Gelişmiş Siber Tehdidler (APT): Genel Bakış

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Gelişmiş Siber Tehdidler (APT): Genel Bakış"

Kelebek Keser
8 yıl önce
İzleme sayısı:

1 Gelişmiş Siber Tehdidler (APT): Genel Bakış Zararlı Yazılım Analiz ve Mücadele Merkezi TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü

2 Sunum İçeriği Gelişmiş Siber Tehdit (APT) nedir? APT savunma ve tespit yöntemleri Güncel APT saldırıları Sonuç 2

3 APT nedir?

Gerektiği kadar karmaşık Tehdit (Threat) Organize çalışma Yüksek motivasyon İyi

4 Gelişmiş Siber Tehdit (APT) Nedir? Gelişmiş Siber Tehdit (APT) nedir? Gelişmiş (Advanced) Sıfırıncı gün açıklıkları Özel hazırlanmış saldırı teknikleri Gerektiği kadar karmaşık Tehdit (Threat) Organize çalışma Yüksek motivasyon İyi finanse edilme Kalıcı (Persistent) Hedefli Bütün zayıf noktaları arama Uzun süre sistemde kalma İz bırakmama 4

5 APT Nedir? Siber Sayılar * * Art Gilliland, RSA Conference

6 APT Nedir? Saldırı Yaşam Döngüsü APT Saldırı Yaşam Döngüsü * *Mandiant, «APT1Exposing One of China s Cyber Espionage Units» 6

Gelişmiş Siber Tehdit (APT) Nedir? Gelişmiş Siber Tehdit (APT) saldırılarının genel karakteristiği * Eposta listeleri, sosyal ağ madenciliği, konferanslar, beşeri istihbarat, vs.

7 Gelişmiş Siber Tehdit (APT) Nedir? Gelişmiş Siber Tehdit (APT) saldırılarının genel karakteristiği * Eposta listeleri, sosyal ağ madenciliği, konferanslar, beşeri istihbarat, vs... Maskeli exe dosyaları, exe-dışı çalıştırılır dosya türü, zararlı DOC/XLS/PPT dosyaları, otomatik bulaşır çıkarılabilir medya Stratejik web saldırısı, hedefli eposta saldırısı ile gönderilen URL ler, zararlı eposta ekleri, USB çıkarılabilir medya 0. gün tarayıcı/uygulama açıklıkları, sosyal mühendislik Özellikli uzaktan erişim araçları (RAT), temel seviye özel araçlar, iyi-yapım hedefli solucanlar Özel/standart gömülü kodlu HTTP, açık HTTP, şifreli haberleşme, tam SSL kripto, tek kullanımlık C2 düğüm *FireEye, «World War C: Understanding Nation-State Motives Behind Today s Advanced Cyber Attacks Report» ** Lockhead Martin, «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains» 7

ler, zararlı eposta ekleri, USB çıkarılabilir medya 0.

füzesi $1.45 M Patriot füzesi $4.54 M Stuxnet $5M - $10 M 15 MH-60S helikopter $19.

8 APT Nedir? Neden Kolay? Savunma teknolojilerinin maliyeti * Ortalama bir siber silah $1 M Tomahawk (Tactical) füzesi $1.45 M Patriot füzesi $4.54 M Stuxnet $5M - $10 M 15 MH-60S helikopter $19.7 M Siber ordunun yıllık maliyeti * $49 M F35(A) uçağı $107 M DDG-51 Guided Missile Destroyers $1.100 M * Charlie Miller, How to build a cyber army to attack the U.S 8

9 Gelişmiş Siber Tehdit (APT) Nedir? Unit Gelişmiş Siber Tehdit (APT) örneği: APT1* 2006 yılından bu yana 20 sektörü kapsayan çalışma 141 kurumda APT tespiti Yüzlerce terabyte veri Ort. kurumda kalış süresi: 356 gün En uzun süre: 1,764 gün Bir kurumdan 10 ayda çalınan veri: 6.5 terabyte Çin Telekom tarafından özel fiber altyapı ve 1000 civarı sunucu Hedefler: Çin in 12. kalkınma planında yer alan öncelikli 7 sektörden 4 ü *Mandiant, «APT1Exposing One of China s Cyber Espionage Units» 9

10 APT Savunma ve Tespit Yöntemleri

APT Savunma ve Tespit Yöntemleri Geleneksel güvenlik mekanizmaları Güvenlik Duvarı (FW) IP/Port engelleme Kural tabanlı Saldırı Tespit/Engelleme Sistemi (IDS/IDS) İmza tabanlı İçerik

11 APT Savunma ve Tespit Yöntemleri Geleneksel güvenlik mekanizmaları Güvenlik Duvarı (FW) IP/Port engelleme Kural tabanlı Saldırı Tespit/Engelleme Sistemi (IDS/IDS) İmza tabanlı İçerik Kontrolcüsü (Proxy) HTTP, FTP, SMTP, POP3 filtreleme Kelime veya konu tespiti DMZ İÇ AĞ Son Kullanıcı Saldırı Tespit Sistemi (HIDS) Kural tabanlı Anti-Virüs (AV) Zararlı yazılım engelleme İmza tabanlı 11

Kontrolcüsü (Proxy) HTTP, FTP, SMTP, POP3 filtreleme Kelime veya konu tespiti DMZ İÇ AĞ Son

APT Savunma ve Tespit Yöntemleri Gelişmiş Siber Casusluk Tehdidi ne karşı yeni nesil çözümler * Ağ Ağ Trafik Analizi (NTA) gerçek-zamanlı Gerçek zamanlı tespit

(PA) Kumhavuzunda (sandbox) çalıştırıp davranış yoluyla tespit gerçek-zamanlı Uç Bilgisayar Uç Bilgisayar Davranış Analizi (EBA) gerçek-zamanlı Uygulama sınırlama,

12 APT Savunma ve Tespit Yöntemleri Gelişmiş Siber Casusluk Tehdidi ne karşı yeni nesil çözümler * Ağ Ağ Trafik Analizi (NTA) gerçek-zamanlı Gerçek zamanlı tespit (anomali/protokol/içerik analizi) Ağ Forensik Analizi (NF) Tüm paketleri yakalama ve saklama (yeniden akıtma) Çalıştırılır Dosya Çalıştırılır Dosya/Döküman Analizi (PA) Kumhavuzunda (sandbox) çalıştırıp davranış yoluyla tespit gerçek-zamanlı Uç Bilgisayar Uç Bilgisayar Davranış Analizi (EBA) gerçek-zamanlı Uygulama sınırlama, hafıza izleme, sistem ayar/proses izleme Uç Bilgisayar Forensik Analizi (EF) Uç bilgisayar izleme ve şüpheli olay takibi * Gartner: Five Styles of Advanced Threat Defense 12

13 APT Savunma ve Tespit Yöntemleri APT saldırılarının genel karakteristiği * Geleneksel Yeni Nesil Eposta Log listeleri, FWsosyal ağ madenciliği, konferanslar, beşeri istihbaratı, vs... Maskeli IDS exe IPS dosyaları, exe-dışı çalıştırılır NTAdosya NF türü, zararlı DOC/XLS/PPT dosyaları, otomatik bulaşır çıkarılabilir medya Tetik Proxy Stratejik web AVsaldırısı, hedefli eposta saldırısı ile gönderilen URL ler, zararlı eposta kull. PA ekleri, USB çıkarılabilir medya HIDS Yama 0. gün tarayıcı/uygulama açıklıkları, PAsosyal mühendislik AV EBA EF Özellikli HIDSuzaktan erişim araçları (RAT), temel seviye özel araçlar, iyi-yapım hedefli solucanlar Özel/standart gömülü kodlu HTTP, açık HTTP, şifreli IDS IPS FW haberleşme, tam SSL kripto, tek kullanımlık NTA NF C2 düğüm *FireEye, «World War C: Understanding Nation-State Motives Behind Today s Advanced Cyber Attacks Report» ** Lockhead Martin, «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains» 13

saldırısı ile gönderilen URL ler, zararlı eposta kull. PA ekleri, USB çıkarılabilir medya HIDS Yama 0.

14 Güncel APT Saldırıları

Güncel APT Saldırıları APT29 Hammertoss Hedef ülke: Çoğunlukla Avrupa ülkeleri Tarih: 2014 yılı sonu -2015 yılı başı CnC: Rusya Özellikler: URL Resim dosyaları içinde gizlenmiş şifreli komutlar

15 Güncel APT Saldırıları APT29 Hammertoss Hedef ülke: Çoğunlukla Avrupa ülkeleri Tarih: 2014 yılı sonu yılı başı CnC: Rusya Özellikler: URL Resim dosyaları içinde gizlenmiş şifreli komutlar (steonagraphy) Yaygın kullanılan internet servisleri yoluyla komutların iletilmesi Twitter: Resmin URL, şifreli kısmın offset ve şifre anahtarı Github: İçerisine komut gizlenmiş resim dosyasının yeri Komutların Powershell kullanılarak çalıştırılması Çalınan verilerin yaygın Cloud servislerine gönderilmesi Çalışma saatleri olarak kurbanın mesai saatlerininin seçilmesi Internet Explorer COM objeleri ile web bağlantısı Offset Key 15

kısmın offset ve şifre anahtarı Github: İçerisine komut gizlenmiş resim dosyasının yeri Komutların Powershell kullanılarak çalıştırılması Çalınan verilerin

Güncel APT Saldırıları Blue Termit Hedef ülke: Japonya Hedef sektör: Finans sektörü, devlet kurumları, İlaç ve medikal sanayii, uydu sistemleri, medya

«Watering Hole» saldırısı (HackingTeam saldırısı sonrası) Sadece belirlenen IP adreslerinde çalışma Her kurban için ayrı bir çalıştırılır exe dosyası

16 Güncel APT Saldırıları Blue Termit Hedef ülke: Japonya Hedef sektör: Finans sektörü, devlet kurumları, İlaç ve medikal sanayii, uydu sistemleri, medya kuruluşları Tarih: 2013 yılı 2015 yılı CnC: Çin Özellikler: Hedefli eposta saldırıları (2015 Temmuz a kadar) Adobe Flash Player exploitleri kullanılarak «Watering Hole» saldırısı (HackingTeam saldırısı sonrası) Sadece belirlenen IP adreslerinde çalışma Her kurban için ayrı bir çalıştırılır exe dosyası Sadece kurbanın bilgisayarında çalışma Exe içerisinde internal proxy, C&C ve backdoor komutlarının MD5 değerleri şifreli Şifreleme anahtarı olarak kurbanın SID değeri 16

17 Sonuç

mekanizmaları yetersiz Tespit için farklı katmanlarda birden

18 Sonuç APT, ülke ve kurumlar için büyük bir tehdit Siber saldırılar kolay ama etkisi büyük Geleneksel siber savunma mekanizmaları yetersiz Tespit için farklı katmanlarda birden koruma ve analiz Güncel APTlerde çok sayıda yeni saldırı yöntemi 18

19 Teşekkürler

Benzer belgeler

GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ. Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü

GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü 6 Kasım 2012 Gündem Siber Savaşlar Gelişmiş Siber Silahlar (APT) Gelişmiş Siber Silahların Tespiti