Beyaz Şapka Beyazsapka Kasım 2017 - Page 10

Osman KARAN osman.karan@nebulabilisim.com.tr 4. Sömürme / Yükleme (Exploitation / Installation) Zararlı yüklerin (payload) iletim kanalları vasıtası ile hedef sisteme ulaştırıl- masından sonra istismar kodlarının bu sistem üzerinde koşturulması ile zararlı yazılımların indirilip çalıştırılması sağlanır. Saldırgan bu aşamada diğer atak ak- tivitelerini gerçekleştirmesinde köprü kurmuş olacaktır. 5. Komuta Kontrol Bu aşamada hedef sistem ele geçirilmiştir. Daha sonra yapılacak zararlı ak- tivitelerin komutları şifrelenmiş olarak saldırgan sunucusuna açılan bu kanal üzerinden uzaktan yapılır. Bu kanallar arka kapı olarak kullanılır. 6. Sızdırma/Eyleme Geçme Saldırgan ağın içinde yaygınlığını açılan kanallar üzerinden bu adımda ger- çekleştirir. Diğer sistemleri ele geçirme aktiviteleri, bot ağı oluşturma, veri sil- me, bozma aktiviteleri, değerli verileri sızdırma, fidye isteme aktivitelerini bu aşama içerisinde gerçekleştirilir. Bir atağın bir aşaması veya aksiyonu bir güvenlik sistemi tarafından blokla- nabilir. Fakat bu Ölüm Zinciri metodolojisinin tüm aşamalarını ortaya çıkarmak hatta APT’yi önlemek anlamına gelmemektedir. İfşa olan sistemin ağ içinde ısrarcı bir tehdit olduğunu ve diğer farklı sistemleri de tetiklediğini yukarıda- ki adımlar doğrultusunda yorumlayabiliriz. Israrcı tehditlerin tüm aktivitelerini anlayabilmek için alınan olayların bir ilinti veya korelasyon içerisinde okunması şarttır. Ayrıca oluşan olayın müdahalesi (Incident Response) için araştırma, izo- lasyon ve iyileştirme süreçlerini tamamlayabilmek bütün haritaya yukarıdan bakmak ile mümkündür. Keza atak sonrası analiz aşamaları ve adli bilişim sü- reçlerinde de Ölüm Zinciri metodolojisini yorumlamak şart hale gelmektedir. Aktif Tuzak ve Aldatma Teknolojisi ile Atak Aktivitelerini Tespit Etme Yukarıda bahsettiğimiz üzere, gelişmiş tehditleri tespit edebilmenin çevre- sel güvenlik mimarisi ile pek mümkün olmadığını söyleyebiliriz. Bu sistemlerin çok fazla alarm meydana getirmesi ve Ölüm Zinciri metodolojisi bazında akti- viteleri takip edememesi atakların tespit edilemeyecek bir hale getirmektedir. 10