5. APT Nedir?
• Advanced Persistent Threat
• Gelişmiş Sürekli Tehdit
• Aktif bir saldırı
• Uzun süreli bir operasyon
• Tespit edilmemeye çalışıyor
• İyi planlanmış
• Kaynak sorunu yok
www.garnizon.com.tr
6. APT Ne Değildir?
• SQL injection, vb. münferit saldırılar
• Normal zararlı yazılım olayları
• Bütün hedefli saldırılar APT değildir
– (bütün APT’ler hedeflidir)
www.garnizon.com.tr
8. 1. Adım: Sızma
• Amaç: Ağ veya sisteme erişim sağlama
• Yöntem:
– Siber istibarat çalışmaları
– Sosyal mühendislik
– Phishing
www.garnizon.com.tr
9. 2. Adım: Keşif
• Amaç: Siber Ölüm Zincirinin korunması
• Yöntem:
– Ele geçirilen sistemlerin incelenmesi
– Kullanıcı adı/Parola ele geçirme
www.garnizon.com.tr
10. Siber Ölüm Zinciri
Bilgi Toplama
• Pasif bilgi
toplama
• Kuruluş
şemaları
• IP adresleri
• Port
taramaları
• İnternet
servis
sağlayıcısı
bilgileri
• Dışarıya
dönük
sistemler
• ...
Silahlandırma
• İstismar
kodunun
hazırlanması
• Zararlı yazılım
• Ambalaj
Teslimat
• Hedefli
oltalama
saldırısı
(spear
phishing)
• Zararlı içerikli
web sayfası
• İnternet
servis
sağlayıcısı
İstismar
• Kodun
çalıştırılması
• Hedef
sistemle
bağlantı
kurma
• Üçüncü
tarafların
istismarı
Kurulum
• Trojan veya
arkakapı
• Kalıcı erişim
kurabilme
• Yetki
yükseltme
• Kullanıcı
adlarını ve
parolaları
çalma
Komuta ve
kontrol
• Hedefle
iletişim
yolunun
açılması
• Yatay hareket
• İç ağda bilgi
toplama
• Erişimi kalıcı
hale getirme
Hedef üzerinde
işlemler
• Derinleşme
• Bağlantıyı ve
erişimi kalıcı
hale getirecek
ek yöntemler
• Veri sızdırma
1 2 3 4 5 6 7
11. 3. Adım: Ele Geçirme
• Amaç:
– Uzun vadede kalıcı olma
– Önemli verileri ele geçirme
• Yöntem:
– Verilerin analizi
www.garnizon.com.tr
12. 4. Adım: Sızdırma
• Amaç: Elde edilen verinin “çalınması”
• Yöntem:
– Düz metin
– Steganography
– Şifreli
– TOR
– DNS tünelleme
– Vb....
www.garnizon.com.tr
14. APT İzleri
• Kullanıcı davranışları
• Çok sayıda trojan bulunması
• Beklenmedik veri akışı
• Beklenmedik yerlerd veri bulunması
www.garnizon.com.tr
15. APT izleri
• İstemci
– Alışılmadık dosya adı
– Farklı uygulamalar (exe dosyaları)
– Windows ile birlikte başlayan
prosesler/programlar
– Alışılmadık yöntici hareketleri
www.garnizon.com.tr
16. APT İzleri
• Ağda
– Alışılmadık DNS hareketliliği
– Periyodik trafik
– “Sınıflandırılmamış” veya “bilinmeyen”
katgorisindeki sitelere ziyaretler
– HTTP talebinin hemen ardından indirilen pdf, exe,
vb. dosyalar
– Karalistede bulunan IP adreslerle iletişim
www.garnizon.com.tr
17. APT Zararlıları
• Tespit edilen zararlı yazılımların;
– %70’i bilinen zararlı
– %29’u Bilinmeyen zararlı
– %1’i APT
www.garnizon.com.tr
18. APT Zafiyetleri
• APT’lerin %55’i Office açıklarını istismar ediyor
• Phishing, spear phishing en çok kullanılan
saldırı yöntemi
• Rusya kaynaklı APT’lerin %73’ü bilinen istismar
kodlarından faydalanıyor
•
www.garnizon.com.tr
19. APT: Lotus Blossom
• Saldırı vektörü: Phishing
• Excel (CVE-2012-0158)
• Hedefler: Vietnam, Filipinler, Taiwan,
Endonezia
• İşlevler
– Sandbox atlatma
– Veri çalma
– Ek zararlı yazılım kurulumu
www.garnizon.com.tr
20. APT: Fruity Armor
• Saldırı vektörü: Web
• Tarayıcı (CVE-2016-3393)
• Hedefler: Iran, Cezayir, Yemen, Suudi Arabistan
• İşlevler
– Veri çalma
– Ek zararlı yazılım kurulumu
www.garnizon.com.tr
21. APT: Project Sauron
• Saldırı vektörü: Bilinmiyor
• Bilinmiyor
• Hedefler: Rusya, Ruanda, İran, İtalya (?)
• İşlevler
– Casusluk / veri sızdırmak
– Modüler yapı
– DNS tünelleme
– USB tünelleme
www.garnizon.com.tr
22. APT: Crouching Yeti
• Saldırı vektörü: Phishing
• Flash (CVE-2011-0611)
• Hedefler: A.B.D., İspanya, Fransa,
Almanya,Türkiye
• İşlevler
– Casusluk / veri sızdırmak
www.garnizon.com.tr
23. APT: Adwind
• Saldırı vektörü: Phishing
• Java
• Hedefler: Rusya, Hindistan, BAE, Türkiye
• İşlevler
– Kiralık platform
– Casusluk / veri sızdırmak
www.garnizon.com.tr
24. APT Tespit Etmek
• Loglar en iyi arkadaşınız
• Anahtar kuruluş ağından çıkan trafik olabilir
• Phishing başlıca saldırı vektörü
• Genellikle komuta sunucusu oluyor
• Ağ trafiğini izlemek gerekiyor
• Sistem loglarını izlemek gerekiyor
www.garnizon.com.tr