Finans Sektörüne Yönelik Yeni Nesil Tehditler Burç Yıldırım Mart 2015
Gündem Tehdit Belirleme Güncel Tehditler Kullanıcı Ödeme Sistemleri ATM 2
Tehdit Belirleme 3
Neden? Sayısallaşan teknoloji iş yapış şeklini değiştirdi İş yapış şekillerinden teknolojiyi soyutlamak mümkün değil Kaçınılmaz gereksinimleri var İşlevsellik Bağlantılar İşlevsellik saldırı yüzeyini genişletiyor 4
Saldırgan Tipleri Text Organize Suçlu Organize Terör örgütleri Hactivistler Gizli Servisler Suç Örgütleri Hacker Amatör Yetenekli ve bilgili White/Gray/Black Hat Daha az yetenekli Mevcut araçları kullanır Basit ancak etkili 5
Hedef Saldırgan İlişkisi Genel kural: Hedefi, saldırganın çıkarı belirler Her kaynak saldırgan için anlamlı olabilir Politik Durdur, gücü ele geçir, propaganda Ekonomik Fikri mülkiyet ve diğer mali değerli varlık hırsızlığı, dolandırıcılık, endüstriyel hırsızlık Sosyokültürel Ego büyütme, şöhret, merak, eğlence Özel kural: Farklı çıkarlara hizmet edebilecek kaynaklara sahip olmak hedef olma olasılığını artırır 6
Sistem Bileşenleri Zafiyet İlişkisi Amacı karşılayan, kullanıcının hizmetindeki Donanım Yazılım İletişim yöntemi Her bileşen temelde aynı zafiyetleri taşır Müdahale Varsayımlar Mantık hataları 7
Güncel Tehditler 8
Ocak 2015 Cyber Threat Acceleration Pack 9
Şubat 2015 Cyber Threat Acceleration Pack 10
Finans Sektörüne yönelik istihbarat Terminal POSlara yönelik zararlılar LucyPOS ATM hedefleyen zararlılar Tyupkin, Anunak, Carbanak İnternet bankacılık kullanıcılarını hedefleyen zararlılar Dyre, Dridex, Hancitor, Kullanıcıları hedefleyen zararlılar Cryptolocker, Kovert Malvertising, Poveliks, Cryptowall 11
Kullanıcı 12
İstemcileri hedefleyen saldırılar Sosyal mühendislik yöntemleri ile istemci ele geçirilmesi İç ağa yayılarak bilgi toplama Sistemleri istismar ederek ele geçirme, bilgi sızdırma ve istismar 13
POS Zafiyetleri 14
Ödeme Noktası Saldırıları Çeşitli POS sistemlerine yönelik saldırılar Terminal donanımına müdahale Terminal değiştirme Uygulamaya müdahale Chip&Pin Yazılım güvenlik problemlerinin istismarı ile sistemin ele geçirilmesi Ekran Yazıcı Uygulama 15
ATM 16
ATM Güvenlik tarihçesi 2006 - ATM'in pinpad kullanılarak tekrar programlanması sonucu para çekilmesi 2009 - Skimer-A 2010 - Blackhat 2010 ATM Jackpotting 2012 - Blackhat 2012 Chip&Pin terminalleri özel kartlar ile sahte ödeme ekstresi, bulaşarak bilgi toplanmasını sağlama, ağ ve arabirim saldırıları 2013 - Ploutus 2013 - Yeni nesil Plotus ATM'e takılan telefona gelen SMS ile görevlerini gerçekleştiriyor 2014 Carbanak 2014 Tyupkin 17
Önemli Noktalar Sadece fiziksel erişim şart değil, phishing benzeri yöntemlerle banka ağına bulaşabiliyor CVE-2012-0158, CVE-2013-3906, CVE-2014-1761 Word zafiyetleri SWIFT ağı ile para çıkartabiliyorlar Veritabanlarına müdahale ederek sahte hesaplar açıp para transferi gerçekleştirebiliyorlar ATMlerden para çekebiliyorlar 18
ATM Zararlıları Risk Özeti Cyber Intelligence Centre TAP170215A ATM ROLLUP 19
Sorunlar Farketme Mutabak sırasında tespit Koruma sistemlerini atlatabiliyor Ekip ile gerçekleştiriliyor Saha ekipleri Geliştirici ekipleri Kullanılan teknoloji hakkında önemli bilgileri var Patron Fiziksel güvenlik problemleri Kilitler Banka doğrudan hedef alınıyor 20
21
22
Tyupkin Nasıl İşler? Arka planda çalışır XFS uygulama programlama arayüzü ile iletişime geçer, aksi takdirde kendisini imha eder Mantıksal servisler ile doğrudan iletişim kurar Ayarlandığı zaman diliminde ATM pinpad'den gelecek özel tuş kombinasyonunu bekler Komutları çalıştırmak için doğru anahtar girilmelidir 23
Anunak Nasıl İşler? Değiştirilmiş programı kullanarak çekmeceleri yönetir Üreticiye özel zararlı kullanır Çekmece yapılandırmasını değiştirerek, yüksek para çekilmesine sebep olur 24
Carbanak Nasıl İşler? Yönetici hesabı bulmak için iç ağda yayılır Bilgi toplar Online bankacılık üzerinden para aktarımı E-ödeme sistemlerinden çıkartılan paralar Bankacılık veritabanındaki değişikliklerle şişirilen hesaplar ve transferler ATM 25
Tersine Mühendislik 26
Öneriler Fiziksel güvenlik gereksinimlerine uygun kullanım Kayıt merkezileştirme ve anlamlandırma Bütünlük denetliyicileri ile kontrol Sabit disk dışı boot yetenekleri devre dışı bırakılmalı Medya çevre birimleri devre dışı bırakılmalı Üretici işbirliği 27
Kayıt Merkezileştirme ve Anlamlandırma Yetenek Tanım Gereksinim Erken Tespit İstismar edilen zafiyetlerin belirlenmesi Zafiyet tarama yazılım kayıtları Proxy Kayıtları Ağ Adli Bilişim Erken Uyarı Tehlikeli yerle olan trafik Proxy Kayıtları Zafiyet tarama yazılımı Ağ Adli Bilişim Layer 7 flow sensörleri ATM Uç nokta kontrolü Risk Tespiti Tehlikeli registry değişiklikleri ATM HIDS DLP Layer 7 flow sensörleri NIDS kayıtları Network Malware Sandbox SMTP Malware Sandbox Endpoint Malware Sandbox Tehdit Göstergeleri Zararlı dosyaların ve trafiğin varlığı NIDS ATM HIDS Layer 7 flow sensor ATM firewall kayıtları ATM OS kayıtları Network Malware Sandbox SMTP Malware Sandbox Endpoint Malware Sandbox 28
Sonuç 29
Sonuç Tehdit karmaşıklaşıyor, zarar saldırgan tarafında ölçeklenebilir Siber istihbarat yetenekleri geliştirilmeli Uygulama Entegrasyon Yönetim Destek Kriz yönetimi Hazırlık Yanıt Kurtarma 30