Bu blog yazımızda Advanced Persistent Threat yani geliştirilmiş kalıcı tehditleri tarif edeceğiz. Öncelikle tanım olarak APT, saldırı yapan kişinin sistemlere yetkisiz erişim sağlayarak orada uzun süre kalması olarak açıklayabiliriz. Bu saldırı çeşidinde daha çok kurumsal firmalar ve politik hedefler seçilir. Aynı zamanda, diğer siber saldırı çeşitlerinden farklı olarak sisteme hızlı bir şekilde girmek ya da sistemi tamamen etkisiz hale getirmek yerine yavaş ve fark edilmeden sızarak sistemdeolabildiğince uzun süre kalıp, maksimum miktarda değerli veri toplamaktır. İsterseniz bu genel tanımı kelime kelime daha da detaylandırabiliriz.
Advanced: Saldırıyı yapan kişi sistemlere sızmak için elindeki tüm olanakları ve gelişmiş araçları kullanır. Bu aşamada, tek bir yöntem yerine, birden fazla sızma yöntemini birleştirerek saldırma işlemini gerçekleştirir.
Persistent: Saldırgan bilindik saldırı tekniklerinden; sisteme en hızlı şekilde girip finansal verileri çalmak yerine, yavaş ve durum gözleme yöntemi kullanarak farkedilmeden sızma yöntemini kullanır.
Threat: Saldırgan bilinen ve otomatize edilmiş saldırı araçları kullanmak yerine insan faktörünü devreye sokar ve saldırı yapan kişi çok iyi şekilde finanse edilir. Sisteme sızmadan önce dış çevreden bilgi toplamak buna örnek gösterilebilir.
Hedef sistem ne kadar güçlü korunursa korunsun APT’lerin birçok vektörden faydalanarak hedef sistemi ele geçirebileceği söylenebilir. Genel anlamda APT’ler sistemlere sızmak için 3 ana yöntem kullanırlar;
- İnternet üzerinden zararlı yazılım bulaştırma
- Fiziksel yol ile zararlı yazılım bulaştırma
- Dış çevreden sisteme sızma
Güçlü bir şekilde finanse edilen saldırgan, sistemi koruyan diğer araçları aşmak yerine, iç tehdit unsurlarını ve güvenli bağlantıları kullanarak bunları kendine avantaj olarak kullanır ve sızma işlemini gerçekleştirir.
Diğer bilindik saldırılara karşın APT’lerin amacı sistemlere yavaş bir şekilde sızıp orada olabildiğince fazla kalmaktır. Bir sistemden diğer sistemlere atlayarak yayılmak aynı zamanda bunu fark edilmeden yapabilmek APT’lerin genel özelliklerindendir.
Uzaktan Kontrol
Uzaktan kontrol mekanizması saldırıyı yapan kişi için hayati önem taşımaktadır. Eğer uygun bir uzaktan yönetim teknolojisi yok ise saldırı gerçekleşmeyecektir.
APT Saldırılarına Maruz Kaldığınızın dört Kanıtı:
- Geç Saatlerde Artan Log Kayıtlarınız: Saldırıyı yapan kişiler özellikle mesai sonrasında çalışanların şirkette olmadığı bir vakit onların bilgilerini ele geçirerek sistemler üzerinde yetki sahibi olurlar.
- Şüphelendiğiniz Bilgisayarda Trojan Bulunması: Saldırıyı yapan kişiler genellikle tekrar gelmek isteyeceklerdir bunu sisteminize arka kapı olarak kullanılan Trojan yolu ile gerçekleştirirler.
- Beklenmeyen Veri Akışları: Bilgisayarlar arasında veya sunucular arasında daha önce görülmeyen tuhaf veri akışları gözlemliyorsanız APT’ye maruz kalmış olabilirsiniz.
- Beklenmeyen Veri Değişiklikleri: Saldırganlar sistemden çıkmadan önce fazla miktarda veriyi beraberinde götürmek isteyeceklerdir eğer büyük miktarlardaki verilerinizi (GB) sıkıştırılmış olarak görürseniz bir problem var demektir.
Korunma Yöntemleri:
APT saldırılarından korunmak için birçok yöntem bulunmakla beraber temel olarak aşağıdaki şekilde gösterilen yöntem sistemlerde uygulanabilir.
- İlk Aşama: İlk aşamada Anti virüs, içerik ya da URL filtreleme gibi teknolojileri kullanarak APT tespiti yapılır.
- İkinci Aşama: Risk modellemesi yaparak riskleri puanlandırmak. Bu yöntem ileride yapılacak risk değerlendirmeleri ve alınacak önlemler açısından oldukça faydalıdır.
- Üçüncü aşama: Bu aşamada Davranış analizi yapılarak tespit edilen dosyaların tehdit seviyelerine göre zararlı olup olmadığına karar verilir.