Siber güvenlikteki en tehlikeli tehditlerden birini açığa çıkarmak.
Siber suçlular tüm şekil ve boyutlarda gelir.
Yelpazenin bir ucunda, hızlı para kazanmak isteyen senaryo çocuğu veya deneyimsiz fidye yazılımı çetesi var. Diğer uçta ise çok daha sofistike taktikler kullanan devlet destekli gruplar var – genellikle akıllarında uzun vadeli, stratejik hedefler var.
Gelişmiş Kalıcı Tehditler (APT) grupları bu ikinci kategoriye girer.
İyi finanse edilen ve seçkin bir hacker filosundan oluşan bu gruplar, hükümetler, büyük şirketler veya kritik altyapı gibi yüksek değerli varlıkları hedefler. Genellikle yüksek derecede şaşırtmaca ve ısrarla çok aşamalı, çok vektörlü yaklaşımlar kullanırlar.
Ancak, kendilerine “Bir APT grubu beni neden umursasın?” diye soran her küçük ve orta ölçekli işletme (KOBİ) için. Cevabımız var.
KOBİ’ler, özellikle bir tedarik zincirindeyseler veya daha büyük kuruluşlara hizmet veriyorlarsa, daha büyük hedeflere giden basamak taşları olabilirler.. KOBİ yöneticilerinin %93’ü, ulus devlet bilgisayar korsanlarının kendileri gibi işletmeleri ülkenin dijital savunmasına arka kapı olarak kullandıklarını düşünüyor.
Bu gönderide, APT gruplarının nasıl çalıştığını, taktiklerini ve kaçınma tekniklerini ve APT saldırılarının nasıl tespit edileceğini açıklayacağız.
APT grupları nasıl çalışır?
APT gruplarının amacı hızlı bir vuruş değil, tespit edilmeden kalabildikleri kadar çok bilgi toplamalarına olanak tanıyan bir sistem içinde uzun vadeli bir varlıktır.
APT’ler, tipik siber suçlulardan birkaç temel yönden ayrılır:
- sebep: Sıradan siber suçluların aksine, APT’ler öncelikle istihbarat edinerek hareket eder. Mali kazanç sağlayan faaliyetlerde bulunsalar da, asıl fonları faaliyetlerinden değil, hizmet ettikleri devletten gelir.
- Aletler: APT’lerin gelişmiş araçlara ve sıfır gün güvenlik açıklarına erişimi vardır. Bunları ellerinden geldiğince gizli tutuyorlar, yalnızca gerektiğinde yıkıcı kötü amaçlı yazılımlara başvuruyorlar.
- Mürettebat: APT’ler, birbirleriyle yakın koordinasyon içinde çalışan deneyimli ve motive olmuş kişilerden oluşur. Bu, genellikle güvensizliğin hüküm sürdüğü geleneksel siber suçlularla tam bir tezat oluşturuyor.
Malwarebytes Tehdit İstihbarat Ekibi tarafından gözlemlendiği şekliyle bir APT keşif (RedStinger) örneği
Peki, bir APT kara büyüsünü nasıl gerçekleştirir? İşte hızlı bir özet:
- Aşama 1: Keşif. Bu, hassas verilerin veya çalınmaya değer bilgilerin olup olmadığını anlamaktan, çalışanların veya eski çalışanların bir isabet listesi oluşturmaya kadar her şey olabilir.
- Adım 2: Süzülme. Genellikle bu, hedef odaklı kimlik avı veya özel kötü amaçlı yazılım dağıtmak için bir sulama deliği kurmak gibi bazı kurnaz sosyal mühendislikleri içerir.
- Aşama 3: Bir dayanak oluşturmak. APT’ler, kötü amaçlı yazılımlarını çalıştırmak için hedefin ağında birisine ihtiyaç duyar.
- Adım 4: Erişimlerini genişletmek. Bu, kötü amaçlı yazılımın daha fazla konuşlandırılmasını, ağın keşfini veya konumlarını sağlamlaştırmayı amaçlayan diğer faaliyetleri içerebilir.
- Adım 5: Veri toplama. Nihai amaç, istenen verileri elde etmektir. Bunu yapmak için ağda daha fazla erişim elde etmeleri gerekebilir.
- Adım 6: mevcudiyeti sürdürmek. İçeri girdikten sonra, daha fazla giriş noktası oluşturmaları veya hatta tekrar ziyaret için bir arka kapıyı açık bırakmaları gerekebilir. İşleri biterse, izlerini kapatmak için pisliklerini temizlerler.
Bu adımların tümü her durumda gerekli olmasa da ve her biri için harcanan zaman ve çaba büyük ölçüde değişebilse de, bu, APT’lerin nasıl çalıştığını anlamak için genel bir çerçeve sağlar.
APT saldırılarının kaçamak teknikleri
Pekala, artık APT’lerin nasıl çalıştığına dair temel bilgileri öğrendiğimize göre, araçlarının, tekniklerinin ve prosedürlerinin (TTP’ler) ayrıntılarına geçelim.
| TTP (GÖNÖ ATT&CK) | Tanım |
|---|---|
| Kimlik Avı (Hedefli kimlik avı Eki, Hedefli kimlik avı Bağlantısı) | APT grupları, bir hedef ağa ilk erişimi elde etmek için genellikle sosyal mühendislik ve yazılım güvenlik açıklarından yararlanma ile birlikte hedeflenen hedefli kimlik avı saldırıları başlatır. |
| API (T1059.005) veya Kullanıcı Yürütme (T1204) aracılığıyla yürütme | Bir ağa girdikten sonra APT’ler, faaliyetlerini normal ağ etkinliğiyle karışacak ve tespit edilmekten kaçınacak şekilde yürütmek için meşru sistem araçlarını ve süreçlerini kullanır. |
| İstemci Yürütme için İstismar (T1203) | APT grupları sıklıkla sıfırıncı gün güvenlik açıklarını keşfeder ve bunlardan yararlanır; bunlar, istismar anında yazılımın satıcısı tarafından bilinmeyen yazılım kusurlarıdır. |
| Yanal Hareket (Taktik Kimliği: TA0008) | APT’ler, ilk erişimi elde ettikten sonra ağı keşfetmek, ayrıcalıklarını yükseltmek ve daha fazla sisteme erişim elde etmek için Hash’i Geçirme (PtH) gibi yanal hareket teknikleri kullanır. |
| C2 Kanalı Üzerinden Sızma (T1041) | APT’ler tipik olarak verileri çalmak için verileri küçük paketlere bölmek, şifrelemek veya normal trafikle karışması için normal iş saatlerinde göndermek gibi gelişmiş, gizli teknikler kullanır. |
| Sebat Etme (Taktik Kimliği: TA0003) | APT grupları, algılama ve düzeltme çabalarından sonra bile bir ağa erişimi sürdürmek için birden fazla arka kapı, kök kullanıcı takımı ve hatta ürün yazılımı veya donanım tabanlı saldırılar gibi teknikler kullanır. |
| Tedarik Zincirinde Uzlaşma (T1195) | APT’ler bazen yazılım veya donanım satıcılarını, bu satıcılar ve müşterileri arasındaki güven ilişkilerinden yararlanmak için tehlikeye atar ve böylece müşterilerin sistemlerine erişim kazanır. |
Tek kelimeyle, APT grupları “arazi dışında yaşamak” (aktivitelerini gerçekleştirmek için yerleşik yazılım araçlarını kullanmak), dosyasız kötü amaçlı yazılım (disk yerine bellekte bulunan kötü amaçlı yazılım), şifreleme (iletişimlerini gizlemek için) gibi yöntemler kullanır. ve adli tıp önlemleri (izlerini örtmek için).
Farklı APT gruplarının dökümü
İlişkilendirme, farklı APT grupları söz konusu olduğunda her zaman biraz çetrefilli olmuştur, ancak bazı gruplar oldukça iyi bilinmektedir ve kökenleri netleşmiştir. Herkesin uymadığı bir adlandırma kuralı şudur: Çinli APT aktörleri genellikle “Pandalar”, Rus APT’leri “Ayılar” ve İran APT’leri “Kittens” olarak bilinir.
Bazı örnekler:
- APT28 namı diğer Süslü Ayı (Rusya)
- Nemesis Yavru Kedi (İran) İranlı tehdit aktörü Fosforun (APT35) bir alt grubu
- APT1 Diğer adıyla Comment Panda Halk Kurtuluş Ordusu’nun 61398 numaralı birimi (Çin)
Ülkeler tipik olarak farklı hedeflere odaklanan farklı gruplara sahiptir, ancak genel olarak konuşursak, en sık etkilenen sektörlerden bazıları hükümetler, havacılık ve telekomünikasyondur.
MITRE ATT&CK tarafından derlenen siber tehdit grubu listesine göre, dünya çapında 100’den fazla APT grubunun farkındayız. Bu grupların çoğunluğunun Çin, Rusya ve İran ile bağları var. Aslında, yalnızca Çin ve Rusya’nın bilinen tüm bu grupların yaklaşık %63’üne bağlı olduğu bildiriliyor.
Bu makalenin amaçları doğrultusunda, Amerikan siber güvenlik firması Mandiant tarafından listelenen 37 farklı APT grubuna ilişkin verileri derledim ve bunları ülkelere göre ayırdım. Ayrıca en sık bahsedilen hedef sektörlerin sayılarını da araştırdım; bu veriler nispeten küçük bir örneklem boyutundan geldiği için, bunları kaba tahminler olarak ele alın.
Gelişmiş Kalıcı Tehditleri (APT’ler) Algılama
Ağınızdaki APT’leri tespit etmek söz konusu olduğunda elinizde birkaç numara var.
Ağ trafiğinizi izleyen İzinsiz Giriş Tespit ve Önleme Sistemleri veya kısaca IDS/IPS gibi şeyler kullanabilirsiniz. Günlükleriniz ve ağınızdaki düzenli kontroller de size ipuçları verebilir.
Ardından, Uzlaşma Göstergeleri (IoC’ler) olarak bilinen ekmek kırıntılarını takip etmek ve kullanıcılardan veya son cihazlardan gelen herhangi bir tuhaf davranışı izlemek var. Ama olay şu ki, bu tehditler daha akıllı ve daha hileli hale geliyor.
İşte burada Uç Nokta Tespiti ve Yanıtı (EDR) devreye giriyor. EDR’nin bu APT’lere karşı savunma oyununuzu yükseltmeye nasıl yardımcı olabileceğine bir göz atalım.
Örneğin, oldukça yaygın olan bir APT grubunu ele alalım. mimikatz, kimlik bilgilerini bellekten çıkarmak ve ayrıcalık yükseltmesi gerçekleştirmek için Windows güvenliği ve kimlik bilgisi yönetimi için açık kaynaklı bir araç. MITRE, Mimikatz’ı tam da bu amaçla kullandığı gözlemlenen en az 8 APT grubunu listeler.
Malwarebytes EDR’yi kullanarak bunun gibi şüpheli etkinlikleri bulabilir ve ilişkili olduğu uç noktayı hızla izole edebiliriz.
Önem derecesi yüksek bir uyarıya tıkladığımızda, belki daha yeni veya daha az bilgili bir güvenlik uzmanının bu süreçte neler olup bittiğini anlamasına yardımcı olacak kuralların kategorize edildiğini göreceğiz.
Burada gördüğümüz, Malwarebytes’in bu süreçte tanık olduğu davranışların gerçek kategorizasyonudur. Bu küçük baloncukların her biri, bu sorunun ciddiyetini anlamanıza yardımcı olmak için renklerle kodlanmıştır.
En altta, ayrıntılı bir süreç zaman çizelgemiz de var. Bu düğümlerden herhangi birine tıkladığımızda, bu sürecin ne yaptığına dair çok sayıda zengin bağlam bilgisi elde ederiz.
Bir güvenlik analisti veya BT yöneticisi olarak, bir olay meydana geldiğinde genellikle sorduğunuz ilk soru şudur: Ne oldu? Kötü niyetli olup olmadığını biliyor muyuz? Olası zararların gerçek boyutu nedir? Ve benzeri.
Tam olarak ne zaman çalıştığını ve dosya karmalarını görebiliriz, bu nedenle daha fazla araştırma yapmamız gerekirse, bunlara sahibiz. Ve en önemlisi, bu tekniği makinemizde yürütmek için gerçekten kullanılan komut satırını aşağıda vurguladık.
Bu, kesinlikle ağdaki bir APT’nin işareti olabilecek gerçekten şüpheli görünen bir koddur. Bu PowerShell komutu, uzak bir sunucudan Mimikatz’ı indiriyor ve yürütüyor. En kısa sürede düzeltelim!
Bu görünümü kapatarak bir “Yanıtlamak” sağ üst köşedeki açılır menü ile ” seçeneğiUç Noktayı İzole Et“.
Sağlayabileceğimiz üç yalıtım katmanımız var: ağ yalıtımı, işlem yalıtımı ve masaüstü yalıtımı.
Ağ ve süreç izolasyonlarının amacı, bize o makineyi karantinaya alma ve Malwarebytes tarafından yetkilendirilmemiş herhangi bir şey yapmasını engelleme yeteneği vermektir.
Bunun anlamı, diğer görevleri gerçekleştirmek ve verileri gözden geçirmek için taramaları tetiklemek için Malwarebytes konsolumuzu kullanmaya devam edebiliriz, ancak aksi takdirde makine iletişim kuramaz veya başka bir şey çalıştıramaz.
Bam! Bu potansiyel APT tehdidi birkaç dakika içinde engellenir.
Malwarebytes EDR’yi çalışırken görmek ister misiniz? Burada daha fazla bilgi edinin.
APT saldırılarına hızlı ve etkili bir şekilde yanıt verin
Yönetilen Tespit ve Yanıt (MDR) hizmetleri, EDR çözümlerini yönetme uzmanlığına sahip olmayan kuruluşlar için cazip bir seçenek sunar. MDR hizmetleri, tehditleri 7/24 izleyebilen ve bunlara yanıt verebilen, APT saldırılarını hızlı ve etkili bir şekilde algılayıp yanıtlayabilen ve maksimum koruma sağlamak için EDR çözümlerinin sürekli olarak ayarlanmasını ve optimizasyonunu sağlayan deneyimli güvenlik analistlerine erişim sunar.
APT saldırılarını bugün durdurun