Geçmiş yıllarda virüs olarak tanımladığımız dosyalar eğlence ve şaka (mesaj gösterme) amacıyla ortaya çıkmışlardır. Ancak günümüzde artık zararlı dosyalar finansal destekli bilgi çalma ve zarar verme amaçlıdır. Virüs olarak alışageldiğimiz genel tanım bu yüzden artık yerini Malware genel adına bırakmıştır, bırakmalıdır. Stuxnet bugüne kadar karşılaşılmış, maddi olarak en çok zarar veren “Malware” dir. Öyle ki İran’ın nükleer faaliyetlerine zarar vermekle kalmamış, yapılan onca emeği hiçe sayarak teknolojiyi senelerce geriye götürmüştür.
Günümüzde klasik araçlar (Firewall, IPS, Antivirus, Antispam) ile kurumların ya da şirketlerin güvenlik segmentleri oluşturulmakta ve yine dünya ile doğru orantıda işleyen mekanizmalar sayesinde kurum/şirket için oluşabilecek tehditlerin önüne bu sayede geçilmektedir.
APT ( Advanced Persistent Threat ) olarak adlandırılan karmaşık, tabiri caizse inatçı ve kalıcı tehditler ise klasik araçlar tarafından önlenmesi mümkün olmayan saldırılardır. Normal şartlar altında şirket veya kurumların tasarımlarını gerçekleştirmiş oldukları ve güvenlik segmentinde konumlandırdıkları Firewall, IPS, Antispam, Antivirus gibi güvenlik yazılım ya da cihazlarının yakalayamayacağı küçük bir oran bulunmaktadır. Bu oran küçük gibi görünse de güvenlik bakımından değer ve risk bazında en önemli alanı kapsamaktadır. Çünkü APT saldırıları tamamen hedefe yönelik yıkıcı sonuçlar amacıyla tasarlanmaktadır. Bu nedenle günümüzün en etkili siber saldırıları APT’ler ile gerçekleştirilmektedir. APT’ler vasıtasıyla kurum bilgilerini ele geçirmek, kurumu zarara uğratmak ve istihbarat toplama gibi amaçlar güdülmektedir.
Bilginin gücü ve önemi
Dünyadaki bilginin büyüklüğü ve önemi düşünüldüğünde zararlı yazılımların bu bilgiyi (ç)almaya yönelik olmaması düşünülemez. APT’ler hedefine yönelik, özel olarak tasarlanmaktadır. Hedefine özel olduğu için de genel olarak daha önce görülmemiş şekilde ortaya çıkarlar. Bazı ücretsiz basit araçlarla oluşturulabileceği gibi çeşitli aşamaları olan ve finansal desteği devletler tarafından sağlanmış şekilde özel laboratuvarlarda hazırlanabilmektedir. Özellikle özel sektör; fikri mülkiyet hakları yüzünden APT hedefi olmaktan korkar hale gelmiştir.
malware.binary tanımı
Bu terim FireEye firması tarafından literatüre kazandırılmıştır. Herhangi bir şekilde; e-mail, dosya transferi ya da web üzerinden gelen daha önce görülmemiş zararlı dosyalara verilen isimdir. Tespit edildiği sistem üzerinde, tamamen hedefi üzerinde amacına yönelik olarak tasarlanmış olan tiplerine rastlanmaktadır. Örneğin; kodlayanı tarafından kuruma özel bir proxy adresi girilmiş ve bu şekilde kurum bilgileri saldırganın yönetim (C&C-Komuta Kontrol) sunucusuna doğru sızdırılıyor olabilir. Ya da yine kurumdan çıkan bilgilerin hangi kuruma ait olduğu; bir dizi özel komut ile gerçekleştirebilir. Bu şekilde saldırgan bilginin hangi kurumdan geldiğini anlayacaktır.
APT tanımı: Uzun süreli, gizli, fark edilmeden, hedefi üzerinden yetkisiz bir şekilde, çeşitli hassas bilgileri ele geçiren zararlı yazılımlara verilen genel addır.
Hedefi: Önemli kişiler, kurumsal firmalar, büyük organizasyonlar ve devletler
Amacı: Hedef sistem üzerine farkedilmeden sızmak ve hedefi üzerinde olabildiğince uzun süre kalarak, temelde amacına yönelik hassas bilgileri kaynağına iletmek
PoisonIvy veya GhostRAT gibi ücretsiz Remote Administrator Araçlar (RAT) vasıtasıyla zararlı yazılımlar APTler haline dönüştürülmektedir.
APT Aşamaları
APT’nin hedefine yerleştirme aşamasında çeşitli aşamalar mevcuttur. Keşif (bilgi toplama), kimlik hırsızlığı, verileri çalma, kalıcı olma bunlardan bazılarıdır. Her APT’de her aşama gerçekleşmeyebilir veya aşamalar sırasıyla işlemeyebilir. En başta zararlı yazılım hedef network içine yerleştirilir. Bu yerleştirmeden sonra tüm aşamalarda zararlı yazılım bağlantıyı koparmamak adına “kalıcı olma” aşamasındaki uyguladığı tüm adımları her aşamada uygulayabilir.
- Keşif/Bilgi Toplama
Hedefe yönelik olarak açık kaynak araştırması gerçekleştirilir. Sosyal medya ve çeşitli anahtar kelimeler ile kurumsal linkler araştırma kaynağı olabilir. Kuruma ait e-posta ya da anlık mesajlaşma adresleri veya iletişim bilgileri kullanılabilir. Genel olarak hedef kurum çalışanlara yönelik bir bilgi toplama faaliyetidir. LinkedIn gibi kurumsal hesapların yanında şahısların Facebook hesaplarından ilgi alanları keşfedilir, üzerine sosyal mühendislik araçları kullanılabilir. Bir kişi hakkında önemsiz gibi görünen “ilgi alanı-hobi” aynı kişiye karşı kullanılan bir siber saldırı aracı (siber-silah) haline gelebilir.
Keşif aşamasının süresi hedef kurum ya da organizasyonun dış dünyadan ne kadar izole olduğu ile alakalıdır. Kolayca ulaşılabilen hedefler üzerine bilgi toplama aşaması ortalama 1-2 gün sürer. Ancak zorlukla ulaşılan yerler ile alakalı fiziki olarak da araştırılma yapılması gereklidir. Buna tarz yerler için bilgi toplama aşaması 6 ay-1 sene arasında değişebilir. O nedenle bilgi toplamanın ortalama süresi kesinlikle değişkendir diyebiliriz.
2. İzinsiz Girme/İhlal
Saldırganın kurum içerisine girme yolunda uğraş verdiği çok çeşitli yollar bulunmaktadır. Günümüzde en çok tercih edilen yol “Spear Phishing” adı verilen hedef odaklı oltalama saldırılarıdır. Saldırgan kurum içerisindeki hedefini; keşif aşamasında toplamış olduğu veri doğrultusunda belirler. Bu kritik konumda çalışan birisi (IT departmanı) ya da basit bir kurum çalışanı da olabilir. Özellikle Domain Admin ayrıcalığı olanlar tercih sebebidir. Bu aşamada hedefe üzerinde oynama yapılmış ve exploit barındıran pdf ya da bir word dosyası gönderilir. Ya da duruma göre bu mail içerisinde bir link (URL) de olabilir. Saldırgan deep web üzerinde satın almış olduğu yazılım aracını bu aşamada kendi amaçları doğrultusunda (komuta merkezi sunucusunu belirlemek gibi) kullanabilir.
Ayrıca bu aşamada tercih edilen saldırı yöntemlerinden birisi “Watering Hole” saldırılarıdır.Bu yöntemde saldırganın hedefindeki kurum tarafından yoğun olarak kullanılan bir Web sayfasına sızılarak içerisine exploit bırakılır. Örnek olarak ünlü bir alışveriş sitesinin içerisinde exploit gömüldüğünü düşünün. Bu siteyi kullanan tüm kurum çalışanları exploitten etkilenecektir. Bilgisayardaki zafiyet durumuna göre bu exploit hedefine erişim sağlayacaktır.
Watering Hole saldırı yöntemi 2012 yılında RSA Security tarafından ortaya çıkartılmıştır. Saldırgan hedefindeki kurum, organizasyon ya da endüstri şirketi bilgisayar ağlarına; çalışanlarının tercih etmiş olduğu web-sayfaları içerisine yerleştirilen zararlı yazılım(lar) vasıtasıyla giriş yapar. Kaynak: https://en.wikipedia.org/wiki/Watering_Hole
3. Bulaşma/Enfeksiyon
Bulaşma evresinde (exploit edilen) erişim sağlanan hedef bilgisayarında saldırganın işlem yapması (zararlı bulaştırması ve aktif hale getirmesi) gerekmektedir. Bu, esas amacı esas zararlı dosyayı aktif hale getirecek “tetikleme” (dropper ya da downloader) mekanizmasının hedefe bırakılmasıyla gerçekleşir. Bu işlemde kullanılan koda “Payload” adı verilir. Payload kodu hedef bilgisayar üzerinde çalıştırıldığında; saldırgan artık amacına yönelik bilgileri almaya başlamış olacaktır.
Genel olarak bulaşma evresi çok sade bir arkakapıya (backdoor) çok basit bir zararlı dosyanın bırakılmasıyla başlar. Bu küçük, basit dosyalar Antivirüs yazılımına yakalanmadan işlem görürler. Bir kaç dakika içinde saldırgan Payload aşaması ile zararlı yazılımını hedefi üzerinde çalıştıracaktır ki bu zararlı dosya da imza veritabanı motoru kullanan Antivirüs yazılımlarına yakalanmayacaktır. Bu aşamada kurumlarda dışarıdan gelen dosyaların (verinin) hedefine ulaşmadan önce sanal veya motor ortamlarda çalıştırılarak neler yaptığının bilinmesi ve buna yönelik ürün tercihi tavsiye niteliğindedir.
İhlal ve bulaşma aşamalarının süreleri birlikte değerlendirilebilir. Bu aşamalarda işlemler hedef ağının ve sistemlerinin hızına bağlıdır. Ortalama 1-2 dakika içerisinde ihlal ve bulaşma evreleri tamamlanmış olur.
4. Kimlik/Yetki Hırsızlığı
APT evrelerinde bulaşma evresinden sonraki evre “Kimlik Hırsız”lığı evresidir. Bu evre her APT’de olmayabilir. Zira her aşamanın gerçekleşmeyebileceğini ya da sırasıyla olmayabileceğini daha önce söylemiştik.
Saldırganların kurum networkleri üzerinde kimlik/yetki hırsızlığına gitmesinin sebebi kurum içinde kalıcı olarak daha fazla veri elde etme amacından kaynaklanmaktadır. Bu aşamada saldırgan, e-mail, Active Directory veya FTP kullanıcıların yetkilerini zararlı yazılımı vasıtasıyla ele geçirir. Bu yetkiler sayesinde kurum içerisinde daha derine inilerek esas ulaşılması istenen veriye ulaşılma amacı güdülür. Ayrıca saldırganlar özellikle AD yapıları içerisindeki Domain Admin veya Local Admin gibi ayrıcalıklı yetkilerdeki kullanıcılara karşı, kurum networkü üzerinde rahatça at koşturabilecekleri için daha çok ilgi duyarlar.
Bu aşamanın süresi yüksek düzeyde saldırganın kapasitesine ve hedef yetki düzeyinin ne kadar güvenli olarak korunduğuna bağlıdır. Ancak ortalama 1-2 hafta içerisinde saldırgan amacına ulaşabilir diyebiliriz.
5. Yatay Yayılma
Saldırgan bu aşamada bir önceki aşamada ele geçirmiş olduğu kurum içinde herhangi bir kullanıcı yetkisi, dosya paylaşımı sunucusu veya e-posta adresi gibi araçları kullanarak iç ağda yayılma yoluna gider. İç networkte zafiyeti bulunan ulaşılan ve zararlı yazılım bulaştırılan çeşitli diğer hedefler de saldırgana yatayda yayılma kolaylığı sağlar. Her bir son kullanıcıda ele geçirilen veri değerlendirilir. Yine aynı şekilde zararlı yazılımların bulaştırıldığı son kullanıcıların sayısı arttıkça zararlı yazılımın o network içinde kalıcılığı artar. Yatayda yayılma; saldırganın hedef network içerisindeki iz (log) sayısını artırsa da aynı zamanda bırakmış olduğu izleri silme olasılığını yükseltme fırsatı sunar. ( Geride delil bırakmama imkanının artması)
Saldırgan izini nasıl temizler?
Yatay yayılma saldırgana kendi yapmış olduğu ihlal eylemlerini silme imkanı sunabilir. Örneğin sızılan kurum ağı içerisinde çeşitli zararlı faaliyetlerini gerçekleştirdikten sonra yatayda yayılarak log sistemlerinin veya sunucularının bulunduğu ortamlar da ele geçirilirse, saldırgan geride herhangi bir delil bırakmamak için kendi yapmış olduğu log kayıtlarını veya diğer izleri silebilir. Bu nedenle kurumların merkezi log kayıt sistemlerini logların herhangi bir şekilde silinemediği ürünler içerisinden seçmeleri önemlidir.
Yatay yayılmada ana hedef daha fazla verinin ele geçirilmesidir. Bu aşamada herhangi bir tetikleme mekanizmasına ihtiyaç duymadan kendi kendine kopyalama ve çoğalma özelliği olan WORM’ler kullanılabilir. Worm’ler sayesinde kurum içerisinde ulaşılabilinen her bilgisayara zararlı yazılım bulaştırılabilir. Daha fazla hedefe yayılma da APT’nin kalıcılığını yüksek seviyeye çıkartır.
Her APT yatayda yayılma hedefi gözetmez. Network içerisine sızdırılan zararlı yazılım faaliyetini gerçekleştirirken başka hedeflere bulaşmadan da misyonunu tamamlayabilir.
Yatay yayılma aşamasında WORM’ler sistemlere bağlı olarak saniyeler içerisinde bulaştırılabilir ancak logların temizlenmesi veya hedef sistemlere saldırganın ulaşması kısmı uzun sürecek işlemlerdir. Ortalama 3-6 ay arasında saldırgan tüm sistemde etkin hale gelebilir.
6. Bilgi Süzme/Çalma
APT’nin temel amacı hedefindeki bilgilerin ele geçirilmesidir. Bu aşamada saldırganlar peşinde oldukları veriye ulaşmaya/çalmaya çalışır. Saldırganın pek çok amacı/sebebi olabilir. Bunlardan bazıları; kuruma/organizasyona zarar verme, devlet casusluk faaliyetleri, endüstri casusluğu, finans kaynaklı kurum müşteri bilgileri gibi kritik bilgilerin ele geçirilmesi gibi.
Bu aşamada kurumun kullandığı geleneksel güvenlik çözümleri yetersiz kalmaktadır. Çünkü genelde kurumlar dışarıdan içeriye gelen verilerin kontrollerini yaparak bunlara göre önlem alırlar, oysa kurumdan çıkan verinin (callback) risk bakımından önemi daha yüksektir. Zararlı yazılım (APT) callback işlemi ile komuta kontrol (C&C) sunucusu adı verilen saldırgana ait sisteme verileri gönderebilir. APT’ler genel manada HTTP gibi sıradan portlar yerine farklı iletişim protokolleri ile iletişim sağlarlar. Ayrıca örnekleri göstermektedir ki, saldırganlar SSL’den farklı, daha güçlü, kırılması zor şifreleme metotları kullanmaktadır.
APT Callback nedir?
Zararlı dosya(lar)ın hedefi üzerinde çeşitli aşamalardan sonra bilgisayar adı gibi sistemsel bilgileri saldırgana ait bir kaynağa (C&C sunucusu gibi) göndermesi işlemidir.
Saldırganlar bazı kurumlarda Firewall’da rahat hareket edebilmek için HTTP protokolü ile verileri göndermeyi tercih ederler. Ayrıca veriler; APT’nin komuta kontrol merkezi haricinde Google Drive, Dropbox gibi dosya paylaşım hizmetinden, herhangi bir FTP sunucusundan ya da e-posta gönderilerek çıkabilir.
7.Kalıcı Olma
APT’nin son evresi hedefinde kalıcı olma evresidir. Kalıcı olmayı sağlamak için saldırgan;
- Varlığını sürdürebilmek için stratejik konumdaki bilgisayarları kullanır
- Kurumun mesai saatleri dışındaki saatlerde işlemlerini gerçekleştirir
- Zararlı dosyalar üzerinde sürekli olarak güncelleme yapar ki bu sayede AV’lere yakalanmaz
- Kurum ağından kopma/koparılma halinde vakit kaybetmeden tekrar içeriye giriş yapabilmek için sürekli olarak yetki hırsızlığına devam eder.
Saldırganın özellikle mesai saatlerinin dışını tercih etmesinin sebebi kurum çalışanlarının mesai saatleri içerisinde daha dikkatli olma potansiyelinden kaynaklanmaktadır. Saldırgan hedef ağ içerisinde kalıcı olmayı garantilediğinde işlemlerini sürekli olarak güncelleme gereği duyar. Bunun sebebi kullanmakta olduğu bir aracı ya da yazılımı; kurum içindeki güvenlik sistemi tespit edebilir veya tehdit olarak algılayabilir. Örneğin ufak bir imza değişikliği ile zararlı dosya AV sistemlerine yakalanmayacaktır.
Bilgi Süzme/Çalma ve Kalıcı Olma evrelerindeki süre birlikte değerlendirilebilir. Çünkü bilginin süzülmesi ile APT temel amacına ulaşmış olacak artık yakalanma ve tespit edilme süresine kadar hedef sistemi üzerinde kalıcı olacaktır. Daha önceki örnekler göstermektedir ki hedef sistemde ortalama kalma süresi 200 gündür. Bunun için 6 ay ile 2 sene arasında bir rakam verilebilir.
En meşhur APT örnekleri: Stuxnet, Flame, Aurora
Code 0 day 