Cyber Kill Chain


Günümüzde bilginin paylaşım hızı artmakta ve bu sayede kişi kendini daha etkin ve güzel şekilde geliştirebilmektedir. Kendini geliştiren insanlar öğrendikleri bilgileri illaki iyi amaçlar için kullanacağı söylenemez. Bunlara en iyi örnekler siber korsanlar yani siyah şapkalı hackerlar diyebiliriz.

Günümüzdeki siber korsanlar artık giderek daha motivasyonlu ve daha yetenekli olmaktadır. Bu yetenek ve motivasyonlar sayesinde yaptıkları saldırılar da daha gelişmiş ve daha disiplinli bir yapı haline dönüşmektedir. İşte bugün sizlere bu disiplinli yapıdan bahsetmek istiyorum. Siber ölüm zinciri (Cyber Kill Chain) modeli günümüzde gerçekleşen siber saldırıların en kapsamlı modelini temsil etmek için geliştirilmiştir. Geliştirilen bu model ile saldırganların hangi aşamada neler yapabileceği temsili olarak belirlenmiştir. Ayrıca bu modele göre de savunan taraf ise hangi aşamada hangi korunma yöntemlerini kullanabileceği konusunda da fikir oluşmasına yardımcı olabilmektedir.

Yani tekrardan toplamak gerekirse Cyber Kill Chain modeli ile siber olaylara müdahale eden ekiplerin veya adli bilişim uzmanlarının kullanabileceği bir model olarak geliştirilmiştir. Çünkü Cyber Kill Chain model; siber saldırganın eylemlerini modellemekte ve analiz etmekte önemli bir rehber olabilmektedir.

Cyber Kill Chain modeli 7 aşamadan oluşmaktadır.

Yukarıdaki resimde de görüldüğü üzere Cyber Kill Chain modelinin aşamaları şunlardır.

  1. RECONNAISSANCE (Keşif)
  2. WEAPONIZATION (SİLAHLANMA)
  3. DELIVERY (İLETME)
  4. EXPLOTATION (SÖMÜRME)
  5. INSTALLATION (YÜKLEME)
  6. COMMAND AND CONTROL (KOMUTA VE KONTROL)
  7. ACTIONS ON OBJECTIVES (EYLEME GEÇME)

Bu aşamalardan da anlaşılacağı üzere bu modelin bir diğer amacı siber saldırının evrelerini ortaya koymaktır. Çünkü günümüzde gerçekleşen siber saldırılar daha karmaşık ve daha güçlü şekilde yapılmaktadır. Bu gerçekleşen karmaşık ve güçlü siber saldırılara APT (Advanced Persistent Threat) yani Gelişmiş Siber Saldırılar denmektedir. Cyber Kill Chain modele devam etmeden önce sizlere APT saldırıları hakkında biraz bilgi vermek istiyorum.


APT(Advanced Persistent Threat)

Çok daha karmaşık ve gelişmiş tekniklerin kullanıldığı ve bu işlemin belirli bir disiplin altında sabır ile yapılan siber saldırılara diyebiliriz. Genelde bu saldırıların arkasında devletlerin desteği olduğu düşünülmektedir. Bu saldırılar belirli bir amaç doğrultusunda tecrübeli bilgisayar korsanları tarafında yapılmaktadır.

Bu saldırılar için iyi seviyede ekipmanlar, profesyonel insanlar ve ekip çalışması gelmektedir. Bu imkanlar ile birlikte savunma sistemleri kolaylıkla geçilmekte ve hedefe ulaşılabilmektedir. Buradaki hedef karşı bilgisayardan bilgi çalmak, karşı tarafa zara vermek veya başka işler için bu sistemin kullanılması olabilir.

Bahsettiğim üzere bu saldırı türünün fark edilmesi ve önlenmesi zor olabilir. İşte bu yüzden Cyber Kill Chain gibi bir model geliştirilmiştir. En azından bu tip APT saldırılarına karşı hangi aşamada ne gibi önlemler alınabileceği ya da saldırının hangi aşamada olduğu gibi teknik detaylar bu model sayesinde öğrenilebilir.


Cyber Kill Chain Aşamaları

Buradan sonra sizlere Cyber Kill Chain modelinin aşamalarından bahsedeceğim. Bu modele aslında üç bölüm olarak düşünebilirsiniz. Atak öncesi, atak anı ve atak sonrası olarak süreçlere bölebiliriz. Örneğin Cyber Kill Chain modelde yer alan “keşif” ve “silahlanma” atak öncesi süreçte yer almaktadır.


1)KEŞİF (RECONNAISSANCE)

Cyber Kill Chain modelinin ilk aşaması keşif aşamasıdır. Saldırı başlamadan önce hedef hakkında bilgi toplanır. Bu aşamada saldırgan hedefi en ince ayrıntısına kadar değerlendirir. Bu aşamada sistemlere giriş yapılacak hassas noktalara ve yöntemlere dair ön eylem raporunu oluşturur. Bunu yaparken Aktif ve Pasif Bilgi topla olarak adlandırılan iki çeşit bilgi toplama yöntemini kullanabilir.

Bilgi toplama aşamasında, sosyal mühendislik kapsamında LinkedIn, Instagram, Twitter gibi sosyal medya hesapları da kontrol edilir hatta filmlerde olduğu gibi hedef firmanın çöpleri bile karıştırılabilir.

Bu aşamada kullanılabilecek yöntemler şunlardır:

  • Araçlar ve teknikler
  • Sosyal mühendislik
  • Sosyal media
  • Aktif ve pasif tarama
  • Ağ haritası çıkarma

2)SİLAHLANMA (WEAPONIZATION)

Saldırgan bu aşamada henüz saldırısını gerçekleştirmiyor. Bulduğu zafiyetlerin sömürülmesi için yöntemini belirliyor ve saldırısı öncesinde son hazırlığını yapıyor. Bir önceki aşamada keşfedilen güvenlik açıklarına göre özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirir. Aynı zamanda malware içeren web siteleri de oluşturma da yapılan hazırlıklardan biridir.

Bu aşamaya kısacası silahın belirlendiği aşama diyebiliriz. Bu aşamada saldırganın silahı güçlenmiştir.

Bu aşamada aşağıdakiler yöntemler kullanılabilir:

  • Zararlı yazılım içeren .pdf, .doc, .xls, gibi dosyalar
  • İlgi çekebilecek dosyalar (Fatura, personel listesi, kredi kartı ekstresi)
  • Malware içeren web siteleri oluşturma

3)İLETME (DELIVERY)

Bu aşama yapılan tüm hazırlığın hedefe iletilmesidir. Saldırı yapacak kişilerin en çok tercih edilen yöntem olan phishing (oltalama) saldırılarıdır. Bilgi toplama aşamasında kişiler belirlenir ve en zayıf halka hedef seçilir. Bundan sonra ise zararlı yazılımın içeriye sokması için en zayıf kişi sürekli olarak yanıltılmaya çalışılır. En çok kullanılan uygulama belgeler içinde bulunan zararlı yazılımlar veya zararlı yazılım taşıyan e-posta saldırılarıdır. Kişi fark etmeden bu dosyayı açar ya da zararlı e-postanın içindekileri indirirse iletim başarıyla sağlanmış olur.

Bu aşama için aşağıdaki işlemler uygulanabilir:

  • Çeşitli açık kaynak kodlu yazılımlar
  • Oltalama (phishing) saldırıları

4) SÖMÜRME (EXPLOTATION)

Hedef sisteme iletilen zararlı yazılımın çalıştırılma aşamasıdır. Saldıranın oluşturduğu silahı kullandığı aşama diyebiliriz. Biliyorsunuz saldırgan 1. aşamada bilgi topladı ve 2. aşamada silahını geliştirdi. Bu geliştirilen silah eğer hedef içinde çalıştırılırsa bu aşamada başarılı bir şekilde saldırgan tarafından başlatılmış olur.


5)YÜKLEME (INSTALLATION)

Sömürülme işlemi gerçekleştikten sonra saldırgan uzaktan bağlantı kurmak için başka zararlı yazılımları sisteme yüklemek isteyecektir. Ayrıca saldırganın kendini daha fazla gizlemek, iz sürülemez hale getireceği aşamadır. Ama bu yükleme işlemleri sistem tarafından fark edilip saldırı tespit edilebilir. Bu yüzden saldırgan daha yetkili kullanıcılara geçmeye çalışabilir ya da arkada kendisine sisteme giriş verebilecek servisler ayarlayabilir.


6) KOMUTA VE KONTROL (COMMAND AND CONTROL)

Bu aşamada hedef sistem tamamen veya kısmi olarak ele geçirilmiştir diyebiliriz. Zararlı yazılımın bulaştırıldığı hedef sistem saldırgana bir backdoor açar böylece artık her türlü erişime sahiptir. Hedef sistemin uzaktan kontrol edildiği aşamadır.

Kullanılan araçlar ve teknikler şu şekilde olabilir:

  • Encoding
  • Şifreleme
  • Tünellme

7)EYLEME GEÇME (ACTIONS ON OBJECTIVES)

Saldırganın eyleme geçtiği aşamadır. Veri çalma, değiştirme ve silme, bulunduğu yerden başka bir sisteme sıçrama, gibi eylemler örnek gösterilebilir. Bu aşama Siber Ölüm Zinciri’nin son aşamasıdır


Buraya kadar olan kısımda sizlere Cyber Kill Chain modeli hakkında bilgi vermeye çalıştım. Bu model ile siber güvenlik analistlerinin önünde güzel bir harita bulunmaktadır ve bu haritaya göre de yapacakları hamleleri belirleyebilirler. Ama bu hamlelerden önce en öncelikli sorumluluk bizlere aittir. Bizler ne kadar bilinçli olursak saldırganların işlerini o kadar zorlaştırırız ve saldırıları daha ilk aşamadan geri püskürtebiliriz.


Buraya kadar sizlere elimden geldiğince bilgi vermeye çalıştım. Şimdiden okuyan herkese teşekkür ederim. Bir sonraki yazımda görüşmek üzere 🙂

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s

WordPress.com'da Blog Oluşturun.

Yukarı ↑

%d blogcu bunu beğendi: