Cyber Kill Chain 101

Cyber Kill Chain, siber saldırıların aşamalarını özetleyen bir modeldir. Türkçesi ise “Siber Ölüm Zinciri” anlamına gelmektedir. Bu model, keşiften yürütmeye kadar Cyber Kill Chain’in her aşamasını ve kuruluşların güvenlik duruşlarını geliştirmek için bu çerçeveyi nasıl kullanabileceklerini araştırır.

Her aşamasında algılama ve müdehalenin önemi hakkında bilgi edinir. Cyber Kill Chain’i anlamak etkili siber güvenlik stratejileri geliştirmek için çok önemlidir.

1.0 — Siber Güvenlikte Cyber Kill Chain nedir?

Cyber Kill Chain bir Amerikan küresel havacılık, savunma ve ileri teknoloji şirketi olan Lockheed Martin tarafından geliştirilmiştir.

Orjinal Cyber Kill Chain modeli yanlızca yedi adım içermesine rağmen siber güvenlik uzmanları Cyber Kill Chain’i sekiz aşamayı içerecek şekilde genişlettirmiştir. Bu aşamalar sırasıyla : Keşif, Silahlandırma, Teslimat, Sömürü, Kurulum, Komuta ve Kontrol, İcra ve Para kazanmadır.

Kuruluşlar çoğu zaman fidye yazılımı, güvenlik ihlalleri ve APT’ler dahil olmak üzere en karmaşık siber saldırılara karşı savunmak için Cyber Kill Chain’i kullanır.

1.1 — Cyber Kill Chain Saldırılara Karşı Nasıl Koruma Sağlar?

Cyber Kill Chain bir güvenlik sistemi değildir. Güvenlik ekiplerinin saldırganların nasıl davranacağını tahmin etmelerini sağlayan bir çerçevedir. Bu sayede onları olabilecek en kısa sürede durdurabilir veya saldırı zaten gerçekleşmişse onlara karşı önlem alabilir.

Cyber Kill Chain siber güvenlik ekiplerinin yaygın siber saldırıların başlangıç noktasını tanıyabilmesi için tipik bir saldırgan izleyebileceği yolu tam olarak belirler. Cyber Kill Chain simülasyonları ve güvenlik ekiplerinin bir siber tehditle başa çıkma konusunda ilk elden deneyim kazanmasına olanak tanır ve simülasyon yanıtlarını değerlendirme, kuruluşların var olabilecek güvenlik açıklarını belirlemesine ve düzeltmesine yardımcı olabilir.

1.2 — Cyber Kill Chain Adımları Nelerdir?

Cyber Kill Chain, 7 aşamadan oluşan ancak genişletilmiş yani 8 aşamalı halinde Monetization (Para Kazanma) olan hedefli bir saldırı olarak tanımlanmaktadır. Bu adımların her biri, bir diğerine bağlıdır. Bir adım gerçekleşmeden diğer adıma geçilmemektedir. Araştırma ve planlama aşaması olarak Keşif (Reconnaissance) aşaması tanımlanır. Hazırlık aşaması olarak Silahlanma (Weaponization) aşaması tanımlanır. Siber saldırı aşaması olarak İletme (Delivery), Sömürme veya İstismar (Exploitation) tanımlanır. Başarı kısmında ise, Yükleme (Installation) tanımlanır. Sürdürme, geliştirme ve yürütme aşaması olarak Eyleme Geçme (Actions on Objectives) aşaması tanımlanır.

1.2.1 Keşif (Reconnaissance) Aşaması

Keşif Aşaması, saldırganların hedefleri belirlemeye ve bir eylem planı yapmaya başladığı zamandır. Bu aşama genellikle potansiyel hedeflerin araştırılması, güvenlik açıklarının belirlenmesi ve potansiyel giriş noktalarının keşfedilmesi gibi faaliyetleri içerir. Bir saldırgan bu aşamada ne kadar çok bilgi toplayabilirse saldırı o kadar karmaşık ve başarılı olabilir. İki ana keşif türü vardır: Aktif ve Pasif Keşif.

i. Aktif Keşif : Aktif keşif ile saldırganlar, bilgisayar sistemi ile doğrudan etkileşim, ping, nmap ve netcat gibi otomatik tarama veya manuel test araçları gibi teknikler sayesinde bilgi almak için uğraşmaktadır. Aktif keşif çoğunlukla daha hızlı ve doğrudur.

ii. Pasif Keşif: Pasif Keşif, internette mevcut olan çok miktardaki bilgiyi kullanmaktadır. Kişi, pasif keşif yaparken hedefle doğrudan etkileşime girmemekte ve bu nedenle hedefin aktiviteyi bilmesi veya kaydetmesi mümkün olmamaktadır. Pasif keşif, aktif keşfe göre her ne kadar daha yavaş ve bilgi kısıtlaması içerse de, aktif keşfin kaçırdığı bilgilere pasif keşif sayesinde daha kolay ulaşılabilmektedir.

1.2.2 Silahlanma (Weaponization) Aşaması

Bu aşamada saldırganlar siber saldırıda kullanılacak saldırı vektörünü oluşturur. Silahlanma, aşağıdaki iki bileşenin tasarımını ve geliştirilmesini içerir:

i. RAT (Remote Access Tool): RAT, hedefin sisteminde çalışan ve saldırgana uzaktan, gizli ve tespit edilmemiş erişim sağlayan bir yazılım parçasıdır. RAT genellikle bir siber silahın yükü (payload) olarak adlandırılır. Hedef sistem, RAT yazılımının hedeflenen mimarı için uygun şekilde derlenmesi şartıyla, bir bilgisayar, mobil veya herhangi bir gömülü cihaz olabilmektedir.

ii. Exploit : Exploit, RAT’ın yürütülmesini kolaylaştıran, silahın bir parçasıdır. Sömürme (Exploit), RAT için bir taşıyıcı görevi görmekte ve RAT’ı bırakmak ve yürütmek için sistemsel veya yazılımsal güvenlik açıklarını kullanmaktadır. Açıklardan yararlanmanın temel amacı RAT kullanarak fark edilmeden arka kapı (backdoor) erişimi kurarken, kullanıcının dikkatinden de kaçmaktadır.

Silahlandırma aşamasında, saldırganlar mevcut herhangi bir güvenlik çözümü tarafından tespit edilme olasılığını da azaltmaya çalışabilir.

1.2.3 İletme (Delivery) Aşaması

İletme ve İletim aşaması, siber saldırı kısmının girişim aşaması olarak geçmektedir. Bu aşama savunucuların, saldırıları azaltmak için teknolojiyi kullanabilecekleri ilk fırsatı sağlamaktadır. Keşif ve silahlanma aşamalarında savunmacılar, saldırıya herhangi bir müdahalede bulunmamaktadırlar. Savunma tarafı, saldırıya müdahale etme fırsatının ilk adımını bu aşamada yapılabikmektedir. Silahlanma aşamasında hazırlanan zararlı aktivitenin iletim yöntemi bu aşamada belirlenir. İletme aşaması, saldırgan açısından riski bir aşamadır. Bu aşamada saldırgan gerekli anonimliği yakalayamadığı sürece iz bırakabilmektedir.

1.2.4 Sömürme (Exploitation) Aşaması

Sömürme aşaması da iletme aşaması gibi girişim aşamasında bulunmaktadır. Teslim edilen saldırı araçlarının tetiklendiği kısımdır. Sömürme aşaması genellikle kullanıcı sistemlerdeki zafiyetin sömürüldüğü aşamadır.

1.2.5 Yükleme (Installation) Aşaması

Hedefin sömürülmesinin ardından, kalıcı bir tehdit haline gelmek, güvenlik sisteminin ötesinde, sistemin başarılı bir şekilde kontrol edilebilmesi için hedefe asıl zararlı yazılımın indirilmesini, zararlı yazılımın sistemde kalacağı süreyi mümkün olduğunca uzun süre tutmayı hedefleyen aşamadır. Bu aşama, saldırganın hedefte etkin bir istismara sahip olduğunu göstermektedir. Ayrıca bu aşamada saldırgan, varlığını gizlemek için bir tür şaşırtmaca kullanabilmektedir. Tespitten kaçınmak için genelde dosyaların ve meta verilerin silinmesi, yanlış zaman damgaları ve erişime hiç izin verilmemiş gibi görünmesi için kritik bilgileri değiştirilebilmektedir.

1.2.6 Komuta ve Kontrol (Command and Control) Aşaması

Yönetim ve etkinleştirme aşaması olarak, komuta ve kontrol aşaması C2 olarak da bilinmektedir. Uzaktan yürütülen siber saldırılarının önemli bir parçasıdır. Saldırgan bu aşamada hedef ağa yönetim ve iletişim kodunu kurmuştur. Saldırgan artık kötü amaçlı kodu tamamen yönetebilir, ağda ilerlemesi söz konusudur, veriler sızdırılabilir ve imha veya hizmet reddi operasyonları gerçekleştirilebilmektedir. Kurulu saldırıları araçlarını kontrol etmek için bir C2 kanalı kurulur. Güvenliği ihlal edilmiş ana bilgisayar (zombi), C2 kanalı oluşturmak için güvenli bir iletişim ağı kullanmaktadır.

Saldırgan C2 geri aramalarını gizlemek için şifreleme veya olağandışı veri kodlama türleri kullanmak gibi başka eylemlerde de bulunabilmektedirler. Temel olarak üç tip C2 iletişim alt yapısı vardır.

i. Merkezileştirilmiş Yapı : Geleneksel istemci-sunucu ilişkisine çok benzer şekilde çalışmaktadır. Yanlızca bir sunucu oluğu için yönetimi kolay yapılabilmektedir.

ii. Merkezi Olmayan Yapı : Tüm düğümlerin eşdeğer rol oynadığı, ayrıcalıklı sunucuların veya düğümlerin olmadığı, her düğümün yüksek derecede özerkliğe sahip olduğu saf P2P (peer to peer) sistemleri olarak da adlandırılabilmektedir.

iii. Sosyal Ağ Tabanlı Yapıları : Saldırganlar, nadiren engelledikleri için geleneksel olmayan C2 platformları olarak sosyal medya platformlarını da kapsamlı bir şekilde kullanılmaktadırlar. Saldırganlar güvenliği ihlal edilmiş ana bilgisayalara C2 mesajları göndermek için gmail, IRC sohbet odaları gibi sistemleri kullandıkları bilinmektedir. Saldırganlar, kanal algılamayı ve engellemeyi daha zor hale getirebilmek için normal trafik modellerini taklit eden gizli iletişim mekanizmalarını da kullanmaktadırlar. Örneğin; C2 trafiği, çevrimiçi sosyal ağlar (OSN’ler), gizli DNS trafikleri ve tor gibi anonim iletişim ağlarında bulunan sayfalar ve resimler aracılığıyla da gerçekleşebilmektedir.

1.2.7 İcra (Actions on Objectives) Aşaması

Lockheed Martin’in Cyber Kill Chain’in son aşamasında saldırganlar veri hırsızlığı, imha, şifreleme veya sızma gibi hedeflerini gerçekleştirmek için son adımlarını atarlar.

Yukarıdaki adımlar doğrudan Lockheed Martin’in ilk olarak 2011 yılında geliştirilen siber öldürme zincirinden alınmıştır. O zamandan beri siber güvenlik uzmanları yedi aşamayı sekizinci bir aşama olacak şekilde genişletti: Para Kazanma

1.2.8 Para Kazanma (Monetization) Aşaması

Para kazanma aşamasında saldırganlar bir tür fidye yoluyla veya ağda hassas bilgiler satarak başarılı saldırıdan gelir elde etmeye odaklanır.

2.0 Cyber Kill Chain'e Karşı Alınacak Önemler
Siber ölüm zinciri modeli ile saldırganların adımlarını bilen savunmacılar, saldırılara karşı önlemler almaktadır. Saldırganların kim olduğunu, hangi taktikleri kullandığını anlamak, sistem güvenliği ihlallerinin etkisini en aza indirmenin etkili bir yoludur. Karşı keşif önlem yöntemleri üç sınıfta ifade edilecektir. Bunlar; insan temelli karşı önlemler, reaktif teknoloji tabanlı karşı önlemler, proaktif teknoloji tabanlı karşı önlemlerdir.

2.1 İnsan Temelli Karşı Önlemler

İnsanın mevcut olduğu her sistemde sosyal mühendislik tehdidi vardır. Bu sistemlerde savunan tarafın başarılı olması büyük ölçüde çalışanın bilinçlendirilmesine bağlıdır. Uzman tarafından, bir kişiye veya kuruma, hangi bilgileri paylaşabileceğini, şirketin veya kurumun güvenlik kuralları dışında hangi bilgileri sosyal medya veya kişilerle paylaşabileceği hakkında bilgiler verilmelidir. Bilinçli bir internet kullanıcısı, sosyal mühendislik tehlikesini yok edemese de en alt seviyelere indirebilecektir.

2.2 Reaktif Teknoloji Tabanlı Önlemler

Reaktif karşı önlemler, keşif girişimlerine karşı doğrudan karşılıktır. Ana reaktif yöntemlerden biri olan ağ koklama (koklama) ile saldırganlar, ağın yapılanmasını, ağın özelliklerini ve ağdaki paketleri incelemek için ağlara uyguladıkları bir dinleme şeklidir. Bu sayede saldırganlar ağlardan veri izleyebilir ve yakalayabilirler. Koklama ve tarama (tarama) önlemede ortak fikir ise, kablolu/kablosuz ağ arabirim kartının karışık moda (karışık) ayarlanıp ayarlanmadığını yani alınan tüm çerçevelerin ana bilgisayarın amaçlanan hedef olmamasına rağmen, protokol yığınının daha yüksek katmanlarına geçirilip geçirilmediğini keşfetmek ve güvenli protokoller (SSH, HTTPS, SFTP gibi) kullanmaktır.

2.3 Proaktif Teknoloji Tabanlı Karşı Önlemler

Keşif aşamasında öğrenilebilecek bilgileri sürekli olarak değiştirerek veya zehirleme (spoofing) işlemi uygulayarak, saldırganları tahmin etmek için proaktif çözümler önermektedir

Kendi kişisel gelişimimi okuduğum, izlediğim materyelleri yazıya dökerek gerçekleştiriyorum. İleride konu hakkında bilgi eksikliğimi geri dönüp bakarak gidermek için yazıyorum. Yaptığım okuma ve araştırmalarım neticesinde bu yazıyı kaleme aldım. Kaynaklarda belirttiğim dokümanlardan fazlasıyla yararlandım ve kendi özetimi gerçekleştirdim. İyi okumalar.

KAYNAKLAR

[1] Sentinel One. Cybersecurity 101/Threat Intelligence/What is the Cyber Kill Chain, (online), Available: What is the Cyber Kill Chain?.

[2] İ. Avcı, C. Özarpa, B.F. Kınacı, M. Koca, M. Yıldırım, E. Yıldırım, Investigation of Cyber Kill Chain and Attacks Prevention Methods, IATS’21, Karabük University, OCT 2021.

[3] Gaissecurity. Cyber Kill Chain Bir Siber Saldırı Yaşam Döngüleri, (2020), (online), Available: https://gaissecurity.com/bilgi/cyber-kill-chain-bir-siber-saldirinin-yasam- dongusu/.

[4] Unauthenticated CVE-2020–0796 Proof-of-Concept, (2021), (online), Available: GitHub — maxpl0it/Unauthenticated-CVE-2020–0796-PoC: An unauthenticated PoC for CVE-2020–0796

Writing