MITRE ATT&CK Framework

Kötü Amaçlı Yazılım bölümünde Lockheed Martin'in Cyber Killchain saldırı analiz framework'unu ele aldık. Cyber killchain mevcut tek analiz çerçevesi değildir, popüler bir alternatif de MITRE ATT&CK framework'udur. ATT&CK, düşman taktiklerini, tekniklerini ve genel bilgileri kapsayan 14 bölümden oluşmaktadır. Her bölüm kendi alt tekniklerine sahip farklı matrislere ayrılmıştır.

2013 yılında geliştirilen ATT&CK framework, bir olaya bakmanın modern bir yoludur ve müdahale ve süreklilikle ilgili kararların alınmasına yardımcı olabilir.

Keşif

Keşif, bir hedef hakkında bilgi toplama eylemidir. Bu genellikle güvenlik açığı taraması, ağ haritalama ve kimlik avını içerir. Saldırganlar genellikle zayıf bağlantılar ve şirkete giriş yolu ararlar. Keşfin nasıl yapıldığını anlamak, bir güvenlik ekibinin bir olayın öncüllerini fark etmesine yardımcı olabilir.

Kaynak Geliştirme

Kaynak geliştirme, bir saldırının konuşlandırılacağı altyapının edinilmesini içerir. Bu, önceki keşif sonuçlarına dayalı olarak kimliğe bürünme veya özel uyarlama istismarlarını içerebilir. Kaynak geliştirme aşamasında, bir saldırıya zemin hazırlamak için gereken tüm eylemler gerçekleştirilir.

İlk Erişim

İlk erişim, ilk güvenlik ihlalini ifade eder. Bunun gerçekleşmesi için birçok yol vardır, ancak yaygın olanlardan bazıları kimlik avı, birinin e-postadaki bir bağlantıya tıklaması veya ele geçirilmiş hesaplardır. Saldırganlar, bir tedarik zinciri saldırısında olduğu gibi, bir şirketin kullandığı temel yazılımı istismar etmeyi daha kolay bulabilirler. Saldırganların ortak alanlara sahte flash bellekler bıraktığı veya yakındaki araçlardan WiFi ağlarına saldırdığı örnekler bile var.

Nasıl yapılırsa yapılsın, ilk erişim bir saldırıdaki ilk gerçek tehlikedir.

Yürütme

Yürütme, saldırının geri kalanını gerçekleştirmek için gereken komutları veya komut dosyalarını çalıştırmayı içerir. Bunların çoğu PowerShell veya BASH komut dosyaları aracılığıyla otomatikleştirilebilir. Bu komut dosyaları güvenlik açığından yararlanacak, çalıştırılacak görevleri ayarlayacak, yazılım indirecek ve yükleyecek ve hatta muhtemelen saldırganlara dahili spearphishing için bir dayanak sağlayacaktır.

Kalıcılık

Kalıcılık, yerleştirilen kötü amaçlı yazılımı çalıştırmaya devam etmek için bir sistem veya sistemler kurma eylemidir. Bu, komut dosyalarının otomatik başlatılmasını, bir Linux sistemindeki başlatma komut dosyalarını, yeni hesaplar oluşturmayı, çalışacak görevleri zamanlamayı ve hatta kodu başka bir yürütülebilir veya makro özellikli belgenin içine veya yerine yerleştirmeyi içerebilir. Kalıcılık sayesinde saldırgan, makine yeniden başlatılsa veya tamamen silinmese bile kötü amaçlı kodun tekrar çalışacağından emin olabilir.

Ayrıcalık Yükseltme

Bir saldırgan dahili ağda bir yer edindiğinde, genellikle ayrıcalıklarını yükseltmek için çalışacaktır. Bu, yerel olarak, bir açıktan yararlanma yoluyla, kullanıcıyı çalışan bir komut dosyasının ayrıcalıklarını yükseltmesi için kandırarak, kimlik bilgilerini kablosuz olarak çalarak veya çalışan sistem süreçlerinden yararlanarak yapılabilir.

Bu aşamadaki anahtar, makinenin güvenliğinin ihlal edilmiş olmasıdır, ancak saldırganın makinede bir yönetici hesabı yoksa, hasarın gerçek boyutu o kadar da kötü olmayabilir. Saldırgan, ayrıcalığı bir yöneticiye yükselterek varlığı tamamen kontrol edebilir.

Savunma Kaçırma

Bu gerçekleşirken, kötü amaçlı yazılım tarayıcılarının, uç nokta yönetim yazılımlarının ve hatta muhtemelen SOC üyelerinin kötü amaçlı yazılımları tespit etmek ve kaldırmak için aktif olarak çalışacağını unutmamak önemlidir. Bir saldırgan, varlığının tespit edilmesini sağlamak için genellikle otomatik adımlar atacaktır. Bu, kötü amaçlı yazılım tarayıcılarını devre dışı bırakmayı, günlükleri temizlemeyi, bir kapsayıcıda dağıtmayı, halihazırda çalışan bir süreç içinde çalıştırmayı ve diğer gizleme yöntemlerini içerebilir. Savunmadan kaçınma, güvenlik ekibinin işini çok daha zorlaştırır.

Kimlik Bilgileri Erişimi

Kötü amaçlı yazılım en az bir makinede çalışırken, bir saldırgan kimlik bilgilerini çalmayı deneyebilir. Bu, tuş vuruşlarını kaydetmeyi, yerel ağda MitM saldırıları gerçekleştirmeyi, brute force programlarını, yerel olarak depolanan hash'leri kırmayı veya şifre yöneticilerinden yararlanmayı içerebilir. Kimlik bilgileri bir saldırgana ağdaki diğer makinelerde oturum açma ve varlıklarını genişletme imkanı verir.

Keşif

Kötü niyetli bir aktör, faaliyet gösterdiği ortam hakkında mümkün olduğunca çok bilgi toplamaya çalışacaktır. Mevcut hesaplar, ağ trafiği türleri, çalışan hizmetler, saklanan parolalar ve güvenlik karşı önlemleri hakkında bilgi sahibi olmak, sonraki adımlarla ilgili bilinçli kararlar vermelerine yardımcı olur. Şirket içi politikalar da yardımcı olabilir, şirket şifre politikasını bildiğinizde şifreleri tahmin etmek çok daha kolaydır. İlk erişimden sonra bir noktada bir saldırganın daha fazla bilgi edinmeye çalışacağını tahmin edin.

Yanal Hareket

Yanal hareket, ayrıcalıkta büyük bir değişiklik olmaksızın iç sistemler arasında hareket etmeyi ifade eder. Bu, ele geçirilmiş bir kullanıcı hesabının diğer kullanıcı hesaplarını ele geçirmek için kullanılması anlamına gelebilir. Bir saldırgan ne kadar çok hesaba erişebilirse, ortam hakkında o kadar etkili bilgi edinebilir. Birden fazla hesaba erişime sahip olmak, saldırgana kalıcılık, kimlik bilgilerine erişim ve dahili spearphishing için daha fazla seçenek sunar.

Koleksiyon

İş istasyonu klavyelerinin yanı sıra dizüstü bilgisayar kameraları ve mikrofonlardan da veri toplanabilir. Yerel sistem verileri, paylaşılan sürücü verileri ve çıkarılabilir medya verileri de toplanabilir. E-postalar gözden geçirilip saklanabilir ve bazı durumlarda ekran kayıtları da kullanılabilir. Discovery'de olduğu gibi bir saldırgan genellikle toplayabildiği kadar çok verinin peşindedir.

Komuta ve Kontrol

Komuta ve Kontrol (C2 veya C&C), ele geçirilen dahili sistemler ile harici bir sistem arasında bir kanal kurma sürecini ifade eder. Bu kanal, ele geçirilen makinelerden veri almak ve/veya makinelere kötü amaçlı yazılım yerleştirmek için kullanılabilir. Bir C2 kanalı, operatörün ele geçirilen makinelerle etkileşim göndermesine ve hatta işin çoğunu otomatikleştirmesine olanak tanır.

C2 protokolleri normal ağ trafiğine sızmaya çalışabilir veya izlenmesi zor hizmetlerden yararlanabilir. Web protokollerinde, DNS sorgularında, posta protokollerinde ve hatta Discord gibi sohbet protokollerinde şifrelenmiş C2 trafiği görürsünüz. Tespit edilmekten kaçınmak için ICMP ve UDP gibi daha düşük seviyeli protokoller de kullanılabilir. C2 sistemleri yükleme/indirme işlemleri için birden fazla kanal ya da farklı kanallar kullanabilir. Nihai amaç, trafiğin tespit edilmesini, izlenmesini ve durdurulmasını zorlaştırmaktır.

Dışarı Sızma

Büyük transferler alarmları tetikleyebileceğinden, verileri bir makineden almak bir düşman için zor olabilir. Google Drive, Dropbox gibi halihazırda kullanılan web hizmetleri, sızıntıyı normal trafik gibi göstermek için kullanılabilir. Fiziksel bir ihlal durumunda USB sürücüler kullanılabilir. Son olarak, saldırganın cihaza yakın olması halinde Bluetooth, hücresel veya yerel WiFi gibi radyo protokolleri de kullanılabilir.

Darbe

Saldırının etkisinin de analiz edilmesi gerekmektedir. Darbe, varlığa erişimin kaybedilmesi, veri kaybı, fidye için tutulan veriler, tahrifat, hizmet reddi veya kaynakların ele geçirilmesini içerebilir. Tüm bunlar iş sürekliliğini kesintiye uğratabilir ve sonuçta bir şirkete paraya mal olabilir. Gelecekte güvenlik kararları almak için bir saldırının etkisinin iyi anlaşılması gerekir.

Önceki Ders: Yanıt

Sonraki Ders: Olaylara Müdahale ve Süreklilik İnceleme Soruları

 

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Dentin Oluşumu

Resim
  Dentinogenez (diş gelişimi) sırasında önemli bölgeler. Gösterge: P = pre-dentin, D = olgun dentin, oklar = pulpanın kenarında bulunan odontoblastların hücre gövdeleri. [Image credit: "Histological section of tooth" by Doc. RNDr. Josef Reischig, CSc. is licensed under CC BY-SA 3.0 / labels added] Dentinogenez , dentin oluşumu sürecidir (ve odontogenez kelimesi ile karıştırılmamalıdır). Dentinogenez diş gelişiminin çan evresi nde başlar. Odontoblastlar (Yukarıdaki şekil) dentin üreten hücrelerdir. İlk adım, iskele görevi gören kolajen de dahil olmak üzere proteinlerin salgılanmasıdır. İkinci adım, iskelenin etrafındaki mineralizasyondur. Başlangıçtaki proteinden zengin materyal pre-dentin dir, mineralize olduktan sonra dentin olarak adlandırılır. Amelogenez in aksine, üçüncü bir protein kaldırma (yeniden şekillendirme) adımı yoktur. İndüksiyon (veya Başlatma) Amelogenez ve dentinogenezin animasyonlu görünümü. İndüksiyon fazı sırasında odontoblast lar orta...
Daha fazla oku »

Periodonsiyum Klinik Uygulamalar

Resim
  Hiper-Sementoz Sementoblast lar yetişkin sementumun yüzeyinde ( PDL içinde) bulunduğu için, sementum yeniden şekillenme ve onarım geçirme yeteneğine sahiptir. Bu da sementumu dentine benzetir ancak mineden farklı kılar. Aşırı sementoblast fonksiyonu hiper-sementoz ile sonuçlanabilir. Bu durum, diş üzerindeki aşırı oklüzal kuvvetler nedeniyle kök ucunda daha sık görülür. Gigantizm/akromegali veya Paget hastalığı gibi büyüme faktörü bozukluklarından da kaynaklanabilir. Konkresans Konkresyon örnekleri.  [Image credit : “Second and third molars joined by cement, in teeth with and without hypercementosis” by Consolaro A et al is licensed under CC BY 4.0] Yeterli miktarda hiper-sementoz iki dişi köklerinden birbirine yapıştırabilir, buna konkresyon denir. Bu, diş çekimi öncesinde radyografinin neden gerekli olduğunu gösterir. Bu durum en sık ikinci ve üçüncü üst azı dişleri arasında görülür. Kök Çürükleri Semental çürükler. [Image credit: “Photograph showing ...
Daha fazla oku »

Ağız Mukozasının Genel Histolojisi

Resim
  Ağız mukozası , ağız boşluğunu kaplayan mukoza zarıdır. Deri ile aynı köken i paylaşır ve bu nedenle aynı doku tiplerini aynı sırada görürüz. Bununla birlikte, katmanları farklı isimler alır ve farklı şekilde sınıflandırılır. Deri tabakaları üç embriyonik germ tabakası na dayanarak bölünmüştür, ancak ağız mukozası bu bölündürmeye uymamıştır. İlk olarak, çok katlı yassı epitel ve altta yatan areolar bağ dokusu bir araya toplanır ve oral mukoza olarak adlandırılır. Çok katlı yassı epitel tek başına ağız epiteli olarak adlandırılabilir ve epidermis gibi ektoderm den türemiştir. Dermis in papiller tabakasına homolog olan areolar bağ dokusu tabakasına lamina propria denir. Mezoderm den türetilen hücreler tarafından üretilir. Ağız mukozasının derinliklerinde, sıkı düzensiz bağ dokusu tabakası alt mukoza olarak adlandırılır ve dermisin retiküler tabakasının homologudur. Alt mukoza da mezodermden türetilen hücreler tarafından üretilir. Ağız mukozasında artan keratin miktarı...
Daha fazla oku »