Embed Size (px)
Citation preview
SİBER GÜVENLİK BÜLTENİ
Sayı 01
1
Siber Güvenlik dünyasında son zamanlarda herkesin ağzında olan bir terim Cyber Kill Chain. Bizde bu sayımızda sizler için bu kavramı inceledik.
“Kill Chain” ya da Ölüm Zinciri askeri bir terim olarak ortaya çıkmıştır. Siber Güvenlik ekiplerinin oldukça aşina olduğu; KISS(Keep it simple stupid), DMZ (Demilitarized zone), Command and Control, Lateral Movement, Weaponization terimleri gibi.
Bilgi güvenliği camiasında kullanılan metodlar sıklıkla askeri terimler ile açıklanıyor. Örneğin, güvenlik duvarlarındaki ağ ayrıştırmaları, DMZ (demilitarized zone) , zararlı yazılımlara merkezi olarak komut gönderen sunucular (Command & Control), bir ağa sızıldığı zaman ağ içinde sistemden sisteme atlamalar ( lateral movement ) tanımlanırken askeri terimler kullanılıyor. “Cyber Kill Chain” de askeri bir terimden yola çıkarak siber güvenlik literatürüne kazandırılmıştır. (Adversary) Kötü niyetli grupların sistemlere sızmak ve istediklerini elde etmek için gerçekleştirdikleri aktiviteler, cyber kill chain modeli ile bir akışa ve metodolojiye oturtularak daha anlaşılır, savunma yöntemleri iyileştirebilir, saldırılar hızlı tespit edilebilir ve gecikmeden müdahale edilebilir.
Aşağıdaki görselde cyber kill chain in adımları ve adversarylerin bu adımlarda gerçekleştirdiği aktiviteler görülebilir.
Cyber Kill Chain aşamaları
“Zincir en zayıf halkası kadar güçlüdür” deyimi saldırıyı planlayan için bir mottodur :)
( APT = An advanced persistent threat gelişmiş sürekli tehdit )
Saldırganların bir hedefe ulaşılmakta kullandıkları aşamalar:
Cyber Kill Chain
2
1)KEŞİF (RECONNAISANCE)
Saldırı başlamdan önce hedef hakkında bilgi toplanır. Sistemlere giriş yapılacak hassas noktaları ve yöntemlere dair istihbaratlarını oluşturulur. Sızılacak firmanın IP adresleri, çalışan bilgileri, ifşa olan basit parolaları, kullanılan güvenlik sistemleri tespit edilir. Bilgi toplama aşamasında, LinkedIn, Instagram gibi sosyal medya hesapları da kullanılabiliyor hatta hedef firmanın çöpleri bile karıştırılabiliyor. Bu literatürde dumpster diving olarak adlandırılıyor.
2)SİLAHLANMA (WEAPONIZATION)
Saldırgan bu aşamada henüz saldırısını gerçekleştirmiyor. Bulduğu zafiyetlerin sömürülmesi için yönetimini belirliyor ve saldırısını hazırlıyor. Gerekli bilgilere ulaştıktan sonra sıra, işletim sistemindeki ya da internette açık bir uygulamadaki eksik bir patch (yama)’den ya da açık olmaması gereken bir port dan kaynaklanan bir zafiyetin sömürülmesi için hazırlık aşamasında. Aynı zamanda malware içeren web siteleri de oluşturma da yapılan hazırlıklardan biridir. Edindiği bilgiler doğrultusunda güvenlik açıklarına özel hazırlanmış kötü amaçlı yazılımlarını geliştirir. Bu aşamada saldırganın silahı güçlenmiştir. Bu süreç tamamlandıktan sonra saldırgan artık kullanıcıya gönderilecek bir Phishing hazırlığına girer.
3)İLETME (DELIVERY)
Bu aşama yapılan tüm hazırlığın, zararlı yazılımın, hedefe iletilmesidir. Aslında bombanın fitili burada ateşleniyor diyebiliriz. Saldırgan en çok tercih edilen yöntem olan phishing (oltalama) yani paketlenen zararlı yazılımını bir e-posta ekinde hedefe gönderilmesi veya USB benzeri medya ile iletir.
4)SÖMÜRME (EXPLOTATION)
Hedef sisteme erişim elde etmek için daha önceden tespit edilen zafiyetlerin sömürülerek zararlı kodun çalıştırılması aşamasıdır.
Cyber Kill Chain
3
5)YÜKLEME (INSTALLATION)
Sömürülme başarılı olduktan sonra, zararlı yazılım hedefe yüklenir. Bununla birlikte saldırganın kendini daha fazla gizlemek, iz sürülemez hale getireceği aşamadır. Saldırganın uzaktan bağlanabilmesi için dışarıdan güncellemeler ve yazılımlar indirmeye başlayacaktır, çünkü bunca zahmetten sonra erişimi kaybetmek istemeyecektir. Elbette bu aşamada firma bir şeylerin ters gittiğini görüp zafiyeti kapatabilir, hesap şifrelerini güncelleyebilir. Bu durumda saldırgan, client makinasında kalıcılık sağlamak için yeni bir servis oluşturabilir, kullanıcının yetkilerini değiştirebilir, logon script yazabilir, yeni bir kullanıcı oluşturulduğunda zararlı yazılımının çalışması için registryde değişiklik vs yapabilir. Amaç daha yetkili bir hesap ele geçirmek, kritik kullanıcıların bilgisayarlarına erişmek ki bu hassas doküman ve verileri bulmak anlamına geliyor.
Tabi kimi durumlarda mallware bile olmasına ihtiyaç bulunmuyor. Örneğin parolalar ifşa olduysa
6)KOMUTA VE KONTROL (COMMAND AND CONTROL)
Bu aşamada hedef sistem tamamen veya kısmi olarak ele geçirilmiştir diyebiliriz.
Zaralının bulaştırıldığı Hedef sistem saldırgan kontrol sunucusuna (C&C) bir haberleşme kanalı açar böylece artık her türlü erişime sahiptir. Bunun için bazı teknikler kullanır örneğin, encoding,tünelleme,şifreleme… Bu haberleşme kanalı ile saldırgan APT kodlarını hedef ağa yerleştirir ve ortamdaki kodu tamamiyle yönetmeye başlar. Bu şekilde ağda rahatça hareket eder, veri gönderir fakat arkasında iz bırakmamaya çalışır.
7)EYLEME GEÇME (ACTIONS ON OBJECTIVES)
Saldırganın eyleme geçtiği aşamadır. Tüm kontrolü elinde barındıran saldırgan, veri çalma değiştirme silme işlemlerini yapabilir ,başka sisteme saldırmak gibi eylemleri gerçekleştirebilir
Başarılı bir saldırı hedeflemek için sadece iyi teknik bilgiye sahip olmak yetmez. Plan ve prosedüre uyularak yapılan taktiksel saldırılar ile sistemlerinizin kontrolü bir anda başkasının eline geçebilir Cyber Kill Chain bu prosedürlerden biridir. Aynı zamanda bu saldırıları göğüslemek de ustalık gerektirir.
Cyber Kill Chain
4
Verizon Veri Sızıntısı Soruşturma Raporu 2019Siber saldırılar artık herkes için ciddi olarak baş edilmesi gereken bir risk oldu. Öyle ki her yıl Davos’ta toplanan Dünya Ekonomik Forumu, siber saldırıları Global Risk Raporu’nda en tehlikeli riskler arasına ekledi. Siber saldırılar sonrasında kuruluşların karşılaştığı en büyük kabus ise “veri sızıntıları”.Ciddi bir veri sızıntısı yaşayan bir çok kuruluş, ticari itibarını, müşterilerini ve finansal varlıklarını kaybetmeyle karşı karşıya kalıyor; zaman zaman bu olay sonrası işini sürdüremiyor ve kapanıyor. Bu nedenle, bu yazımızda sizin için 12 yıldır aralıksız olarak yayınlanan Verizon Veri Sızıntısı Soruşturma Raporunun (Verizon Data Breach Investigations Report * https://enterprise.verizon.com/resources/reports/dbir/) 2019 versiyonunu inceledik ve istatistiklerden de faydalanarak bazı dersler çıkarmaya çalıştık. Verizon Veri Sızıntısı Soruşturma Raporu Nedir?Verizon firmasının bir yıl boyunca kamu ve özel kuruluşlardan anonim olarak topladığı yaşanmış
gerçek veri sızıntısı olaylarını analiz edip yayınladığı bir rapordur. Güvenlik ihlallerine değil, veri sızıntısına odaklanır. Raporu yazan ekip, her yeni raporla beraber tehditlerin
arttığını, savunmanın zorlaştığını gören okuyucuları daha fazla karamsarlığa itmemek için; raporu yazma amacımız “bilgi güvenliği yarasına tuz basmak değil, farkındalığı ışığına katkıda bulunmaktır” demişler. Bunu da Mevlana’nın ünlü “ Yara, ışığın içine sızdığı yerdir” sözüyle bağlamışlar.
2019 YILI RAPORU2019 sayısında, 73 farklı kuruluşun ilettiği 41 bin 686 güvenlik olayının içinden teyit edilmiş toplam 2013 veri sızıntısının analizi yapılmıştır.Veri sızıntısı için kullanılan taktiklere baktığımızda “hacking” hala en çok kullanılan yöntemdir. Onu sosyal ataklar ve zararlı yazılımlar takip etmektedir. Veri sızıntısına neden olan aktörlere baktığımızda ise dış tehditlerin yanında dikkate değer ölçüde (%34) iç tehditlerin de olduğunu görüyoruz. (Resim - 1)
Resim-1
“Yara, ışığın içine sızdığı yerdir” Mevlana
Rapor İncelemesi
5
Saldırganların motivasyonuna baktığımızda ise finansal fayda elde etmek hala ilk sırada yer alıyor, onu siber casusluk takip ediyor. Daha önceki yıllarda önemli bir motivasyon olarak görülen aktivizm ise son yıllarda daha az görülür olmuş. (Resim - 2)
Öğrenilen DerslerAraştırmayı analiz ettiğimizde; saldırgan motivasyonlarına ve sızma noktalarına baktığımızda yapılacak ilk aksiyonlarımız ortaya çıkıyor aslında. Tabii ki bir iki önlem ile bilgi güvenliğini sağlamak
mümkün değil ancak öncelik vermek açısından bir iki aksiyon sıralayabiliriz. Öncelikle oltalama saldırıları için çalışanların bilgi güvenliği farkındalığı arttırmalı ve bu konuda kuruluşumuzun dayanıklılığını güçlendirmelidir. Farkındalık için, oltalama simülasyonları yapılabileceği gibi farkındalık eğitimleri ve aktiviteleri düzenleyebiliriz.Bunun yanında çıkan diğer önemli ders siber casusluk konusunda özel koruma mekanizmaları geliştirmeli; casusluğa neden olabilecek bilgi ve süreçleri sürekli izlemeliyiz.
Genel olarak ise güvenliğin değişmez kuralı; çok katmanlı ve derinlemesine savunmaya odaklanmalıyız. Unutmayın, tüm zafiyetleri gideren tek bir çözüm hiçbir zaman mümkün değildir.
Resim-2
Rapor İncelemesi
6
Geçtiğimiz 3 ay için yayınlanan ve yaygın kullanılan sistemlerde bulunan kritik güvenlik açıkları aşağıdaki gibidir. Tüm müşterilerimizin ilgili güvenlik yamalarını uygulamasını tavsiye ederiz.
Kritik Güvenlik Açıkları
7
Nisan ayında İran Menşeili olduğu düşünülen APT34 isimli hacker grubunun Türkiye’de yoğun aktivitesi görülmüştür. Başta savunma sanayi olmak üzere farklı sektörlere yönelik saldırılar tespit edilmiştir.Genelde bir oltalama e-postasıyla başlayan saldırıların zararlı yazılım enjekte etme, yetki yükseltme/yetkili hesap ele geçirme, yatayda farklı bilgisayarlara bulaşma ve oradan farklı kurumlara sızma girişimleri ile devam ettiği görülmüştür. KoçSistem SOC; müşterilerine gerekli istihbarat bildirimlerini yapmış ve önlemlerin alınmasını sağlamıştır.
Turkcell Anubis Dropper MalwareBazı web sitelerinden Turkcell özelinde bir Android zararlısı olan “Anubis Dropper” yayılmaktadır. Zararlı incelendiğinde, farklı yetkinliklere sahip olduğu ve zararlının bu yetkinlikleri kullanarak hedefte RAT (Remote Administration Trojan) görevi gördüğü gözlenmiştir. Zararlı, çeşitli aktiviteleri gerçekleştirmek için komuta kontrol sunucuları ile iletişime geçerek komut almaktadır. KoçSistem Güvenlik müşterileri için gerekli engellemeler yapılmıştır.
Siber İstihbarat Buketi
Geçtiğimiz 3 ay içinde Güvenlik Operasyon Merkezi (SOC) müşterilerimize bildirilen siber tehdit istihbaratlarında yer alan kritik saldırılar ile ilgili bir buket hazırladık.Kuzey kore kökenli bir suç ve istihbarat grubu olan Lazarus’un yeni bir aktivitesi bildirildi. Lazarus grubunun FASHCash isimli bir zararlı yazılımı kullanarak ATM’lerden izinsiz olarak para çektikleri ve bu aktivitelerin 2016 yılında Asya ve Afrika’da başladığı ortaya çıkmıştır. FASTCash zararlısı, Lazarus grubunun istediği miktarda ( hesap bakiyesi olmasa dahi) para çekmelerini sağlamaktadır. Bu zararlı, sistemler arası haberleşmenin arasına girip ISO 8583 mesajlarını anlatıp bu mesajlara cevap vererek sahte banka işlemleri yapmaya olanak sağlıyor.
8
Yönetilen Uç Nokta Atak Tespiti ve Yanıtlama (EDR)Son kullanıcılar artık saldırganların dikkatini daha fazla cezbediyor. Çünkü sıkılaştırılmış sunucu ve ağ katmanından kurumlara sızmak artık daha zor. Ancak bu kurumların son kullanıcı sistemleri üzerinden sızmak ve oradan ilerlemek nispeten
daha kolay olabiliyor. Bu nedenle uç nokta güvenliği artık çok daha önemli. KoçSistem’de bu gerçekten yola çıkarak, uç noktalardaki saldırıları tespit edip müdahale etmek için Yönetilen EDR servisini devreye aldı. SOC hizmetleri ile entegre olabilen bu hizmet ile uç noktalarınız da artık 7/24 izlenebilir hale geliyor.Yönetilen EDR (Managed Endpoint Detection And Response), uç nokta sistemler üzerinde gerçekleşebilecek olaylara ve veri ihlallerine karşı müdahale ederek, kötü amaçlı bir vakanın oluşmasını engellerken, gelişmiş mimarisiyle birlikte bizlere durum hakkında detaylı bilgi ve analiz imkânı sunmaktadır.
Yönetilen EDR hizmetimiz; İzleme, Algılama, Toplama ve Müdahale ana bileşenleriyle, sistemlerinizde 7*24 proaktif bir şekilde tespit ve koruma imkânı sağlanmaktadır.
İzleme : Uç nokta sistemleri üzerinde manuel bir işlem yapılmadan, ajan sayesinde sistemin sürekli izlenmesi sağlanır.
Toplama : Sensorler sayesinde, sistem üzerinde çalıştırılan ve oluşan tüm aktivitelere ait kayıtlar merkezi sistemde toplanır.
Algılama : Toplanan bilgiler, Siber Güvenlik Uzmanları tarafından incelenerek detaylı vaka analizi yapılır.
Müdahale: Sensor tarafından otomatik gerçekleşen korumaya ek olarak, Siber Güvenlik Uzmanı tarafından yapılan analizlerle vakanın etkisi- gerçekleşme şekli ve tekrar oluşmaması için gerekli önlemler belirlenir. 7x24 izleme ile vakanın kaynağına müdahale edilerek, ilgili cihazın karantinaya alınması sağlanabilir.
Yeni Güvenlik Hizmeti
9
Bu bölümde geçtiğimiz 6 ay içinde dünyada ve Türkiye’de siber güvenlik ile ilgili yaşanan olaylardan ilginizi çekebileceğini düşündüğümüz bazı haberleri seçtik.
Fidye yazılımı saldırısı kurbanı Baltimore belediyesi’nin harcamaları 18 milyon doları bulacak.
Mayıs ayında fidye yazılımı saldırısına maruz kalan ve dosyaları şifrelenen Baltimore Belediyesi yetkilileri, bu siber atağın verdiği zararları telafi etmek için 10 milyon dolarlık ekstra bütçe ayrıldığını bildirdi. Tehdit aktörlerinin 80 bin dolar istediği ancak kanun yapıcıların ödememesini tavsiye ettiği belediye yetkilileri, atağın telafisi için harcanan miktarın 18 milyon dolara kadar çıkacağını öngörüyorlar. h t t p s : / / w w w. s c m a g a z i n e . c o m / h o m e /security-news/ransomware/baltimore-city-officials-approved-of-using-10-mil l ion-in-excess-revenue-to-cover-ongoing-expenses-related-to-the-ransomware-attack/-----------------------------------------------------
Dünyanın en ünlü 6 virüsünü taşıyan sanatsal bilgisayar 1.3 milyon dolara satıldıDünyanın en tehlikeli 6 virüsü ile donatılmış bir dizüstü bilgisayar çevrimiçi bir ihale ile 1.3 milyon dolara satıldı. Kaosun Azmi (The Persistence of Chaos) olarak isimlendirilen sanatsal çalışma sanatçı Guo O Dong ve siber güvenlik firması Deep Instinct ortaklığıya ortay açıktı. .Virüsleri içeren 11 yaşındaki Samsun dizüstü
bilgisayar, anonim bir ihale katılımcısı tarafından satın alındı. Bilgisayar, 2000 yılında ortaya çıkan ve Amerikan Parlementosu bilgisayralarına bulaşan ILOVEYOU ünlü virüsü ve 2017 yılında ortaya çıkan WannaCry isimli fidye yazılım zararlısını da içeriyor. https : / /www.bbc.com/news/technology-48444694?int l ink_from_ur l=https:/ /www.bbc.com/news/topics/cz4pr2gd85qt/cyber-security&link_location=live-reporting-story-----------------------------------------------------
KVK Kurumu, Yaşanan Veri Sızıntısı sonrası Marriott Otellerine 1.450.000 TL Ceza Verdi.
Marriott Oteller Zinciri, dünya çapında 383 milyon misafirin verilerin sızmasına neden olan güvenlik ihlali yaşamıştı. Olayın yankıları tüm dünyada sürerken bir ses de Türkiye’dek Kişisel Verileri Koruma Kurumu’ndan geldi. Türkiye’de, St. Regis, Sheraton Hotel & Resorts, Westin Hotels & Resorts, Element Hotels, Aloft Hotels, The Luxury Collection, Tribute Portfolio, Le Méridien Hotels & Resorts, Four Points by Sheraton and Design Hotels markaları altında faaliyet gösteren oteller zincirine; “veri güvenliğini sağlamaya yönelik gerekli teknik ve idari ve tedbirleri” almamasından ötürü 1.100.000 TL, “en kısa sürede” bildirimde bulunma yükümlülüğüne aykırılık teşkil etmesi nedeniyle de 350.000 TL, olmak üzere toplam 1.450.000 TL idari para cezası uygulanmasına karar verdi.https://www.kvkk.gov.tr/Icerik/5486/Marriott-International-Inc-Hakkinda-Kisisel-Verileri-Koruma-Kurulunun-16-05-2019-Tarih-ve-2019-143-Sayili-Karar-Ozeti
Siber Güvenlik Haberleri
