Siber Saldırı Yaşam Döngüsü, Cyber Kill Chain

Siber Saldırı Yaşam Döngüsü, Cyber Kill Chain

 

Cyber Kill Chain

Kill Chain” Türkçe olarak Ölüm Zinciri askeri bir terim olarak ortaya çıkarılmıştır. Ve amacı da askeriyeler tarafından hedeflenen belirli bir yere saldırı aşamalarının tanımlanmasında kullanılmaktadır.

Siber saldırılar öncesinde saldırganlar ya da hacker grupları detaylı araştırmalar gerçekleştirmektedirler. Siber güvenlik araştırmacılarının geliştirdikleri ve üzerinde çalıştıkları modellerden bir tanesi de “Cyber Kill Chain” modelidir. Cyber Kill Chain modelini Locheed Martin firması hedefli saldırıları (APT) analiz edebilmek ve tespiti kolaylaştırabilmek amacıyla geliştirmiştir.

Bir siber saldırı da hedeflenen sisteme ulaşmak ve hedefledikleri motivasyonlara ulaşabilmek için bir saldırı planı oluşturulmaktadır. Hedefli saldırılarda izlenen adımlar genel olarak benzerlik göstermektedir. Bu adımların yer aldığı genel modele de Cyber Kill Chain modeli denilmektedir. Bu model kullanılarak da yukarıda bahsettiğim gibi saldırıların tespitini ve analizini kolaylaştırmak amaçlanmaktadır.

Keşif aşamasından saldırı aşamasına kadar tanımlanan bu model 7 aşamadan oluşmaktadır. Bu 7 aşama da şu şekildedir;

  1. Reconnaissance (Keşif)
  2. Weaponization (Silahlanma)
  3. Delivery (İletme)
  4. Exploitation (Sömürme)
  5. Installation (Yükleme)
  6. Command & Control,C2 (Komuta Kontrol)
  7. Actions On Objectives (Eylem)

 

1,

 

Yukarıda bahsettiğimiz modeldeki adımların her biri birbirinin devamı şeklide ilerler ve bir adımda başarıya ulaşmadan diğer adıma geçilemez. Burada ki isim de Chain yani zincir anlamına gelmesininn nedeni de budur. Bu modeldeki ana fikir de “Saldırı adımlarının birinde yaşanılan başarısızlık saldırıyı başarısızlığa uğratır. ”

Bu adımların açıklaması ise şu şekildedir.

1) Keşif (Reconnaisance)

Modelin ilk adımı olan keşif aşamasında hedeflenen sistem üzerinde giriş yapılabilecek olan noktaların belirlenmesi amaçlanmaktadır. Bu noktalar belirlendikten sonra, saldırının geliştirilebilmesi için gerekli olan bilgiler toplanmaya başlanır. Burada bizler için önemli olan bilgiler ise IP adresleri, açık portlar, çalışma saatleri, çalışan kişi bilgileri, hizmet verdikleri kurumlar(varsa), kullanılan ürün bilgileri bizler için önemli olmaktadır. Bu bilgilere ise sosyal mühendislik, OSINT çalışmaları, kişisel ve kurumsal bilgi toplama araçları, sosyal medya üzerinde yapılan araştırmalar ve forumları kullanarak erişim sağlayabiliriz.

 

2) Silahlanma (Weaponization)

Bu aşamada bilgileri topladıktan sonra hedef hakkında edindiğimiz açıklıklar ve zayıf noktaları hedef alarak saldırıyı nasıl ve nereden yapacağız gibi sorulara yanıt buluruz. Daha sonrasında belirlemiş olduğumuz saldırı vektöründe silahımızı oluşturmamız gerekir. Silahtan kastımız zararlı yazılımların oluşturulması ve paketlenmesi anlamına gelmektedir. Oluşturmuş olduğumuz zararlı yazılımı hedefe enjekte edebilmek için bir web sayfası içerisine ya da herhangi bir dosya içerisine gizleyebiliriz.

 

3) İletme (Delivery)

İletme aşamasında silahlanma aşamasında oluşturulan zararlı yazılımın hedef sisteme nasıl sızdırılabileceği konula üzerinde çalışılır. Bu aşamada zararlı yazılımı sızdırma için kullanılan en etkili yöntemlerden birisi de Phishing (oltalama) yöntemidir. Herhangi bir e-posta ya zararlı yazılımı gizleyip sonrasında bunu normal bir e-posta gibi göstererek sisteme sızmayı deneyebiliriz.

 

4) Sömürme (Exploitation)

Sömürme aşamasında sistemdeki zafiyetten faydalanılır. İletmiş olduğumuz zararlı yazılımın sistem üzerinde kurulması ve gizli bir şekilde uzaktan erişim sağlanması amaçlanmaktadır. Bunun için de kullanıcıların kullandıkları herhangi bir sistem ya da uygulama üzerinde bir açıklık olması gerekmektedir. İletme aşamasında göndermiş olduğumuz zararlı yazılımın karşı tarafta açılmasıyla birlikte açılması da sistemdeki zafiyet sömürülür.

 

5) Yükleme (Installation)

Hedef sistemin sömürülmesinin ardından, sistemde kalıcı bir tehdit haline gelmek, güvenlik sistemlerinin başarılı bir şekilde kontrol altına alınması için hedef sisteme zararlı yazılımın indirilmesi ve yazılımın sistem üzerinde bulunacağı zamanı arttırmayı hedefleyen aşamadır.

 

6) Komuta Kontrol (Command & Control)

Komuta kontrol aşaması hedef sistemin uzaktan kontrol edildiği aşamadır. Uzak erişim için açılan hedef veya hedefler internet üzerinde yer alan bir komuta kontrol sunucusuna bağlantı sağlar. Bu aşamayla birlikte hedef sistem artık ele geçirilmiş sayılmaktadır.

 

7) Eyleme Geçme ( Actions on Objectives )

Tüm aşamaları başarıyla gerçekleştiren saldırgan artık hedef sisteme erişim sağlamıştır. Bu aşamada veri çalma, veri silme, veri üzerinde değişiklikler yapma, sisteme zarar verme gibi amaçlarını yerine getirebilir. Bu aşamada saldırgan kullanıcı sistemlerini ele geçirdikten sonra amacı doğrultusunda başka sistemlere saldırma (botnet) amacını da gerçekleştirebilir.

Bu aşamada önlem olarak iç networkten, dış networke yapılan veri akışının sınırlandırılması ve sadece daha önceden belirlenmiş sunuculara veri akışı sağlanabilir. Ve sistem üzerindeki verilerin yedeklerinin sürekli olarak tutulması da saldırıların etkilerini azaltabilmektedir.

 

Buraya kadar okuduğunuz için Teşekkürler. 🙂

 

Kaynaklar:

  • https://www.muhammedaygun.com/2020/03/cyber-kill-chain-siber-saldr-yasam.html
  • Siber Güvenlik Operasyonları Merkezi (Evren Pazoğlu – M.Nezir Yücesoy)

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir