APT Mantığı ve Aşamaları

Benzer belgeler
GELİŞMİŞ SİBER SİLAHLAR VE TESPİT YÖNTEMLERİ. Bahtiyar BİRCAN Uzman Araştırmacı Siber Güvenlik Enstitüsü

l_panels

SİBER SUÇLARA KARŞI SİBER ZEKA

Gelişmiş Siber Tehdidler (APT): Genel Bakış

Web Uygulama Güvenliği Kontrol Listesi 2010

Mobil Güvenlik ve Denetim

Sisteminiz Artık Daha Güvenli ve Sorunsuz...

Bilgisayar Ağları ve Ağ Güvenliği DR. ÖĞR. ÜYESİ KENAN GENÇOL HİTİT ÜNİVERSİTESİ ELEKTRİK-ELEKTRONİK MÜH.

İnternet te Bireysel Güvenliği Nasıl Sağlarız? Rauf Dilsiz Bilgi Güvenliği Uzmanı

Hakkında ARGE SECOPS EĞİTİM MSSP SOME / SOC PENTEST. BGA Bilgi Güvenliği A.Ş.

Yeni Nesil Güvenlik Duvarlarında Olması Beklenen Özellikler ve Uygulama Bazlı Filtreleme

«Günümüzün Siber Saldırıları, Veri Sızıntıları ve Çözüm Yolları...»

Windows Temelli Zararlı Yazılımlarla Mücadele

BİLGİ GÜVENLİĞİ. Bu bolümde;

Malware Analizi Yöntem ve Araçları. Huzeyfe ÖNAL Bilgi Güvenliği

: 36 milyon Euro çalan malware Eurograbber

KURUM AĞLARINI ÖNEMLĠ ZARARLI YAZILIM SALDIRILARINDAN KORUMA. Osman PAMUK

Enerji, bankacılık, finans, telekomünikasyon gibi önemli sektörler Sinara Labs ile siber saldırılar a karşı güvende

SİBER GÜVENLİK FARKINDALIĞI

KAMU SİBER GÜVENLİK GÜNÜNE HOŞGELDİNİZ

Zararlı Kodlar& Analiz Temelleri ve Bir Saldırının Anatomisi

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

INFORMATION & SECURITY TECHNOLOGIES. BOA - Trend Micro. Zararlı Yazılım Analizi ve APT. Yasin SÜRER yasin.surer@boateknoloji.com

Venatron Enterprise Security Services W: P: M:

Siber Teröristlere Karşı Kurumlar Nasıl Korunmalıdır? Yusuf TULGAR NetDataSoft Genel Müdürü

Finans Sektörüne Yönelik Yeni Nesil Tehditler. Burç Yıldırım Mart 2015

BİLGİ GÜVENLİĞİ. Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar Alınacak Tedbirler Güvenlik Yazılımları

KURUMSAL SİBERGÜVENLİK: Açık Kaynak İstihbaratı ve Sosyal Medya Riski. Muhammer KARAMAN, Hayrettin ÇATALKAYA

ŞEHİT FEHMİ BEY ORTAOKULU

BioAffix Ones Technology nin tescilli markasıdır.

Bilgi Güvenliği Farkındalık Eğitimi

BİLGİ GÜVENLİĞİ. Ahmet SOYARSLAN biltek.info. Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar Alınacak Tedbirler Güvenlik Yazılımları

ProFTPD FTP Sunucusu. Devrim GÜNDÜZ. TR.NET Sistem Destek Uzmanı.

Güvenli Doküman Senkronizasyonu

SİBER ESPİYONAJ FAALİYETLERİ VE TÜRKİYE

Proticaret Exclusive Versiyon Yükseltme Dokümanı(v.3.0'dan v3.1.0'a)

SÜRE BAŞLAMA TARİHİ : 19/12/2018 BİTİŞ TARİHİ : 20/02/2019 KURS SÜRESİ : 144 Saat KURS NO :

VPN NEDIR? NASıL KULLANıLıR?

BİLGİSAYAR BİLİMLERİ ARAŞTIRMA VE UYGULAMA MERKEZİ BİLGİ GÜVENLİĞİ

SOME niz SOC unuz} siber olaylara hazır mı? VOLKAN ERTÜRK C EO & C O F O U N D E R BARİKAT II : Güvenliğin Temelleri

Proticaret Exclusive Versiyon Yükseltme Dokümanı(v.3.2.0'dan v3.2.1'e)

Siber Savaş Konseptleri. SG 507Siber Savaşlar Güz 2014 Yrd. Doç. Dr. Ferhat Dikbıyık

Dünyada Veri Kaçağı ve Veri Kaçağı Önleme (DLP) Sistemleri Tahsin TÜRKÖZ Bilişim Sistemleri Güvenliği Grubu

HATAY KHB BILGI İŞLEM BİRİMİ

Sibergüvenlik Faaliyetleri

YAZILIM GÜVENLİK TESTLERİ. H A L D U N T E R A M A N h a l d u n t e r a m a g m a i l. c o m

(Bilgisayar ağlarının birbirine bağlanarak büyük bir ağ oluşturmasıdır)

Ders İ zlencesi. Ders Başlığı. Dersin amacı. Önceden sahip olunması gereken beceri ve bilgiler. Önceden alınması gereken ders veya dersler

Veritabanı Güvenliği ve Savunma Algoritmaları

Gizlilik ve Güvenlik GİZLİLİK VE GÜVENLİK POLİTİKASI

Düşünüyorum! Biraz tarihçe.. Maalesef yanılıyorsunuz.

Sızma Testlerinde İleri Düzey Teknikler. Ozan UÇAR

VoIP Pentest NetSEC / Microso3 Türkiye Ozan UÇAR ozan.ucar@bga.com.tr

WEB SUNUCU GÜVENLİĞİ: Web Siteleri Neden Hacklenir?

ORTA DOĞU TEKNİK ÜNİVERSİTESİ BİLGİ İŞLEM DAİRE BAŞKANLIĞI. Güvenlik ve Virüsler. ODTÜ BİDB İbrahim Çalışır, Ozan Tuğluk, Cengiz Acartürk

İstemci Tabanlı Saldırı Türleri. Ozan UÇAR


Forcepoint WDLP-C-CP24-N Forcepoint TDSD-C-CP24-N

BioAffix Ones Technology nin tescilli markasıdır.

ADOBE FLASH PLAYER / CVE (Sıfırıncı Gün Zafiyeti)

Internet Nedir? Devlet Kurumları. Internet Servis Sağlayıcılar. Lokal Ağ. Eğitim Kurumları. Kişisel Bilgisayar. Dizüstü Bilgisayar.

Bilgi Güvenliği Hizmetleri Siber güvenliği ciddiye alın!

Bundan 20 yıl kadar önce, bilgi işlem servisleri günümüzdeki kadar yaygın kullanılmadığından, bilişim sistemleri günümüzdeki kadar önemli bir yere

Bilgi Güvenliği Nedir? Bilgi Güvenliğinde Saldırı Kavramı. Bilgi Güvenliğinde Saldırı Örneği : SPAM Mail

Safetica kurumsal ağa kolayca entegre edilebilen kapsamlı ve çok bileşenli bir DLP programıdır.

BİLGİ GÜVENLİĞİ. M.Selim EKEN Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar Alınacak Tedbirler Güvenlik Yazılımları

1 WEB GÜVENLIĞINE GIRIŞ

Web Application Penetration Test Report

BİLGİ İŞLEM DAİRE BAŞKANLIĞI

BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Google Play Zararlısı İnceleme Raporu

Elbistan Meslek Yüksek Okulu GÜZ Yarıyılı. Öğr. Gör. Murat KEÇECĠOĞLU

APT Saldırıları Karşısında Güvenlik Sistemlerinin Yetersizliği

01 Şirket Profili

E-Posta Hesapları ve Anında Mesajlaşma Yazılımları

BANKACILIK DÜZENLEME VE DENETLEME KURUMU (Bilgi Yönetimi Dairesi)

HIKIT ZARARLISI ANALİZİ. APT İncelemesi. Yasin SÜRER BOA Bilgi Teknolojileri ve Güvenliği

Güvenliğin Görüntülenmesi, Verilerin Analizi ve Atakların Eş Zamanlı Olarak Durdurulması. Akademik Bilişim Şubat 2006

Siber Suçlarla Mücadele Şube Müdürlüğümüz, ilimiz Derince ilçesinde bulunan İl Emniyet Müdürlüğü yerleşkesinde faaliyet göstermektedir.

Çalışanlar sosyal medyayı nasıl kullanmalı?

aselsan Güvenli Bilgi Paylaşımı ve SAHAB aselsan Ali YAZICI Türk Silahlı Kuvvetlerini Güçlendirme Vakfı nın bir AZERBAYCAN-Temmuz kuruluşudur.

Bilgi Güvenliği Eğitim/Öğretimi

Siber Güvenlik Basın Buluşması. C.Müjdat Altay 15 Haziran 2015

Ağ Trafik ve Forensik Analizi

Bilgi ve Olay Yönetim Sistemi

WebSiteDefender ile Web Uygulama Güvenliği

BİLGİ GÜVENLİĞİ. İsmail BEZİRGANOĞLU İdari ve Mali İşler Müdürü Türkeli Devlet Hastanesi

BİLGİSAYAR VE AĞ GÜVENLİĞİ

Sunum İçeriği. 1. Siber Savaş (Siber Terör) 2. Siber Savunma 3. USOM

Adslock.com İçerik Kilitleme. Nasıl Kullanılır? Nasıl Kazanılır?

E POSTA GÜVENLİĞİ E POSTA GÜVENLİĞİ HAZIRLAYAN: TEAM VOLTRAN BARTIN ÜNİVERSİTESİ İKTİSADİ İDARİ BİLİMLER FAKÜLTESİ YÖNETİM BİLİŞİM SİSTEMLERİ

... ROBOTİK VE KODLAMA EĞİTİMİ ÇERÇEVESİNDE ÖĞRETİM YILI BİLİŞİM TEKNOLOJİLERİ DERSİ ÜNİTELENDİRİLMİŞ YILLIK DERS PLANI

Raporda öne çıkanlar:

BİLGİ GÜVENLİĞİ VE ZARARLI YAZILIMLAR. Bilgi Güvenliği: Kendimize ait olan bilginin başkasının eline geçmemesidir.

BotNet vs Kurumsal Güvenlik. 15 Şubat 2011 Volkan ERTÜRK

Google Hacking. Gelişmiş Google Operatörleri

İnternetin Güvenli Kullanımı. ve Sosyal Ağlar

Transkript:

APT Mantığı ve Aşamaları Geçmiş yıllarda virüs olarak tanımladığımız dosyalar eğlence ve şaka (mesaj gösterme) amacıyla ortaya çıkmışlardır. Ancak günümüzde artık zararlı dosyalar finansal destekli bilgi çalma ve zarar verme amaçlıdır. Virüs olarak alışageldiğimiz genel tanım bu yüzden artık yerini Malware genel adına bırakmıştır, bırakmalıdır. Stuxnet bugüne kadar karşılaşılmış, maddi olarak en çok zarar veren Malware dir. Öyle ki İran ın nükleer faaliyetlerine zarar vermekle kalmamış, yapılan onca emeği hiçe sayarak teknolojiyi senelerce geriye götürmüştür. Günümüzde klasik araçlar (Firewall, IPS, Antivirus, Antispam) ile kurumların ya da şirketlerin güvenlik segmentleri oluşturulmakta ve yine dünya ile doğru orantıda işleyen mekanizmalar sayesinde kurum/şirket için oluşabilecek tehditlerin önüne bu sayede geçilmektedir. APT ( Advanced Persistent Threat ) olarak adlandırılan karmaşık, tabiri caizse inatçı ve kalıcı tehditler ise klasik araçlar tarafından önlenmesi mümkün olmayan saldırılardır. Normal şartlar altında şirket veya kurumların tasarımlarını gerçekleştirmiş oldukları ve güvenlik segmentinde konumlandırdıkları Firewall, IPS, Antispam, Antivirus gibi güvenlik yazılım ya da cihazlarının yakalayamayacağı küçük bir oran bulunmaktadır. Bu oran küçük gibi görünse de güvenlik bakımından değer ve risk bazında en önemli alanı kapsamaktadır. Çünkü APT saldırıları tamamen hedefe yönelik yıkıcı sonuçlar amacıyla tasarlanmaktadır. Bu nedenle günümüzün en etkili siber saldırıları APT ler ile gerçekleştirilmektedir. APT ler vasıtasıyla kurum bilgilerini ele geçirmek, kurumu zarara uğratmak ve istihbarat toplama gibi amaçlar güdülmektedir. Bilginin gücü ve önemi Dünyadaki bilginin büyüklüğü ve önemi düşünüldüğünde zararlı

yazılımların bu bilgiyi (ç)almaya yönelik olmaması düşünülemez. APT ler hedefine yönelik, özel olarak tasarlanmaktadır. Hedefine özel olduğu için de genel olarak daha önce görülmemiş şekilde ortaya çıkarlar. Bazı ücretsiz basit araçlarla oluşturulabileceği gibi çeşitli aşamaları olan ve finansal desteği devletler tarafından sağlanmış şekilde özel laboratuvarlarda hazırlanabilmektedir. Özellikle özel sektör; fikri mülkiyet hakları yüzünden APT hedefi olmaktan korkar hale gelmiştir. malware.binary tanımı Bu terim FireEye firması tarafından literatüre kazandırılmıştır. Herhangi bir şekilde; e-mail, dosya transferi ya da web üzerinden gelen daha önce görülmemiş zararlı dosyalara verilen isimdir. Tespit edildiği sistem üzerinde, tamamen hedefi üzerinde amacına yönelik olarak tasarlanmış olan tiplerine rastlanmaktadır. Örneğin; kodlayanı tarafından kuruma özel bir proxy adresi girilmiş ve bu şekilde kurum bilgileri saldırganın yönetim (C&C-Komuta Kontrol) sunucusuna doğru sızdırılıyor olabilir. Ya da yine kurumdan çıkan bilgilerin hangi kuruma ait olduğu; bir dizi özel komut ile gerçekleştirebilir. Bu şekilde saldırgan bilginin hangi kurumdan geldiğini anlayacaktır. APT tanımı: Uzun süreli, gizli, fark edilmeden, hedefi üzerinden yetkisiz bir şekilde, çeşitli hassas bilgileri ele geçiren zararlı yazılımlara verilen genel addır. Hedefi: Önemli kişiler, kurumsal firmalar, büyük organizasyonlar ve devletler Amacı: Hedef sistem üzerine farkedilmeden sızmak ve hedefi üzerinde olabildiğince uzun süre kalarak, temelde amacına yönelik hassas bilgileri kaynağına iletmek PoisonIvy veya GhostRAT gibi ücretsiz Remote Administrator Araçlar (RAT) vasıtasıyla zararlı yazılımlar APTler haline

dönüştürülmektedir. APT Aşamaları

APT nin hedefine yerleştirme aşamasında çeşitli aşamalar

mevcuttur. Keşif (bilgi toplama), kimlik hırsızlığı, verileri çalma, kalıcı olma bunlardan bazılarıdır. Her APT de her aşama gerçekleşmeyebilir veya aşamalar sırasıyla işlemeyebilir. En başta zararlı yazılım hedef network içine yerleştirilir. Bu yerleştirmeden sonra tüm aşamalarda zararlı yazılım bağlantıyı koparmamak adına kalıcı olma aşamasındaki uyguladığı tüm adımları her aşamada uygulayabilir. 1. Keşif/Bilgi Toplama Hedefe yönelik olarak açık kaynak araştırması gerçekleştirilir. Sosyal medya ve çeşitli anahtar kelimeler ile kurumsal linkler araştırma kaynağı olabilir. Kuruma ait e- posta ya da anlık mesajlaşma adresleri veya iletişim bilgileri kullanılabilir. Genel olarak hedef kurum çalışanlara yönelik bir bilgi toplama faaliyetidir. LinkedIn gibi kurumsal hesapların yanında şahısların Facebook hesaplarından ilgi alanları keşfedilir, üzerine sosyal mühendislik araçları kullanılabilir. Bir kişi hakkında önemsiz gibi görünen ilgi alanı-hobi aynı kişiye karşı kullanılan bir siber saldırı aracı (siber-silah) haline gelebilir. Keşif aşamasının süresi hedef kurum ya da organizasyonun dış dünyadan ne kadar izole olduğu ile alakalıdır. Kolayca ulaşılabilen hedefler üzerine bilgi toplama aşaması ortalama 1-2 gün sürer. Ancak zorlukla ulaşılan yerler ile alakalı fiziki olarak da araştırılma yapılması gereklidir. Buna tarz yerler için bilgi toplama aşaması 6 ay-1 sene arasında değişebilir. O nedenle bilgi toplamanın ortalama süresi kesinlikle değişkendir diyebiliriz. 2. İzinsiz Girme/İhlal Saldırganın kurum içerisine girme yolunda uğraş verdiği çok çeşitli yollar bulunmaktadır. Günümüzde en çok tercih edilen yol Spear Phishing adı verilen hedef odaklı oltalama saldırılarıdır. Saldırgan kurum içerisindeki hedefini; keşif aşamasında toplamış olduğu veri doğrultusunda belirler.

Bu kritik konumda çalışan birisi (IT departmanı) ya da basit bir kurum çalışanı da olabilir. Özellikle Domain Admin ayrıcalığı olanlar tercih sebebidir. Bu aşamada hedefe üzerinde oynama yapılmış ve exploit barındıran pdf ya da bir word dosyası gönderilir. Ya da duruma göre bu mail içerisinde bir link (URL) de olabilir. Saldırgan deep web üzerinde satın almış olduğu yazılım aracını bu aşamada kendi amaçları doğrultusunda (komuta merkezi sunucusunu belirlemek gibi) kullanabilir. Ayrıca bu aşamada tercih edilen saldırı yöntemlerinden birisi Watering Hole saldırılarıdır.bu yöntemde saldırganın hedefindeki kurum tarafından yoğun olarak kullanılan bir Web sayfasına sızılarak içerisine exploit bırakılır. Örnek olarak ünlü bir alışveriş sitesinin içerisinde exploit gömüldüğünü düşünün. Bu siteyi kullanan tüm kurum çalışanları exploitten etkilenecektir. Bilgisayardaki zafiyet durumuna göre bu exploit hedefine erişim sağlayacaktır. Watering Hole saldırı yöntemi 2012 yılında RSA Security tarafından ortaya çıkartılmıştır. Saldırgan hedefindeki kurum, organizasyon ya da endüstri şirketi bilgisayar ağlarına; çalışanlarının tercih etmiş olduğu web-sayfaları içerisine yerleştirilen zararlı yazılım(lar) vasıtasıyla giriş yapar. Kaynak: https://en.wikipedia.org/wiki/watering_hole 3. Bulaşma/Enfeksiyon Bulaşma evresinde (exploit edilen) erişim sağlanan hedef bilgisayarında saldırganın işlem yapması (zararlı bulaştırması ve aktif hale getirmesi) gerekmektedir. Bu, esas amacı esas zararlı dosyayı aktif hale getirecek tetikleme (dropper ya da downloader) mekanizmasının hedefe bırakılmasıyla gerçekleşir. Bu işlemde kullanılan koda Payload adı verilir. Payload kodu hedef bilgisayar üzerinde çalıştırıldığında; saldırgan artık amacına yönelik bilgileri almaya başlamış

olacaktır. Genel olarak bulaşma evresi çok sade bir arkakapıya (backdoor) çok basit bir zararlı dosyanın bırakılmasıyla başlar. Bu küçük, basit dosyalar Antivirüs yazılımına yakalanmadan işlem görürler. Bir kaç dakika içinde saldırgan Payload aşaması ile zararlı yazılımını hedefi üzerinde çalıştıracaktır ki bu zararlı dosya da imza veritabanı motoru kullanan Antivirüs yazılımlarına yakalanmayacaktır. Bu aşamada kurumlarda dışarıdan gelen dosyaların (verinin) hedefine ulaşmadan önce sanal veya motor ortamlarda çalıştırılarak neler yaptığının bilinmesi ve buna yönelik ürün tercihi tavsiye niteliğindedir. İhlal ve bulaşma aşamalarının süreleri birlikte değerlendirilebilir. Bu aşamalarda işlemler hedef ağının ve sistemlerinin hızına bağlıdır. Ortalama 1-2 dakika içerisinde ihlal ve bulaşma evreleri tamamlanmış olur. 4. Kimlik/Yetki Hırsızlığı APT evrelerinde bulaşma evresinden sonraki evre Kimlik Hırsız lığı evresidir. Bu evre her APT de olmayabilir. Zira her aşamanın gerçekleşmeyebileceğini ya da sırasıyla olmayabileceğini daha önce söylemiştik. Saldırganların kurum networkleri üzerinde kimlik/yetki hırsızlığına gitmesinin sebebi kurum içinde kalıcı olarak daha fazla veri elde etme amacından kaynaklanmaktadır. Bu aşamada saldırgan, e-mail, Active Directory veya FTP kullanıcıların yetkilerini zararlı yazılımı vasıtasıyla ele geçirir. Bu yetkiler sayesinde kurum içerisinde daha derine inilerek esas ulaşılması istenen veriye ulaşılma amacı güdülür. Ayrıca saldırganlar özellikle AD yapıları içerisindeki Domain Admin veya Local Admin gibi ayrıcalıklı yetkilerdeki kullanıcılara karşı, kurum networkü üzerinde rahatça at koşturabilecekleri için daha çok ilgi duyarlar. Bu aşamanın süresi yüksek düzeyde saldırganın kapasitesine ve

hedef yetki düzeyinin ne kadar güvenli olarak korunduğuna bağlıdır. Ancak ortalama 1-2 hafta içerisinde saldırgan amacına ulaşabilir diyebiliriz. 5. Yatay Yayılma Saldırgan bu aşamada bir önceki aşamada ele geçirmiş olduğu kurum içinde herhangi bir kullanıcı yetkisi, dosya paylaşımı sunucusu veya e-posta adresi gibi araçları kullanarak iç ağda yayılma yoluna gider. İç networkte zafiyeti bulunan ulaşılan ve zararlı yazılım bulaştırılan çeşitli diğer hedefler de saldırgana yatayda yayılma kolaylığı sağlar. Her bir son kullanıcıda ele geçirilen veri değerlendirilir. Yine aynı şekilde zararlı yazılımların bulaştırıldığı son kullanıcıların sayısı arttıkça zararlı yazılımın o network içinde kalıcılığı artar. Yatayda yayılma; saldırganın hedef network içerisindeki iz (log) sayısını artırsa da aynı zamanda bırakmış olduğu izleri silme olasılığını yükseltme fırsatı sunar. ( Geride delil bırakmama imkanının artması) Saldırgan izini nasıl temizler? Yatay yayılma saldırgana kendi yapmış olduğu ihlal eylemlerini silme imkanı sunabilir. Örneğin sızılan kurum ağı içerisinde çeşitli zararlı faaliyetlerini gerçekleştirdikten sonra yatayda yayılarak log sistemlerinin veya sunucularının bulunduğu ortamlar da ele geçirilirse, saldırgan geride herhangi bir delil bırakmamak için kendi yapmış olduğu log kayıtlarını veya diğer izleri silebilir. Bu nedenle kurumların merkezi log kayıt sistemlerini logların herhangi bir şekilde silinemediği ürünler içerisinden seçmeleri önemlidir. Yatay yayılmada ana hedef daha fazla verinin ele geçirilmesidir. Bu aşamada herhangi bir tetikleme mekanizmasına ihtiyaç duymadan kendi kendine kopyalama ve çoğalma özelliği olan WORM ler kullanılabilir. Worm ler sayesinde kurum içerisinde ulaşılabilinen her bilgisayara

zararlı yazılım bulaştırılabilir. Daha fazla hedefe yayılma da APT nin kalıcılığını yüksek seviyeye çıkartır. Her APT yatayda yayılma hedefi gözetmez. Network içerisine sızdırılan zararlı yazılım faaliyetini gerçekleştirirken başka hedeflere bulaşmadan da misyonunu tamamlayabilir. Yatay yayılma aşamasında WORM ler sistemlere bağlı olarak saniyeler içerisinde bulaştırılabilir ancak logların temizlenmesi veya hedef sistemlere saldırganın ulaşması kısmı uzun sürecek işlemlerdir. Ortalama 3-6 ay arasında saldırgan tüm sistemde etkin hale gelebilir. 6. Bilgi Süzme/Çalma APT nin temel amacı hedefindeki bilgilerin ele geçirilmesidir. Bu aşamada saldırganlar peşinde oldukları veriye ulaşmaya/çalmaya çalışır. Saldırganın pek çok amacı/sebebi olabilir. Bunlardan bazıları; kuruma/organizasyona zarar verme, devlet casusluk faaliyetleri, endüstri casusluğu, finans kaynaklı kurum müşteri bilgileri gibi kritik bilgilerin ele geçirilmesi gibi. Bu aşamada kurumun kullandığı geleneksel güvenlik çözümleri yetersiz kalmaktadır. Çünkü genelde kurumlar dışarıdan içeriye gelen verilerin kontrollerini yaparak bunlara göre önlem alırlar, oysa kurumdan çıkan verinin (callback) risk bakımından önemi daha yüksektir. Zararlı yazılım (APT) callback işlemi ile komuta kontrol (C&C) sunucusu adı verilen saldırgana ait sisteme verileri gönderebilir. APT ler genel manada HTTP gibi sıradan portlar yerine farklı iletişim protokolleri ile iletişim sağlarlar. Ayrıca örnekleri göstermektedir ki, saldırganlar SSL den farklı, daha güçlü, kırılması zor şifreleme metotları kullanmaktadır. APT Callback nedir? Zararlı dosya(lar)ın hedefi üzerinde çeşitli aşamalardan sonra bilgisayar adı gibi sistemsel bilgileri saldırgana ait

bir kaynağa (C&C sunucusu gibi) göndermesi işlemidir. Saldırganlar bazı kurumlarda Firewall da rahat hareket edebilmek için HTTP protokolü ile verileri göndermeyi tercih ederler. Ayrıca veriler; APT nin komuta kontrol merkezi haricinde Google Drive, Dropbox gibi dosya paylaşım hizmetinden, herhangi bir FTP sunucusundan ya da e-posta gönderilerek çıkabilir. 7.Kalıcı Olma APT nin son evresi hedefinde kalıcı olma evresidir. Kalıcı olmayı sağlamak için saldırgan; Varlığını sürdürebilmek için stratejik konumdaki bilgisayarları kullanır Kurumun mesai saatleri dışındaki saatlerde işlemlerini gerçekleştirir Zararlı dosyalar üzerinde sürekli olarak güncelleme yapar ki bu sayede AV lere yakalanmaz Kurum ağından kopma/koparılma halinde vakit kaybetmeden tekrar içeriye giriş yapabilmek için sürekli olarak yetki hırsızlığına devam eder. Saldırganın özellikle mesai saatlerinin dışını tercih etmesinin sebebi kurum çalışanlarının mesai saatleri içerisinde daha dikkatli olma potansiyelinden kaynaklanmaktadır. Saldırgan hedef ağ içerisinde kalıcı olmayı garantilediğinde işlemlerini sürekli olarak güncelleme gereği duyar. Bunun sebebi kullanmakta olduğu bir aracı ya da yazılımı; kurum içindeki güvenlik sistemi tespit edebilir veya tehdit olarak algılayabilir. Örneğin ufak bir imza değişikliği ile zararlı dosya AV sistemlerine yakalanmayacaktır. Bilgi Süzme/Çalma ve Kalıcı Olma evrelerindeki süre birlikte değerlendirilebilir. Çünkü bilginin süzülmesi ile APT temel amacına ulaşmış olacak artık yakalanma ve tespit edilme süresine kadar hedef sistemi üzerinde kalıcı olacaktır. Daha

önceki örnekler göstermektedir ki hedef sistemde ortalama kalma süresi 200 gündür. Bunun için 6 ay ile 2 sene arasında bir rakam verilebilir. En meşhur APT örnekleri: Stuxnet, Flame, Aurora KONUK YAZAR : MEHMET KUTLU DURMUŞ DESTEĞİNDEN DOLAYI TEŞEKKÜR EDİYORUZ. https://about.me/codeluu & https://twitter.com/codeluux

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim