Sektöre yakınsanız mutlaka duymuşsunuzdur bu terimi ya da işin içindeyseniz, başınıza gelmese bile büyük ihtimalle rüyalarınıza girip uykularınızı kaçırmıştır.
Birçok Türkçe karşılık mevcut APT terimi için. Herkes kendisine göre en iyi ifade eden terimi bulup/oluşturup kullanmış. Konu ile ilgili yazıyı hazırlarken benim bir yerlerde görüp en beğendiğim terim ise başlıkta da yazdığım gibi İLERİ DÜZEY KALICI TEHDİT.
İyi de nedir bu ileri düzey kalıcı tehdit denen yaygın olarak da apt olarak kullanılan terim, bize neyi anlatır? -El cevap: çaresizliği… :)
Bir siber tehdit nasıl olur da hem ileri düzey hem de kalıcı olabilir?
-işte şöyle:
Önce çok özlediğimiz wikipedia anlaşılabilirliği ile başlayalım;
Advanced: Gelişmiş, ileri düzey anlamına gelmekte.
Persistent: Tekrar eden, yineleyen
Threat: Zaten tehdit. Bunu biliyoruz.
Biraz daha dibe…
İleri Düzey Olma Durumu:
Bir tehditin ileri düzey olabilmesi için ya da bu şekilde tanımlanabilmesi için bilinen habis yazılım(bu terimi sanıyorum Engür Pişirici’nin kullandığına şahit olmuştum, bana göre de doğru çeviri) yani bilinen adıyla malware’lardan herhangi birini kullanmamış olması gerekmekte. Bunu nasıl yapar diye düşünürsek de sıfırıncı gün açıkları (yani diyor ki zero-day vulns.) kullanıyor olması gerekir. Okuduğum kaynaklarda yine tartışmalı ifadeler mevcut ama, adını kaynaklar kısmında yazacağım kaynaklar, genelde böyle nitlendiriyor. Zaten dışarıdan bir gözle bakıldığında da mantığınız size bilinen bir açıklığın elbette yaması olması gerektiğini ve ne kadar gelişmiş olabileceğini sorgulatacaktır.
Kalıcı Olma Durumu:
Bir tehditin kalıcı olabilmesi için yine yaygın kullanılarn APT çevirilerinden biri olan Hedef Odaklı Saldırı başlığını biraz incelemek gerekir ki bu çevirinin temeli tehditin kalıcılığına vurgu yapmaktadır. Yani tehdit belli bir hedefe yöneliktir ve o hedefe ulaşana kadar sistemde çalışacaktır. Bu bir ticari casusluk olabilir veya finansal bir sızdırma olabilir. Amaçladığı her neyse bütüne ulaşmadan çalışması sonlanmayacaktır. Hatta ulaşsa bile sonlanacağı düşünülmemelidir. Bu saldırı, bilinen işletim sistemi bileşenlerini(svchost.exe vs.) veya bilinen uygulamaları(flash, chrome vs.) hatta bilinen tcp/ip portlarını(443 mesela), bunun yanında kullanabileceği bütün bilinen zımbırtıları maske olarak kullanıp kendini gizleyecektir. Dolayısıyla kullanıcı şüpheye düşse bile farketmek için oldukça derine, en derine inmesi gerekecek en sonunda boğulmayı göze alamayıp boşverecektir.
Tehdit Olma Durumu:
İleri düzey bir siber tehditin en belirgin özelliği nedir diye sorunca, saldırıyı gerçekleştiren ekibin bilgili, finanse edilmiş(her zaman değil), belli bir motivasyona sahip olması beklenir. Yeteneklerini ve kaynaklarını sabırlı bir şekilde kullanır ve hedeflediği bilgiyi elde etmek için uğraşıp, didinir. Neden mi? El cevap: Çünkü bilgi güçtür ve bilgiye sahip olan ve kontrol eden güçlüdür(Anonim, Çağdaş Amerikan Edebiyatı :) )
Klasik bir APT saldırısının Adımları:
- Hedefleme(Targeting): Saldırganlar hedefleri ile ilgili açık veya kapalı bütün kaynaklardan bilgi toplar ve erişim sağlamaya yarayacak metodları test eder. Bu bilgi toplama zaafiyet taraması, sosyal mühendislik ve oltalama gibi tekniklerle gerçekleşir.
- Erişim(Access): Saldırganlar bu fazda ilk gediği bulur ve sistemleri sömürmek için en verimli ve uygun metodları tanımlarlar. Hedefe giderken kullanılacak en uygun hesaplar veya konak bilgileri bu fazda belirlenir.
- Keşif (Reconnaisance): Bir şekilde açılan gedikten içeri giren saldırganlar ağ paylaşımları, ağ mimarisi, domain bilgileri ve diğer sistemleri veya uygulamaları ve bağlı hesapları ele geçirmek için çalışmaya başlar. Saldırganlar bu aşamada kendilerini gizlemek için kayıtları kapatma veya antivirus durdurma gibi işlemlere girişebilir. Bu da IoC olarak bilinen atak izlerini toplamak için kullanılabilir.
- Yatay Hareket/Yayılma(Lateral Movement): Muhtemelen elde edilen hesaplar hedefe gitmek için yeterli olmayacak ve saldırganlar ağın her bölgesine erişim sağlayabilmek için gereken çalışmaları bu aşamada yapacaktır. Saldırganlar bu adımda kullandıkları birçok habis yazılımın dışında, komut satırı, Windows Terminal Services, VNC ve benzeri birçok bilinen uygulamayı da kullanırlar. Aynı zamanda kurdukları habis yazılımlarla açılan gediklerden birisi kapansa bile bir diğeri ile komuta kontrol merkeziyle bağlantıda kalmayı hedeflemektedirler.
- Bilgi Toplama ve Dışarı Sızdırma(Data Collection and Exfiltration): Saldırganlar artık hedefledikleri bilgilere ulaştı. Şimdi bunları dışarı çıkartma zamanı. Bilgiyi sızdırırken yapılan işlemleri karartma adına VPN, proxy, özelleştirilmiş şifreleme gibi teknikler kullanılmakta bu da sonuç hesaplama kısmında işleri biraz daha zorlaştırmaktadır. Saldırgan veriyi hızlı ya da yavaş bir şekilde dışarı aktarabilir bu tamamen saldırganın insiyatifinde olan bir durumdur. Saldırdığı kurbanın kendisini farketme yeteneğini değerlendirir ve ona göre hareket eder.
- Yönetim ve Bakım(Administration and maintenance): Hadi canım saldırının da bakımı mı olurmuş demeyin. Adamlar bir sürü gedik açtı, hesap elde etti. APT’nin en belirgin özelliklerinden birisi sistemde devamlılığını sürdürmektir. Burada hedef sistem içindeki en ufak değişiklikte kendilerine haber verecek habis yazılımlarla haberdar olur ve mevcudiyetlerini devam ettirmek için gerekli düzeltmeleri yaparlar. Ve sömürü devam eder.
Çözümü Var mı?
İleri düzey kalıcı tehditlerin geçtiğimiz yıllarda birçok özel veya devlet kurumundan bilgi sızdırdığı artık bilinen bir gerçek. Mücadele etmenin yolları var ama önüne geçmek mümkün mü? Bana sorarsanız -YYYaaaaaniiiii- diye belli belirsiz ve çekingen bir cevap veririm, en azından ticari bir kaygı taşımıyorken :)
Bütün bunların yanı sıra her siber güvenlik etkinliğinde duyduğumuz, uzmanların mottosu olan “güvenliğin en zayıf halkası insandır” gerçeğine çıkıyor bütün yollar. Dolayısı ile en zayıf halkaları güçlendirmek bu tip ileri düzey saldırılara karşı alınması gereken en büyük önlem oluyor bir anda. İnsan gerçekten hayret ediyor, bu yazı nasıl buraya geldi diye…
Her neyse çözümsüz değiliz. Alınabilecek bütün önlemlerin yanı sıra proaktif olmak zorundayız. Çalışmaya ilk başladığım şirkette “proaktif yaklaşım” moda bir tabirdi. O günden beri proaktif deyince aklıma SIEM gelir ki; SIEM, UEBA, Threat Intelligence gibi araçlar anormal durumları tespit etmek ve erkenden müdahele için hayati önem taşıyor. Ne derler bilirsiniz, “erken müdahele hayat kurtarır”. Umarım herşey olup bittikten sonra saldırının derinliklerini araştırmak için SIEM’e gönderilen loglar üzerinde çalışmak zorunda kalmayız.
MASAL TADINDA BİR İNCELEME
Aurora Operasyonu:
Aurora operasyonu 2009 yılında Amerikan savunma ve teknoloji sektörlerini hedef almış. Google, Juniper, Adobe ve bir sürü tanınmış şirket bu saldırıya kurban gitmiş. Saldırı başladıktan yaklaşık 6 ay sonra farkedilebilmiş.
Saldırganlar kurbanlarının kullanıcılarına yemleme e-postaları atarak işe başlamışlar. Bu e-postalardaki bağlantıya tıklandığı zaman Tayvan üzerinden yayın yapan ve şüpheli JavaScript’ler bulunan bir siteye gidiyormuş. Gel zaman git zaman kullanıcılar bu bağlantıdaki adrese tıklamış durmuşlar. Daha sonra kötü niyetli saldırganlar Internet Explorer’ın bir açıklığından bu JavaScript ile yararlanmışlar. Ne hikmetse! bu JavaScript hiçbir antivirus imzasına takılmamış ve kötü niyetli saldırganlara bir gedik açarak onlara uzak yönetim aracı (RAT) sunmuş. Onlar da en güvenli protokol olan! SSL üzerinden haberleşmeye başlamış.
Böylelikle kötü niyetli kullanıcılar hedefledikleri ağlarda yayılmışlar, Aktif dizin hesapları mı dersiniz, ticari sırlar ve fikri mülkler barındıran dosyalar barındıran ağ paylaşımları mı dersiniz atlarını sistemler üzerinde bir o yana, bir bu yana koşturmuşlar. Bu arada da boş durmayıp gördükleri değerli bilgileri birkaç ay boyunca dışarı sızdırmışlar. Bu saldırı da elbette uzmanlar farkedilince son bulmuş ama giden gitmiş ne çare….
Saldırganlar ermiş muradına biz çıkalım kerevetine…
Su yüzeyi...
Yazıyı yazdığım için okuması keyifli mi değil mi bilemedim. Ben yazarken çok keyif aldım. İleri Düzey Kalıcı Tehdit (APT) konusunda biraz araştırma ve öğrenme fırsatı da buldum. Hazır yazmışken belki içinde bulunduğum sektöre de bir faydam bulunur diye paylaşayım dedim.
Umarım okuması keyifli ve yararlı bir yazı olmuştur.
Ayrıca bu yazı linkedin profilimde de yayınlanmıştır
Kaynaklar:
https://www.amazon.com/Reverse-Deception-Organized-Threat-Counter-Exploitation/dp/0071772499
https://www.amazon.com/Hacking-Exposed-Network-Security-Solutions/dp/0071780289
http://www.thesecurityadvocate.com/2013/10/21/advanced-persistent-threats-what-are-they-how-do-they-work/
