Okuma süresi: 4 dakika

Advanced Persistent Threat (APT), yani Gelişmiş Sürekli Tehdit  terimi, 2006 yılında ABD Hava Kuvvetleri’ndeki analistler tarafından yaratılmıştır. Bu, saldırganların profillerini, niyetlerini ve yapısını temsil eden üç yönünü açıklamaktadır:

  • Advanced: Saldırgan, siber saldırı yöntemleri ve yönetim teknikleri konusunda akıcıdır ve özel istismarları ve araçları hazırlama yeteneğine sahiptir.
  • Persistent: Saldırganın uzun vadeli bir amacı vardır ve algılamadan kendi hedeflerine ulaşmak için çalışır.
  • Threat: Saldırgan organize edilmiş, finanse edilmiş, motive edilmiş ve her yerde bulunabilecek bir fırsata sahiptir.

APT’ler, daha önce belirtildiği gibi, esas olarak, çok çeşitli amaçlar için değerli bilgiler çalmak için bilgi sistemlerine ve iletişimlere yetkisiz erişime sahip olan ve yönlendiren organize bir grubun eylemlerini yapar. Casusluk veya dirty tricks olarak da bilinen APT’ler, dijital varlıklara erişimi kolaylaştıran bir casusluk biçimidir. Saldırganlar bu erişimin önündeki engelleri kaldırmaya çalışır, bu nedenle bu saldırılar genellikle sabotaj içermez. Bununla birlikte, saldırganlar, eylemlerinin izlerini sistem günlüklerinden temizlemek için çeşitli tekniklerden yararlanabilir.

APT araçları, işletim sistemi içinde normal günlük fonksiyonları kullandıkları ve “düz bir görüşte” dosya sisteminde saklandıklarından, diğer kötü amaçlı yazılımlardan (malware) ayırt edilebilirler.

En ideal sızma yöntemi: Spear-phishing

APT grupları, araçlarının veya tekniklerinin açık olmasını istemezler, bu nedenle, uzlaşdıkları ana bilgisayarların normal sistem işlemlerini engellemek ya da kesmek istemezler.

Bunun yerine, düşük profilli saldırı, penetrasyon, keşif, yanal hareket, yönetim ve veri süzdürme teknikleri uygularlar. Bu teknikler, çoğunlukla, ilgili saldırı organizasyonları tarafından kullanılan benzer idari veya operasyonel teknikleri yansıtır; ancak, bazı APT grupları, kendi kampanyalarında belirli araçları kullanarak gözlemlenmiştir. Teknikler buna göre düşük profilli olmakla birlikte, eylemlerinden kaynaklanan eserler değildir.

Örneğin, hedef ağlara erişmek için APT grupları tarafından kullanılan en popüler teknik spear-phishing’dir. Spear-phishing , e-postaya güvenir; bu nedenle, mesajın, kullanılan exploit yönteminin ve saldırganın kontrol bilgisayarlarına karşılık gelen iletişim adresinin ve protokollerin bir kaydı tutulur. Spear phishing e-postasında, kullanıcının bilgisayarında kasıtlı olarak yazılımı kullanmaya çalışan kötü amaçlı yazılımlar bulunabilir veya kullanıcıyı, sonraki APT etkinlikleri için erişim elde etmek amacıyla özel kötü amaçlı yazılım gönderen bir sunucuya yönlendirebilir.

Saldırganlar genellikle daha önce tehlikeye atılmış olan bilgisayar ağlarını, “komuta ve kontrol iletişiminin yakınlığını gizlemek için kesikler” olarak kullanıyor; Bununla birlikte, kesme sunucularının adresleri, ilgili saldırı gruplarının kimliğini belirlemek için önemli ipuçları sağlayabilir. Benzer şekilde, spear-phishing e-posta sistemlerinde “kurulum başına ödeme” veya “kiralanmış” kampanyalar olabilir; Bununla birlikte, adresler, yöntemler ve istismar alanlarındaki benzerlikler, sonraki araştırmalarda keşfedilen diğer bilgilerle bağlantılı olduğu zaman, belirli saldırı grupları sıklıkla izlenebilir.,

Çok basamaklı saldırı

APT kampanyalarında gözlemlenen diğer popüler ve yaygın teknikler arasında, hedef web sitelerinin SQL enjeksiyonu, web sunucusu yazılımının “meta” uygulaması, kimlik avı ve sosyal ağ uygulamalarının istismarının yanı sıra, masa personeline yardım etmek için kullanıcıların kimliğine bürünülmesi, Virüs bulaşmış USB’ler, virüs bulaşmış donanım veya yazılım veya çalışanları ilgilendiren fiili casusluk.

APT’ler her zaman bir miktar sosyal mühendislik gerektirir. Toplumsal mühendislik, kamuya açık web sitelerinde bulunan e-posta adreslerini hedeflemekle veya sözleşmeli çalışanlar tarafından kurumsal casusluk yapmakla sınırlı kalmayıp, hedef belirler ve saldırganlara hedef bilgi sistemlerindeki veriye erişmek, bunları istismar etmek ve bunları sızdırmak için uygulanabilir stratejiler geliştirmeye yardımcı olur.

Her durumda APT’ler, eserler bırakan birden fazla aşamayı içerir:

  1. Hedefleme :  Saldırganlar, hedef hakkındaki bilgileri halka açık veya özel kaynaklardan toplarlar ve erişimine yardımcı olabilecek test yöntemlerini denetlerler. Bu, güvenlik açığı taraması (APPSEC testi ve DDoS saldırıları gibi), sosyal mühendislik ve spear-phishing’i içerebilir. Hedef belirli olabilir veya iş ağı yoluyla teminat erişimi sağlayabilen bir şirket / ortak olabilir.
  2. Erişim : Saldırganlar, hedef organizasyonun bilgi sistemlerini ve güvenlik durumunu istismar etmenin en etkili veya etkili yöntemlerini belirler. Bu, uzlaşmaya varılan ev sahibinin tanımlayıcı verilerini doğrulamanın yanı sıra, ilave uzlaşmaları kolaylaştırmak için mümkün olduğunca kimlik bilgilerini veya profil bilgilerini toplamayı da içerir.
  3. Keşif : Saldırganlar ağ paylaşımlarını numaralandırır, ağ mimarisini keşfeder, ad sunucularını, etki alanı denetleyicilerini sınar ve diğer sistemlere ve uygulamalara erişmek için hizmet ve yönetim haklarını test eder. Paylaşılan etki alanı ayrıcalıklarına sahip Active Directory hesaplarını veya yerel yönetim hesaplarını tehlikeye atmaya çalışabilirler. Saldırganlar genellikle virüsten koruma ve sistem günlüğünü kapatarak (ki bu da ödün vermenin yararlı bir göstergesi olabilir) etkinlikleri gizlemeye çalışır.
  4. Yan Hareketler : Saldırganlar sistemlerin uygun kimlik bilgileri ile dolaşım yöntemlerini belirledikten sonra hedefleri belirledr, ağ üzerinden diğer bilgisayarlara  yanal hareket yapacaklardır. Bu etkinlik genellikle, komut satırı kabukları, NetBIOS komutları, Windows Terminal Hizmetleri, VNC veya ağ yöneticileri tarafından kullanılan diğer benzer araçlar gibi tehlikeye düşmüş ana bilgisayar işletim sistemleri tarafından önceden verilen kötü amaçlı yazılımların veya araçların kullanılmasını gerektirmez.
  5. Veri toplama ve ekfiltrasyon : Saldırganlar daha ileriye hedefleme, bakım veya bilgilerin erişmesine ve çalınmasına yönelik diğer amaçlar için olsun bilginin ardındadır. Saldırganlar sıklıkla veri toplama noktaları kurarlar ve verilere yakın ağ kesmeleri aracılığıyla sızdırırlar veya veri dosyalarını ve ilgili sızıntı filtrelerini karıştırmak için özel şifreleme tekniklerinden (ve zararlı yazılımlardan) yararlanırlar.
  6. Yönetim ve bakım :APT’nin bir diğer amacı, zaman içinde erişimi sağlamaktır. Bu araçların ve kimlik belgelerinin idaresi ve bakımını gerektirir. Saldırganlar, ihlal edilen ana makinelerin ağına uzaktan erişmek için birden fazla yöntem oluşturacak ve tehlike altındaki mimarilerindeki değişiklikleri uyarmak için bayraklar veya tetikleyiciler oluşturacak ve böylece bakım işlemlerini gerçekleştirebileceklerdir. Saldırganlar genellikle, erişim yöntemlerini, seçilen araçlara veya kötü amaçlı yazılımlara dayanmaya devam etmek yerine, standart kullanıcı profillerini en iyi yansıtacak şekilde ilerletmeye çalışırlar.
[Tumblr]

Sanayi ve devletlere yönelik saldırılar ile gelişti

Belirtildiği gibi, erişim yöntemleri, kullanılan e-posta, web sunucusu ve iletişim günlüklerini veya meta verileri ve kullanılan istismar teknikleriyle ilgili diğer eserler bırakabilir. Benzer şekilde, keşif ve yanal hareket, genel olarak güvenlik olay günlükleri ve uygulama geçmişi günlükleri veya bağlantı ve örnekleme dosyaları ve kullanıcı profilleri gibi işletim sistemi eserlerinde, erişim kimlik bilgilerinin (kurallar) veya kimliklerin (rolleri) yanlış kullanımıyla ilgili eserleri bırakır.

Exfiltration, daha sonra güvenlik duvarı kayıtlarında, (ana bilgisayar ve ağ) saldırı tespit sistemi günlüklerinde, veri sızıntısı ve önleme sistemi günlüklerinde, uygulama geçmişi günlüklerinde veya web sunucusu günlüklerinde iletişim protokolleri ve adresleriyle ilgili eserler bırakır. Bahsedilen eserler genellikle canlı dosya sistemlerinde bulunur; ancak bazı durumlarda, yalnızca ele geçirilen sistemlerin adli incelemesinde bulunabilir.

APT teknikleri, yönetimsel veya operasyonel erişim teknikleri ve kurumsal bilgi sistemlerinin kullanımı ile esas olarak farklı değildir. Buna göre, yetkili bir kullanıcının sonucu olarak bir bilgisayar dosya sistemi veya ilgili günlüklerde oluşturduğu eserler, yetkisiz bir kullanıcı tarafından oluşturulacaktır. Bununla birlikte, yetkisiz kullanıcılar mutlaka erişimlerini kazanmak ve bunlardan istifade etmek için ek araçlar denemek veya kullanmaya ihtiyaç duyduklarından, ilişkili eserler yetkili kullanımla karşılaştırıldığında anormallikler sergileyecektir.

Geride kalan beş yılda, bilinmeyen saldırganların dünyadaki birçok endüstri ve hükümete yönelik olarak yaptıkları birkaç uzun APT kampanyasına tanık olduk (Aurora, Nitro, ShadyRAT, Lurid, Night Dragon, Stuxnet  ve DuQu).

Araştırmacılar tarafından kod adı verilen bu saldırılar, her biri, erişim, keşif, yanal hareket, bilgi sistemlerinin manipülasyonu ve özel veya korunan bilgilerin ekspiltrasyonu dahil olmak üzere operasyonel faaliyetleri kapsıyordu. Gelecek üç bölümde, üç APT kampanyasını açıklayacağım.