TR / ENG
+90 212 224 9004
info@lostar.com

APT Simülasyonu

APT nedir?

APT(Advanced Persistans Threat) Türkçe’ye  “Gelişmiş Kalıcı Tehdit” olarak geçmiştir. APT’yi klasik saldırı yöntemlerinden ayıran temel neden saldırganların davranış biçimleridir. Gerek hedefe sızma ve sızdıktan sonra gerçekleştirdikleri aksiyonlar bu saldırı tipini farklı kılmaktadır. APT saldırılarının farklı olma nedeni ise hedef sisteme sızma sızdıktan sonra uzun süre sistemde kalıp sistem işleyişini değiştirmeden veri toplamayı gösterebiliriz.

APT neden tehlikeli?

APT saldırıları bilgi toplamak ve büyük çapta zarar vermek amacıyla yapılır. Sisteme sızıldıktan sonra uzun süre sessizce bekleyebilirve karmaşık yapıları sayesinde günümüzdeki antivirüs yazılımları ile tespiti oldukça zordur. APT saldırılarının tespti için sistem genelinin sürekli olarak takip edilmesi ve büyük resmi görülmesi gerektiği için tehlike seviyesi yüksektir.

APT nasıl yapılır?

Son dönemdeki örnekleri incelendiğinde dönemin güncel 0day’lerin den yararlanılmıştır. Büyük firma/kurum’larda güncel zafiyetlerin yamanma süresi uzun olduğu için güncel zafiyetlerden yararlanılabilir.

Son dönemde başarılı olan APT örnekleri

Son yıllarda APT konusunda başarılı olmuş bazı örnekleri aşağıda bulabilirsiniz. Bu ve benzeri bir çok örnek simülasyonu planlayan, gerçekleştiren ve raporlayan ekip tarafından detaylı olarak incelenmiş, bir kısmı raporlanmıştır.

APT29 Hammertoss

  • Hedef: Avrupa Ülkeleri
  • Etkili Olduğu Tarih: 2014 – 2015
  • Kaynak: Rusya
  • Yol: Github üzerinde komut barındıran resim barındırarak twitter üzerinden tweet yardımıyla aktifleştirildi.

Blue Termit

  • Hedef: Japonya
  • Etkili Olduğu Tarih: 2013 –2015
  • Kaynak: Çin
  • Yol: Hacking Team sızıntısı sonrası ortaya çıkan CVE-2015-5119 zafiyetinden yararlanılmıştır.

Carbanak

  • Hedef: Finans Şirketleri
  • Etkili Olduğu Tarih: 2016
  • Kaynak: Çok Uluslu
  • Yol: MS Word CVE-2012-0158, CVE-2013-3906 ve CVE-2014-1761 zafiyetlerinden faydalanarak SWIFT sistemlerine sızıp 1 Milyar dolarlık vurgun yapılmıtır.

Red-Team Simülasyonu Nedir?

Gerçek boyutta bir APT saldırısı simülasyonudur. APT’nin yapıldığı yöntem, araç ve bilgiyle aynı şekilde gerçekleştirilir. Ancak zarar vermek yerine farkındalığı artırır ve hazırlıkların gücünün anlaşılmasını sağlar.

Ne faydası olur?

Red Team Simülasyonu, kurumun APT’lere karşı hazırlık seviyesinin belirlenmesini sağlar. Hazırlık içindeki donanım ve yazılım ürünlerinin gerçeğe en yakın şekilde kontrolünü sağlar. Ek olarak, teknik ekiplere simülasyon hakkında önceden detay haber verilmeden yapılması, güvenlik operasyon birimlerinin de (Blue Team) saldırıya karşı koyma seviyesini ölçmek için kullanılabilir.

Nasıl yapılır?

Red Team Simülasyonu, hacker’ların APT için kullandıkları araç ve yöntemlerin benzerleri ile gerçekleştirilir. Simülasyonu hedef ve kapsamı doğrultusunda aşağıdaki araç ve yöntemlerin bir ya da birden fazlası simülasyon içinde kullanılabilir:

  • pdf, Word macro ile saldırmak (bilinen bir imza kullanarak kullanılan AV kalitesini ölçmek)
  • pdf, Word macro ile saldırmak (sıfır yaratılan bir imza ile saldırmak)
  • URI yada js zararlı ile browser exploit tetiklemek
  • Client side attack modellemelerinden faydalanmak
  • BadUSB/Duck USB ile batch yada script i otomatik çalıştırmak
  • FakeAP yaratarak Wi-fi üzerinden DNS yönlendirme ve client side exploit ile Shell alma
  • Sistem üzerinde yetkili olan personelin detaylı profilleri çıkartılıp kişiye özel oltalama saldırısı düzenlenebilir. Katıldığı bir etkinlikte USB hediye edilebilir. Aracının üzerine yaygın bir markanın kampanyasıymış gibi bırakılabilir.

Sistem avlamak için,

  • Klasik pentest yöntemleri internet üzerinden sistemlerde zafiyet arama ve bulma (Özellikle güncel zafiyetlerden yararlanma)

APT Red-Team Simülasyon Çıktıları Nelerdir?

APT Red-Team Simülasyonu sonucunda detaylı bir rapor hazırlanır ve teslim edilir. Bu raporun bölümleri (çalışma kapsamına bağlı olarak bazı bölümler raporda yer alamayabilir):

  • Yönetici özeti,
  • APT ürünlerinin konumlama ve kurulum eksikleri,
  • APT çözümlerinin (SoC – Security Operations Center ve ekip dahil) saldırıyı fark edip edememeleri (ya da hangi aşamada fark ettikleri),
  • APT çözümlerinin saldırıyı fark etme süresi,
  • APT çözümlerinin fark edilen saldırıya karşı verdiği tepkilerin etkinliği,
  • Teknik ekip harici diğer çalışanların bu tip saldırılara karşı verdiği tepkinin etkinliği,
  • Mevcut yapının etkinliğinin artırılması için yapılması gerekenler.