Yeni nesil saldırılar


Siber saldırı vektörleri değişti. Her gün bir yenisi açıklanan yazılım açıklarının ötesinde saldırganlar birden fazla saldırı yöntemini birlikte kullanmaya başladılar. Son zamanların çok ses getiren saldırılarından birisi olan RSA saldırısı buna güzel bir örnek oluşturmaktadır. İnsan Kaynakları Bölümüne gönderilen “2011 işe alım planı.xls” dosyası Adobe Acrobat açığını kullanan bir zararlı kod içeriyordu.

"Anne ben vardım" diye komuta merkezini arayan malware (temsili)

Dikkatinizi çektiğinden eminim, saldırganlar genel konulu bir epostayı şirket geneline göndermediler, sadece İnsan Kaynakları Bölümü çalışanlarına ve kendi işleriyle ilgili “işe alım” bir eposta gönderdiler.
Buna benzer bir phishing saldırısı ile başlayabileceği gibi kurban bir internet sitesini ziyaret ettiğinde yüklenen bir yazılımla da başlayabilir. Bu yöntemlerin detayına girmeden saldırının bundan sonraki adımlarına göz atacağız. 
Saldırıların etapları hakkında bilgi edinmenin bu saldırıları sistem ve ağ seviyesinde yakalayabilmek için gerekli olduğunu düşünüyorum.

İkinci adım: sistemi ele geçirmek
Sistemin ele geçirilmesi çoğumuzun gözünde canlandığı gibi tek bir zararlı yazılımın indirilmesi ve kurulması ile gerçekleşmeyebilir. “Keylogger”, “file grabber”, “backdoor”, “trojan” ve türevi birkaç yazılım sisteme yüklenir. Bu sayede saldırgan sistem üzerinde tam olarak kontrol sahibi olur.

Üçüncü adım: “Anne ben vardım”
Sisteme yerleşen zararlı “anne, ben vardım” olarak da özetleyebileceğimiz şekilde komuta merkezi ile iletişim kurar. İletişim sistemden dışarıya doğru yapıldığı için çoğu şirketin güvenlik sistemlerinin dikkatini çekmeyecektir. Zararlılar komuta merkezi ile haberleşmeden günlerce veya haftalarca sessiz kalabilir ve kendilerini gizleyebilirler.

Dördüncü adım: “Buradan istediğiniz bir şey var mı?”
Annesini vardım diye arayan bir zararlının “buradan bir şey istiyor musun?” diye sormaması düşünülemez (fantastik bir benzetme oldu). Ne tür dosyaları dışarı göndereceğine karar vermek için zararlı yazılım komuta merkezinden bilgi bekleyebileceği gibi önceden tanımlı kurallara göre de hareket edebilir. Buna en güzel örneklerden birisi “Pixsteal” olarak bilinen ve bulaştığı sistemde ilk bulduğu 20.000 adet .jpeg veya .jpg uzantılı dosyayı bir FTP sunucuya yükleyen zararlıdır.

Beşinci adım: “Anne bak bu gelinin”
Bir sisteme bulaştıktan sonra zararlı ağ üzerinden yayılabildiği kadar yayılma eğilimindedir. Bu sayede saldırgan tek bir sistemin kaynaklarına ve içeriğine erişmekle kalmaz, ağ üzerinde sömürebildiği veya ele geçirebildiği her şeye ulaşmış olur. (Fantastik benzetmelerin sonuncusu olarak yeni bulaştığı sistemleri “gelin” olarak “annesiyle” tanıştırması aklıma geldi, bu saatte bu kadar, özür dilerim.)

RSA saldırısına dönecek olursak; bu beş adım aşağıdaki şekilde gerçekleşmiştir.
İlk adım: İnsan Kaynakları Bölümüne yapılan phishing saldırısı ile zararlının sisteme yüklenmesi
İkinci adım: Saldırgan açılan arka kapıdan sisteme erişiyor.
Üçüncü adım: Saldırgan önce sistem içerisinde yetkilerini yükseltiyor. Daha sonra ağ üzerinden aradığı sisteme ulaşana kadar yayılıyor.
Dördüncü adım: Saldırının gerçek hedefi olan sistemden istenilen veriler toplanıyor ve dışarıya gönderilmek için hazırlanıyor.
Beşinci adım: Veriler şifreli olarak FTP ile dışarıdaki bir sunucuya yükleniyor.
 Saldırının sonucunda oluşan kayıplar 66 milyon A.B.D. doları olarak tahmin ediliyor.

“Güvenlik cihazlarına o kadar para yatırdık, onlar ne işe yarar?”
Bu sorunun basit bir cevabı ne yazık ki yok. Şu ana kadar bütün saldırılara karşı etkili olacak bir savunma sistemi üretilmedi. Bu tür saldırıların hangi sistemi nasıl atlattıklarına kısaca bakarsak;

Firewall (güvenlik duvarı): İletişimin nereden gelip nereye gittiğine baktığı için iletişim içerisindeki zararlı kodları tespit etmesi zaten mümkün değildir.

IPS (Intrusion Prevention System – Sızma Engelleme Sistemi): İmza tabanlı çalışan sistemlerin “sıfır gün açığı” olarak adlandırılan yeni keşfedilmiş saldırıları tespit etmesi mümkün değildir. Bunun yanısıra IPS atlatılabilir bir sistemdir.

Anti-virüs: Anti-virüs yazılımları zafiyet taraması yapmadığı için bu konuda zaten pek faydaları olmaz. Ayrıca zararlı kodlar virüslerden farklı bir tür olduğundan çoğu anti-virüs yazılımının imza veri tabanında bulunmazlar veya tespit edilmeleri zordur.

Anti-spam: Bu noktada Anti-spam çözümlerinin sizi sadece can sıkıcı reklamlardan korumakla kalmaz phishing saldırılarını da tespit ederler ve bu nedenle önemlidirler. Yeni açılmış veya bu işe özel açılmış bir phishing sitesi itibar tabanlı (reputation based) anti-spam çözümleri tarafından tespit edilemeyeceği için ve epostanın da amatörce hazırlanmamış olması halinde büyük ihtimalle phishing epostası kurbana ulaşacaktır.
URL filtreleme çözümleri: Bu çözümlerin asıl kullanım amaçlarının pornografik içerik veya oyun sitelerini yasaklamak olduğu düşünülürse saldırganların zararlı kod yaymak için kurdukları bir siteyi çoğu zaman engelleyemeyecekleri ortadadır.

-          “O zaman?” 
-          “Aklımızı kullanacağız!”

Öncelikle kullanıcıların eğitimine önem verilmelidir. RSA örneğinde phishing epostasının bir kullanıcı tarafından “istenmeyen eposta” (junk mail) klasöründen çıkartılarak ekinin açıldığı bilinmektedir. Eğitim bu tür bir hatanın yapılmasını önleyecektir.

Aklımızı kullanma kısmında ise yazılımları güncel tutmanın yanında gelen ve giden trafiğin denetlendiği cihaz üzerinde (örneğin Firewall) ihtiyaç duyulmayan bütün trafiklerin kapatılması şarttır.

Son olarak şirketten çıkan internet trafiğinin periyodik olarak incelenmesi komuta merkeziyle haberleşen zararlının tespit edilmesini sağlayacaktır. Örnek olarak bilinmeyen bir şifreleme kullanan HTTPS trafiği veya Almanya’ya doğru yapılan FTP trafiği verilebilir...

Comments