GELİŞMİŞ SİBER SİLAHLAR VE
TESPİT YÖNTEMLERİ
Bahtiyar BİRCAN Uzman Araştırmacı
Siber Güvenlik Enstitüsü
6 Kasım 2012
2
Gündem
• Siber Savaşlar
• Gelişmiş Siber Silahlar (APT)
• Gelişmiş Siber Silahların Tespiti
• Gelişmiş Siber Silah Tespit Sistemi
• Önlemler
• Sonuç
Siber Savaşlar
Siber Savaşlar
• Günümüzde savaşlar siber uzayda yapılmaktadır.
• Birçok savaş ve anlaşmazlık fiziksel dünyaya paralel olarak sanal alemde de devam etmektedir.
• Siber savaş konsepti bir çok ülkenin askeri yapılanması bu yeni konsepte göre yeniden yapılandırılmıştır.
• Asimetrik tehdit.
• Ülkelerde siber savaş birimleri
• Hedef sadece askeri sistemler değil
• Saldırı kaynağını bulmak zor. Saldırı kaynağı olarak başka bir ülkeyi göstermek çok kolay
4
Siber Silah Maliyetleri
5
Radara yakalanmayan
bombardıman uçağı
Radara yakalanmayan
avcı uçağı
Cruise füzesi
730 milyon $
100 milyon $
1 milyon $
10 $ - 50 bin $ Siber silah
Siber Savaş Örnekleri
• 1982 – Farewell Dosyası
• 1990 – Körfez Savaşı
• 1998 – Ay Işığı Labirenti
• 1999 – NATO Kosova Krizi
• 2007 – Suriye İsrail Gerginliği
• 2007 – Estonya Siber Savaşı
• 2008 – Gürcistan Siber Savaşı
• 2008 – İsrailin Gazze İşgali
• 2009 – Kırgızistan Olayları
• 2009 – Mavi Marmara Saldırısı
6
Siber Savaşlar
• Siber Casusluk Olayları
– Titan Rain
– GhostNET
– Operation Aurora
– Wikileaks
– ShadyRAT
– Night Dragon
• Bilinen Siber Silahlar
– Stuxnet
– Duqu
– Flame / miniFlame
– Gauss
– Tinba
7
Siber Savaşlar ve Siber Silahlar
• Siber savaşlarda genel amaçlı saldırı araçlarının yanında yoğunlukla siber silahlar da kullanılmaktadır.
• Şu ana kadar olan siber savaşlarda genelde DDoS yapılmış ve çok karmaşık silahlar kullanılmamıştır.
• Geliştirilen bir siber silah genelde tek kullanımlık. Tespit edildikten sonra etkisi yitirilmiş oluyor.
• Bundan dolayı bir çok ülke geliştirdikleri siber silahları zorunlu olmadıkça kullanmak istememektedirler
8
Gelişmiş Siber Silahlar /
Advanced Persistent Threat (APT)
APT Nedir ?
• Advanced persistent threat (APT) usually refers to a group, such as a foreign government, with both the capability and the intent to persistently and effectively target a specific entity.
• Devletler veya büyük gruplar tarafından desteklenen, siber savaşlarda istenen saldırıları yerine getirmek için geliştirilmiş, hedefi net olarak belirlenmiş zararlı yazılımlar.
10
APT Özellikleri
• Gelişmiş teknikler kullanır
– Hedeflere sızmak için gelişmiş teknikler kullanmaktadır.
– Siber savunma sistemlerini kolaylıkla atlatabiliyor.
– Özel geliştirilmiş veya internette bulunabilen saldırı araçları kullanımaktadır
• Kalıcıdır
– Bulaştığı sistemlerde yayılarak uzun süre fark edilmeden çalışabiliyor
• Hedef odaklı
– Belirli sistemleri ve kişileri hedef almaktadır
• Arkasında yetkin bir grup veya ülke bulunmaktadır
11
APT Yayılma Yöntemleri
• Sosyal Mühendislik
• USB / CD / DVD
• Oltalama Saldırıları (Spear Phishing)
• Ofis dokümanları
– Microsoft Ofis
– Adobe PDF
• Web siteleri
• Sıfırıncı gün saldırıları
– Microsoft Windows
– Internet Explorer
– Java
– Flash
• Açık kaynaklı saldırı araçları 12
APT Özellikleri
13 Kaynak: Mandiant
APT Özellikleri
14 Kaynak: Mandiant
APT Saldırı Aşamaları
• Bilgi toplama
• Sisteme sızma
• Yayılma
• Sisteme kalıcı olarak yerleşme
• Hedeflerin yerine getirilmesi
• Kalıcılığın devam ettirilmesi
15
APT Hedefleri
16 Kaynak: TrendMicro
APT Hedefleri
17 Kaynak: TrendMicro
Gelişmiş Siber
Silahların Tespiti
APT Tespiti
• Yeni yaklaşımlar gerektirmektedir.
• Bilinen siber savunma yöntemleri/ürünleri işe yaramamaktadır.
• Sızma testleri = APT tespit simülasyonu
• Bir çok alanı ilgilendirmektedir.
– Olay müdahale (Incident Response)
– Ağ güvenliği (IDS/IPS, Ağ izleme, DPI, FW, NAC..)
– Log Yönetimi, SIEM
– Adli bilişim (Forensic)
– Malware analizi
– DLP
19
APT Tespiti Öncesi Önkabuller
• APT Davranışı nedir?
– Bulaşma yöntemleri
– C&C Haberleşmesi
– Hedefler (Bilgi çalma, sistemleri çökertme ..)
• Ne tespit edilecek ?
– Sistemlere sızma
– Sistemlerden dışarı bilgi çıkarma
20
APT Tespiti – Dünyadaki Yaklaşımlar
• Ticari ürünler
– Mandiant
– FireEye
– Damballa
– Bit9
– PaloAlto Wildfire
• Yaklaşımlar
– C&C Haberleşmesi
– DNS trafik incelemesi
– SIEM / Log korelasyonu
– Malware Analizi
21
Merkezi Tehdit Veritabanı
• Tespit edilen saldırıların ve APT’lerin verilerinin tutulduğu tehdit veritabanı
• İçerdiği veriler
– IP Reputation
– File Reputation
– Malware davranışı
– Zaman bilgisi
• Ticari Tehdit Veritabanları
• Her kurum / ülke için özel veritabanı
• Hedefli saldırılarda başarı oranı düşük olabilir
22
Gelişmiş Siber Silah
Tespit Sistemi
APT Tespit Sistemi
APT Tespit Sistemi - Planla
• Kapsam
• Süre
• Amaç
• Prosedürler
• Lojistik
APT Tespit Sistemi - İzle
• Ağın izlenmesi – IDS/IPS
– NMS
– VPN
– Güvenlik Duvarı
• Uç noktaların izlenmesi – Host logları
– Registry değişiklikleri
– Memory
– İşletim sistemi servisleri
– Önemli dosyalar
• Merkezi Kayıt Yönetimi
• Merkezi Güvenik İzleme (SIEM)
APT Tespit Sistemi – Tespit Et
• Ağ üzerinden – HTTP başlık bilgisi
– SSL sertifikaları
– E-posta içeriği ve eklentileri
– DNS trafiği
– NetFlow
– Ağ trafiği istatistikleri • Bağlantı süresi
• Paket boyutu
• Giden / Gelen verinin oranı
– İç ağ trafiği
– Olası C&C sunucu haberleşmesi
• Host üzerinden – Local ve Domain kullanıcı değişiklikleri
– Kullanıcı logon
– Servis değişiklikleri
– Process injection
– Zamanlanmış görevler
– Önemli dosyaların hash değerleri
• Veri madenciliği ve anomali tespiti
APT Tespit Sistemi - Yakala
• Ağ üzerinden – E-posta trafiği içindeki zararlı dosyalar
– Web trafiği içindeki dosyaları
– Drive-by download
– Şifreli trafik
• Host üzerinden – Disk imajı
– Memory imajı
APT Tespit Sistemi – Analiz Et
• Adli analiz – Disk imajı
– Memory imajı
• Malware analizi yöntemleri ile yakalanan yazılımların analizi – Statik analiz
– Dinamik analiz
– Sandboxing
• Analizler sonucu yazılımların otomatik olarak profilinin çıkartılması – Host üzerindeki davranışı
– Ağ üzerindeki davranışı
APT Tespit Sistemi – Sonuçları Yayınla
• Analiz sonucu elde edilen bilgilerin ve APT profilinin merkezi tehdit veritabanına konulması
• Veritabanı bilgilerinin kullanan diğer sensörlere yayılması
APT Tespit Sistemi – Önlem Al
• Ağ seviyesinde saldırıların önlenmesi – Güvenlik Duvarı kurallarının güncellenmesi
– IPS imzalarının güncellenmesi
– Proxy / İçerik filtreleme politikalarının güncellenmesi
• Host seviyesinde – HIPS kurallarının güncellenmesi
– DLP
• Kritik sistemlerin internet ile bağlantılarının kesilmesi
Önlemler
Önlemler
• Gelişmiş siber silahları tamamen önlemek mümkün değil
• Saldırılar için hazırlıklı olmak gerekiyor
• Sistemlerin sıkılaştırılması
• Güçlü şifre politikaları
• Personel eğitimi
• Kritik sistemlerin internetten izole edilmesi
Sonuç
• Siber savaşlar şu an devam etmektedir.
• Siber savaşlarda APT aktif olarak
kullanılmaktadır
• APT tespit ve önlemesi zor olsa da mümkün
• Saldırıları önleme adına özellikle kritik
sistemler ve kamu kurumlarında çalışmaların
bir an önce başlaması gerekmektedir
35
Teşekkürler
Bahtiyar BİRCAN
Siber Güvenlik Enstitüsü
+90 312 427 73 66
www.bilgem.tubitak.gov.tr
www.bilgiguvenligi.gov.tr
Top Related