Ağ Tehditleri: Adım Adım Saldırı Gösterimi


Ağ Saldırısı

İlk Erişimden Veri Sızıntısına kadar 6 adımı kapsayan bu gerçek hayattaki ağ saldırısı simülasyonunu izleyin. Saldırganların en basit araçlarla nasıl fark edilmediğini ve savunma stratejinizde neden birden fazla tıkanma noktasına ihtiyaç duyduğunuzu görün.

Şaşırtıcı bir şekilde, ağ saldırılarının çoğu son derece karmaşık, teknolojik açıdan gelişmiş ya da uç durum güvenlik açıklarından yararlanan sıfır gün araçlarına bağlı değil. Bunun yerine genellikle yaygın olarak bulunan araçları kullanırlar ve birden fazla güvenlik açığından yararlanırlar. Güvenlik ekipleri, gerçek dünyadaki bir ağ saldırısını simüle ederek algılama sistemlerini test edebilir, birden fazla tıkanma noktasına sahip olduklarından emin olabilir ve ağ güvenliğinin değerini liderlere gösterebilir.

Bu yazımızda birçok sistemde kolaylıkla gerçekleşebilecek gerçek hayattaki bir saldırıyı gösteriyoruz. Saldırı simülasyonu, MITRE ATT&CK çerçevesi, Atomic Red Team, Cato Networks’ün sahadaki deneyimi ve kamuya açık tehdit istihbaratı temel alınarak geliştirildi. Sonunda, bütünsel bir güvenlik yaklaşımının ağ güvenliği için neden önemli olduğunu açıklıyoruz.

Gerçek Hayattaki Ağ Saldırısını Simüle Etmenin Önemi

Ağınıza gerçek bir saldırıyı simüle etmenin üç avantajı vardır:

  1. Tespitlerinizi test edebilir ve saldırıları tanımlayıp engellediklerinden emin olabilirsiniz. Bu, en yaygın saldırı türleri olan sıradan saldırılarla başa çıkmak için önemlidir.
  2. Gerçek saldırılar, savunmanın birden fazla tıkanma noktasına dayandığını göstermenize yardımcı olur. Bir saldırı neredeyse hiçbir zaman tek bir hata noktasından kaynaklanmaz ve bu nedenle tek bir tespit mekanizması yeterli değildir.
  3. Gerçek saldırılar, ağ izlemenin liderliğiniz için önemini göstermenize yardımcı olur. Ağdaki gerçek görünürlüğün, ihlallere ilişkin içgörüler sağladığını ve etkili hafifletme, iyileştirme ve olay müdahalesine olanak sağladığını gösteriyorlar.

Saldırı Akışı

Aşağıda gösterilen saldırı akışı altı adıma dayanmaktadır:

  1. İlk Erişim
  2. Giriş Aracı Transferi
  3. Keşif
  4. Kimlik Bilgisi Boşaltma
  5. Yanal Hareket ve Kalıcılık
  6. Veri Sızıntısı

Bu adımlar, saldırılarda her yerde bulunan yaygın teknikleri örnekledikleri için seçilmiştir.

Şimdi her adıma ayrı ayrı bakalım.

1. İlk Erişim

Saldırı, ağa ilk girişi sağlayan hedef odaklı kimlik avı ile başlar. Örneğin, kazançlı bir iş teklifi içeren bir çalışana gönderilen bir e-posta ile. E-postanın ekli bir dosyası var. Arka uçta, e-postadaki kötü amaçlı ek bir makro çalıştırıyor ve açık kaynaklı bir ters kabuk olan Hoaxshell ile Microsoft Office’teki uzaktan kod yürütme güvenlik açığından yararlanıyor.

Cato Networks Tehditlerden Sorumlu Personel Güvenlik Mühendisi Dolev Attiya’ya göre, “Derinlemesine bir savunma stratejisi, bu ilk erişim vektörü kadar erken bir zamanda faydalı olabilirdi. Kimlik avı e-postası ve Hoaxsheel, tehditleri tarayan bir antivirüs motoru aracılığıyla yakalanmış olabilir.” e-posta ağ geçidi, uç noktadaki bir antivirüs veya ağın görünürlüğü ve kötü amaçlı belge tarafından oluşturulan ağ yapısının komuta ve kontrolünün yakalanması yoluyla birden fazla kontrol, saldırının yakalanma şansını artırır.”

Ağ Saldırısı
Ağ Saldırısı

2. Giriş Aracı Transferi

Ağ Saldırısı

Erişim sağlandıktan sonra saldırgan, saldırının sonraki aşamalarına yardımcı olmak için sisteme çeşitli araçlar aktarır. Buna Powershell, Mimikatz, PSX, WMI ve araziden beslenen ek araçlar dahildir.

Attiya şunu ekliyor: “Bu araçların birçoğu zaten Microsoft Windows çerçevesinde yer alıyor. Bunlar genellikle yöneticiler tarafından sistemi kontrol etmek için kullanılıyor, ancak saldırganlar bunları kötü niyetli de olsa benzer amaçlarla da kullanabilir.”

3. Keşif

Saldırgan artık hizmetler, sistemler, iş istasyonları, etki alanı denetleyicileri, bağlantı noktaları, ek kimlik bilgileri, aktif IP’ler ve daha fazlası gibi değerli kaynakları tanımlamak için ağı araştırıyor.

Attiya’ya göre, “Bu adımı, saldırganın büyük bir şehri ilk kez ziyaret eden bir turist gibi düşünün. İnsanlara yerlere nasıl gideceklerini soruyor, binalara bakıyor, sokak tabelalarını kontrol ediyor ve yön bulmayı öğreniyor. Bu, Saldırganın yaptığı şey bu.”

Ağ Saldırısı

4. Kimlik Bilgilerinin Boşaltılması

Değerli kaynaklar belirlendikten sonra önceden eklenen araçlar, birden fazla kullanıcının kimlik bilgilerini ele geçirilen sistemlere çıkarmak için kullanılır. Bu, saldırganın yanal harekete hazırlanmasına yardımcı olur.

5. Yanal Hareket ve Kalıcılık

Saldırgan, kimlik bilgileriyle ağ üzerinde yatay olarak hareket ederek diğer sistemlere erişebilir. Saldırganın amacı mümkün olduğu kadar çok kullanıcı ve cihaza ve mümkün olduğu kadar yüksek ayrıcalıklara ulaşarak dayanak noktasını genişletmektir. Bu onların sızdırabilecekleri hassas dosyaları bulmalarını sağlar. Örneğin saldırgan yöneticinin kimlik bilgilerini ele geçirirse ağın büyük bölümlerine erişim sağlayabilir. Çoğu durumda saldırgan yavaş ilerleyebilir ve tespit edilmekten kaçınmak için görevleri daha sonraki bir süreye planlayabilir. Bu, saldırganların aylarca şüphe yaratmadan ve tespit edilmeden ağda ilerlemesine olanak tanır.

Ağ Saldırısı

Güvenlik Stratejisi Kıdemli Direktörü Etay Maor şöyle diyor: “Mimikatz’ın ne kadar yaygın olduğunu yeterince vurgulayamıyorum. Şifreleri çıkarmak için son derece etkili, şifreleri kırmak çok kolay ve sadece birkaç saniye sürüyor. Herkes Mimikatz’ı kullanıyor, hatta ulus devlet aktörleri bile “

6. Veri Süzülmesi

Son olarak değerli veriler tanımlanır. Ağdan buluttaki bir dosya paylaşım sistemine çıkarılabilir, fidye yazılımı için şifrelenebilir ve daha fazlası yapılabilir.

Ağ Saldırılarına Karşı Nasıl Korunulur?

Saldırganlara karşı etkili bir şekilde koruma sağlamak için birden fazla algılama katmanı gerekir. Saldırganların planlarını başarılı bir şekilde yürütmesini önlemek için, öldürme zincirindeki her güvenlik katmanının stratejik olarak yönetilmesi ve bütünsel olarak düzenlenmesi gerekir. Bu yaklaşım, daha güçlü bir güvenlik duruşu için bir saldırganın olası her hareketini tahmin etmeye yardımcı olur.

Bu saldırının tamamını izlemek ve derinlemesine savunma stratejisi hakkında daha fazla bilgi edinmek için buradaki ustalık sınıfının tamamını izleyin.

Bu makaleyi ilginç buldunuz mu? Bu makale değerli ortaklarımızdan birinin katkıda bulunduğu bir yazıdır. Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link