BotNet vs Kurumsal Güvenlik 15 Şubat 2011 Volkan ERTÜRK volkan@barikat.com.tr
İçindekiler
Bir Saldırının Anatomisi Night Dragon 10 Şubat 2011
Night Dragon Anatomisi
1. adım: SQL Injection yaparak, web sunucu ele geçiriliyor.
2. adım: Ele geçirilen web sunucu üzerinden sisteme sızılır. 3. adım: İlgili son kullanıcı bilgisayarları ele geçirilerek (spearphishing), kritik bilginin bulunduğu bileşenlere erişim sağlanır.
4. adım: Çalınan/kırılan şifreler kullanılarak sistem bileşenlerine Malware ve RAT (zwshell, Gh0st) yüklenir. Ele geçirilen web sunucu üzerinde kurulan komuta&kontrol uygulaması kullanılarak, bu istemciler yönetilmeye başlanır.
5. adım: İstemci bilgisayarlarındaki proxy ayarları kaldırılarak, hedeflenen yöneticilere ait epostalar ve dosyalar kurum dışına sızdırılır.
Night-Dragon da kullanılan olta saldırısı (spear-phishing) sonucunda, istemci bilgisayarlarına Zeus Malware i yüklenebilir. Olta saldırısı olarak gönderilen epostada, report.zip dosyasının bulunduğu bağlantı paylaşılır. Report.zip dosyası www.virustotal.com sitesinde analiz edelim. 42 Antivirüs üreticisinden sadece bir tanesi dosyada zararlı kod bulunduğunu tespit edebiliyor. Tespit oranı: 2,38%!!!
Report.zip ne yapıyor? İşletim sistemi host dosyasını değiştiriyor. İnternet üzerinden güncellenen Antivirüs istemcisi bundan sonra güncelleme için 127.0.0.1 adresine yönlenecek. Sonuç: Antivirüs, Malware bulaştığı anda tespit edemedi. Bundan sonra tespit etme ihtimali kalmadı.
Report.zip dosyası içerisindeki Zeus Malware i kurbanın bankacılık ve kimlik bilgilerini ele geçirerek, internetteki bir sunucuya gönderiyor.
Değişen teknoloji Farklılaşan tehditler
Eski Tip Malware ler 2000 li yıllarda başlayan zararlı kodlar: Conficker, Blaster, Slammer ve IRC bot ları. Genellikle, Windows işletim sistemleri tarafından kullanılan servislerde (SMB, RPC vs.) tespit edilen açıkları kullanarak bulaşırlar. Son kullanıcının müdahalesi olmaksızın ağ üzerinden bulaşırlar. Yayılmak için de aynı zafiyetleri kullanırlar. Sık güncellenmezler. Önleme Yöntemleri FW, IPS ve Antivitüs imzaları Yama ve zafiyet yönetimi önem kazandı Tanımadığınız kişilerden gelen epostaları açmayınız Harici disk kullanımına getirilen sınırlamalar
Modern Malware ler Güvenlik firmalarının yaptığı yatırımı benzer şekilde botnet sahipleri de yapıyor! Konvansiyonel güvenlik kontrolleriyle kolaylıkla tespit edilemez. Öncelik, ele geçirilen sistemleri mümkün olduğu kadar uzun kontrol altında tutmaktır. Windows zafiyetleri yerine uygulama zafiyetlerini hedefleniyor. İnternet tarayıcılar, tarayıcı uygulamaları (flash, quicktime, vb.), ofis uygulamaları, pdf okuyucular vb. Eski tip malware lerin aksine tespit edilmesi güçtür. Worm lar ürettikleri ağ trafiğiyle rahatlıkla tespit edilebiliyordu. BotNet iletişimi HTTP/S gibi kurumsal uygulamaların kullandığı protokoller üzerinden gerçekleşiyor. Savunma mekanizmaları mevcuttur. Belli DNS sorgularının engellenmesi Antivirüs ve işletim sistemi güncellemelerinin engellenmesi Örnekleri; ZeuS, Gozi, Koobface, Rustock, Stuxnet, Aurora vb.
Düşmanını Tanı!
Modern Malware Ne kadar Yaygın? En yaygın 15 malware in yayılımı, toplam malware yayılımının %43,8 ine denk gelmektedir. (İstatistikler 2010 un 7. ayına aittir.)
KİM?»Suç Örgütleri: Yeraltı ekonomisini oluşturan gruplar/çeteler Yapısı: Basit - Orta Kabiliyet: Orta - Yüksek Amaç: Finansal kazanç başta olmak üzere farklı amaçları olabilir. ZeuS Satılık finansal bilgi ve BotNet»Büyük organizasyonlar veya teşkilatlar tarafından fonlanan gruplar Yapısı: Karmaşık Kabiliyet: Yüksek Amaç: Destekleyen organizasyonun politika ve amaçlarına göre şekillenmektedir. Bilgi sızdırma Siber saldırılar Örnek: Aurora, Titan Rain, Stuxnet, vs.
NASIL? BotNet Oluştur BotNet Kirala BotNet Satın al -> Hacking As a Service
Botnet Kullanım Amaçları 1. Click fraud: Reklamdan para kazanmak amaçlı reklam servislerini kötüye kullanma, 2. Siber Savaş, (DDoS vb.) 3. Spyware: Kişisel bilgisayarlarda yer alan veya girilen kişisel (bankacılık, alışveriş vs.) ve kurumsal (yazılım kaynak kodları, finanslar bilgi, know-how vs.) bilgilerin çalınması, 4. Warez: Lisanslı yazılımları çalmak, warez depolamak ve yaymak, 5. Spam: Spam ve Phishing epostaları göndermek, 6. Botnet'i genişletmek, (scanning&exploitation) 7. Hosting servisi amaçlı, (http, ftp, irc, smtp...) 8. Servis Proxy ve Anti-forensics. (http/s, socks, irc, generic)
Botnet Kullanım Amaçları - İstatistikler
Savunma ama nereden başlamalı? BotNet tehdidini ortadan kaldırmak kolay değil: Tespit ve temizlemeye karşı dirençli Modüler, esnek ve sürekli değişen bir yapıda Sınırları olmayan uluslararası bir tehdit. Doğru soru: BotNet leri anlayabilir miyiz? BotNet tehdidiyle mücadele etmek için, önce tehdidi tanımamız önemli. BotNet leri anladıktan sonra, savunma (ve belki karşı atak) geliştirebiliriz. Zaman, kaynak ve efor gerekli.
Yanlış Güvenlik Algısı İstemciler NAT yapan FW un arkasında. Kurumsal sistemlere gelen her türlü içeriği tarıyorum. Kurumsal bilgi güvenlik başarımımızı sertifikasyonla belgeledik. Benim kurumum hedef değil. Sektörün önde gelen firmalarıyla bakım anlaşmam var, gereğini yapıyorlardır.
Kurumsal sistemler neden başarısız oluyor? I. Teknoloji Boyutu Mevcut kurumsal güvenlik altyapısı BotNet tehdidine karşı koruma sağlamak için çok uygun olmaması, Sahip olunan teknolojilerin etkin kullanıl(a)maması. II. İnsan Boyutu BotNet tehdidinin göz ardı edilmesi veya küçümsenmesi Bilgi güvenliği ekiplerinin bilgi ve tecrübe eksikliği III. Süreç Boyutu Bilgi güvenliğini bir süreç olarak oturtamamak, (Saldırılar sürekli) Bilgi güvenliği ölçüm ve izleme eksiklikleri
I. Teknoloji: Gerekli ama yeterli değil! Konvansiyonel İmza Tabanlı Çözümler İstemci antivirüs sistemleri Ağ geçidi içerik kontrol sistemleri Güvenlik Duvarları Saldırı Tespit ve Önleme Sistemleri Mevcut güvenlik altyapısını güçlendirici güvenlik besleme leri (Security Feed)
Gerekli ama yeterli değil!
I. Teknoloji: Lüks gibi görünen ama gerekli! Uygulama ve Veritabanı güvenlik duvarları SIEM: Bilgi Güvenliği Kayıt ve Olay Yönetimi Ağ Trafiği Davranış Analizi Gerçek Zamanlı Ağ İstihbarat Sistemi (Real-time Network Forensics)
SIEM kullanılarak tespit edilmiş bir vaka örneği 1. adım: İstemci zararlı içerik bulunan bir siteye girer (Spear-phishing?) 2. adım: İstemcinin gerçekleştirdiği aktivitenin analizi SIEM sistemleri yardımıyla, kurumun sistem altyapısına uygun ilişkilendirme kuralları tanımlanarak, yukarıdaki durumda otomatik olarak analiz edilmesi ve gerekli durumlarda alarm üretilmesi sağlanabilir.
Night-Dragon olay inceleme örneğinde, Report.zip dosyasındaki Zeus Malware inin kurbanın bankacılık ve kimlik bilgilerini internetteki bir sunucuya gönderdiğini konuşmuştuk. Olayı tespit ettikten sonra, Ağ İstihbarat Sistemini kullanarak, geriye yönelik saldırının incelemesini yapalım.
Report.zip dosyasının indirilmesi Dosyayı görebiliyoruz. Analiz sonucu dosyanın içerisinde Zeus Malware inin olduğu görülebilir.
Report.zip dosyasının açılması sonrasında istemciye bulaşan Zeus malware i ne yapıyor?» ZeuS yapılandırma dosyası indiriliyor.» Bu davranış sistemlere öğretilerek olayın tespiti otomatize edilebilir.
En önemli soru: Zeus hangi bilgileri kurum dışına sızdırıldı?
Ne zaman ve nasıl sızdırıldı? 1,5 günde, HTTP üzerinden sistematik bir şekilde sızdırılan kurumsal bilgi.
Kurumsal sistemler neden başarısız oluyor? II. İnsan Boyutu 1. BotNet tehdidinin göz ardı etmemek ve küçümsememek 2. BotNet lerle ilgili farkındalık sağlamak Son kullanıcı Sistem yöneticileri Birim yöneticileri 3. Güncel tehditlerle ilgili eğitim ve saha çalışmalarıyla bilgi ve tecrübe eksikliğinin giderilmesi 4. Bilgi güvenliğine adanmış görev yapan personel Güvenlik Operasyon Güvenlik Stratejisi (Uyumluluk, planlama, risk yönetimi) Bilgi Güvenliği Testleri ve Olay Yönetimi
Kurumsal sistemler neden başarısız oluyor? III. Süreç Boyutu Bilgi güvenliğini bir süreç olarak görmek, (Saldırılar sürekli) Bilgi Güvenliği Yönetim Sistemi 1. Risk analizi ve yönetimi 2. Güvenlik İzleme 3. Zafiyet ve yama yönetimi 4. BG olay tespiti ve yönetimi Sistem izleme ve başarılı atak tespiti Tespit edilen böyle bir olaya nasıl müdahale edilebilir? Ö K P U
Nereden Başlamalı? Kurumlar kısa vadede neler yapılabilir? Risk analizi yaparak öncelikleri belirlemek, o Tehditle ilgili farkındalık sağlayarak, kaynak ve efor planlamasını gözden geçirmek, Mevcut durum analizi, o o Güvenlik Besleme servislerinden faydalanılabilir, Mevcut güvenlik mimarisinin gözden geçirilmesi, Güvenlik izleme metodolojisini ve pratiklerini belirlenmek, Zafiyet ve Yama Yönetimi,
Son Söz
Sorular & Cevaplar Barikat İnternet Güvenliği Bilişim Ticaret Ltd. Şti. 2011 37