Cyber Kill Chain Nedir?

Siber saldırıları analiz edebilmek amacıyla çeşitli modellerden birisi olan ve Locheed Martin firması tarafından geliştirilen cyber kill chain keşif aşamasından saldırı aşamasına kadar tanımlayan ve bu saldırıyı gerçekleştirmek veya önlemek amacıyla oluşturulan 7 aşamalı bir modeldir.

• Reconnaissance (Keşif)
• Weaponization (Silahlanma)
• Delivery (Teslimat)
• Exploitation (Sömürme)
• Installation (Kurulum)
• Command and control, c2 (Komuata ve Kontrol)
• Actions On Objectives (Hedeflere Yönelik Eylemler)

Reconnaissance (Keşif)

Saldırı gerçekleşmeden veya bir istismar yaratılmadan önce keşif ve bilgi toplama aşamasıdır. Saldıran taraf; hedef sistem veya sistemler üzerinde çeşitli taramalar gerçekleştirerek zafiyetleri tespit etmeye çalışır ayrıca çalışanların isimleri, görevleri, e-mail adresleri, ip adresleri, ağ harita çıkarma gibi eylemleri aktif ve pasif bilgi toplama araçlarıyla yapabildiği gibi, iş ilanları, linkedln, twitter, facebook, instegram gibi sosyal medya aracılığıyla hedef hakkında sosyal mühendislik yöntemleri ile bilgiler toplayabilir.

Pasif Bilgi Toplama : Hedef ile direkt olarak temasa geçilmeden bilgi toplama çeşitidir. (Shodan vb.).

Aktif Bilgi Toplama : Hedef sistemle doğrudan etkileşime girerek bu sistem hakkında bilgi edinme yöntemini ifade eder. Örneğin, bir web sunucusuna bir istek göndererek, web sunucusuyla ilgili sürüm bilgisi yanıttan edinilebilir.

SALDIRGAN

Saldırgan, “Keşif” süreci sırasında çeşitli yaklaşımlar kullanarak çeşitli kaynaklardan bilgi toplayabilir. Bu aşamada saldırgan aşağıdaki işlemleri gerçekleştirilebilir:

• Hedefe ait sunucuların ve yazılımların sürüm bilgilerinin alınması.
• Hedef hakkında açık kaynaklardan bilgi edinilmesi daha önce serbest bırakılması.
• Kurum çalışanlarının e-posta adreslerinin alınması.
• Sosyal paylaşım platformlarını kullanarak kurum çalışanlarına ait dahili veya kişisel bilgilerin elde edilmesi.
• İnternete bağlı cihazların tespiti.
• İnternet üzerinden erişime açık sunuculardaki güvenlik açıklarının tespiti.
• Kuruluşa ait IP adres bloğunun belirlenmesi.
• Kuruluşun iş birliği yaptığı tedarikçilerin belirlenmesi.

SAVUNMACI

Blueteam’ler bu aşamada saldırganların girişimlerine yanıt olarak harekete geçebilir. Bu, bir saldırganın elde edebileceği bilgi miktarının azaltır. SOC analistlerinin ve bluteam’lerin uygulayabileceği bazı yöntemler aşağıda listelenmiştir:

• Harici pentest ile bilgi ifşa alanlarının tespiti.
• Tehdit İstihbarat kaynaklarından kuruluş hakkında sızıntı bilgilerinin elde edilmesi.
• Örgütsel bilgi sağlayan belgeşeri internette güvenlik duvarı gibi güvenlik çözümleri kurarak trafiğin izlenmesi.
• Yeni güvenlik açıklarının istismar edilmesini önlemek için anında güncelleme.

Weaponization (Silahlanma)

Keşif sırasında bulunan zafiyetlerin sömürülmesi için kullanılacak yöntemlerin belirlenmesi ve uygun araçları hazırlama olarak tanımlanan aşamadır. Bu aşamada zafiyete uygun exploitleri zafiyetin istismar edilmesi için kullanılabilecek payloadlar olabileceği gibi zararlı dosyalar ve dökümanlar, oltalama saldırısında kullanılabilecek sahte e-postalar gibi birçok yöntem kullanılarak sızma işlemi gerçekleştirilebilir.

SALDIRGAN

Saldırgan, “Silahlandırma” sürcei sırasında birçok alternatif saldırı tekniği geliştirebilir veya siber saldırı için gerekli bileşenleri hazırlayabilir. Saldırganın bu aşamada kullanabileceği süreçlerden bazıları şunlardır:

• Kötü amaçlı yazılım oluşturma.
• Exploit’leri geliştirmek.
• Kimlik avı girişminden kullanılmak üzere kötü amaçlı içerik oluşturma (öreneğin, bir e-posta şanlonu ve kötü amaçlı bir belge).
• Siber saldırı için en iyi aracın belirlenmesi.

SAVUNMACI

SOC analistlerinin ve Blueteam’lerin saldırganların saldırı hazırlıklarının şu aşamada doğrudan engellenmesi mümküm değildir. Ancak, sınırlı da olsa bazı önlemler alınabilir. Bu önlemlerden bazıları şunlardır:

• Sistemlerin düzenli olarak kontrol edilerek herhangi bir güvenlik açığının tespit ediliğ edilmediği kontrol edilir.
• Kurumların sistemlerine güvenlik güncellemelerinin en kısa sürede yüklenmesi.
• Bilinen veya yeni üretilen siber saldırı araçlarının sistemler üzerindeki etkisinin, bilinen veya yeni geliştirilen saldırı izlenmesi ve dolayısıyla aracın ne zaman kullanıldığının tespit edilebilmesi yoluyla analiz edilmesi.

Delivery (Teslimat)

Hazırlanan zararlının ve belirlenen yöntemle hedefe iletilmesi bu aşamadadır. Çeşitli açık kaynak kodlu yazılımlar, phishing, sosyal networkler veya tünellemeler gibi yöntemler kullanılabileceği gibi, güvenlik olarak çalışanların sosyal mühendisliklere veya phishing saldırılarına karşı farkındalıklarıi çalışanların hangi donanımların kurum ağına bağlanabildiği ve bağlanamadığı konusunda bilgilendirme, bilinen zararlı veya şüpheli web sitelerinin erişim bloklarının kontrol edilmesi bu aşamayı önleyebilir.

SALDIRGAN

“Teslimat” aşamasında, saldırgan çeşitli yöntemlerle kurbana çeşitli siber silahlar teslim edebilir. Bu aşamada, saldırgan aşağıdaki işlemleri gerçekleştirebilir:

• Kötü amaçlı bir URL’yi e-posta yoluyla iletmek.
• Kötü amaçlı yazılımı e-posta yoluyla dosya eki olarak iletme.
• Web sitesi aracılığıyla köyü amaçlı yazılım dağıtımı.
• Kötü amaçlı URL’yi sosyal medya aracılığıyla iletmek.
• Sosyal medya aracılığıyla kötü amaçlı yazılım dağıtımı.
• Kötü amaçlı yazılımı doğrudan hedef sunucuya yükleme (Eğer sunucuya doğrudan erişim mümkünse).
• Kötü amaçlı yazılımın doğrudan bir USB aygıtı aracılığyla hedef sisteme fiziksel kurulması veya kurulmasının etkinleştirilmesi.

SAVUNMACI

Blueteam’ler ve bireysel kullanılar bu aşamada pek çok önlem alabilirler. Siber saldırının gerçekleşmesini tamamen engellemeseler de, bu önlemler başarılı bir siber saldırı riskini önemli ölüçüde azaltabilir. Bu dönemlerde bazıları aşağıda listelenmiştir:

• E-posta içeriğindeki URL’lere karşı şüpheci bir tutum benimsemek ve bunları bir de ortamında görüntülemek.
• E-postanın eklerini antivirüs yazılımını kullanarak tarama.
• Kuruluşlarda e-posta güvenlik çözümü ürünlerinin kullanımı.
• Kullanıcıların/kurum çalışanlarının bilgi güvenliği konusunda eğitim almasını sağlamak.
• Sunucu erişiminin sürekli izlenmesi ve günlüklerin kaydedilmesi.
• Güvenlik Duvarı gibi güvenlik çözümlerinin etkin kullanımı ve yönetimi.
• Gerektiğinde şüpheli faaliyetlerin detaylı analizinin yapılması.
• Anormalliklerin tespiti ve başlangıç nedeninin belirlenmesi.

Exploitation (Sömürme)

Oluşturulan zararlı ve belirlenen atak vektörünü kullanarak hedefin zafiyetinin sömürüldüğü aşamadır. Exploit hazırlanıp hedefe iletildikten sonra bu aşamada zararlı kod çalıştırılır. Bu önlemek amacıyla yazılımlar ne sıklıkla güncellendiği, sistemdeki zafiyetlerin tespit edilmesi için güvenlik denetimleri yapılıp yapılmadığı kontrol edilebilir.

SALDIRGAN

Saldırgan hedefe istismar edilmesi amaçlanan program veya sistem hakkında bazı temel bilgilere sahiptir ve “Sömürü” aşamasında önceden uygun saldırı araçlarını hazırlamıştır. Bu, saldırganın istismarının veya aracının çalıştırıldığı/test edilidği adımdır. Bu adım, istismar veya araç kurbanın sisteminde kullanılmaya uygun değilse başarısız olabilir. Bu seviyede, saldırgan aşağıdaki işlemleri gerçekleştirebilir:

• Donanım güvenlik açığını istismar eden istismarın yürütülmesi.
• Yazılımın veya işletim sisteminin zafiyetinden yararlanan istismarın yürütülmesi.
• Kötü amaçlı yazılım çalıştırılıyor.

SAVUNMACI

İstismara karşı savunma , Blueteam’ler diğer aşamalara kıyasla önemli ölçüde daha karmaşık ve emek yoğun bir görev teşkil eder. Bunun başlıca nedeni, daha önce görülmemiş kötü amaçlı yazılımlarla ve istismarlarla karşılaşma olasılığıdır ve bu da savunma sürecine bir karmaşıklık katmanı ekler. Açıklamak gerekirse, sıfır günlük istismarların kullanımı bu aşamada tespit ve önleme prosüdürlerini karmaşıklaştırabilir. Kötü amaçlı faaliyetleri tespit etmek ve önlemek için aşağıdaki noktalar dikkate alınabilir:

• Sistemlerde yüklenen bir dosyanın ne zaman açılmasının gerekli/gerekmediği ve hangi husulara dikkat edilmesi gerektiği konusunda kurum çalışanlarına eğitim verilmesi.
• Kuruma ait varlıklar üzerindeki sistem güvenlik operasyonlarının sürekli izlenmesi ve anormalliklerin tespiti.
• Kuruma ait varlıklarda yayımlanan güvenlik açıklarının takibi, uygun izleme kuralının yazılması ve istismar edildiğinde tespit edilemesi.
• Kuruma ait varlıkların güvenlik güncellemelerinin takibi ve anında kurulumu.
• EDR ürünlerini kullanarak uç noktalardaki faaliyetlerin izlenmesi.
• Yerek olarak geliştirilen uygulamalarda güvenlik açıklarını önlemek amacıyla yazılım geliştiricilere güvenli kodlama eğitimi verilmesi.
• Kuruluşun varlıkları üzerinde düzenli olarak pentestler yapılması.
• Düzenli otomatik güvenlik açığı taraması ve raporların izlenmesi.
• Kuruma ait varlıklar üzerindeki yetkilendirmelerin düzenlenmesi ve her hesaba gereken yetkinin verilmesi.

Installation (Kurulum)

Hedefin sömürülmesi ardından, kalıcı bir tehdit haline gelmek, güvenlik sisteminin ötesinde sistem başarılı bir şekilde kontrol edilebilmesi için hedefe asıl zararlı yazılımın indirilmesi, zararlı yazılımın sistemde kalacağı süreti mümkün olduğunca arttırmayı hedefleyen aşamadır. Sistemde çalışan bilgisayarlarla yüklenen yazılımların denetlenmesi, kullanıcıların istedikleri yazılımları bilgisayarlara yükleyebilirlikleri, whitelisting ve blacklisting oluşturma bu aşamayı önleyebilir.

SALDIRGAN

“Kurulum” adımında, bir saldırgan çok çeşitli işlemler gereçekleştirebilir. Saldırgan, istismar ettiği sistemdeki yetkisiyle sınırlı olduğu sürece çeşitli teknolojik faaliyetleri başarıyla gerçekleştirebilir. Saldırgan bu işlemleri gerçekleştirirken, sistemde mümkün olduğunca az iz bırakmaya ve güvenlik ürünlerinin işlemlere müdahale etmemesini sağlamaya çalışır. Bu şekilde, saldırgan sistemde daha uzun süre tespit edilmeden kalabilir ve saldırıyı gerçekleştirmek için gereken zamanı kazanabilir. Bu aşamada, saldırgan aşağıdaki eylemleri gerçekleştirebilir:

• Kurabının cihazına kötü amaçlı yazılım yükleyin.
• Kurbanın sistemine Backdoor (Arka Kapı) yerleştirmek.
• Web sunucusuna (eğer web sunucu ise) web kabuğunu yükleyin.
• Mağdur cihazın kalıcılığını sağlamak için bir hizmet, güvenlik duvarı kuralı veya zamanlanmış görev ekleme.

SAVUNMACI

Blueteams’in bu aşamada saldırganlara uyguladığı operasyonlar Threat Hunting operasyonlarından oluşmaktadır. Bu aşamaya ulaşan bir saldırgan sistemlerde kötü amaçlı faaliyetlerde bulunması, saldırganın tespit edilmeyeceğini gösterir. Bu nedenle saldırganın mevcut olup olmamasına bakılmaksızın SOC ekibi, sistemde her zaman bir saldırganın mecvut olduğu varsaymıyla güvenlik operasyonlarını yönetmeli ve yürütmelidir. Bu seviyede gerçekleştirilebilecek güvelik operasyonları mevcut yapıya bağlı olacaktır. Genel olarak gerçekleştirilebilecek bazı aktiviteler şunlardır:

• Kuruluşun tüm varlıklarında Ağ Güvenliği İzleme işlemlerini yürütmek.
• Her uç noktada uygulanan yapılandırma değişikliklerinden haberdar olmak için EDR güvenlik çözümlerini kullanma.
• Sistemlerdeki kritik dosyalara erişimi kısıtlama ve erişimi izleme.
• Sistemlerdeki kullanıcılar için yetkilendirme düzenlemeleri yapılarak yönetici ayrıcalıklarının sadece zorunlu durumlarda kullanılmasına izin verilmesi.
• Sistemlerde çalışan süreçleri izleyerek kötü amaçlı süreç etkinliklerini tespit etmek.
• Sistemde yalnızca geçerli imzaya sahip yürütülebilir dosyaların çalıştırılmasına izin veriliyor.
• İzlenen tüm sistem faaliyetlerindeki anormallikleri tespit edin ve temel nedeni bulun.

Command and Control C2 (Komuata ve Kontrol)

Oluşturulan zararlı ve belirlenen atak vektörünü kullanarak hedefin zafiyetinin sömürüldüğü aşamadır. Exploit hazırlanığ hedefe iletildikten sonra bu aşamada zararlı kod çalıştırlır. Bunu önlemek amacıyla yazılımlar ne sıklıkla gücenllendiği, sistemdeki zafiyetlerin tespit edilmesi için güvenlik denetimleri yapılıp yapılmadığı kontrol edilebilir.

SALDIRGAN

“Komuta ve Kontrol (C2)” aşamasında, saldırganın yaptığı şey C2 ile hedef sistem arasındaki iletişim kurmaktır. Bu aşama, saldırganın hedeflediği eylemlerin yürütülmesini içermez. C2 iletişimi tamamlandıktan sonra, saldırgan kötü amaçlı faaliyetler yürütmeye devam edecektir.

Saldırganın bu aşamada yaptığı işlemleri kısaca şöyle özetleyebiliriz:

• C2 Server’ın kurbanla iletişim kurması için yapılandırması.
• Mağdurun cihazında C2 ile temasını mümküm kılmak için gerekli işlemlerin uygulanması.

SAVUNMACI

Bu aşamada mavi takımlar için belirli bir eylem olmasa da, C2 iletişimi bağlamında genel güvenlik izleme ve tespit teknikleri ve uygulamaları dikkate alınmalıdır. Mavi takımlar, olası C2 ağ trafiği akışını tanımak ve önlemek için uygun adımları atmalıdır. Atılması gereken bazı adımlar şunlardır:

• Bilinen C2 araçlarının sistemlerde mevcut olup olmadığını belirlemek için.
• Güvenlik Duvarı gibi güvenlik ürünleri aracılığıyla C2 sunucu IP adreslerinin Siber Tehdit İstihbarat kaynaklarından engellenmesi.
• Sistemde Ağ Güvenlik İzleme ile C2 iletişimi olabilecek ağ trafiğini tespit etmek.

Actions On Objectives (Hedeflere Yönelik Eylemler)

Bütün aşamaları gerçekleştiren saldırgan kuruma erişim sağlamıştır ve bu aşamada, veri çalma, veri değiştirme, veri silme, veri şifreleme, sisteme zarar verme gibi eylemleri gerçekleştirebilir. Önlem olarak iç ağdan dışarı yapılan veri akışı sınırlandırılması, sadece bilinen sunuculara veri akışını sağlama (whitelisting) oluşturulduğunda saldırı engellenebilir. Bu süreçte tehdit aldıntaki verilerin yedeklerinin önceden alınması, bir sistem devre dışı kaldığında hizmet verebilecek yedek sistemin olması bu saldırının etkilerini azaltabilir.

SALDIRGAN

Saldırganlar bu seviyeye ulaştığında hedeflenen hareketleri farklılaşabilir. Bu aşamada saldırganların eylemleri amaçları ve motivasyonları tarafından belirlenir. Saldırganın birincil amacı sistemem zarar vermekse, örneğin kritik bilgileri silebilir. Saldırganın bu aşamada gerçekleştirebileceği adımlardan bazıları şunlardır:

• Fidye yazılımı yardımıyla sistemdeki dosyaları şifrelemek.
• Sistem içindeki kritik bilgileri/belgeleri sızdırmak.
• Sistemdeki kritik bilgilerin silinmesiyle sisteme zarar verilmesi.
• Yetki yükseltme işlemleri ile daha yetkili işlemleri uygulayabilmek ve ağdaki diğer makinelere erişim sağlayarak siber saldırının kapsamını genişletebilmek.
• Ağdaki başka bir cihaza erişim sağlamak için kullanıcı kimlik bilgilerinin toplanması.
• Sistem içerisinde bilgi toplanması.
• Sistemdeki bilgilerin değiştirilmesi veya manipüle edilmesi.

SAVUNMACI

Bu aşamada, mavi takımların saldırgan aktivitesini tespit etmek ve durdurmak için her bir belirli işleme göre farklı eylemler gerçekleştirmesi gerekebilir. Öncelikle sistem düzenli olarak izlenmelidir. Bu şekilde sistemde kötü amaçlı aktivite tespit etmek mümkün olabilir. Tespit aşamasından sonra, tespit edilen eylemin ardından uygun eylem uygulanmalıdır. SOC ekiplerinin alabileceği en temel önlemlerden biri, saldırganların verileri kuruluştan dışarı sızdırmasını önlemektir. Çünkü veri sızıntısı günümüzde en yaygın siber saldırı sonuçlarından biridir. Bu aşamada alınması gereken bazı önlemler şunlardır:

• Ağ trafiğindeki anormallikleri tespit etme.
• Dışarıya ağ erişimini kısıtlamak ve sürekli izlemek.
• Kritik bilgiler içeren dosyalara/klasörlere erişimi kısıtlamak ve erişimi düzenli olarak kontrol etmek.
• Kritik bilgilerin yer aldığı veri tabanlarına erişim yetkisinin kısıtlanması ve erişimin sürekli izlenmesi.
• Veri sızıntısını önlemek için DLP ürünlerinin kullanılması.
• Kullanıcıların yetkisiz erişimini tespit etme.