Cyber Kill Chain Nedir ?
- Cyber Kill Chain, siber saldırıların adım adım ilerleyişini modelleyen bir çerçevedir. Amaç, saldırganın taktiklerini anlamak ve her aşamada savunma fırsatlarını yakalayabilmektir. Cyber Kill Chain 7 aşamadan oluşmaktadır.
RECONNAISSANCE
WEAPONIZATION
DELIVERY
EXPLOITATION
INSTALLATION
COMMAND&CONTROL (C2)
ACTIONS ON OBJECTIVES
Gelin bunları tek tek detaylı inceleyelim.
RECONNAISSANCE: Saldırganın hedefi hakkında bilgi toplama aşamasıdır. Amaç, hedefin zayıf noktalarını, kullanılan sistemleri, yazılımları ve insan faktörlerini öğrenmektir.
SALDIRGANIN YAPTIKLARI;
OSINT: Sosyal medya, LinkedIn, web siteleri, forumlar üzerinden bilgi toplama.
Network keşfi: IP aralıkları, açık portlar, servisleri öğrenme. Örneğin Nmap taramaları.
Fiziksel keşif: Binaya girme, çalışan davranışlarını gözlemleme
Phishing ön hazırlığı: Hedef çalışanların e-posta adreslerini toplama, hangi mesajlara gelebileceklerini analiz etme.
AÇIKLIK VE RİSKLER;
Çalışanların sosyal medyada fazla bilgi paylaşması e-posta veya kimlik avı için veri sağlar.
Yanlış yapılandırılmış sunucular veya açık portlar doğrudan hedefe erişim fırsatı verir.
Güncel olmayan yazılımlar sonraki aşamalarda exploit için zemin hazırlar.
SAVUNMA ÖNERİLERİ NELERDİR;
Çalışanlara sosyal mühendislik farkındalığı eğitimi vermek.
Dış yüzey taramaları ile sistemlerinizin internete açık kısımlarını düzenli olarak kontrol etmek.
Gereksiz servisleri kapatmak ve açık portları minimumda tutmak.
OSINT ile şirket hakkında nelerin görünür olduğunu değerlendirmek ve gereksiz bilgileri gizlemek.
WEAPONIZATION: Saldırganın topladığı bilgilerden yola çıkarak zararlı bir payload (malware, exploit) hazırladığı aşamadır.
SALDIRGANIN YAPTIKLARI;
Exploit kit geliştirme: Hedef sistemdeki açıkları kullanacak şekilde malware hazırlama.
Payload seçimi: Trojen, RAT (Remote Access Trojan), keylogger veya ransomware seçimi.
Delivery paketleme: Genellikle bir belge, PDF, Word makro, e-posta eki veya sahte yazılım güncellemesi içine gizler.
AÇIKLIK ve RİSKLER;
Zero-day açıkları Henüz yamanmamış, bilinmeyen zafiyetler saldırgan için fırsat sunar.
Güncel olmayan yazılımlar hedefte patch uygulanmamış yazılım varsa exploit kolay çalışır.
SAVUNMA ÖNERİLERİ NELERDİR;
Sistemleri ve yazılımları güncel tutmak.
Gelen dosyaları izole ortamda test etmek.
Şüpheli davranışları ve dosya aktivitelerini izleyerek saldırıyı erken tespit etmek. (EDR)
DELIVERY: Saldırganın malware veya exploit’i hedef sisteme ilettiği aşamadır. Bu aşama saldırının somut olarak başlama kısmıdır.
SALDIRGANIN YAPTIKLARI;
Phishing e-postaları: Sahte mailler, zararlı ekler veya linkler ile etkileşime geçirmeye çalışır.
Drive-by download: Ziyaret edilen web siteleri üzerinden malware indirme.
USB veya diğer bağlantılar: Fiziksel cihazlar ile malware bulaştırma.
Web üzerinden: Cracked programlar üzerinden yayılma.
Spear-phishing: Hedefe özel, önceden toplanmış bilgilerle hazırlanmış saldırılar.
AÇIKLIK ve RİSKLER;
Kullanıcıların bilinçsiz olarak e-posta eklerini açması veya linklere tıklaması.
Güvensiz veya kontrolsüz USB cihazları ve taşınabilir medya kullanımı.
Web tarayıcı ve eklenti zafiyetleri.
Yetersiz e-posta güvenlik çözümleri veya spam filtreleri
.
SAVUNMA ÖNERİLERİ NELERDİR;
E-posta güvenlik çözümleri (gateway, sandbox) kullanmak.
Kullanıcı bilinçlendirilmesi yaparak şüpheli ek ve linkleri açmamak.
Antivirus/EDR çözümleri ile şüpheli aktiviteleri izlemek.
Bilinmeyen USB’leri yasaklamak veya güvenli erişim sağlamak.
Web filtreleme ve tarayıcı güvenlik ayarları.
EXPLOITATION: Saldırganın hedef sistemdeki açıkları kullanarak yetkisiz erişim sağladığı aşamadır. Yani, Delivery aşamasında ulaştırılan zararlı dosya veya exploit tetiklenir.
SALDIRGANIN YAPTIKLARI;
Yazılım açıklarını kullanma: İşletim sistemi, uygulama veya servislerdeki yamalanmamış zafiyetleri tetikleme.
Macro exploit: Word veya Excel gibi belge içi makrolar ile sistemde komut çalıştırma.
RCE (Remote Code Execution): Uzaktan kod çalıştırma ile sistem kontrolü alma.
Privilege escalation: Eğer düşük yetki ile başladıysa, yönetici haklarını elde etmeye çalışma.
AÇIKLIK ve RİSKLER;
Güncel tutulmamış yazılımlar bilinen exploitler için hedefe hazırdır.
Zayıf parola ve yetki yönetimi saldırganın daha kolay yükseltme yapmasını sağlar.
Yetersiz ağ segmentasyonu exploit sonrası saldırganın ağda yanal hareketi (lateral movement) daha kolaylıkla olur.
SAVUNMA ÖNERİLERİ NELERDİR;
İşletim sistemi ve uygulamaları güncel tutmak (CIS Benchmarks ve vendor patch notları).
IDS/IPS kullanarak bilinen exploit imzalarını ve anormal aktiviteleri izlemek.
Uygulama whitelisting yaparak sadece izinli yazılımların çalışmasına izin vermek.
EDR çözümleri kullanarak şüpheli davranışları erken tespit etmek ve engellemek.
Güçlü parola ve yetki politikaları kullanılarak minimum yetki prensibi uygulanmalı.
INSTALLATION: Saldırganın hedef sisteme malware, backdoor veya rootkit gibi kalıcı yazılımlar yüklediği aşamadır. Amaç, sistemi ele geçirdikten sonra uzun süre kontrolü kaybetmeden hareket edebilmektir.
SALDIRGANIN YAPTIKLARI;
Backdoor veya RAT (Remote Access Trojan) kurma: Saldırgan bu adımla sisteme uzaktan erişim sağlar.
Persistence mekanizmaları ekleme: Sistem yeniden başlasa bile malware’in çalışmaya devam etmesi için startup, registry veya scheduled task ekleme.
Rootkit yükleme: Malware’in tespit edilmesini zorlaştırır, gizlilik sağlar.
Kendi altyapısını güçlendirme: Diğer zararlı modülleri indirip kurar, C2 kanalları hazırlar.
AÇIKLIK ve RİSKLER;
Zayıf antivirüs ve EDR koruması: Yetersiz veya güncel olmayan endpoint güvenliği malware’in fark edilmeden yüklenmesini kolaylaştırır.
Yetkisiz yazılım yükleme izinleri: Kullanıcılara veya servis hesaplarına gereksiz admin yetkisi verilmesi, kurulum riskini artırır.
Persistence zafiyetleri: Startup klasörleri, registry, scheduled task gibi kalıcı alanlarda yeterli izleme yoksa malware gizlice sisteme yerleşir.
Rootkit ve stealth malware: Sistem seviyesinde gizlenen malware tespit edilemezse, ağ içinde uzun süre hareket edebilir ve veri sızdırabilir.
SAVUNMA ÖNERİLERİ NELERDİR;
EDR ve antivirus çözümleri ile davranış tabanlı tespit yapmak.
Application whitelisting ile sadece izin verilen uygulamaların çalışmasına izin vermek.
Minimum yetki prensibi ile kullanıcı ve servis hesaplarına gereksiz admin yetkisi verilmemeli.
Persistence alanlarını izleme yaparak registry, startup, scheduled task değişikliklerini sürekli denetlemek.
COMMAND&CONTROL (C2): Saldırganın hedef sistemle uzaktan iletişim kurduğu aşamadır. Burada saldırgan, kurduğu backdoor veya RAT üzerinden sisteme komut gönderir, veri alır ya da sonraki adımları yönetir. Yani hedef artık saldırganın uzaktan kumandası altındadır.
SALDIRGANIN YAPTIKLARI;
C2 Sunucusu ile bağlantı kurulması: HTTP/HTTPS, DNS, SMTP, hatta sosyal medya veya cloud servisleri üzerinden olabilir.
Şifreli trafik kullanma: Normal trafiğe benzeterek fark edilmemeye çalışır (ör. TLS tünelleme).
Kaynak gizleme: Proxy zincirleri, TOR veya VPN ile gerçek kaynağını gizler.
Komut yürütme: Dosya indirme, sistem keşfi, lateral movement başlatma.
AÇIKLIK ve RİSKLER;
Outbound trafik kontrolsüzlüğü İç ağdan dışarıya çıkan bağlantılar sıkı denetlenmiyorsa, C2 trafiği kolayca saklanır.
Şifreli trafik denetimsizliği Saldırgan HTTPS veya TLS tünelleme kullanıyorsa, şifrelenmiş C2 trafiği “normal” görünebilir.
DNS Tunneling Normal DNS istekleri üzerinden gizli veri aktarımı yapılabilir, fark edilmesi zor.
Anomali tespiti zafiyetleri Ağda log toplama ve davranış analizi yoksa, beaconing veya olağan dışı trafik uzun süre gizlenebilir.
Güvenlik cihazlarının yanlış yapılandırılması IDS/IPS doğru imza setleriyle güncellenmemişse veya firewall outbound bağlantıları gevşekse, saldırgan kolayca haberleşir.
SAVUNMA ÖNERİLERİ NELERDİR;
Proxy ve firewall log analizi yaparak olağan dışı outbound bağlantıları incelemek.
DNS traffic monitoring yaparak uzun domain zincirleri veya olağandışı DNS isteklerini takip etmek.
TLS denetimi yaparak kritik noktalarda şifreli trafiği analiz edebilmek.
Threat intelligence entegrasyonu ile bilinen C2 IP, domain ve hash bilgilerini engellemek.
SIEM kullanarak normal kullanıcı davranışından sapan trafik aktivitelerini tespit etmek.
ACTIONS ON OBJECTIVES: Saldırganın sisteme sızma amacını gerçekleştirdiği kısımdır. Tüm adımların sonunda, ya veri çalar, ya sistemi sabote eder ya da fidye ister. Yani “neden saldırdıysa” cevabı burada ortaya çıkar.
SALDIRGANIN YAPTIKLARI;
Veri sızdırma (Data Exfiltration): Hassas belgeleri, müşteri bilgilerini veya fikri mülkiyeti dışarı çıkarır.
Yanal hareket (Lateral Movement): Ağ içinde diğer sistemlere yayılır, etki alanı genişler.
Kimlik bilgisi toplama: Hash dump, keylogger, Mimikatz gibi araçlarla parolalar elde edilir.
Sistemi sabote etme: Ransomware ile şifreleme, veri silme, sistem kapatma.
Uzun süreli casusluk: Özellikle APT gruplarında, aylarca sessiz kalıp bilgi toplama.
AÇIKLIK ve RİSKLER;
Zayıf ağ segmentasyonu: Kritik sunucular kullanıcı makineleriyle aynı ağda ise, saldırgan kolayca yayılır.
DLP eksikliği: Veri transferleri izlenmezse sızdırılan bilgiler fark edilmez.
Yetersiz monitoring: SIEM veya EDR log analizi yapılmazsa saldırgan aylarca içeride kalabilir.
SAVUNMA ÖNERİLERİ NELERDİR;
DLP çözümleri ile veri çıkışlarını kontrol altına almak.
SIEM & SOAR ile anomali tespiti ve hızlı müdahale yapmak.
Ağ segmentasyonu uygulayarak saldırganın hareket alanını kısıtlamak.
Olay Müdahale Planı hazır olmalı ve düzenli tatbikat yapılmalı.kullanıcı
davranışından sapan trafik ve beaconing aktivitelerini tespit etmek.
Hiç yorum yok:
Yorum Gönder