APT Simülasyonu

APT Simülasyonu

APT (Advanced Persistant Threat) Türkçe’ye “Gelişmiş Kalıcı Tehdit” olarak geçmiştir. APT’yi klasik saldırı yöntemlerinden ayıran temel neden saldırganların davranış biçimleridir. Gerek hedefe sızma ve sızdıktan sonra gerçekleştirdikleri aksiyonlar bu saldırı tipini farklı kılmaktadır. APT saldırılarının farklı olma nedeni ise, hedef sisteme sızma sızdıktan sonra uzun süre sistemde kalıp sistem işleyişini değiştirmeden veri toplamayı gösterebiliriz. Size bu saldırı yönteminden korunma konusunda destek olabiliriz.

APT neden tehlikelidir?

Saldırılar bilgi toplamak ve büyük çapta zarar vermek amacıyla gerçekleştirilmektedir. Sisteme sızıldıktan sonra uzun süre sessizce bekleyebilir ve karmaşık yapıları sayesinde günümüzdeki antivirüs yazılımları ile tespiti oldukça zordur. Saldırıların tespiti için sistem genelinin sürekli olarak takip edilmesi ve büyük resmin görülmesi gerektiği için tehlike seviyesi yüksektir.

APT nasıl yapılır?

Son dönemdeki örnekleri incelendiğinde dönemin güncel 0day’lerinden yararlanılmıştır. Büyük firma/kurum’larda güncel zafiyetlerin giderilme süresi uzun olduğu için güncel zafiyetlerden yararlanılabilir.

Son dönemde başarılı olan APT örnekleri

Son yıllarda APT konusunda başarılı olmuş bazı örnekleri aşağıda bulabilirsiniz. Bu ve benzeri bir çok örnek simülasyonu planlayan, gerçekleştiren ve raporlayan ekip tarafından detaylı olarak incelenmiş, bir kısmı raporlanmıştır.

APT29 Hammertoss

  • Hedef: Avrupa Ülkeleri
  • Etkili Olduğu Tarih: 2014 – 2015
  • Kaynak: Rusya
  • Yol: Github üzerinde komut barındıran resim barındırarak twitter üzerinden tweet yardımıyla aktifleştirildi.

Blue Termit

  • Hedef: Japonya
  • Etkili Olduğu Tarih: 2013 –2015
  • Kaynak: Çin
  • Yol: Hacking Team sızıntısı sonrası ortaya çıkan CVE-2015-5119 zafiyetinden yararlanılmıştır.

Carbanak

  • Hedef: Finans Şirketleri
  • Etkili Olduğu Tarih: 2016
  • Kaynak: Çok Uluslu
  • Yol: MS Word CVE-2012-0158, CVE-2013-3906 ve CVE-2014-1761 zafiyetlerinden faydalanarak SWIFT sistemlerine sızıp 1 Milyar dolarlık vurgun yapılmıtır.

APT Red-Team Simülasyonu Yaklaşımımız

Gerçek boyutta bir APT saldırısı simülasyonudur. APT’nin yapıldığı yöntem, araç ve bilgiyle aynı şekilde gerçekleştirilir. Ancak zarar vermek yerine farkındalığı artırır ve hazırlıkların gücünün anlaşılmasını sağlar.

Red-Team Simülasyonu Faydası Nedir ?

Red Team Simülasyonu, kurumun APT’lere karşı hazırlık seviyesinin belirlenmesini sağlar. Hazırlık içindeki donanım ve yazılım ürünlerinin gerçeğe en yakın şekilde kontrolünü sağlar. Ek olarak, teknik ekiplere simülasyon hakkında önceden detaylı haber verilmeden yapılması, güvenlik operasyon birimlerinin de (Blue Team) saldırıya karşı koyma seviyesini ölçmek için kullanılabilir.

Nasıl yapılır?

Red Team Simülasyonu, hacker’ların APT için kullandıkları araç ve yöntemlerin benzerleri ile gerçekleştirilir. Simülasyonu hedef ve kapsamı doğrultusunda aşağıdaki araç ve yöntemlerin bir ya da birden fazlası simülasyon içinde kullanılabilir:

  • pdf, Word macro ile saldırmak (bilinen bir imza kullanarak kullanılan AV kalitesini ölçmek)
  • pdf, Word macro ile saldırmak (sıfır yaratılan bir imza ile saldırmak)
  • URI yada js zararlı ile browser exploit tetiklemek
  • Client side attack modellemelerinden faydalanmak
  • BadUSB/Duck USB ile batch yada script i otomatik çalıştırmak
  • FakeAP yaratarak Wi-fi üzerinden DNS yönlendirme ve client side exploit ile Shell almak
  • Sistem üzerinde yetkili olan personelin detaylı profilleri çıkartılıp kişiye özel oltalama saldırısı gerçekleştirmek amacıyla düzenlenebilir. Katıldığı bir etkinlikte USB hediye edilebilir. Aracının üzerine yaygın bir markanın kampanyasıymış gibi bırakılabilir.

Sistem avlamak için,

  • klasik pentest yöntemleri internet üzerinden sistemlerde zafiyet arama ve bulma amacıyla kullanılabilir.
APT Red-Team Simülasyon Rapor Çıktıları Nelerdir?

APT Red-Team Simülasyonu sonucunda detaylı bir rapor hazırlanır ve teslim edilir. Bu raporun bölümleri aşağıdaki gibi sıralanabilir (çalışma kapsamına bağlı olarak bazı bölümler raporda yer alamayabilir):

    • Yönetici özeti,
    • APT ürünlerinin konumlama ve kurulum eksikleri,
    • APT çözümlerinin (SoC – Security Operations Center ve ekip dahil) saldırıyı fark edip edememeleri (ya da hangi aşamada fark ettikleri),
    • APT çözümlerinin saldırıyı fark etme süresi,
    • APT çözümlerinin fark edilen saldırıya karşı verdiği tepkilerin etkinliği,
    • Teknik ekip harici diğer çalışanların bu tip saldırılara karşı verdiği tepkinin etkinliği,
    • Mevcut yapının etkinliğinin artırılması için yapılması gerekenler.