Yıllar boyunca, Çinli askeri general Sun Tzu’nun Savaş Sanatı adlı eseri, milyonlarca kişisel gelişim gurusu ve iş stratejisi danışmanı tarafından alıntılandı ve bir milyon başka sunumda yanlış sunuldu. Bu klişe aşamanın ötesinde, ama bir an için üzerinde duralım, çünkü bazı şeyler klişe haline geliyor çünkü onlar hiçbir zaman alakalı olmaktan çıkıyor. Sun Tzu, “bütün savaşın aldatmaya dayalı olduğunu”, 5. yüzyılın savaş alanları ve 21. yüzyılın siber güvenliği için eşit derecede geçerli olan bir gerçek olduğunu iddia etti. Ve siber dünyanın gölgelerinde sinsice dolaşan ve bir ihlal ortaya çıkar çıkmaz saldırmayı bekleyen kötü niyetli ajanları hayal edersek, savunucuların da hile ve aldatma konusunda eğitilmesi gerekir.
Bu düşünce, ünlü “MITRE ATT&CK” çerçevesinin temelidir. Düşmanca Taktikler, Teknikler ve Ortak Bilgi’nin kısaltması olan bu agnostik veritabanı, siber güvenlik uzmanlarının saldırganların nasıl düşündüğünü ve çalıştığını anlamalarına yardımcı olmak için kötü şöhretli düşman taktiklerini ve tekniklerini sınıflandırır. Bu bilgiler, kuruluşların azaltma stratejilerine ve kontrollerine öncelik vermesine, ihlallerden daha hızlı kurtulmasına ve hatta bazen rakipleri tuzağa düşürmesine yardımcı olabilir.
Gerçekten de, fidye yazılımlarının popülaritesi son yıllarda artarken, siber saldırıların tekil olaylar değil, aşamaların birikimi olduğunu ve var olmayanı hacklemenin mümkün olmadığını akılda tutmak önemlidir. Başka bir deyişle, tehditlerin öngörülmesi tartışılmaz hale geldi.
Gerçek dünyadan bir fidye yazılımı saldırısının yapısını bozma: araca değil tekniğe saldırmak
ABD’deki en büyük yakıt boru hatlarından birine yapılan 2021 fidye yazılımı saldırısında kullanıldığı iddia edilen bazı özel taktik ve teknikleri inceleyerek MITRE ATT&CK’yi uygulamak, gelecekteki saldırılara daha iyi hazırlanmaya yardımcı olur. Kuruluşların bir sonraki saldırıya veya yepyeni saldırı araçlarına daha iyi hazırlanabilmeleri, geçmiş deneyimleri anlayarak olur. Çünkü, araca değil, tekniğe saldırmak gerekir. Bu nedenle, siber suçlular tarafından çeşitli saldırı aşamaları uygulanır:
1. Tanıma
Bu ilk aşamada, saldırgan, hedefleri hakkında herkese açık bilgileri taradı ve gelen bağlantıları izlemek için bir Metasploit dinleyicisi başlattı. Saldırganlar, kuruluşun BT yöneticisinden kullanıcıdan PuTTY sürümünü güncellemesini isteyen sahte bir e-posta gibi basit kimlik avı teknikleri kullandı. Bu “yükseltme”, hedeflenen makine ile saldırgan arasında bir “eve çağrı” işlevi oluşturan kötü amaçlı bir yük oluşturucu olan MSFvenom’a bulaştı.
2. İlk Erişim
Oradan siber suçlular, Active Directory’ye genel bir bakış elde etmek ve işletmenin iç altyapısını daha iyi anlamak için kullanıcının masaüstüne gitti ve bir “AD Recon” aracı indirdi. Bazı gelişmiş veri keşif raporları çalıştırdıktan ve gerekli bilgileri sızdırdıktan sonra, saldırganlar tespit edilmemek için faaliyetlerinin izlerini sildi.
Bu özel senaryoda, saldırganlar sistemde bir yer edinmek için MITRE tarafından açıklanan farklı teknikleri kullandılar: sosyal mühendislik ve diğer teknikler yoluyla kazanılan geçerli hesaplara erişimden yararlandılar; kimlikleri ele geçirmek ve daha geniş erişim elde etmek için kimlik bilgilerini hedefleyen aktif kimlik avı kampanyaları yürüten; ve halka açık uygulamaları çalıştırdılar.
3. Yürütme
Saldırganlar, sistemlere sızdıktan sonra, Active Directory (AD) veya etki alanı denetleyicisinin konumu ile IP adresi ve ana bilgisayar adı hakkında bilgi için çıktı dizinlerini aradı.
Active Directory, saldırganlar için en önemli mücevherdir ve uygun şekilde güvence altına alınmazsa, yetkisiz erişim bir kuruluş için yıkıcı sonuçlar doğurabilir. Saldırganlar, Microsoft Windows’un varsayılan kimlik doğrulama protokolü olan Kerberos’taki güvenlik açıklarından yararlanma, meşru bir kullanıcının kimliğine bürünme, bir ağda algılanmadan gezinme, ana bilgisayardan diğerine gezinme, veri çalma, fidye yazılımı yayma veya birden fazla hasara neden olma yeteneğine sahiptir. AD’ye eriştiklerinde, bu saldırganların ikili oturumları yapılandırmak, yani kendi bilgisayarlarını sistem yöneticisiyle paralel olarak yapılandırmak için yerleşik bir araç kullanmaları çok kolaydı.
Kerberos uygulayıcılarının güvenliğini sağlamak, yetkisiz kullanıcıların erişim elde etmesini ve Golden Ticket ve Pass-the-Hash saldırıları gibi yıkıcı saldırılar gerçekleştirmesini önlemek için kritik öneme sahiptir. Bu bizi bir “ihlal varsay” yaklaşımının önemine geri getiriyor.
4. Azim
Sabır ve sebat genellikle erdem olarak kabul edilir, ancak bunlar aynı zamanda fidye yazılımı saldırılarının anahtarıdır. Saldırganlar bu paralel yöneticiyi kurduktan sonra, etkin olduğunda otomatik olarak komuta ve kontrol sunucusuna dönen ve bu ana bilgisayara saldıran portalı açık tutan zamanlanmış bir görev oluşturmak için kötü niyetli aracılar kullandılar.
Oradan, açıklar ve hashdump’ları çalıştırabildiler – temelde Hashcat gibi bir program tarafından okunabilir hale getirilebilecek bir grup bilgi. Bu bilgi bir kez okunabilir ve “sıralanabilir” olduğunda – ki bu zaman ve tabii ki azim gerektirir – saldırgan, kritik görevdeki yönetici parolalarını bulabildi. Bu nedenle, bu aşamada, bir sistemin kilidini açmak için yalnızca bir anahtar setine sahip olmaktan kaçınmak ve parolaların sistemler arasında yeniden kullanılmasını veya çoğaltılmasını önlemek için, otomatik olarak oluşturulan parolalardan oluşan bir tür sistemi devreye sokmak önemlidir. Yine bu, yanal ve yukarı doğru hareketi mümkün olduğu kadar sınırlamak içindir.
5. Tırmanma
Oyunun amacı neredeyse her zaman ayrıcalık yükseltmedir. Saldırganlar, sistemde gezinmek amacıyla hashdumps açmaya ve kimlik bilgilerini çıkarmaya devam etti. n-id ile ilgili çeşitli işlemler gerçekleştirdiler ve nihayetinde bu ayrıcalıklı erişimi, fidye yazılımı yüklerini bırakmak veya daha doğrusu yüklemek istedikleri yere ulaşmak için kullandılar.
6. Kaçış
İlk erişimden sonra, bir saldırganın ikinci önceliği kaçınmadır. Tespit edilmeden kalma yeteneği anahtardır. İşlerin biraz zorlaştığı yer burasıdır: tehlikeye atılan sistem (neyse ki) gizli savunma mekanizmalarına sahipken, rakipler onları atlatmak için ellerinden geleni yaparlar. Örneğin, saldırganlar iz bırakmamak için çıktı dizinlerini, Virgülle ayrılmış değerler (CSV) dosyalarını ve herhangi bir güvenlik açığı belirtisini ortadan kaldırmak için powerscript’leri siler. Bu kaçınma teknikleri, fidye yazılımlarına karşı koruma sağlamak için kapsamlı bir savunma yaklaşımına olan ihtiyacı göstermektedir.
7. Kimlik bilgilerine erişim
Bu fidye yazılımı saldırısı, kendisinden önceki pek çok kişi gibi, masaüstü yansıtma ve karma şifrelerin çok ötesine geçti. Düşmana hassas verilere ve sistemlere kapsamlı idari erişim sağlayan ayrıcalıklı kimlik bilgilerini hedef aldı.
Bu nedenle, kullanıcılara minimum düzeyde hak sağlayan ayrıcalıklı erişim yönetimi kontrolleri, bu katmanlı güvenlik yaklaşımının önemli bir parçasıdır ve hiçbir şeye veya kimseye güvenmemek ve her şeyi doğrulamak olan daha genel “sıfır güven” felsefesine katkıda bulunur.
Bir sonraki büyük saldırı muhtemelen bundan farklı olacaktır. Ancak, MITRE ATT&CK çerçevesi gerçekten yararlıysa, esnek bir kaynak olarak kalmalıdır – bir başlangıç noktası. Saldırganlar sürekli yenilik yapıyor ve her saldırı kendi yolunu izliyor. Vahşi doğada sürekli bir yeni teknikler akışı ortaya çıkıyor – biyolojik saldırıdan hizmet olarak fidye yazılımı yeniliklerine ve aynı zamanda ara sıra eski hilelerin geri dönüşüne kadar. Açma sırasında çalışan JavaScript komut dosyaları dahil, dosyaları sıkıştırmanın yeni yöntemlerini görüyoruz.
Bunun daha önce olduğunu gördük, ancak saldırganların bu şekilde sıkıştırmaya başlamasından bu yana uzun zaman geçti. Bu nedenle proaktif olmak, yaratıcı olmak ve bir saldırgan gibi düşünmek siber güvenlik için gerekli yaklaşımlardır. Ancak, sadece saldırganlara karşı savaşları değil, aynı zamanda savaşı da kazanmamızı sağlayacak olan, bilinen faktörlerle savaşmayı ve bilinmeyenlere hazırlanmayı nasıl dengelediğimizdir.