve teknikler katmıştır. Teknolojinin gelişmesi bizleri sevindirse de siber saldırı boyutu kurum, firma ya da birey fark etmeksizin herkesin korkulu rüyası haline gelmiştir. Artık daha ileri zamanlarda hırsızlık gibi olayların fiziksel boyutu bitecek, siber hırsızlıklar hız kazanacaktır. Devletler arası savaşlar bilgi, istihbarat, veri odaklı olacağı için fiziki savaşlar yerini tamamen siber savaşlara bırakacaktır ki zaten şu anda bir siber savaşın içerisindeyiz. Şu an ne kadar yatırım yapılır, bu konunun üstüne düşülürse ileride o denli güçlü olunacaktır. Çünkü artık güç veridir. Mühimmat veridir. Dolayısıyla devletlerin, kurumların, şirketlerin en öncelikli konu başlığı olması gerekmektedir. Bugün bahsedeceğimiz konu “Attack Life Cycle” olacaktır. O halde başlayalım;
Attack Life Cycle; Mandiant tarafından oluşturulmuş bir siber saldırı döngüsüdür. Attack life cycle ilk olarak Mandiant tarafından yazılan “APT1 Exposing One of China’s Espionage Units” adlı raporda göze çarpmaktadır. Rapor; Çin tarafından dünya çapında yapılan siber casusluk olaylarını ve Çin’de bu ve benzeri birçok kampanyanın yönetildiği iddasını içeren “Unit 61398” departmanı hakkında detaylı bilgiler sunmaktadır. Attack life cycle ise bu saldırıları modellemek için kullanılmıştır. Fakat bu modelleme incelendiği zaman uzun soluklu olan tüm saldırılar için kullanılabileceği göze çarpmaktadır. Burada attack life cyle’ı, cyber kill chain’den ayıran yönü; saldırganın içeri girip verileri dışarı çıkarmasına kadar olan tüm süreçleri kapsamakla birlikte bunun bir döngü olduğunun altını çiziyor.
Attack Life Cycle; 8 adımdan oluşmaktadır. Bu modellemede saldırganın yaptığı keşif çalışmasından sonra içeri girip amacına ulaşana kadar yaptığı tüm işlemleri yapabilmeyi, yerini sağlamlaştırma çabalarını ve ağda istediği gibi gezinebilmesini amaçlamaktadır. Bu model saldırgan odaklı bir modellemedir. Aşamalarına bakacak olursak;
- İLK KEŞİF: Modellemenin ilk aşamasıdır. Burada saldırgan hedefini (Devlet, kurum, şirket ve benzeri.) belirler. Akabinde hedef hakkında pasif bilgi toplama ve aktif bilgi toplama kaynaklarından faydalanarak hedef hakkındaki tüm bilgileri toplar. Burada bilgi toplamak için; Google, Twitter, Instagram, Bing, Shodan ve benzeri bilgi toplama araçlarını kullanmaktadır. Ayrıca bu aşamada saldırgan saldırı esnada kullanacağı “Araç, Teknik ve Taktiklerine” de bu aşamada karar verir.
- İLK İSTİLA: Bu aşamada saldırgan hedefe sızmak için birçok yöntem denemektedir. Dünya genelinde yapılan siber saldırılar araştırılıp incelendiği zaman bunlardan en çok “spear pishing” oalrak adlandırılan tekniğin kullanıldığı görülmektedir. Spear pishing, hedef temelli oltalama saldırısıdır. Burada saldırı için toplanan bilgilerden faydalanılarak bir e-posta mesajı oluşturulur. Akabinde bunu hedef kişi ya da kişilere gönderir. E-postaların içerisinde zararlı kodlar bulunabilir ya da zararlı kodların bulunduğu web sitesi linkini koyarak oraya yönlendirmek istenebilir. Tabi bu mesajlar sosyal medya platformları üzerinden de gönderilir. Bu konuda farklı teknik ve yöntemler uygulamaktadır.
- YERLEŞME: Zararlı yazılım bilgisayara bulaştığında dışardan bir sunucuya bağlantı açar. Bu bağlantı “backdoor” yani arka kapı olarak isimlendirilir. Bu saldırganlar tarafından özel olarak oluşturulabilir ya da RAT, Poison veya Gh0st gibi başka saldırganlar tarafından oluşturulup satılan yazılımlar da olabilir. Her durumda da saldırgan bu arka kapı sayesinde sisteme istediği gibi girip çıkabilmektedir.
- YETKİ YÜKSELTME: Artık bu aşamada saldırganlar hedef sistem içerisinde bulunmaktadır. Amaçlarına ulaşmak için ilgili çalışmaları yapmaya başlayacaklardır. Bunun için yetki yükseltme işlemi yapacaklardır. Çünkü sistem içerisinde ulaşabildikleri max yetki seviyesinde istedikleri tüm verilere ulaşabileceklerdir.
- İÇ KEŞİF: Saldırgan yetki yükseltme işlemini tamamladıktan sonra sistem içerisinde gezinmeye başlayacaktır. Buradaki amaç isimden de anlaşılacağı üzere iç keşif çalışmalarıdır. Kullanılan başka sistemler var mı? İstedikleri veriler nerede? Gibi soruların cevaplarını aramaya başlarlar. Veriler için ağdaki diğer makinelerin listelerini inceler, ağda bulunan ortak dokümanları listeler, içeride verilen servisleri araştırırlar. Burada verilerin e-posta içerisinde bulunmasının yüksek olmasından dolayı ilk bakacakları yerlerden birisi e-posta sunucusu olacaktır.
- YAYILMA: İlk istila aşamasında saldırgan istediği tüm verilere ulaşamayacağı için hedef sistem içerisinde yayılma politikası izler. Bu sayede işi kolaylaşacaktır. Bunun için ağda gezinecektir. Ağ içerisinde bulunan diğer cihazlara erişebilir, oralara da yayılarak amaçlarına ulaşmak isteyecektir.
- YERİNİ SAĞLAMLAŞTIRMA: Bu aşamada saldırganlar hedef sisteme giriş yaptıktan sonra hem hedefe hem de ağdaki diğer cihazlara farklı zararlı yazılımlar kurarak arka kapı açacaktır. Amacı yerini sağlamlaştırmaktır. Bunun amacı bir arka kapı fark edildiğinde diğerlerinden işlemlere devam edebilmektir.
- GÖREVİ TAMAMLAMA: Attack life cycle hedef temelli bir saldırı olduğunu belirtmiştik. Hedef temelli saldırıların nihai amacı ise verileri çalmaktır. Veriler ve önemi girilen sisteme göre farlılık göstermektedir. Bunlar; devlet sırları, ihale dosyaları, projeler, sözleşmeler, kişisel bilgiler ve benzeri tarzda veriler olabilir.
Aslında Cyber kill chain’e benzeyen ama bazı noktalarda ayrılan bir modellemedir. Burada önemli olan nokta saldırı tespitinin doğru zamanda yapılabiliyor olmasıdır. Siber güvenlik konusunda destek almak, siber güvenlik alanında geliştirmiş olduğumuz yazılımlarımız ve hizmetlerimiz hakkında daha detaylı bilgi almak için bizimle iletişime geçebilirsiniz.
Unutmayın güvenlik her şeydir.
