Özet

Günümüzde birçok siber saldırı yöntemi vardır. Bunlardan en tehlikelilerinden olan APT saldırıları geleneksel tehditlerden çok daha kapsamlı ve maruz kalındığında sonuçlarının daha büyük olacağı bir tehdittir. Asıl özelliklerinden birinin sistemde kalıcı bir şekilde yer
edinmesi ve devamlı bilgi sağlaması olan bu saldırı yönteminden kurtulmak neredeyse imkansız. Bu yüzden sisteme giriş sağlamadan önlemek büyük önem taşıyor. İlk aşamada sosyal mühendislik yolunu kullanan korsanlar insanlara maili yoluyla ulaşıp onların bilgileriyle sisteme giriş yapabiliyor. Bu yüzden kullanıcılar olabildiğince bilinçlendirilmeli, kullanımları sınırlandırılmalı ve ağ üzerindeki tüm trafik takip edilmelidir.

İçindekiler

  1. Giriş
  2. İsmi ve Özellikleri
  3. Yapısı ve Teknikleri
  4. Örnek olaylar
  5. Tespit ve Önlem
  6. Kaynakça

 

1-)Giriş

Teknoloji artık hayatımızın her yerinde ve çoğu işimizi internet üzerinden yapıyoruz. Bu tür ortamlarda maalesef güvenlik açığımız genelde çok oluyor. Kurum ve kuruluşları düşündüğümüzde bu risk daha da yüksek. Günümüzde birçok türde virüs ve saldırı teknikleri gelişmekte. Bunlardan en tehlikeli olanlardan biri de APT saldırıları olarak bildiğimiz Gelişmiş Sürekli Tehditler. İsminden anlaşılacağı üzere çok uğraş verilen ve ancak üst düzey saldırganların gerçekleştirebileceği, asıl özelliğinin sistemde sürekli kalması ve kolay kolay terk etmemesi olan bu tehditler genelde büyük amaçlarla gerçekleştirilir.

 

2-)İsmi ve Özellikleri

“Gelişmiş: Bir saldırgan sisteme yakalanmadan bilgi kazanma konusunda yetenekli, iyi korunan bir ağa sürekli erişebilen ve önemli bilgileri ele geçirebilen kişidir. Saldırgan genellikle yeterli kaynaklara sahiptir ve sisteme çabuk uyum sağlayabilmektedir. GST‘yi oluşturan terimler içerisindeki gelişmiş ifadesi saldırganın özelliklerini tanımlamaktadır.” (AKIN VE SARIOĞLU, 2017)

“Sürekli: Bir tehdidin sürekli olması o tehdidin bilgisayar ağına erişiminin sürekli olması anlamına gelmektedir. Yani saldırgan bilgisayara bir kere erişim sağladığında istediği bilgiye ulaşana kadar sistemde kalabilmektedir ve saldırganın sistemden uzaklaştırmak son derece zordur.” (AKIN VE SARIOĞLU, 2017)

 

3-)Yapısı ve Teknikleri

Keşif:

“Saldırgan saldıracağı kurbanın bilgilerini en iyi saldırı yöntemi için toplamaktadır. Bu bilgiler toplanırken hedefin çalışma ortamının konum bilgisi, kullanılan bilgisayarların konum bilgisi, kurum tarafından kullanılan teknolojiler, kendi aralarında nasıl iletişim kurdukları(ofis arasında, müşteriler, tedarikçiler ve ortaklar arasında), müşteri bilgileri, ilgi alanları ve adres bilgileri gibi bilgiler de toplanmaktadır.” (AKIN VE SARIOĞLU, 2017)

Hazırlık:

“Saldırgan saldırmak istediği kurban için aktif olarak saldırı hazırlamakta, geliştirmekte ve uygun araçlarla test etmektedir. Bu aşama sistem açıklarını saptama, kötü amaçlı kod yazımı veya elde edilmesi, uygun sosyal mühendislik maillerinin hazırlanması ve hangi uygun hesaptan gönderileceğinin belirlenmesi gibi hazırlıklar yapılmaktadır. Ayrıca saldırgan bu aşamada saldırı için ihtiyaç duyacağı gerekli donanımı da temin etmekte, saldırı esnasında kullanacağı saldırı altyapısını oluşturmakta ve bunları uygun bir şekilde test etmektedir.” (AKIN VE SARIOĞLU, 2017)

Hedef Belirleme:

“Saldırgan atağını gerçekleştirdikten sonra bıraktığı izleri takip eder ve hata varsa bunları kontrol eder. Gönderici bir açığı kullanarak sunucu bilgisayarı ele geçirmeye çalışabilir, stratejik bir cihaza USB bağlayabilir, sosyal mühendislikle bir e-mail gönderebilir ve bu ilk eylemlerden sonra sistemden bir işaret bekleyebilmektedir. Geri dönen işaret ile kurban belirlenecek saldırı gerçekleşecektir.” (AKIN VE SARIOĞLU, 2017)

Veri Toplama ve Sızdırma:

“Bir saldırgan istediği verileri belirledikten sonra bu bilgileri toplamaya başlamaktadır ve elde edilen bilgileri veya kendine ait izleri, programları, araçları başka bir yere (exfiltrasyon) kaydırmaktadır. Eğer saldırgan kır ve elde et (smash and grab) yöntemini kullanırsa istediği veriyi başka bir yere tespit etmeden taşımakta, eğer düşük ve yavaş (low and slow) yöntemini tercih ederse küçük parçalar halinde daha uzun sürede taşımaktadır.” (AKIN VE SARIOĞLU, 2017)

Erişimi Sürdürme:

“Saldırgan sisteme bir kez erişim sağladığında ve istediği bilgiyi elde ettiğinde sisteme erişimin devam etmesini ister. Bu aşamada sistemde tespit edilmeyi önlemek için kötü amaçlı yazılımların ve araçların çalışmasını minimize edilmekte, açık bırakılan arka kapıların istenildiği şekilde çalışıldığından emin olmak için periyodik olarak bu kapılarla iletişim kurulmakta gerekli ve uygun değişiklikler yapılmaktadır. Eğer otomatik bilgi toplama araçları kullanılmışsa bu arama araçları için arama terimleri güncellenmekte exfiltrasyon yolu ve sıklığı kontrol edilmektedir. Eğer bu aşamada bağlantı kaybedilirse saldırgan birinci aşamaya dönmek zorunda kalabilmektedir.” (AKIN VE SARIOĞLU, 2017)

 

4-)Örnek Olaylar

APT saldırıları çok büyük çaplı gerçekleşen olaylardır. Genelde büyük şirketlere ya da çoğunlukla devletlere karşı başka devletler tarafından gerçekleştirilen olaylar olarak tarihte bazı saldırı örnekler vardır. Kayıtlara ABD tarafından İran’a karşı gerçekleştirilen bir APT saldırısı olarak geçen Stuxnet saldırısı İran’ın nükleer programına zarar vermek ve yavaşlatmayı amaçlamıştır. Bununla birlikte Çinli hacker grubunun Microsoft Exchange sunucularına yaptığı Hafnium olarak adlandırılan saldırı gibi olayları APT’ye örnek olarak verebiliriz. Bu saldırılardan en çok öne çıkan olan Stuxnet saldırısını biraz daha detaylandıralım.

Stuxnet

2010 yılında bazı müşterilerin bilgisayarlarının kendiliğinden kapandığı şikâyeti üzerine yapılan incelemelerde Ralph Langner ve ekibinin yaptığı araştırma sonucunda fark edilen Stuxnet virüsü, siber dünyanın geleceğini etkileyecek güce sahip bir saldırı olarak tarihe geçti. Yayınladıkları raporda Trojan-Spy.0485 ve Malware-Cryptor.Win32.Inject.gen.2 olarak adlandırdıkları virüsleri antivirüs tabanına
eklediklerini açıkladılar. Ancak Langner, laboratuvarında solucanı test etmeye kalktığında çalışmadığını fark etti ve bunun belirli bir yere saldırmak amacıyla özel olarak hazırlanmış olabileceğini düşündü.(KESİK, 2020)

Nükleer Çalışmaya Etkisi:

Yaptığı araştırmalar sonucunda bulabildiği herhangi bir Windows bilgisayarlarına bulaşsa da asıl olarak Siemens marka denetleyicileri hedef aldığı ve bulduktan sonra hedeften emin olmak için model numaralarını, yapılandırma ayrıntılarını kontrol etmeyi ve hatta doğru program olup olmadığını kontrol etmek için kontrolörden program kodunu indirmeyi içeren karmaşık bir parmak izi sürecinden geçtiğini fark etti. Devam eden çalışma neticesinde bir nükleer santrale ve bunun da herhangi bir santral değil 984 adet santrifüjler dizisini işletmek için yapılandırılmış bir işletmenin peşinden gittiğini fark etti. Bu işletme ise İran’ın Natanz şehrinde kurulan nükleer tesisti. Virüsün nasıl bulaştığı konusunda ise kesin bir mutabakat sağlanamamakla beraber bir usb ile tesise sokulduğu tahmin ediliyordu. Zira nükleer santral olası bir siber saldırıya karşı internet ortamından arındırılmış hava boşluğuna sahip bir sistem üzerinde çalışmaktaydı. Ancak gelinen noktada internet ortamından arındırılan sistemlerin de siber saldırıya uğrayabileceği bu şekilde tecrübe edilmiş oldu. (KESİK, 2020)

Microsoft Açığı:

Microsoft sistemli bilgisayarlarda “Grup İlkesi” gereği usb veya çıkarılabilir aygıtları engelleme imkânı mevcuttur. Okuma erişimini reddetme, yazma erişimini reddetme ve erişimi reddetme olarak üç farklı reddetme seçeneği mevcuttur. Kapalı devre sistemlere sahip bu tür sistemlerde koruma olarak bu tür reddetme seçenekleri kullanılmaktadır. Kaldı ki bugün herhangi bir makalenin bile kopyalanmasının
istenilmemesi halinde web sitelerinde kopyala-yapıştır engellenebiliyorken bir nükleer santralde herhangi bir harici depolayıcının erişimini engellemek hiç de zor değildir. Ancak yapılan araştırmada kaynakların bu konuda bazı yerleri atladığını göstermektedir.(KESİK, 2020)

Symantec Raporu:

Yukarıda da bahsedildiği üzere virüsün bir usb ile sisteme bulaştırıldığı iddiası mevcut. Ancak yayınların hemen hepsinde es geçilen bir nokta mevcut. Symantec’in 26 Şubat 2013 günü yayınlanan raporu. Bu rapora göre Stuxnet’in fark edildiği anki versiyonu Stuxnet 1.0 versiyonudur. Bu versiyondan önce ise 1.0 kadar agresif olmayan 0.5 sürümü mevcut. Fark edilmesinin nedeni ise istenilen ölçüde olmadığı veya başarılı olamaması sonucunda güncellenen sürüm ile daha da agresif hale getirildiğidir. Stuxnet’in bir gaz boru hattı veya elektrik santrali gibi İran’da olması muhtemel belirli bir endüstriyel kontrol sistemini hedefleyen bir tehdit (Symantec, 2011:2) olduğunu belirten raporda toplamda 4 adet yamanmamış Microsoft açığının kullanıldığı, sistemi sabote etmek için Siemens PLC’lerindeki kodun virüs tarafından değiştirildiği belirtiliyor. (KESİK, 2020)

5-) Tespit ve Önlem

Anahtar kuruluş ağından çıkan trafik:

Wireshark gibi ağ trafiğini kontrol edebileceğiniz bir yazılıma ülke bazında IP’lerin tutulduğu bir veri tabanı eklediğimizde örneğin bir siteye girdiğinizde hangi ülkelerden sunucularla nasıl trafiğe girdiğinizi kontrol edebilirsiniz. Ağda normal dışı bir trafik var mı diye kontrol etmek APT saldırılarını tespit etmek için önemlidir.(BASARAN, 2016)

Sosyal Mühendislik:

Sosyal mühendisliği kişilerin zaaflarından yararlanarak sahip olduğu kişisel verilerini açığa çıkarmak ve saldırganın istediklerini yerine getirtmek üzere onları yönlendirmek olarak tanımlayabiliriz. Bu alanda en çok kullanılan saldırı türü phishing(yemleme)’dir.

Phishing (Yemleme):

Phishing Nedir?

Phishing bilişim teknolojilerini kullanarak hedef kişileri ikna ederek onların kişisel verilerini çalıp kötü niyetle kullanmasıdır.

Firewall ve Antivirüs Kullanımı:

Phishing saldırıları ile kullanıcıların cihazlarına virüs gönderimi sağlanır. Cihaz içerisinde yer alan bilgi, belge ve dosyalara erişim sağlanmaya çalışılmaktadır. Bunun yanında kullanıcıların cihazları ile çevrimiçi platformlara girişte kullandıkları şifreleri ve bilgileri de ele geçirilebilmektedir. Ayrıca özel belge ve dökümanların ele geçirilmesi ile şantaj ve karalama kampanyaları gibi işlemlerde yapılabilmektedir.

Firewall yani güvenlik duvarı kullanımı sayesinde sistem otomatik olarak phishing saldırılarını tespit ederek kullanıcıların korunması sağlanmaktadır. Bunun yanında orjinal antivirüs yazılımlarının kullanımı ile zararlı yazılım ve virüslerin cihazlara erişiminin önüne geçilmektedir. Alınacak basit yazılımsal çözümler ile zararlı saldırılardan kolay bir şekilde korunabilmektedir.(YALÇIN, 2023)

E-posta Korumak:

E-postalar sık kullanımı nedeniyle işletmelerin savunma hattını zayıflatabilecek bileşenler arasındadır. Bu yüzden, e-postalarınız için spam ve kötü amaçlı yazılım korumasını etkinleştirmeniz önerilir. Kimlik avı saldırılarının başarı oranını düşüren e-posta filtreleme, APT sızma girişimlerini durdurabilir. Güçlü e-posta güvenliği uygulamaları kullanarak gelen kutularını kötü amaçlı etkinliklerden koruyabilirsiniz. E-posta güvenliğinde SMTP için önlem almak önemlidir. Güvenlik önlemi alınmamış SMTP servislerinde bir başkası gibi e-posta yollamak mümkündür.

SMTP Protokolü Güvenliği Sağlama (Örnek Uygulama):

Sosyal mühendislik (kimlik taklit etme, oltalama, vb.) saldırıları ve SPAM mesajlarına karşı SMTP servisinin güvenliği
aşağıdaki yöntemlerle test edilebilir.

Verilecek örnekler için kullanılacak adresler şu şekildedir:

-> Kurban olarak, “example” kurumunda çalışan (kurban@example.com.tr) adresi seçilecektir.

Saldırgan ise iki farklı gruptan seçilecektir,

-> Birinci grup İnternet kanalıyla gelen saldırgan (hacker@iosec.org, gokhan.muharremoglu@iosec.org)

-> İkinci grup kurum içi çalışan/saldırgan (gokhan.muharremoglu@example.com.tr, hacker@example.com.tr)

Kimliği taklit edilecek kişi ise kurum içinden seçilecektir,

-> Saldırıda kimliği taklit edilecek adres (yonetici@example.com.tr) olacaktır.

SMTP servislerinin SPAM mesajlarına ve kimlik taklitçiliğine (Spoofing) karşı süseptibilitesi incelenirken aşağıdaki
senaryolar kontrol edilmelidir:

1. Kurum içinden kurum içine yollanan e-postalar (a@kurum > SMTP > b@kurum)
2. Kurum içinden kurum dışına yollanan e-postalar (a@kurum > SMTP > b@internet)
3. Kurum dışından kurum içine yollanan e-postalar (a@internet > SMTP > b@kurum)
4. Kurum dışından kurum dışına yollanan e-postalar (a@internet > SMTP > b@internet)

SMTP servisi doğası gereğince 1 ve 2 numaralı senaryo maddelerinde Authentication (kimlik doğrulama) işlemi
yapabilir iken, 3 ve 4 numaralı senaryo maddelerinde bunu gerçekleştiremez. SMTP servisinin görevi kendine iletilen
mesajı bir posta kutusuna veya başka bir e-posta sunucusuna iletmektir. Bu posta kutusu kendi yerel sunucusuna ait
bir posta kutusu olduğunda gelen mesajın sahibinin kimlik doğrulaması için yerel posta kutusu hesabı kimlik bilgileri
ile karşılaştırma yapabilir. Ancak mesajı yollayan bir dış hesap olduğunda kimlik kontrolü yapmak ancak çeşitli ek
yöntemlerle sağlanabilir.(MUHARREMOĞLU, 2018)

Güvenlik Denetimleri:

Kurumun SMTP servisinin hizmet verdiği SMTP sunucusunun adresine Telnet ile bağlantı gerçekleştirir. Varsayılan
SMTP Port’u 25’dir. Bazı servisler 587 Port’unu da erişime açmaktadırlar. Bu adımdan sonra komutlar interaktif bir
şekilde girilerek SMTP servisi ile konuşulur.

1. Kurum içinden kurum içine yollanan e-postalar (a@kurum > SMTP > b@kurum)

Normalde “yonetici@example.com.tr” adresinden yollanan e-posta adresinin hiçbir kimlik bilgisi sorulmadan kuyruğa alınır. Yönetici kimliğini bu sayede taklit eden bir saldırgan kurban seçtiği kişiye e-posta göndermeyi başarabilir.

Bu senaryoda kimlik bilgisinin sorulması konusu söz konusu olduğunda karşılaşılması gereken ekranın aşağıdaki gibi
olması gereklidir.

SMTP Authentication (kimlik doğrulama) yapılmasının şart koşulduğu durumlarda dahi var olmayan posta
kutularından geliyor gibi gösterilen e-postalar atmak mümkün olmaktadır. Aşağıdaki ekran var olan bir posta
kutusunun kullanılarak, var olmayan bir posta kutusundan geliyor gibi gösterilecek bir e-postanın nasıl
gönderilebileceğini göstermektedir.

Kimlik doğrulama işlemi adımları Base64 ile Encode edilmiş içeriği barındıracaktır.

Eposta mesajının yollanması:

Var olan posta kutusu ”hacker@example.com.tr” adresi kullanılarak, var olmayan posta kutusu “olmayan_posta_kutusu@example.com.tr” adresinden geliyor gibi e-posta yollanmıştır.

E-posta mesajının “Gelen Kutusu” içindeki görüntüsü:

Posta kutularına iletilen mesajlar ile kurum içinde oltalama yapmak amacıyla sosyal mühendislik senaryoları
uygulanabilir veya kurum çalışanları arasında tartışmalara neden olabilecek asılsız e-postalar kurum içine yollanabilir.
Özellikle toplu e-posta gönderiminin yapıldığı ortak hesaplara yollanan e-posta adresleri seçilerek bu mesajlar kurum
içine tek bir seferde yollanabilir.

Kullanılan ağ ve sistem tasarımına uygun olarak hazırlanacak bir sosyal mühendislik çalışmasında senaryoları
çeşitlendirmek mümkün olacaktır.(MUHARREMOĞLU, 2018)

İki Faktörlü Kimlik Doğrulama(2FA):

2FA güvenlik prosedürü, kullanıcıların ağın hassas alanlarına erişirken ikinci bir doğrulama biçiminden geçmesini gerektirir. Her kaynakta ek bir güvenlik katmanının olması, sistemde hareket eden davetsiz misafirleri yavaşlatacaktır.

Nasıl Yapılır?

  1. Kullanıcıdan uygulama veya web sitesi tarafından oturum açması istenir.
  2. Kullanıcı bildiklerini girer (genellikle kullanıcı adı ve şifre). Ardından, sitenin sunucusu bir eşleşme bulur ve kullanıcıyı tanır.
  3. Parola gerektirmeyen işlemler için, web sitesi kullanıcı için benzersiz bir güvenlik anahtarı oluşturur. Kimlik doğrulama aracı anahtarı işler ve sitenin sunucusu bunu doğrular.
  4. Site daha sonra kullanıcıdan ikinci oturum açma adımını başlatmasını ister. Bu adım çeşitli biçimlerde olabilse de, kullanıcının biyometri, güvenlik belirteci, kimlik kartı, akıllı telefon veya başka bir mobil cihaz gibi yalnızca sahip olacağı bir şeye sahip olduğunu kanıtlaması gerekir. Bu, kalıtım veya sahip olma faktörüdür.
  5. Ardından, kullanıcının dördüncü adım sırasında oluşturulan tek seferlik bir kod girmesi gerekebilir.
  6. Her iki faktörü de sağladıktan sonra, kullanıcının kimliği doğrulanır ve uygulamaya veya web sitesine erişim izni verilir.(ROSENCRANCE, LOSHİN ve COBB, 2021)

Anti Yazılımlar:

Apt tehditlerine hazırlıklı olmak için truva atları gibi virüsleri tanıyabilen ve önleyebilen yazılımlara ihtiyaç vardır. Ağınızdaki kötü amaçlı kodlar engelleyen giriş önleme sistemlerine (IPS) sahip olmak gerekir. Kaspersky, Forcepoint gibi şirketler bu tür sorunları önleyen profesyonel yazılımlara sahip olan şirketlerdir.

6-) Kaynakça

 

AKIN, M. ve SARIOĞLU, Ş. (2017). Gelişmiş sürekli tehditler. TÜRKİYE BİLİŞİM VAKFI BİLGİSAYAR BİLİMLERİ VE MÜHENDİSLİĞİ DERGİSİ, 10, 1.

Kesik, M. (2020). Siber güvenliği yeniden düşünmek: Stuxnet örnek olayı. (Yayımlanmamış yüksek lisans tezi). Bilecik Şeyh Edebali Üniversitesi, Sosyal Bilimler Enstitüsü, Bilecik.

Alper Basaran. (2016, Aralık 17). Apt sınıfı saldırılar[Video]. https://youtu.be/et9DYt85npg

YALÇIN, F.G. (2023, Şubat 5). Phishing (Oltalama) saldırıları nedir? 3 adımda önlem alın. Fintechtime. https://fintechtime.com/tr/2023/05/phishing-oltalama-saldirilari-nedir-3-adimda-onlem-alin/

MUHARREMOĞLU, G. (25.10.2018). E-Posta Sunucularında Adım Adım SPAM ve Spoofing Denetiminin Gerçekleştirilmesi. E-Posta Sunucularında Adım Adım SPAM ve Spoofing Denetiminin Gerçekleştirilmesi (pwc.com.tr)

ROSENCRANCE, L. LOSHİN, P. COBB, M. (2021 Temmuz). Two-factor authentication (2FA). What is Two-Factor Authentication (2FA) and How Does It Work? (techtarget.com)

Uygulama örneği ekran görüntüleri kaynakları:

MUHARREMOĞU, G. (25.10.2018). E-Posta Sunucularında Adım Adım SPAM ve Spoofing Denetiminin Gerçekleştirilmesi. 11.06.2023 tarihinde E-Posta Sunucularında Adım Adım SPAM ve Spoofing Denetiminin Gerçekleştirilmesi (pwc.com.tr) adresinden alındı.

Kapak görseli Free Photo | Free photo hands in a digital universe background (freepik.com) kaynağından alınmıştır.

 

Creative Commons Lisansı
Bu eser Creative Commons Atıf 4.0 Uluslararası Lisansı ile lisanslanmıştır.