TR | SOC Tool Kit v2.0: Kurumlarda Etkili Bir Siber Savunma Hattı İnşa Etmek | Chapter 1— Düşmanın Adımlarını Anlamak

Via: https://tr.pinterest.com/pin/148337381452019852/

Başarılı organize edilmiş siber güvenlik yetenekleri, bir işletmeyi ileri düzey saldırılara karşı koruyamaz. Etkili bir savunma oluşturabilmek için, bu yeteneklerin hedeflenen siber saldırıları engelleyecek, tespit edecek, geciktirecek ve yenecek şekilde uygulanması gerekir.

Bu doğrultuda son yıllarda yazılmış en başarılı kitap ve makalelerden yola çıkarak, incelemelerimi ve araştırmalarımı Sizlerle bu makalemde paylaşıyor olacağım. Özellikle oldukça yararlı bulduğum;

• Zero Trust Networks: Building Secure Systems in Untrusted Network s( https://www.amazon.com/Zero-Trust-Networks-Building-Untrusted-ebook/dp/B072WD347M/ref=sr_1_1?dchild=1&keywords=zero+trust&qid=1585852028&sr=8-1)
• Cybersecurity and Cyberwar: What Everyone Needs to Know (https://www.amazon.com/gp/product/B00GJG6ZB2/ref=dbs_a_def_rwt_hsch_vapi_tkin_p1_i3 )
• Enterprise Cybersecurity: How to Build a Successful Cyberdefense Program Against Advanced Threats ( https://www.amazon.com/Enterprise-Cybersecurity-Successful-Cyberdefense-Advanced/dp/1430260823 )
• Building an Effective Cybersecurity Program ( https://www.amazon.com/dp/B07ZL2SPRT/ref=cm_sw_r_tw_dp_U_x_XzCGEbQ9SXH6Y )

Kitaplarından alıntılar ve temel metodolojiler kapsamında yaptığım değerlendirmeleri Sizlerle paylaşıyor olacağım.

Kurumsal Savunma hatlarını etkin bir şekilde hayata geçirip uygulamak için, bir kuruluşun saldırganların atacağı adımları da anlaması ve çözüm üretmesi gerekir.

Saldırılar 3 adım kadar uzakta!

Saldırganlar, hedef kurumsal ağ içindeki tek bir uç nokta bilgisayarını hedeflerler. Bu hedeflenen son kullanıcıdan itibaren saldırganlar, kurumsal ağın büyük bir bölümünde yönetici ayrıcalıkları kazanmak için bir dizi ortak güvenlik açığından, konfigürasyon sorunlarından yararlanırlar. Saldırganlar daha sonra seçtikleri verilere erişmek, değiştirmek veya yok etmek için bu yönetici ayrıcalıklarını kullanır. Tıpkı aşağıdaki gösterildiği gibi üç temel adımda hedef rotadadır.

(1) Enterprise Cybersecurity: How to Build a Successful Cyberdefense Program Against Advanced Threats

Ancak her kurumsal siber güvenlik biriminin hedefi, kuruluşa yönelik gelişmiş saldırıları hedefe ulaşma noktalarını daha zor hale getirmektir. Etkili bir siber savunma uygulamak için, saldırganların hedeflerine nasıl ulaştıklarını incelemek ve daha sonra siber saldırıları engelleyen kurumsal savunma hatları tasarlamak ve sürdürülebilirlik içinde bu hataların inşasını devam ettirmek önemlidir.

Kurumsal bir siber savunma hatlarının etkili olması için, gelişmiş saldırılar için kullanılan saldırı adım ve metadolojilerine karşı koruma sağlaması gerekir.

(2) Enterprise Cybersecurity: How to Build a Successful Cyberdefense Program Against Advanced Threats

Inceleyecek olursak saldırganın saldırı sırasının başından sonuna kadar alabileceği saldırı adımlarını, ayrıntılarını ve çoklu yaklaşımları tanımlamaktadır. Bazen saldırganlar, komuta ve kontrol kurmadan önce ayrıcalıkları yükseltir veya ayrıcalıkları arttırmadan önce yanal olarak hareket ederler. Bu nedenlede bu adımlar her zaman sırayla gitmeyebilir. Basamak oluşturulduktan sonra, saldırganlar, ilk dayanakları ve görevlerinin tamamlanması arasında birden fazla komuta ve kontrol, ayrıcalık yükselmesi ve yanal hareket döngülerinden geçerler.

Red Team Methodology — Via: https://www.hackingarticles.in/guide-to-red-team-operations/

Şimdi bu adımları tek tek inceleyerek bu adimların ne olduklarını ve nasıl önlemler alabileceğimizi inceleyelim;

Saldırı Adımı 1 : Establish Foothold

Saldırı adımlarında sürecin ilk adımı kurbanda saldırı girişiminin bir dayanağını oluşturmaktır. Bu dayanak, saldırganın, ister kurumsal bilgisayarlarda, sunucularında, ister bulut tabanlı sistemlerinde olsun, kuruluşa ait kaynaklara erişebilmesini sağlar. Bu dayanak noktaları genellikle aşağıdaki yöntemlerden biri kullanılarak elde edilir:

• Malicious e-mail mesajları ve oltalama saldırıları ile kurbanlar hedef alınabilir
• Sunucu tarafı zafiyetler ile internete dönük bir sunucunun kontrolünü ele geçirmek için kullanılır. Genel olarak, bu sunucu bir web sunucusudur, ancak aynı zamanda bir e-posta sunucusu veya mağdura ait başka bir Internet bağlantılı sistem türü de olabilir. Bu sunucuların zafiyetlerinden, yanlış konfigürasyonlarından, eksik yama işlemlerinden dolayı bu zafiyetler oluşabilmektedir.
• Bir ağdaki bir endpoint tehlikeye atıldığında ve aynı ağdaki diğer endpoint’leri etkilemek için bu güvenlik açıklarından veya güvenlik açığı ağ kimlik bilgilerinden yararlandığında diğer endpoint’lerin güvenlik açıklarından yararlanılabilir.
• Saldırganlar botnet operatörlerinden sistemlere erişim satın alabilirler. Darknet veya illegal platformlarda bu gibi satışlar gerçekleştirilerek erişim kazanılabilir.
• Saldırganlar, kurumsal sistemlerine uzaktan erişimi olan veya işletme tarafından kullanılan Cloud hizmetlerine erişimi olan kullanıcıların çalıntı hesap bilgilerine erişebilirler.
• Malicious web siteleri, özellikle kurban makine düzgün bir şekilde yamalanmamışsa veya başka güvenlik açıklarına sahipse, kendilerini ziyaret eden Endpoint (veya sunucuları) etkileyebilir.

Saldırı Adımı 2:C&C

Saldırgan, komut ve kontrol mekanizmasını oluşturmadan önce ayrıcalıklarını yükseltebilir veya yatay hareket edebilir. 2, 3 ve 4'üncü Saldırı sekansı adımları her zaman aynı sekansda ilerlemeyebilir!

• Outbound web connections, güvenliği ihlal edilmiş uç noktalardaki veya sunuculardaki kötü amaçlı yazılımların işletme dışındaki komut ve kontrol sunucularıyla iletişim kurmasına, komut istemesine ve sonuçları rapor etmesine olanak tanır. Bu bağlantılarda, SSL veya TLS kullanılarak şifrelenir, böylece çoğu kurumda taranamazlar, böylece saptanmaları daha da zorlaşır.
• Web site webshell’ler, saldırganların web sunucusunda komut yürütmesine olanak tanıyan ve mevcut bir web sitesine eklenmiş bir web sayfasıdır. Web shell’ler genellikle karmaşık ve büyük yapılara sahip web sitelerinin içine gömüldüğünden, web shell’lerin kurumlar tarafından algılanması zor olmaktadır
• Protocol tunneling, komutları ve işe yarar çıktıları dışarıya aktarmak veya C&C’ler ile iletişim kurmak için saldırganlar tarafından Firewall’a yakalanmamak amaçlı kullanılan işlemlerdir. Tünel açmak için hemen hemen her protokol kullanılabilir; yaygın olanları DNS, ICMP ve SMTP
• Internet-facing kullanıcı hesapları, yine aynı şekilde internete yönelik web servislerini kontrol etmek için kullanılabilir. Bu teknik en çok da Cloud hizmetlerinin ve e-posta ile İnternet bankacılığı gibi web tabanlı sistemlerin komuta ve kontrolü için kullanılır.

by Kaie Maennel

Saldırı Adımı 3: Escalate Privileges

Saldırganın initial foothold’da komut ve kontrol sahibi olması durumunda hedeflerine hakimiyet ve endpoint’lere hakimiyetinin artması için sıradaki hamlesi Hak yükseltmek olacaktır. Bu nedenle de hedef hesaplar ; endpoint administrator, domain administrator veya enterprise administrator account’lar olacaktır. Saldırganın hak yükseltemesi için kullanacağı bazı temel prensibler;

• Session hijacking, uzak sistemlere bağlanmak için kullanıcının kimlik doğrulama yönteminden yararlanarak, kişinin oturumuna bürünerek hak yükseltmesi sağlanabilir.
• Password keylogger, güvenliği ihlal edilen makinelerde oturum açıldığında, makinen sahibinin konumu itibariyle hedef kulllanıcı veya yöneticinin şifrelerini yakalamak için kullanılan zararlı dosyalar aracılığıyla hak yükseltme kullanılabilir.
• Pass the hash or ticket, ağ üzerinden crendentials hashleri veya kimlik doğrulama ticket’ları kullanarak bazı ağ protokolleriyle birlikte hak yükseltmek için kullanılabilir. Oldukça tehlikelidir çünkü saldırganların çok faktörlü kimlik doğrulamayı etkili bir şekilde alt etmelerine yol açar.
• Harvest credentials, güvenliği ihlal edilen makinelerdeki uygulamalardan, bellekten ve sabit sürücülerden kimlik bilgileri alınarak hak yükselteme sağlanabilir.
• Exploit vulnerabilities, hedeflenen sistemin işletim sistemindeki veya uygulama yazılımındaki güvenlik açıklarından yararlanılarak hak yükseltme hedeflenmektedir.
• Maintain persistence, kötü amaçlı yazılımları çalıştıran oturum aracılığıyla işletim sistemine, sabit sürücüye zararlı yazılımı gömerek sunucu veya endpoint’de her açıldığında yerleşik kalıcılığın hedeflendiği hak yükseltmedir.

Via: cisco.com

Saldırı Adımı 4: Move Laterally

Saldırganlar,kuruluşta hak yükselttiğinde, diğer ayrıcalıklı hesaplar da dahil olmak üzere ek sunucuların, endpoint’lere ve kullanıcı hesaplarının kontrolünü ele geçirmek için makineden diğer makinelere aynı anda hareket eder. Bu şekilde ağda ilerleyebilir ve saldırı noktasını genişleterek ele geçirdiği ve geçireceği bilgilere kolaylıkla erişebilir.

• Network mapping, istihbarat elde etmek için subnetlerin, endpoint’lerin, sunucuların yararlanılabilir güvenlik açıkları ile sömürerek makineler arası geçiş sağlamaktır.
• Remote desktop,administration kimlik bilgilerini kullanarak hedef sistemlerde yönetici masaüstü arabirimi elde etmek için kullanılır.
• Share enumeration, paylaşımları enumerate ederek bilgi toplayarak ilerlemeyi hedef alır.
• Remote administration, remote shell daha düşük bir komut kümesinin yürütülmesine izin verir. Ancak, bu tür araçlar genellikle bir saldırgana sunucuları ve endpoint’leri yeniden yapılandırmak ve kötü amaçlı yazılımları ve araç setlerini ek sistemlere yüklemek için gereken erişimi sağlar.
• Remote shell, bu yöntem genellikle uzak masaüstünden farklı bağlantı noktaları ve protokoller kullanılarak çalışır ve bilgi kaçırımı ile beraber ver alır.

Saldırı Adımı 5: Complete the Mission

Yapılan breach aktivitelerini CIA Üçgeninde yer aldırarak düşünelim ve her bir adımda oluşacak ihlalleri sıralayalım.

• Confidentiality için düşünecek olursak; bu adımda oluşan ihlaller, mağdur işletmelerin oturum açma kimlik bilgilerini, önemli şirket içi yazışmaları, kredi kartı numaralarını veya finansal hesaplarını çalmaya yönelik yapılmış adımları bulmamızı sağlar.
• Integrity için düşünecek olursak; dataların değiştirilmesi gibi yapılan işlemler ile saldırgan kurban sistemlerindeki kayıtları değiştirir. Bu aslında daha yıkıcıdır, verilerin değiştirilmesi geri alınması daha yorucu ve kapsamlı bir çalışma gerektirecektir.
• Availability için düşünecek olursak; Data’nın erişilemezliği yada imhası sayesinde verileri yok etme veya kullanılamaz duruma getirerek kurumu saldırgana muhtaç durumunda bırakmadır.

Bir sonraki yazımda bu ele alınan vektörlerin daha detaylı adım ve tespit yöntemlerine değiniyor olacağım. Okuduğunuz için teşekkür ederim :)