“Bu yazı iki bölümden oluşması planlanan çalışmanın ikinci bölümü olup, Lockheed Martin tarafından APT (An advanced persistent threat | gelişmiş sürekli tehdit) saldırılarını analiz etmek amacıyla siber güvenlik dünyasına uyarlanan Siber Ölüm Zinciri modelini aktarılmıştır. Bilgi güvenliği ve siber güvenlik özelinde olan ilk yazıyı okumak için tıklayınız.”
Yetenekli ve motivasyonu yüksek siber saldırganlar, gerçekleştirecekleri siber saldırı öncesinde detaylı bir hazırlık evresinden geçerler. Motivasyonlarına yönelik bir hedef seçtikten sonra hedefleri ile ilgili bilgi toplamaya başlarlar. Sistemli ve organize hareket ederek siber saldırının başarılı olma ihtimalini arttırmayı amaçlarlar. Bu durum ise siber saldırıların savunma tarafında bulunan bizleri, siber saldırganların çalışma yöntemlerini anlamaya ve bu saldırılara karşı hazır olmaya mecbur bırakmaktadır.
Siber Güvenlik dünyasında son zamanlarda yaygın bir şekilde dile getirilen bir terim Cyber Kill Chain yani “Siber Ölüm Zinciri”dir. Siber ölüm zinciri kavramı ilk olarak askeriyede ortaya çıkmıştır. Lockheed Martin firması, Siber Ölüm Zinciri modelini APT (An advanced persistent threat | gelişmiş sürekli tehdit) saldırılarını analiz etmek amacıyla siber güvenlik dünyasına uyarlamıştır. Bir saldırının aşamalarını tanımlayan siber ölüm zinciri önlem almak için gerek yöntemlerin geliştirilmesine gerekse de taktikler belirlenmesine olanak sağlayan bir metodolojidir. Geliştirilen model, hedeflerine ulaşmak için saldırganların neler yapması gerektiğini tanımlar. Siber Ölüm Zinciri’nin etkili bir şekilde anlaşılması, bilgi güvenliği uzmanlarına, siber güvenlik ekiplerine ve kısaca bilgi varlıklarını korumak isteyen herkese yardımcı olacak güçlü kontroller ve karşı önlemler oluşturmada büyük ölçüde yardımcı olacaktır.
Siber ölüm zinciri; siber olaylara müdahale ekiplerinin, dijital adli soruşturmacılarının ve kötü amaçlı yazılımların analistlerinin müşterek bir şekilde çalışması için bir modeldir. Siber ölüm zinciri bir siber saldırganın eylemlerini modellemekte ve analiz etmekte önemli bir harita sunmaktadır. Günümüzde komplike bir yapıda gerçekleşen siber saldırıları analiz etmek için siber ölüme zinciri, karmaşık saldırıyı karmaşık olmayan aşamalara veya katmanlara ayırmak için çerçeve sunmaktadır. Böylesine bir katmanlı yaklaşım, analistlerin daha küçük ve daha kolay problemlerle başa çıkmalarını sağlamaktadır. Daha da önemlisi ise saldırıların belli bir aşamada tespitini mümkün kılmaktadır.
“Kill Chain” ya da Ölüm Zinciri askeri bir terim olarak ortaya çıkmış olmasına karşın tüm askeriyeden çıkan diğer yenilikler gibi diğer çalışma ve faaliyet alanlarına yayılmıştır. Siber Güvenlik ekiplerinin oldukça aşina olduğu; KISS (Keep it simple, stupid), DMZ (Demilitarized zone), Command and Control, Lateral Movement, Weaponization terimleri gibi. Bilgi güvenliği camiasında kullanılan metodlar sıklıkla askeri terimler ile açıklanıyor. Örneğin, güvenlik duvarlarındaki ağ ayrıştırmaları, DMZ (demilitarized zone), zararlı yazılımlara merkezi olarak komut gönderen sunucular (Command & Control), bir ağa sızıldığı zaman ağ içinde sistemden sisteme atlamalar, yanal ağ hareketleri (lateral movement) tanımlanırken askeri terimler kullanılıyor. “Cyber Kill Chain” de askeri bir terimden yola çıkarak siber güvenlik literatürüne kazandırılmıştır. (Adversary) Kötü niyetli grupların sistemlere sızmak ve istediklerini elde etmek için gerçekleştirdikleri aktiviteler, siber ölüm zinciri modeli ile bir akışa ve metodolojiye oturtularak daha anlaşılır, savunma yöntemleri iyileştirebilir, saldırılar hızlı tespit edilebilir ve gecikmeden müdahale edilebilir.
Siber Ölüm Zinciri bir siber saldırının evrelerini ortaya koymaktadır. Bu evreler bilgi toplamadan, sisteme sızmaya kadarki süreci kapsamaktadır. Siber Ölüm Zinciri aynı zamanda savunmasız veya savunması zayıf bir ağın güçlendirilmesine yardımcı olmak için bir yönetim aracı olarak da kullanılabilir. Lockheed Martin’e göre tehditlerin 7 aşamadan geçmesi gerekmektedir. Bu aşamalar Siber Ölüm Zinciri Metodolojisini oluşturmaktadır. Bu aşamalara geçmeden önce APT yani gelişmiş siber saldırı nedir bu hususa açıklık kazandıralım.
Gelişmiş Siber Saldırı (Advanced Persistent Threat- APT)
Güvenlik uzmanları ile bilgisayar korsanları arasında devam eden mücadeleler sayesinde sistemlerin daha da güvenli hale geldiğini ifade edebiliriz. Bu yarışın sonucu olarak da ortaya gelişmiş siber saldırı olarak adlandırılan, çok daha karışık ve gelişmiş tekniklerin kullanıldığı ve uzun çalışmalar sonucunda ve belirli bir amaç doğrultusunda tecrübeli bilgisayar korsanları tarafından yapılan hatta devletlerin desteklediği bilinen ve/veya düşünülen saldırılar ortaya çıkmıştır. Bu gelişmiş saldırı türü APT (Advanced Persistent Threat) olarak adlandırılmıştır.
APT’lerin en temel özellikleri ise, ileri seviyede oldukları için, profesyonel kadro, kurumlar ve teknik imkânlar gerektirmesidir. Kalıcı ve yaşam sürelerinin uzun olabilmesi için de geçerli sertifikalar ile imzalanma ve sıfırıncı gün açıklıkları ile yayılma gibi tespit edilmesini engelleyecek teknikler kullanılması gerekmektedir. APT’ler siber savunma sistemlerini kolaylıkla atlatabilir ve yayılabilir. Gelişmiş teknikler sayesinde hedef sisteme sızar ve bulaştığı sistemlerde uzun süre fark edilmeden çalışabilir. Sisteme kalıcı olarak yerleşir ve bilgi çalma, sistemi çökertme gibi hedeflerin yerine getirilmesini sağlar. APT mevcut çevre ve son nokta savunmasını aşmak için inşa edilmiş yeni saldırı doktrinidir.
Devlet destekli saldırılar genellikle inkâr edilse dahi hedef ülkenin siber ortamına müdahale etmek, ekonomik zarar vermek ve istihbari bilgilerini ele geçirmek amaçlanmaktadır. Siber ortamda yaşanılan saldırılarla genellikle zarar vermek amaçlanmıştır ve ulusal bir güvenlik sorunu haline gelmiştir.

Siber Ölüm Zincirinin Aşamaları
“Zincir en zayıf halkası kadar güçlüdür” deyimi saldırıyı planlayan için bir mottodur. Adversary yani Kötü niyetli grupların sistemlere sızmak ve istediklerini elde etmek için gerçekleştirdikleri aktiviteleri bir bütün olarak değerlendirebileceğimiz gibi ayrı ayrı ve grup olarak da değerlendirebiliriz. Atak öncesi, Atak ve sonrası olarak nitelendirdiğimiz süreçler vardır. Siber Ölüm zincirinde yer alan “keşif” ve “silahlanma” atak öncesi süreçte yer almaktadır.
1)KEŞİF (RECONNAISSANCE)
Siber Ölüm Zinciri’nin ilk aşaması keşif aşamasıdır. Saldırı başlamadan önce hedef hakkında bilgi toplanır. Bu aşamada saldırgan hedefi teknik ve teknik olmayan bir bakış açısıyla dışarıdan değerlendirir. Saldırgan bu noktada sistemlere giriş yapılacak hassas noktalara ve yöntemlere dair ön eylem raporunu oluşturur. Bunu yaparken Aktif ve Pasif Bilgi topla olarak adlandırılan iki çeşit bilgi toplama yöntemini kullanabilir. Sızılacak firmanın IP adresleri, çalışan bilgileri, ifşa olan basit parolaları, kullanılan güvenlik sistemleri tespit edilir. Bilgi toplama aşamasında, sosyal mühendislik kapsamında LinkedIn, Instagram gibi sosyal medya hesapları da kullanılabiliyor hatta hedef firmanın çöpleri bile karıştırılabiliyor. Bu literatürde dumpster diving olarak adlandırılıyor. Bu süreçte pasif atak olarak nitelendirebileceğimiz bir süreç yürütülür. Amaç hedef hakkında bilgi alıp profil çıkarmaktır. Pasif ve Aktif olmak üzere iki bilgi toplama yöntemi vardır.
Pasif Bilgi Toplamada; Hedef sistem hakkında bilgi toplanırken, sunucu ile direkt iletişime geçmeden yapılan bilgi toplama yöntemidir. Pasif bilgi toplama araçları olarak, whois sorguları, archieve.org, theHarvester, recon-ng, maltego, shodan, sosyal medya platformları kullanılabilir.
Aktif Bilgi Toplamada; Hedef sistem hakkında bilgi toplanırken sunucu veya sistem ile direkt olarak iletişime geçilerek yapılan bilgi toplama yöntemidir. Burada ise, nmap, dirb, dmitry gibi araçlar kullanılabilir.
Atak öncesi süreç olan keşif aşamasında amaç dinleme yapmak, bilgi toplamaktır. Verilerin içeriği değiştirilmeden hedef profili hakkında veriler toplanır. Saldırı öncesi ilk hazırlık aşamasıdır. Bu aşamada Sniffing yani monitörleme dediğimiz bir süreç yürütülmektedir. Pasif HUG veya Aktif Switch yöntemleri ile bilgi toplama, dinleme işlemleri yapılabilmektedir. Amaç footprinting yaparak hedef profili çıkarmaktır.
2)SİLAHLANMA (WEAPONIZATION)
Saldırgan bu aşamada henüz saldırısını gerçekleştirmiyor. Bulduğu zafiyetlerin sömürülmesi için yönetimini belirliyor ve saldırısı öncesinde son hazırlığını yapıyor. Gerekli bilgilere ulaştıktan sonra sıra işletim sistemindeki ya da internette açık bir uygulamadaki eksik bir patch (yama)’den ya da açık olmaması gereken bir port dan kaynaklanan bir zafiyetin sömürülmesi için hazırlık aşamasında. Bu aşamada tehdit aktörü, bir önceki aşamada keşfedilen güvenlik açıklarına özel olarak hazırlanmış kötü amaçlı yazılımlar geliştirir. Aynı zamanda malware içeren web siteleri de oluşturma da yapılan hazırlıklardan biridir. Edindiği bilgiler doğrultusunda güvenlik açıklarına özel hazırlanmış kötü amaçlı yazılımlarını geliştirir. Bu aşamaya kısacası silahın belirlendiği aşama diyebiliriz. Bu aşamada saldırganın silahı güçlenmiştir. Bu süreç tamamlandıktan sonra saldırgan artık kullanıcıya gönderilecek bir Phishing yani oltalama hazırlığına girer.
3)İLETME (DELIVERY)
Siber Ölüm Zinciri metodolojisinin üçüncü aşaması, APT kodunun, kurbanı sömürmek için hedef bilgisayara geçmesidir. Bu aşama yapılan tüm hazırlığın, zararlı yazılımın, hedefe iletilmesidir. Aslında bombanın fitili burada ateşleniyor diyebiliriz. Saldırgan en çok tercih edilen yöntem olan phishing (oltalama) yani paketlenen zararlı yazılımını bir e-posta ekinde hedefe gönderilmesi veya USB benzeri medya ile iletir. 2018 Verizon Veri İhlali Soruşturma Raporundan gelen araştırma ve analizler, bir ağ saldırısının büyük ölçüde kurumun iç çalışanlarını hedef alınarak Phishing saldırılarından kaynaklandığı göstermektedir.
Bilgi toplama aşamasında toplanan verilere dayanarak, bir kuruma özel araştırılmış ve hazırlanmış Phishing saldırısı ile, APT zararlı yazılımı kuruma bulaşabilmektedir. Bu Phishing saldırıları aslında Spear Phishing olarak adlandırılan, hedef temelli saldırılardır. Yine aynı şekilde hedefin kim olacağı da bilgi toplama aşamasında belirlenir ve en zayıf halka hedef olarak seçilir. Spear phishing çoğunlukla Microsoft Word ve Adobe PDF belgesi gibi bir ek içermektedir. Bu ek, APT’nin kurum içi ağa erişmesine sebep olacak ilk adımı oluşturur.
4)SÖMÜRME (EXPLOTATION)
Hedef sisteme erişim elde etmek için daha önceden tespit edilen zafiyetlerin sömürülerek zararlı kodun çalıştırılma aşamasıdır. Sömürü aşamasına, APT kötü amaçlı yazılım kodu hedef ağda, uzaktan veya otomatik olarak yürütülür ve hedeflenen bilgi sistemine erişimi sağlamak için mevcut güvenlik açıklarında yararlanır.
5)YÜKLEME (INSTALLATION)
Sömürülme başarılı olduktan sonra, zararlı yazılım hedefe yüklenir. Bununla birlikte saldırganın kendini daha fazla gizlemek, iz sürülemez hale getireceği aşamadır. Saldırganın uzaktan bağlanabilmesi için dışarıdan güncellemeler ve yazılımlar indirmeye başlayacaktır, çünkü bu kadar zahmetten sonra erişimi kaybetmek istemeyecektir. Elbette bu aşamada hedef bir şeylerin ters gittiğini görüp zafiyeti kapatabilir, hesap şifrelerini güncelleyebilir. Bu durumda saldırgan, client makinasında kalıcılık sağlamak için yeni bir servis oluşturabilir, kullanıcının yetkilerini değiştirebilir, logon script yazabilir, yeni bir kullanıcı oluşturulduğunda zararlı yazılımının çalışması için registryde değişiklik vs yapabilir. Amaç daha yetkili bir hesap ele geçirmek, kritik kullanıcıların bilgisayarlarına erişmek ki bu hassas doküman ve verileri bulmak anlamına geliyor.
6)KOMUTA VE KONTROL (COMMAND AND CONTROL)
Komuta ve kontrol Siber Ölüm Zinciri’in altıncı aşamasıdır. Bu aşama C2 (Command and Control) olarak adlandırılır. Bu aşamada hedef sistem tamamen veya kısmi olarak ele geçirilmiştir diyebiliriz. Saldırganın iletişim APT kodlarını hedef ağa yerleştirmiştir. Zararlı yazılımın bulaştırıldığı hedef sistem saldırgan kontrol sunucusuna (C&C) bir haberleşme kanalı açar böylece artık her türlü erişime sahiptir. Bu yazılım, saldırganın ortamdaki APT kodunu tamamen yönetmesine ve saldırganın ağda daha derin bir şekilde hareket etmesine, veri göndermesine ve arkasında bıraktığı izleri yok etmesine olanak sağlar. Bunun için bazı teknikler kullanır örneğin, encoding, tünelleme, şifreleme… Bu haberleşme kanalı ile saldırgan APT kodlarını hedef ağa yerleştirir ve ortamdaki kodu yönetmeye başlar. Bu şekilde ağda rahatça hareket eder, veri gönderir fakat arkasında iz bırakmamaya çalışır.
7)EYLEME GEÇME (ACTIONS ON OBJECTIVES)
Saldırganın eyleme geçtiği aşamadır. Hedef sistem ele geçirildikten sonra, saldırgan amacına ulaşmak için çeşitli eylemler gerçekleştirir. Veri çalma, değiştirme ve silme, bulunduğu yerden başka bir sisteme sıçrama, gibi eylemler örnek gösterilebilir. Asıl hedefine ulaşmak için yapması gereken tüm eylemlerin yapıldığı aşamadır. Bu aşama Siber Ölüm Zinciri’nin son aşamasıdır.
Başarılı bir saldırı hedeflemek için sadece iyi teknik bilgiye sahip olmak yetmez. Plan ve prosedüre uyularak yapılan taktiksel saldırılar ile sistemlerinizin kontrolü bir anda başkasının eline geçebilir Cyber Kill Chain bu prosedürlerden biridir. Aynı zamanda bu saldırıları göğüslemek de ustalık gerektirir. Yukarıdaki aşamaların hepsi birbirine zincirleme bağlıdır. Bir aşamada gerçekleşecek aksilik devamındaki aşamayı doğrudan, diğer aşamaları dolaylı olarak etkileyecektir. Bu nedenle her aşamada yapılması gereken işlemler özenle planlanmalı ve organize edilmelidir.
Savunmacıların siber ölüm zincirinin herhangi bir aşamasında karşı atak yapma imkânı olmasına rağmen, kurumların üçüncü faz olan “iletim” gerçekleşmeden saldırı girişimine müdahale etmeleri mümkün olmamaktadır. Bunun nedeni ilk faz olan bilgi toplama açık kaynaklar üzerinden de yapılabileceğinden dolayı hedefin bunu tespit edip müdahale etmesi teknik olarak kolay olmamaktadır. Günümüzde internet ortamında insanlar kendileri hakkında çok fazla şey paylaşmaktadırlar. Ayrıca kurumların yaptıkları işler, ihaleler, işe alımlar vb. dokümanları iyi niyetle hatta belki bazen şeffaflık amacıyla internet vasıtasıyla kamuoyuna açtıkları aşikârdır. Ancak bundan faydalanmak isteyen bilgisayar korsanları çeşitli arama motorlarını kullanarak çok kolay bir şekilde kurumlar ve kişiler hakkında bilgi toplayabilmektedir. Hedef kurum hakkında bu şekilde bilgi toplayan saldırganı yakalamak çok kolay olmayacaktır.
Değerlendirme
İçinde bulunduğumuz yirmi birinci yüzyılda, geçmişte de olduğu gibi aktörlerin varlıklarını sürdürmek ve rekabet avantajı elde etmek için sahip oldukları en önemli kaynaklar; bilgi ve bilginin uzantısı olan değerlerdir. Siber bir dünyaya doğru hızla evirildiğimiz bu süreçte her şeyin sayısallaşarak, uluslararası bir standartta olgunlaşması ile siber uzay tehdidi globalleşiyor. Bu global tehdidin karşısında ise sürecin bilinip bu yönde yöntem ve politikalar geliştirilmelidir. Siber ölüm zinciri olarak adlandırılan süreç ise siber uzay katmanlarına, bileşenlerine karşı gerçekleştirilen “gelişmiş” bir dizi saldırı eylem ve faaliyetler döngüsüne hâkim olma imkânı sunmaktadır.
Siber saldırılara karşı önlem alabilmek için saldırı metodolojilerini iyi bilmek gerekmektedir. Bunun gibi modeller sayesinde bir siber saldırının öncesinde veya başlamış bir sürecin yönetmek için gerekli olan eksik noktalar tespit edilebilir. Saldırı anında saldırının aşamasına göre müdahale yöntemine karar verilebilir ve saldırı sonrasında kurumun bu saldırıdan ne ölçüde etkilendiğinin risk analizi yapılabilir. Siber Ölüm Zinciriyle zaman içinde birden fazla kill chain’in analizi yapılabilmekte ve saldırı döngüleri üzerinden yeni çıkarım ve tanımlamalar yapılabilmektedir.
Lockheed Martin firması, Siber Ölüm Zinciri modelini APT (Advanced persistent threat | gelişmiş sürekli tehdit) saldırılarını analiz etmek amacıyla askeri kullanımdan siber güvenlik dünyasına uyarlamıştır. Siber uzayda güvenliğin tesisi için temel gaye askeri sistemlerde olduğu gibi “önleyici tespit” için saldırının aşamalarını belirlemek ve gerekli taktikler belirlenmesine olanak sağlamak olmalıdır. Siber ölüm zinciri metodolojisi sayesinde tehdit ve risklere karşı muhatap kalınmadan tedbir ve politikalar edinilebilmek mümkün olmakta ve bu husus değerlendirilmelidir. Önleyicilik tehdit oluşmadan önce tespit ve gereksinimlerin belirlenmesi gibi birtakım süreçleri içerir. Siber ölüm zinciri ile muhtemel bir saldırı süreciyle karşı karşıya kalınmaması için alınması gereken tedbir ve bu bağlamda yürütülmesi gereken uzun dönem politikalar belirlenebilmekte olup etkili bir yönetim sunacaktır.
Ahmet ALEMDAR
İlk Bölüm:
Bilgi Güvenliği ve Siber Güvenlik | Türkiye Siber Güvenlik Kümelenmesi
Referanslar
- Oğuzcan Pamuk, “Bir Siber Saldırı Yaşam Döngüsü, Cyber Kill Chain”
- Lockheed Martin, “The Cyber Kill Chain”
- BGA Security, “Siber Ölüm Zinciri’ni Anlamak”
- Tarun Yadav, Arvind Mallari Rao, “Technical Aspects of Cyber Kill Chain, Security in Computing and Communications: Third International Symposium”
- Koç Sistem, “Siber Güvenlik Bülteni”
- Recep Özbay, “Aktif Siber Savunma Teknikleri ve Performans Analizi”
- Mahruze Kara, “Siber saldırılar- siber savaşlar ve etkileri”
- Sergen Yanmış, “Siber Ölüm Zinciri (Cyber Kill Chain)”
Defence Turk Yayın Koordinatörü. Türk Savunma Sanayii özelinde; savunma teknolojileri, stratejileri ve politikaları araştırmacısı ve takipçisi.