Finans Sektörüne Yönelik Yeni Nesil Tehditler. Burç Yıldırım Mart 2015

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Finans Sektörüne Yönelik Yeni Nesil Tehditler. Burç Yıldırım Mart 2015"

Nazar Kut
8 yıl önce
İzleme sayısı:

1 Finans Sektörüne Yönelik Yeni Nesil Tehditler Burç Yıldırım Mart 2015

2 Gündem Tehdit Belirleme Güncel Tehditler Kullanıcı Ödeme Sistemleri ATM 2

3 Tehdit Belirleme 3

4 Neden? Sayısallaşan teknoloji iş yapış şeklini değiştirdi İş yapış şekillerinden teknolojiyi soyutlamak mümkün değil Kaçınılmaz gereksinimleri var İşlevsellik Bağlantılar İşlevsellik saldırı yüzeyini genişletiyor 4

5 Saldırgan Tipleri Text Organize Suçlu Organize Terör örgütleri Hactivistler Gizli Servisler Suç Örgütleri Hacker Amatör Yetenekli ve bilgili White/Gray/Black Hat Daha az yetenekli Mevcut araçları kullanır Basit ancak etkili 5

Hacker Amatör Yetenekli ve bilgili White/Gray/Black Hat

6 Hedef Saldırgan İlişkisi Genel kural: Hedefi, saldırganın çıkarı belirler Her kaynak saldırgan için anlamlı olabilir Politik Durdur, gücü ele geçir, propaganda Ekonomik Fikri mülkiyet ve diğer mali değerli varlık hırsızlığı, dolandırıcılık, endüstriyel hırsızlık Sosyokültürel Ego büyütme, şöhret, merak, eğlence Özel kural: Farklı çıkarlara hizmet edebilecek kaynaklara sahip olmak hedef olma olasılığını artırır 6

değerli varlık hırsızlığı, dolandırıcılık, endüstriyel hırsızlık Sosyokültürel Ego büyütme, şöhret,

7 Sistem Bileşenleri Zafiyet İlişkisi Amacı karşılayan, kullanıcının hizmetindeki Donanım Yazılım İletişim yöntemi Her bileşen temelde aynı zafiyetleri taşır Müdahale Varsayımlar Mantık hataları 7

8 Güncel Tehditler 8

9 Ocak 2015 Cyber Threat Acceleration Pack 9

10 Şubat 2015 Cyber Threat Acceleration Pack 10

11 Finans Sektörüne yönelik istihbarat Terminal POSlara yönelik zararlılar LucyPOS ATM hedefleyen zararlılar Tyupkin, Anunak, Carbanak İnternet bankacılık kullanıcılarını hedefleyen zararlılar Dyre, Dridex, Hancitor, Kullanıcıları hedefleyen zararlılar Cryptolocker, Kovert Malvertising, Poveliks, Cryptowall 11

bankacılık kullanıcılarını hedefleyen zararlılar Dyre, Dridex, Hancitor,

12 Kullanıcı 12

13 İstemcileri hedefleyen saldırılar Sosyal mühendislik yöntemleri ile istemci ele geçirilmesi İç ağa yayılarak bilgi toplama Sistemleri istismar ederek ele geçirme, bilgi sızdırma ve istismar 13

14 POS Zafiyetleri 14

15 Ödeme Noktası Saldırıları Çeşitli POS sistemlerine yönelik saldırılar Terminal donanımına müdahale Terminal değiştirme Uygulamaya müdahale Chip&Pin Yazılım güvenlik problemlerinin istismarı ile sistemin ele geçirilmesi Ekran Yazıcı Uygulama 15

Uygulamaya müdahale Chip&Pin Yazılım güvenlik problemlerinin

16 ATM 16

17 ATM Güvenlik tarihçesi ATM'in pinpad kullanılarak tekrar programlanması sonucu para çekilmesi Skimer-A Blackhat 2010 ATM Jackpotting Blackhat 2012 Chip&Pin terminalleri özel kartlar ile sahte ödeme ekstresi, bulaşarak bilgi toplanmasını sağlama, ağ ve arabirim saldırıları Ploutus Yeni nesil Plotus ATM'e takılan telefona gelen SMS ile görevlerini gerçekleştiriyor 2014 Carbanak 2014 Tyupkin 17

sahte ödeme ekstresi, bulaşarak bilgi toplanmasını sağlama, ağ ve arabirim saldırıları 2013 - Ploutus 2013 -

18 Önemli Noktalar Sadece fiziksel erişim şart değil, phishing benzeri yöntemlerle banka ağına bulaşabiliyor CVE , CVE , CVE Word zafiyetleri SWIFT ağı ile para çıkartabiliyorlar Veritabanlarına müdahale ederek sahte hesaplar açıp para transferi gerçekleştirebiliyorlar ATMlerden para çekebiliyorlar 18

zafiyetleri SWIFT ağı ile para çıkartabiliyorlar Veritabanlarına müdahale ederek

19 ATM Zararlıları Risk Özeti Cyber Intelligence Centre TAP170215A ATM ROLLUP 19

20 Sorunlar Farketme Mutabak sırasında tespit Koruma sistemlerini atlatabiliyor Ekip ile gerçekleştiriliyor Saha ekipleri Geliştirici ekipleri Kullanılan teknoloji hakkında önemli bilgileri var Patron Fiziksel güvenlik problemleri Kilitler Banka doğrudan hedef alınıyor 20

ekipleri Kullanılan teknoloji hakkında önemli bilgileri var Patron

21 21

22 22

23 Tyupkin Nasıl İşler? Arka planda çalışır XFS uygulama programlama arayüzü ile iletişime geçer, aksi takdirde kendisini imha eder Mantıksal servisler ile doğrudan iletişim kurar Ayarlandığı zaman diliminde ATM pinpad'den gelecek özel tuş kombinasyonunu bekler Komutları çalıştırmak için doğru anahtar girilmelidir 23

24 Anunak Nasıl İşler? Değiştirilmiş programı kullanarak çekmeceleri yönetir Üreticiye özel zararlı kullanır Çekmece yapılandırmasını değiştirerek, yüksek para çekilmesine sebep olur 24

25 Carbanak Nasıl İşler? Yönetici hesabı bulmak için iç ağda yayılır Bilgi toplar Online bankacılık üzerinden para aktarımı E-ödeme sistemlerinden çıkartılan paralar Bankacılık veritabanındaki değişikliklerle şişirilen hesaplar ve transferler ATM 25

26 Tersine Mühendislik 26

27 Öneriler Fiziksel güvenlik gereksinimlerine uygun kullanım Kayıt merkezileştirme ve anlamlandırma Bütünlük denetliyicileri ile kontrol Sabit disk dışı boot yetenekleri devre dışı bırakılmalı Medya çevre birimleri devre dışı bırakılmalı Üretici işbirliği 27

28 Kayıt Merkezileştirme ve Anlamlandırma Yetenek Tanım Gereksinim Erken Tespit İstismar edilen zafiyetlerin belirlenmesi Zafiyet tarama yazılım kayıtları Proxy Kayıtları Ağ Adli Bilişim Erken Uyarı Tehlikeli yerle olan trafik Proxy Kayıtları Zafiyet tarama yazılımı Ağ Adli Bilişim Layer 7 flow sensörleri ATM Uç nokta kontrolü Risk Tespiti Tehlikeli registry değişiklikleri ATM HIDS DLP Layer 7 flow sensörleri NIDS kayıtları Network Malware Sandbox SMTP Malware Sandbox Endpoint Malware Sandbox Tehdit Göstergeleri Zararlı dosyaların ve trafiğin varlığı NIDS ATM HIDS Layer 7 flow sensor ATM firewall kayıtları ATM OS kayıtları Network Malware Sandbox SMTP Malware Sandbox Endpoint Malware Sandbox 28

29 Sonuç 29

30 Sonuç Tehdit karmaşıklaşıyor, zarar saldırgan tarafında ölçeklenebilir Siber istihbarat yetenekleri geliştirilmeli Uygulama Entegrasyon Yönetim Destek Kriz yönetimi Hazırlık Yanıt Kurtarma 30

Benzer belgeler

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

2018-2019 Eğitim-Öğretim Yılı Konya / Hüyük Hüyük Halk Eğitimi Merkezi Müdürlüğü Bilişim Teknolojileri Alanı Siber Tehdit İstihbaratı (Cyber Threat Intelligence) Kurs Planı SÜRE BAŞLAMA TARİHİ : 19/12/2018