Saldırganlar tarafından hedeflenen sistemler üzerinde amaca ulaşmak için farklı biçim ve yöntemler kullanılır. Siber saldırılara karşı korunabilmek için saldırgan ve saldırı teknikleri iyi tanınmalıdır. Genel tehdit tespit planı yönlendirmesinde olduğu gibi tehdit tespiti için kullanılacak taktiklerde de belli bir plana göre yönlendirme yapılır. Bu plan yönlendirilmesi, sistemde korunması gereken alana bağlı olarak hangi saldırılara karşı korunduğu baz alınarak yapılır.
İncelenmesi Gereken Yüksek Seviye TTP(Teknik,Takdik,Prosedür) ve Faliyetler
İÇ KEŞİF (İnternal Reconnaissance)
Saldırganlar nereye gittiklerini nasıl belirler?
Host Dökümünü Çıkarma (Host Enumeration)
Amaç genellikle mevcut hostu bulmak ve işlevlerini belirlemek için ağ içindeki hostların ayrıntılı listesini diğer bir deyişle dökümünü çıkarmaktır. Local host ve local host yapılandırması hakkında genel bilgiler içerir. Bir saldırganın sistemde hangi kullanıcı olarak oturum açtığını ve hangi ayrıcalıklara sahip olduğu bilgisini edinir. Local host yapılandırılması host adı , IP adresi gibi host hakkında genel bilgileri barındırır.
Ağ Dökümünü Çıkarma (Network Enumeration)
Ağ dökümünü çıkarma ağdaki sistemlerin keşfidir . Bir hosttan diğer hostlara nasıl bağlantı kurulacağı hakkında bilgi verir. Saldırganlar bir bilgisayarı ele geçirdikten sonra ağı dolaşıp diğer bilgisayarlara erişmenin yollarını arar. Ağ dökümü ile ağdaki bilgisayar grupları, paylaşımları ve hizmetleri hakkında bilgi edinilir.
SÜREKLİLİK
Saldırganlar sistemin otomatik olarak yaptığı yeniden başlatma ve temel iyileştirmelerden nasıl kurtulurlar ?
Görev Zamanlayıcısı Düzenleme
Görev zamanlayıcısı, bir bilgisayarda belli rutindeki işlevlerin otomatik olarak gerçekleştirilmesini sağlar. Saldırganın uzaktan kod çalıştırma yetkisi olduğunda görev zamanlayıcısında istediği bir işlevi planlayabilir. Böylece zararlı bir yazılımı sistemin her açılışında veya belli zamanlarda çalıştırabilir.
DLL Enjeksiyonu
DLL enjeksiyonu zararlı yazılımı saklamak, yakalamamak veya yüksek hakla çalışmasını sağlamak için kullanılan bir yöntemdir. Zararlı yazılım başka bir process’e enjekte edilerek kurban process’in haklarıyla çalıştırılır.
Kayıt Defteri Değişikliği
En sık görülen tehdit çeşitlerindendir. Saldırgan zararlı yazılımı, kayıt defterinde bulunan RUN ve RUNONCE dizinlerine enjekte ederek her açılışta ve sistem ön yüklemesinde zararlı yazılımın çalıştırılmasını sağlar.
KOMUTA ve KONTROL
Saldırganlar araçları nasıl kullanırlar?
Yaygın Port, Yaygın Protokol
Saldırganlar bu yöntemi kullanarak , normal ağ trafiğine karışıp dikkat çekmeyen bir görünümde olmaya çalışırlar. Komuta ve kontrol için HTTPS , DNS tüneli ve yüksek trafik portları kullanılır.
Yaygın Olmayan Protokol, Yaygın Olmayan Bağlantı Noktası,
Saldırgan bu yöntemde yoğun olarak izlenen portları atlayarak nadir izlenen portlardan veri aktarımı gerçekleştirir. Bu yöntem ileotomatik ve manuel tarama sistemleri atlatılarak yüksek gizlilik sağlanılır.
YANAL HAREKET
Saldırgan ağda nasıl dolaşır?
Hash Atlama(Pass the Hash-PtH)
Bu teknikte saldırgan, ‘Kimlik Bilgisi Erişimi ‘ (Credential Access) tekniği ile şifre hashlerine ulaşır. Kullanıcının açık metin şifresini atlatabilir, yerel ve uzak sistemlerde işlem yapabilir.
RDP (Remote Desktop Protocol)
Uzak Masaüstü Protokolü, kullanıcının ağ bağlantısı üzerinden başka bilgisayarın masaüstüne bağlanmasına imkan tanır. Saldırgan bu protokolün aktif olduğu bir sisteme ait hesap bilgilerini ele geçirmişse hedef sisteme erişerek zararlı eylemler gerçekleştirebilir.
Paylaşılan Webroot (Shared Webroot)
Bir firma, dahili olarak erişebildiği bir web sitesi veya intranet ağına sahipse, saldırgan bu web sitesine zararlı bir yazılım yükleyerek sonradan bir web tarayıcısı yardımıyla çalıştırabilir. İçerikler Web sunucu proseslerine ait izinlerle çalıştırıldığı için saldırgan yerel veya yönetici haklarına sahip olabilir.
Yol Durdurma (Path Interception)
Bu teknikte çalıştırılabilir bir dosya belli bir path’e yerleştirilir böylece amaçlanan hedef bir uygulama tarafından yürütülmüş olur. Bu yönteme örnek olarak tırnak içine alınmamış path’leri kullanmak, PATH ortam değişkeninin yanlış yapılandırılması ve bir programa DLL’lerin yüklenmesi için izlenen sırayı manipüle etmek ve DLL’i şüpheli bir şekilde tanımlamak gibi işlemleri içeren DLL search order hijacking sayılabilir. Çalıştırılabilir dosya daha yüksek haklara sahip bir prosesin parçası olarak çalıştırılırsa, saldırganında hakları arttırılmış olur.
EXFİLTRATİON (DUMPING)
Saldırganlar Verilerinizi Nasıl Çalıyor?
DNS Tünelleme
DNS tünelleme saldırganın DNS sorgularının içindeki encode edilmiş verileri aktarmasına imkan tanır. Saldırgan bu yöntemi ortak güvenlik kontrollerini atlamak ve hassas verileri çekmek için kullanılır.
SFTP/SCP Süzme(Dumping)
SFTP/SCP Dumping trafiğin ayrıntılarını gizlemek için SSL kullanımına izin verir. Bu tür faaliyetlerin önüne geçmek ve araştırmak için SSL’i kıracak bir proxy’e ihtiyaç duyulur.
Tehdit türlerinde odaklanmak istenilen tehdit belirlenip araştırılır. Saldırgan gibi düşünüp, kritik verilere hangi tekniklerle erişilebileceği belirlenmelidir. Bu, sonraki adımda hangi verilere bakılacağı ve hangi tekniklerin deneneceğinin belirlenmesinde fayda sağlar.
Her tehdit için bir önleme yöntemi vardır. Tehdit tespitinde yerel ağ içinde bulunmak en yüksek tehdit seviyesine sahip saldırıların dahi önceden görülüp durdurulmasına avantajı sağlar.
KAYNAKLAR
[1] Hunt Evil