Thursday, April 2, 2015

APT operasyonu IP adresleri ve URL'leri

Önemli: Bu IP adresleri ve URL'ler Türkiye'yi de hedef alan bir operasyon kapsamında kullanılmış. Kurumsal ağınızın bunlarla teması olduysa araştırmakta fayda var. Ayrıntılar için https://www.checkpoint.com/downloads/volatile-cedar-technical-report.pdf



Wednesday, April 1, 2015

2015 trendleri: APT insanın kendine yakışanı giymesidir

Adını son olarak SONY’nin hacklenmesi olayında duyduğumuz Fireeye’ın Mandiant şirketi “2015 trendleri: Ön cepheden görüntü” adıyla bir rapor yayınladı.
Geçtiğimiz senenin öne çıkan güvenlik trendlerinin ve 2015 içerisinde görmemiz muhtemel trendlerin ele alındığı raporun bazı konu başlıklarını toparladım.



Rapora https://www2.fireeye.com/WEB-2015RPTM-Trends.html adresinden ulaşabilirsiniz.

Raporda öne çıkan bazı rakamlar
Saldırıların %31’i kurban tarafından tespit edilebilirken, %69’u dış kaynaklardan öğrenilmiş. Bu istatistik, diğer üreticilerin raporlarında gördüğümüz rakamlara çok yakın olduğu için henüz saldırganları tespit edebilme becerilerimizi geliştirme yönünde almamız gereken çok yol olduğunu görüyoruz.

Saldırganlar (saldırganın kendi bağlantısı veya kullanılan zararlı yazılım) tespit edilmeden önce ortalama 205 gün kurum ağında varlığını korumuş. Özetle, ağımıza biri sızdığında veya bir zararlı yazılım bulaştığında bunu tespit etmemiz ortalama 205 gün sürüyor.  Rapora konu olaylar arasında gözlemlenen en uzun süre 2,982 (yazı ile ikibindokuzyüzsekseniki!) gün olmuş.

Raporda 2015 trendleri olarak 4 konuya yer verilmiş.

Trend 1: Olayın duyulmasıyla başa çıkmak
Yaşanan bir güvenlik ihlali sonrasında hedef olan kurum tarafından yapılacak açıklama kurum imajı ve halkın olayla ilgili algısı bakımından hayati önem taşımaktadır. Kurumun duruma hakim görünmesi ve olayın bütün boyutuyla araştırıldığı mesajının net bir şekilde verilmesi olayların algılanma şeklini doğrudan etkilemektedir. 2014 yılında yaşanan güvenlik ihlalleri halkın bu tür olayların etkileri konusunda önceki yıllarda olduğundan daha bilinçli hale gelmesini sağlamıştır. Önceki yıllarda yapılan ve saldırı tarihi ve dışarı sızan veri türünden ibaret açıklamalar artık basın ve halk tarafından yeterli bulunmamakta, saldırı vektörü ve saldırının arkasında kimlerin olduğu gibi bilgiler de talep edilmektedir.
Yapılacak açıklamalar spekülasyonların önüne geçebilmeli (henüz tamamlanmamış bir araştırmanın verileriyle bunun mümkün olabildiği ölçüde) ve olayın aslından sapmasını engellemelidir. Olay sonrası açıklama yapılmasını neredeyse mecburi hale getiren neden ise olayların çoğunun kurum fark etmeden önce halka duyurulmasıdır (bkz. 2014 yılında 0layların %69’u dış kaynaklardan öğrenilmiştir).

Raporda bu tür bir olay yaşandığında açıklama kaleme alınırken cevaplanmasında fayda olabilecek bazı sorulara yer verilmiş. Bunlar;
Saldırgan içeri nasıl sızdı?
Saldırgan içerideki sistemlerle bağlantısını nasıl kalıcı hale getirdi?
Saldırının adımları nelerdi?
Hangi veriler çalındı?
Saldırı kontrol altına alınıp saldırgan unsurlar temizlendi mi?

Trend 2: Perakendeciler hedefte
2014 yılında çalınan milyonlarca kredi kartı bilgisi pek çok kişiyi kredi kartlarını iptal edip yenilerini çıkartmaya mecbur etmişti. Perakendeciler kredi kartı (dolayısıyla para) işlemlerinin yoğun olduğu yerler oldukları için saldırganların iştahını kabartmaktadırlar. Öyle görünüyor ki hedefleri kolay para kazanmak olan bazı gruplar saldırılarına 2015 yılında da devam edecekler.

Alışveriş veya sanal kasa gibi uygulamaların sanallaştırılması, bir yandan uygulamanın ortamdan bağımsız daha güvenli bir baloncuk içerisinde çalışmasına imkan verirken, diğer yandan saldırganlar için bazı fırsatlar doğurmaktadır. Doğru kurulup konfigüre edildiğinde bu sanal uygulamalar olabildiği ölçüde güvenlidir ancak raporda ele alınan çoğu örnekte basit konfigürasyon hatalarının ve çift kademeli giriş yöntemlerinin kullanıldığı belirtilmiştir. Saldırganların yazarkasa ve POS yazılımlarını hedef alan zararlı yazılımlar geliştirmiş olması da bu noktanın geçerli bir saldırı vektörü haline gelmesine neden olmuştur.

Raporda büyük bir A.B.D.’li perakendecinin yaşadığı olayın adımlarına da yer verilmiş. Saldırının başlıca adımlar aşağıdaki gibi gelişmiş.

  1. Saldırgan uygulamaya geçerli kullanıcı adı ve parolalar ile giriş yapmış. Kullanıcı bilgilerinin ne şekilde ele geçirildiği bilinmemektedir. 
  2. Saldırgan ağ içerisinde “dolaşmak” için bizim de sızma testlerinde kullandığımız Metasploit yazılımını kullanmış. Metasploit bilinen pek çok istismar kodunu barındıran açık kaynaklı bir yazılımdır. Metaploit ile domain yönetici bilgilerini ele geçiren saldırganlar bu noktadan sonra ağ üzerinde yayılmak için sistem yöneticileri tarafından kullanılan(SysInternals PsExec aracı ve RDP gibi) daha alışılmış yöntemlere geçiş yapmıştır. 
  3. Bağlantılarını kalıcı hale getirmek için bir kaç farklı bilgisayara arka kapı yerleştirilmiş. 
  4. Ele geçirdikleri domain yetkili kullanıcısının POS cihazlarının olduğu ağ üzerinde de geçerli olması sayesinde saldırganlar POS cihazlarını etkileyecek zararlı yazılımı rahatlıkla ağ geneline kurmuşlar. Bu zararlı yazılım POS cihazları üzerinden kredi kartı numarası gibi bilgileri çalmıştır. 

Bu tür bir saldırının önüne geçebilmek için raporda aşağıdaki tavsiyeler verilmiştir;
Uzak bağlantıların güvenliğinin sağlanması: Sistemlere uzaktan kimin ve hangi şartlarda erişebildiğinin denetlenmesi.
Ödeme aracı bilgilerinin bulunduğu ağın güvenliğinin sağlanması: Bu bilgilerin bulunduğu ağlara erişmek için iki kademeli kimlik doğrulaması gibi araçların kullanılması.
Kritik altyapılarda uygulamaların beyaz listeye alınması: Önemli sunucularda hangi yazılımların çalışabileceğinin belirlenmesi ve bunların dışında hiç bir yazılımın çalışmasına izin verilmemesi.
Yetkili kullanıcı hesaplarının yönetimi: Ağ veya belirli bir sistem genelinde yetkili kullanıcı hesaplarının korunması ve yönetilmesi için gerekli tedbirlerin alınması.

Trend 3: Gelişen saldırı döngüsü
Raporda 2014 yılında saldırganların bir VPN bağlantısını ele geçirip bunu kullandıkları olayların sayısında artış görülmüş. VPN bağlantısını ele geçiren saldırgan sistem üzerinde bir arka kapı açmakla uğraşmadığı gibi yetkili kullanıcılar arasında dikkat çekmeden “işlerini” yürütebilmektedir.
VPN bağlantısının sadece kullanıcı adı ve parola ile kurulduğu durumlarda saldırganlar bu bilgileri kolayca elde ederek VON bağlantısını diledikleri gibi kullanmaya başlamıştır. İki kademeli giriş (kullanıcı adı ve parolaya ek olarak bir güvenlik katmanının daha bulunması) kullanıldığı durumlar arasında ise ikinci kademinin bir dijital sertifika olması, saldırganların bu sertifikayı çalarak bağlantıyı kurmalarına imkan vermiştir.
Saldırganların, çok eski bir yöntem olmasına karşın, “webshell” olarak da adlandırılan web tabanlı arka kapıları rahatlıkla kullanmaya devam ettikleri görülmüştür. Bu arka kapıları HTTPS olarak açan saldırganlar bu sayede şifreli ve bir çok güvenlik çözümü tarafından görülmeyen bir yol bulmuşlardır.

Trend 4: Suçlular ve APT’ler içiçe
Siber suçlu olarak adlandırabileceğimiz ve APT aktörlerine göre daha düşük seviyede bir tehdit olan saldırganların APT’lerde görmeye alışkın olduğumuz yöntemleri kullanması, aynı şekilde de APT olarak sınıflandırılan saldırılarda çok basit ve genel saldırı tekniklerin kullanılması iki saldırı türü arasındaki çizgilerin silinmesine neden olmaktadır. Tekniklerin saldırganlar arasında ortak kullanılması bir saldırıyı değerlendirirken kullanılan tekniklerden çok saldırganın niyetinin anlaşılması gerekliliğini ortaya çıkartmıştır. Özellikle hedefli oltalama (spear phishing) gibi sosyal mühendislik saldırılarının, hedefe özel yazılmış zararlı yazılımların her iki saldırgan grubu tarafından da kullanılması ayrım yapmayı zorlaştırmaktadır.

Raporun özellikle saldırganlar arasında ortak kullanılan saldırı vektörlerinin varlığını kabul etmesi benim için önemli bir gelişmedir. Güvenlik "satan" pek çok üreticinin, sıradan saldırılara karşı yeterli yatırımı yaptığınızı düşündüğü hallerde sorduğu "APT'lere karşı ne yapıyorsunuz?" sorusunun gerçeklikten uzak olduğunu hep savunan biri olarak bu itiraf hoşuma gitti.