2. Ajanda
• Yeni Siber Saldırı Standartları
• Analist ve CISO ‘nun Rolü
• Bir Atağın Anatomisi
• Atak Zincirini Kırmak
• Sonuç
3. Yeni Standartlar
Yeni
Normlar
• De‐facto standardı
• Görünme frenkansında
artış
Hedef
Ataklar
• Belirli kitliler
• Belirli coğrafi bölgeler
• Gruplar
• Beliri kişiler
Yeni Normlar
Karmaşık
Ataklar
• Tek vücut olarak
çalışan farklı aktörler
• Her safhasındaki
uzmanlık ve
motivasyon çeşitliliği
• Karmaşıklığı ve
gelişmişliği sürekli
artıyor
Ekosistem
9. DROPPER FILEEXPLOIT KITYÖNLENDİRMEYEMBİLGİ TOPLAMA
Bir Atağın Anatomisi
Hedef Kurum
Kurum çalışanı Email
server
Ele geçirilmiş makina Saldırgan
Web proxy Control server
CALL HOMEVERİ SIZINTISI
Zararlı Kod
Enjekte
Edilmiş
Website
10. Atak Zincirini Kırmak: Bilgi Toplama
• Pasif Bilgi Toplama: Hedef hakkındaki araştırma genele a.ik
kaynaklar üzerinden yapılır. (Sosyal Medya, haberler vb. gibi)
• Aktif Bilgi Toplama: Teknik veya farklı bilgiler için sızma
• Öneriler
– Veri akışlarına hakim olun
– Partner güvenliğinden de emin olur
… Amerika’da Target marketlerine iş yapan
bir partner firması hedef alınarak Target
Corp’unkilit sistemlerine ait şifreler çalındı
11. Atak Zincirini Kırmak: Yem
• Gelişmiş Sosyal Mühendislik
– Sadece gerektiği kadar karmaşık
– Zararlı linklerin %85’I ele geçirilmiş güvenilir web sitelerinde barındırılıyor
• Watering holes: Sessiz yemleme
– Çok ziyaret edilen siteler üzerinden, belirli bir konuya yönelen
kişilere ulaşmak
– Duyuru/Yemleme yapmaya gerek yok
• Spam:
– Tüm Spam mesajların %3.3’ü zararlı içerik barındıran sitelere
yönlendiriyor
• Öneriler
– Son Kullanıcı Eğitimi
– Gerçek zamanlı trafik analizleri
– Detaylı görünülürlük için Gelişmiş Raporlama
12. Atak Zincirini Kırmak: Yönlendirme
• Kimlik Gizleme ve koruma sağlayan cihazlara saldırı
– Ortalama redirect linki:4, maksimum 20
• Örnek: Ele geçirilen bir Web Sitesi
– Basit bir HTML dosyası, ziyaretçiyi bir Adobe flash dosyasına
yönlendiriyor
– Yönlendirme 2 farklı HTML dosyasına daha yapılıyor
– Son dosyada IE exploit’I çalışıyor
– Hiçbirisi zararlı kod ile ilgili bir bilgi barındırmıyor
• Öneriler
– İmza tabanlı olmayan koruma yöntemleri
– Tüm yönlendirme path’ini analiz etme
13. Atak Zincirini Kırmak: Exploit Kit
• Exploit Kit’leri bilinen ve bilinmeyen açıklıkları tarar
• Statik koruma cihazlarını atlatırlar
– Hızlı adapte edilen exploit kitleri, son güvenlik güncellemelerini bypass
edebiliyorlar.
• Bilinen ve yaması bulunan açıklar hala çok büyük fırsat
yaratıyor
– Java, Flash, XP vb. gibi.
• Geçici Exploit Kit Pazarı
• Öneriler
– Başımız ağrımadan yama geçmek
– Exploit kit’leri tesipt edebilen, dinamik
ve gerçek zamanlı korumalar
14. Atak Zincirini Kırmak: Dropper File
• Atak yapan kişinin, hedefte kalıcı olmasını ve ilerlemesini
sağlar
– Tek aşamalı dosyalar payload’u içerir
– Çok aşamalı dosyalar ek payload’ları sonradan download ederler
• Hızlı varyasyonları sayesinde static koruma kalkanlarını hızlıca
atlatırlar
• Sandbox kullanımı ile, sanal kaçırma tekniklerinde de artış
meydana geldi.
– Zararlı aktiviteyi gerçekleştirmeden önce zaman gecikmeleri kullanımı
– Sanal ortam araştırmaları
– İnsan etkileşimi testi
• Öneriler
– Kaçırma teknikleri genişliği ve karmaşıklığı faaliyetlerin bir kombinasyonu
gerektirir. Bunlar objenin etrafındaki bilgiler (kim imzaladı, kökeni,
reputation bilgisi), bize nasıl ulaştırıldı, vb. gibi
15. Atak Zincirini Kırmak: Call Home
• Komuta&Kontrol Sunucularına doğru yapılan bir istek ile
program, araç veya talimatlar beklenir
– Yönlendirme, Dynamic DNS, şifreli iletişim
• Örnek: Mevade
– Full bir proxy kurulumu ve NAT’lı ortam üzerinden arka kapı açılması
– Tor uygulaması kullanılarak neredeye komple anonimlik sağlanması
• Öneriler
– Outbound trafiğin taranmsı ve izlenmesi
– SSL/TLS çözümleme
• Kurumsal trafiğin %30‐40’I
• En çok ziyaret edilen web sitelerinin %40’I kullanıyor (Facebook,
Google, Twitter, Yahoo gibi)
16. Atak Zincirini Kırmak: Veri Sızıntısı
• Veri hırsızlığı,veri imhası veya fidye
• Veri sızıntısının 3 temel yolu:
– Şifresiz trafik: Meşru gibi görünebilir. Veri koruma çözümleri ile kolaylıkla
tespit edilebilir.
– SSL/TLS: Hızla artmaya başladı. Daha maliyetli olsa da tespiti mümkün.
– Custom‐Encrypted Dosyalar: B’r.ok koruma yönteminde tespit ve taraması
mümkün değil.
• Tek seferde veya parçalı gönderim
• Öneriler
– Diğer 6 Atak Zincirinde güvenlik sağlayın!
– Tam bir DLP çözümü kullanın
– Custom Encryption tespiti
– İmaj dosyalarının OCR Taraması
– “Parçalı Gönderim” in tespiti
– Şifreli ve şifresiz outbound trafiğin taranması
17. Sonuç
• Atak Zinciri’nin tüm halkaları için koruma sistemlerimizi
gözden geçirmeliyiz.
• Mevcut koruma teknolojilerimizi, atlatma metodlarını
düşünerek tekrar değerlendirmemiz gerekiyor.
• Tüm iletişim kanallarımız için (web, email, mobile)
güvenli iletişimi ve içerik kontrollerini devreye almalıyız
• Veri sızıntıları için hem inbound hem de outbound trafik
içeriğini monitor etmeliyiz
• Yüksek riskli olay ve trendleri izleyebilecek log
korelasyon çözümleri kullanmalıyız
• Gerçek zamanli analizler yapan koruma metodlarına
kaymalıyız
18. Contact
InfoSec Bilgi Teknolojileri Saray Mah. Dr. Adnan Büyükdeniz Cad. No: 4 Akkom Ofis
Park 2. Blok 10. Kat 34768 Ümraniye İSTANBUL / Turkey
T: +90 216 250 35 35 www.infosec.com.tr
F: +90 216 250 35 39 info@infosec.com.tr