information security services

Abdurrahman BEYAZASLANGenel Müdür, Kurucu OrtakGüvenlik Danışmanı

Ajanda

• Yeni Siber Saldırı Standartları• Analist ve CISO ‘nun Rolü• Bir Atağın Anatomisi• Atak Zincirini Kırmak• Sonuç

Yeni Standartlar

YeniNormlar

• De‐facto standardı• Görünme frenkansında artış

HedefAtaklar

• Belirli kitliler• Belirli coğrafi bölgeler• Gruplar• Beliri kişiler

Yeni Normlar

KarmaşıkAtaklar

• Tek vücut olarakçalışan farklı aktörler

• Her safhasındakiuzmanlık ve motivasyon çeşitliliği

• Karmaşıklığı ve gelişmişliği sürekliartıyor

Ekosistem

Karmaşık Atak Ekosistem Örneği: Zeus 

İlk 10KaynakÜlke

1. US2. UK3. India4. Canada5. Brazil6. Australia7. Mexico8. Italy9. France10. Turkey

Karmaşık Atak Ekosistem Örneği: Zeus 

İlk 10HedefSektör

1. Servis2. Üretim3. Finans4. Devlet5. İletişim6. Eğitim7. Perakende8. Sağlık9. Taşımacılık10. Kamu Hizmetleri

Analist’in Bugünkü Rolü

Analist, önceliklendirme, doğrulama, analizetmek zorunda.

Farklı FormatlarPDF, TXT, CSF, XML, DB

Bunalmış Analist

Analist, önleyici güvenlikkatmanlarından gelen farklıtipteki bilgileri programatikolarak derleyip anlamlıbilgilere dönüştürmekzorundadır.

Günümüzde CISO Rolü

Günümüzde CISO Rolü

DROPPER FILEEXPLOIT KITYÖNLENDİRMEYEMBİLGİ TOPLAMA

Bir Atağın Anatomisi

Hedef Kurum

Kurum çalışanı Emailserver

Ele geçirilmiş makina Saldırgan

Web proxy Control server

CALL HOMEVERİ SIZINTISI

Zararlı KodEnjekteEdilmişWebsite

Atak Zincirini Kırmak: Bilgi Toplama

• Pasif Bilgi Toplama: Hedef hakkındaki araştırma genele a.ikkaynaklar üzerinden yapılır. (Sosyal Medya, haberler vb. gibi)

• Aktif Bilgi Toplama: Teknik veya farklı bilgiler için sızma

• Öneriler– Veri akışlarına hakim olun– Partner güvenliğinden de emin olur

… Amerika’da Target  marketlerine iş yapanbir partner firması hedef alınarak Target Corp’unkilit sistemlerine ait şifreler çalındı

Atak Zincirini Kırmak: Yem

• Gelişmiş Sosyal Mühendislik– Sadece gerektiği kadar karmaşık– Zararlı linklerin %85’I ele geçirilmiş güvenilir web sitelerinde barındırılıyor

• Watering holes: Sessiz yemleme– Çok ziyaret edilen siteler üzerinden, belirli bir konuya yönelen

kişilere ulaşmak– Duyuru/Yemleme yapmaya gerek yok

• Spam:– Tüm Spam mesajların %3.3’ü zararlı içerik barındıran sitelere

yönlendiriyor

• Öneriler– Son Kullanıcı Eğitimi– Gerçek zamanlı trafik analizleri– Detaylı görünülürlük için Gelişmiş Raporlama

Atak Zincirini Kırmak: Yönlendirme

• Kimlik Gizleme ve koruma sağlayan cihazlara saldırı– Ortalama redirect linki:4, maksimum 20

• Örnek: Ele geçirilen bir Web Sitesi– Basit bir HTML dosyası, ziyaretçiyi bir Adobe flash dosyasına

yönlendiriyor– Yönlendirme 2 farklı HTML dosyasına daha yapılıyor– Son dosyada IE exploit’I çalışıyor– Hiçbirisi zararlı kod ile ilgili bir bilgi barındırmıyor

• Öneriler– İmza tabanlı olmayan koruma yöntemleri– Tüm yönlendirme path’ini analiz etme

Atak Zincirini Kırmak: Exploit Kit

• Exploit Kit’leri bilinen ve bilinmeyen açıklıkları tarar• Statik koruma cihazlarını atlatırlar

– Hızlı adapte edilen exploit kitleri, son güvenlik güncellemelerini bypass edebiliyorlar.

• Bilinen ve yaması bulunan açıklar hala çok büyük fırsatyaratıyor– Java, Flash, XP vb. gibi.

• Geçici Exploit Kit Pazarı

• Öneriler– Başımız ağrımadan yama geçmek– Exploit kit’leri tesipt edebilen, dinamikve gerçek zamanlı korumalar

Atak Zincirini Kırmak: Dropper File

• Atak yapan kişinin, hedefte kalıcı olmasını ve ilerlemesinisağlar– Tek aşamalı dosyalar payload’u içerir– Çok aşamalı dosyalar ek payload’ları sonradan download ederler

• Hızlı varyasyonları sayesinde static koruma kalkanlarını hızlıcaatlatırlar

• Sandbox kullanımı ile, sanal kaçırma tekniklerinde de artışmeydana geldi.– Zararlı aktiviteyi gerçekleştirmeden önce zaman gecikmeleri kullanımı– Sanal ortam araştırmaları– İnsan etkileşimi testi

• Öneriler– Kaçırma teknikleri genişliği ve karmaşıklığı faaliyetlerin bir kombinasyonu

gerektirir. Bunlar objenin etrafındaki bilgiler (kim imzaladı, kökeni, reputation bilgisi), bize nasıl ulaştırıldı, vb. gibi

Atak Zincirini Kırmak: Call Home

• Komuta&Kontrol Sunucularına doğru yapılan bir istek ileprogram, araç veya talimatlar beklenir– Yönlendirme, Dynamic DNS, şifreli iletişim

• Örnek: Mevade– Full bir proxy kurulumu ve NAT’lı ortam üzerinden arka kapı açılması– Tor uygulaması kullanılarak neredeye komple anonimlik sağlanması

• Öneriler– Outbound trafiğin taranmsı ve izlenmesi– SSL/TLS çözümleme

• Kurumsal trafiğin %30‐40’I• En çok ziyaret edilen web sitelerinin %40’I kullanıyor (Facebook, Google, Twitter, Yahoo gibi)

Atak Zincirini Kırmak: Veri Sızıntısı

• Veri hırsızlığı,veri imhası veya fidye• Veri sızıntısının 3 temel yolu:

– Şifresiz trafik: Meşru gibi görünebilir. Veri koruma çözümleri ile kolaylıklatespit edilebilir. 

– SSL/TLS: Hızla artmaya başladı. Daha maliyetli olsa da tespiti mümkün.– Custom‐Encrypted Dosyalar: B’r.ok koruma yönteminde tespit ve taraması

mümkün değil. 

• Tek seferde veya parçalı gönderim

• Öneriler– Diğer 6 Atak Zincirinde güvenlik sağlayın!– Tam bir DLP çözümü kullanın– Custom Encryption tespiti– İmaj dosyalarının OCR Taraması– “Parçalı Gönderim” in tespiti– Şifreli ve şifresiz outbound trafiğin taranması

Sonuç• Atak Zinciri’nin tüm halkaları için koruma sistemlerimizi

gözden geçirmeliyiz.

• Mevcut koruma teknolojilerimizi, atlatma metodlarınıdüşünerek tekrar değerlendirmemiz gerekiyor.

• Tüm iletişim kanallarımız için (web, email, mobile) güvenli iletişimi ve içerik kontrollerini devreye almalıyız

• Veri sızıntıları için hem inbound hem de outbound trafikiçeriğini monitor etmeliyiz

• Yüksek riskli olay ve trendleri izleyebilecek log korelasyon çözümleri kullanmalıyız

• Gerçek zamanli analizler yapan koruma metodlarınakaymalıyız

Contact

InfoSec Bilgi Teknolojileri Saray Mah. Dr. Adnan Büyükdeniz Cad. No: 4 Akkom OfisPark 2. Blok 10. Kat 34768 Ümraniye İSTANBUL / Turkey

T: +90 216 250 35 35 www.infosec.com.trF: +90 216 250 35 39  info@infosec.com.tr