Ozgur's Blog

Random ramblings of personal nature

Başarılı Bir Siber Saldırının Yedi Adımı


Gelişmiş siber saldırılar keşfedilmeden bir ağın içerisinde 200 günden daha fazla barınabilirler. Bu bir saldırganın sinsice kişisel verileri toplaması, giden gelen iletişimi incelemesi ve ağı haritalandırması için uzun bir süredir.

Her büyük eylem gibi başarılı bir siber saldırı dikkatli planlama ve dakik uygulama gerektirir. Etkili siber saldırıların ortak noktası doğru zaman gelene ve saldırganlar saldırana kadar gizli kalabilmeleridir. Her ne kadar bu saldırıların detayları değişse de genel olarak benzer adımları izlerler

Başarılı bir Siber Saldırının Yedi Adımı

Keşif

Bir saldırı yapılmadan evvel, saldırganlar en başta savunmasız bir hedef belirler ve onu en iyi şekilde nasıl kullanabileceklerini düşünürler. İlk hedef kurumdaki çalışan veya yönetici olması farketmeksizin herhangi bir insan olabilir. Kötü niyetli yazılım yaymak için gönderilen hedefli yemleme e-postaları bu adımda yaygın olarak kullanılan bir metottur.

Tarama

Hedef belirlendikten sonra sıradaki adım bu hedef üzerinde saldırganlara erişim sağlayabilecek zayıf bir noktanın keşfidir. Buna sıklıkla giriş noktaları bulmak için - internette kolayca bulunabilecek araçlarla - kurumun ağının taranması da eşlik eder. Sürecin bu kısmı normalde uzun zaman alır, saldırganlar açıkları bulmak için aylar harcayabilirler.

Erişim ve Yayılma

Hedef ağdaki zayıf noktalar tespit edildikten sonra siber saldırının sıradaki adımı erişim kazanıp yayılmaktır. Tüm örneklerde görülen şey saldırganların ortam içerisinde rahatça hareket edebilmesi için yetkili erişimine ihtiyaçtır. Rainbow Tables ve benzeri araçlar saldırganların kimlik bilgilerini çalmasına, yönetici yetkileri alabilmesine ve sistemde bu yetkiyle beraber herhangi bir sisteme girmesine yardımcı olur. Saldırganlar yükseltilmiş yetkileri aldıktan sonra, ağ saldırganların eline geçer ve onlar tarafından "sahiplenilir".

Dışarı Çıkartma

Ağ içerisinde özgürce hareket edebildiklerinden saldırganlar kurumun en hassas bilgilerinin bulunduğu sistemlere erişebilir ve bu bilgileri alabilirler. Ancak özel verilerin çalınması saldırganların yapabileceği tek şey değildir. Erişebildikleri sistemlerdeki dosyaları değiştirebilir veya silebilirler.

Erişimin Muhafazası

Bu noktaya gelindiğinde saldırganlar hedef ağda sınırsız erişime sahiptirler. Sıradaki adım erişimin muhafazası, ya da ağ içinde keşfedilmeden kalabilmedir. Saldırganlar bunu başarmak için zararlı programlar veya rootkitler yükleyebilirler. Bu sayede istedikleri zaman geri dönebilir hale gelirler. Ve daha önceden elde etmiş oldukları yetkili erişimi ile tek bir noktadan girmek zorunda da değillerdir. Saldırganlar istedikleri gibi gidip gelebilirler.

Saldırı

Bu adım her siber saldırıda atılmaz zira bu adım işlerin pisleştiği bir noktadır. Burada saldırganlar kurbanın donanımlarının işlevlerini değiştirebilir ya da kullanılmaz hale getirebilir. Iran'ın kritik altyapısına yapılmış olan Stuxnet saldırısı buna klasik bir örnektir. Saldırı aşamasında, saldırı gizli olmaktan çıkar. Ancak saldırganlar sistemi kontrol edebildiklerinden genelde sızılmış kurumun kendini savunması için çok geçtir.

İzleri Silme

Saldırganlar genelde iz bırakmak istemezler ancak bu genelgeçer bir durum değildir - bazen geride yaptıklarını duyurmak için özellikle bir "imza" bırakırlar. İz silmenin amacı saldırının ardından yapılacak resmi inceleme sürecinin kafasını karıştırmak, hedefini şaşırtmak ve yanlış yerlere yönlendirmektir. İz silme içinde kayıt silici, spoofing (başka bir makinayı taklit etme), yanlış bilgilendirme, zombi hesaplar, truva atı komutlar ve dahasını içeren bir dizi teknik ve araçları içerir.

Siber Saldırının Yedi Adımına Karşı Korunma

Neredeyse her ağ siber saldırıya açıktır. Mandiant'ın raporuna göre kurumların %97'si en az bir defa saldırıya uğradığını belirtmiştir. Ve yeni nesil firewallar gibi çevre güvenlik araçları gelişkin ve hedefli saldırılara karşı az koruma sağlar.

Siber saldırıyı engellemenin anahtarı izinli erişimi kontrollü biçimde yapmaktır. Üçüncü adımdan sonraki tüm adımlar başarılı olmak için yetkili hesaba erişim gerektirir.

Link: https://www.beyondtrust.com/blog/entry/the-seven-steps-of-a-successful-cyber-attack