Savunma açısından tehdit istihbaratı ne kadar önemli ise Red Team için de aynı öneme sahiptir. Red Team çalışmaları içerisinde tehdit istihbaratı bize hedef organizasyonu, saldırgan grupları ve gerçekleştirilebilecek saldırı tekniklerini daha iyi anlama imkanı sunar. Tehdit istihbaratı sayesinde daha iyi planlama yapılabilir ve gerçek bir saldırıya en yakın saldırı simülasyonunu gerçekleştirebilir.
Tehdit istihbaratı tabanlı olan TIBER-EU (Threat Intelligence-based Ethical Red Teaming) gibi bazı özelleşmiş frameworkler de bulunmaktadır. Genel olarak bu framework üzerinden ilerlemeyeceğim için detaylarından bahsetmedim fakat detaylarını araştırmanız genel bir fikir edinmeniz açısından faydalı olacaktır.
Genel olarak bu başlıkta, SANS’ın “Threat Hunting & Incident Response” zirvesinden oluşturulmuş bir metodolojiyi takip ediyor olacağız. İlgili kaynaklara ve sunumlara araştırarak veya referanslar bölümünde bulunan linkler üzerinden erişebilirsiniz. Aynı zamanda Mitre’ın “Using ATT&CK for Cyber Threat Intelligence” başlıklı bir ücretsiz eğitimi de mevcut. Bu eğitimin linkini de referanslar bölümünde paylaşıyor olacağım.
Adımlara geçmeden önce Indicators of Compromise(IOC)’den ve David Bianco’nun acı piramidinden kısaca bahsetmek faydalı olacaktır.
Indicators of Compromise(IoC): Herhangi bir saldırı sonucunda oluşan kanıtların ifade edilmesi için kullanılan bir terimdir.
Acı Piramidi
David Bianco tarafından oluşturulan acı piramidi, temelde savunma ekiplerinin farklı tipteki IoC’leri ayırt etmesini kolaylaştırmayı amaçlamaktadır. Piramidin alt noktasından üst noktasına doğru ilerledikçe savunan taraf için IoC’lerin tanımlanması, saldırgan taraf için ise değiştirilmesi zorlaşmaktadır.
Saldırgan için örneklersek; saldırı içerisinde kullanılan hash değerleri manuel veya otomatik olarak kolaylıkla değiştirilebilirken, hedef organizasyon tarafından tespit edilmiş ve engellenmiş araçların yerine yenilerinin geliştirilmesi daha fazla efor gerektirecektir.
Savunan taraf içinse; saldırganın kullanmış olduğu zararlıya ait hash değerinin tespiti ve engellenmesi kolaylıkla yapılabilirken, bir tekniğin tamamen tespiti ve engellenmesi çok daha zor olacaktır.
Red Team için piramidin diğer noktalarından ziyade en üst kısmı ile yani TTP’ler üzerine odaklanacağız.
Piramitteki adımları aşağıdan yukarıya doğru detaylandırırsak;
- Hash Values: Şüpheli veya zararlı dosyaları tanımlamak, engellemek vb. amaçlar için kullanılan SHA1, MD5 gibi benzersiz hash değerleridir.
- IP Addresses: Saldırgan gruplar ve aktörler tarafından kullanılan/kullanıldığı bilinen IP adresleri veya aralıklarıdır.
- Domain Names: Alan adlarının veya alt alan adlarının tamamıdır.
- Network/Host Artifacts: Ağ içerisinde zararlı aktivitelere ait olabilecek olan gözlemlenebilir tüm izlerdir.
- Tools: Saldırganlar tarafından belirlenen amaca ulaşmak için kullanılan araçlardır.
- TTPs: Daha önce “Metodolojiler ve Frameworkler” yazısında “MITRE ATT&CK FRAMEWORK” başlığında taktik, teknik ve prosedürlere kısaca değinmiştik. Açıklamayı biraz daha derinleştirirsek; saldırganlar tarafından, saldırının hazırlık aşamasından belirlenen hedefe ulaşılana kadar ki adımları uygulama yöntemleri diyebiliriz. Bazı yöntemler farklı araçlar ile gerçekleştirilebilmektedir bu nedenle araç ve yöntemi karıştırmamak gerekiyor. Örneğin; “oltalama saldırısı(T1566)”, “zararlı bir dosya ile gerçekleştirilen oltalama saldırı (T1556.001)” veya “zararlı bir link ile gerçekleştirilen oltalama saldırısı (T1566.002)” örnek teknikler veya yöntemlerdir. Bu noktada tekniklerde çeşitlenebilmektedir.
Hedef Organizasyonu Anlamak
Danışmanlık kapsamında dış bir organizasyona veya internal (ekibin içerisinde bulunduğu organizasyonun kendisine) yapılan bir Red Team çalışması gerçekleştirilirken hedef organizasyonun yapısını anlamak gerçekten önemlidir.
Ağ dışından saldırı hazırlığı içerisinde bulunan bir saldırganın gözünden, organizasyonun zayıf noktalarının ve varlıklarının yüzeysel olarak belirlenmesi amaçlanır. Bazı bilgiler organizasyon ile yapılan görüşmeler sırasında da sağlanabilir. Elde edilen tüm veriler tehdit istihbaratı raporunun hazırlanması ve senaryoların belirlenmesi konusunda kullanılacaktır.
Organizasyona ait süreçler, saldırı yüzeyleri, çalışan profilleri, varlık bilgileri, kurum tarafından yayınlanan belgeler, iş ilanları, kasıtlı/kasıtsız sızmış veriler, müşteri verileri gibi saldırısı sırasında herhangi bir şekilde kullanılabilecek olan her türlü bilginin toplanması fayda sağlayacaktır.
Taklit Edilecek Olan Saldırganı Tanımlamak
Red Team çalışmaları içerisinde temel amaç yaşanacak olan olası saldırılara önceden bağışıklık kazanmaktır. Özellikle Adversary Emulation için, öncelikle hedef organizasyonu veya organizasyonun bulunduğu sektöre yönelik saldırı ihtimali olan saldırganları düşünmeniz gerekmektedir. Basit bir şekilde örneklersek, testi yaptığınız organizasyonun coğrafyasını ve sektörünü hedef almış olan bir saldırgan grup varsa başka bir coğrafyayı ve alakasız bir sektörü hedef almış saldırgan grubu baz almak daha düşük fayda sağlayacaktır.
Önemli olan bir diğer nokta ise Red Team’in kabiliyetidir. Tecrübesiz bir şekilde ileri seviye senaryoları uygulamaya çalışmak yanlış sonuçlar verebilir veya çalışmanın erken bir başarısızlıkla sonuçlanması ile gereksiz bir efor oluşmasına neden olabilir. Bu nedenle çalışmalara yeni başlamış bir Red Team için karmaşıklığı düşük olan saldırı senaryolarını uygulamak ve zamanla gelişmiş saldırı senaryolarına geçmek daha verimli olacaktır.
Siber Tehdit İstihbaratın Toplanması
İstihbarat teşkilatları tarafından da kullanılan geleneksel istihbarat yaşam döngüsü 4 veya 5 adımdan oluşur. 5 adım içeren versiyonun içerisindeki adımlar genelde şu şekildedir;
- Planning and Direction: Bu adımda istihbaratın toplanacağı potansiyel noktalar ve bilgilerin toplanabilmesi için gerekli yöntemler geliştirilir. Gerekli olan bilgilerin nasıl ve nereden elde edileceği planlanır, “Collection” adımı için gerekli olan yol haritası çıkartılır.
- Collection: Oluşturulan plan doğrultusunda bilgiler toplanmaya başlanır ve gerekli istihbarat verileri elde edilir.
- Processing: Toplanan ham verinin işlendiği ve anlamlandırıldığı aşamadır. Bu aşamada elde edilen veriler analiz için hazır hale getirilir. Örneğin, sızmış veri tabanları içerisinde organizasyon çalışanlarına ait maillerin filtrelenerek elde edilmesi gibi işlemler bu aşamada gerçekleştirilir.
- Analysis and Production: İlk aşamada belirlenen gereksinimlerin karşılanması için “Processing” aşamasında elde edilen bilgilerin değerlendirildiği bölümdür. Yapılan analizler sonucunda kullanılabilir veriler belirlenir ve gerekli durumlarda kullanılmaya hazır olacak şekilde belli formatlara dönüştürülür.
- Dissemination: İşlenen ve istihbarat niteliği kazanan verilerin müşteriye dağıtılması sürecidir. Burada müşteri olarak kendinizi de varsayabilirsiniz. Elde edilen istihbarat kullanılır, düzenli olarak gözden geçirilir ve bunun sonucunda yeni istihbarat ihtiyaçları doğabilir, ek planlama süreçleri geliştirilebilir.
TTP’lerin Belirlenmesi
Bu aşamada gerçekleştirilecek olan TTP’ler belirlenmektedir. Özel bir senaryo oluşturulabileceği gibi var olan bir APT (Advanced Persistent Threat) gruba ait senaryonun TTP’leri belirlenerek gruba ait saldırı taklit edilebilir.
Var olan bir saldırgan gruba ait TTP’lerin belirlenmesi için birçok farklı yöntem mevcuttur. Bir grup özelinde gerçekleştirdiğiniz bir siber istihbarat çalışmasıyla, organizasyonunuzu hedef bir grubun analiziyle veya yayınlanmış siber tehdit istihbaratı raporları içerisinde bu TTP’leri elde edebilirsiniz. Örneğin, bir siber istihbarat raporunda bulunan APT39’a ait “Initial Compromise” aşamasındaki teknikleri kısaca aşağıdaki şekilde inceleyebiliriz.
Sadece birkaç teknik için bu aşamayı örnekledik fakat bir senaryoyu tam anlamıyla gerçekleştirmek için tabi ki birkaç teknik yeterli olmayacaktır. İlgili gruba ait olabildiğince fazla ve doğru tekniklerin çıkarılması senaryonun amacına ulaşabilmesi için kritik öneme sahiptir.
Bir diğer yöntem ise araştırmacılar veya Mitre tarafından hazırlanmış olan şablonları kullanmak. Bu yöntemin avantajı sürekli olarak güncellenmesi ve teknikler çıkartılırken zaman kazandırması. Dezavantajı ise sınırlı sayıda gruba ait bilgi barındırması ve senaryoyu uygulayacak kişilerin saldırganları tam olarak anlayamaması. Var olan bir şablonu kullanıyor olsanız bile ilgili gruba ait siber tehdit istihbaratı raporlarını okuyarak teknikleri nasıl uyguladıklarını, ne gibi araçları nasıl kullandıklarını detaylı şekilde incelemenizi kesinlikle tavsiye ederim.
Mitre’nin paylaşmış olduğu verileri incelersek; ilk olarak https://attack.mitre.org/groups/ adresi üzerinden grupların olduğu adrese gidiyoruz ve burada ilgilendiğimiz grubu seçiyoruz. Daha önce örnek olarak aldığımız APT39’dan devam edelim.
Seçtiğimiz gruba ait bilgiler geldikten sonra burada detaylı bilgiler ile birlikte oluşturulma tarihi ve son güncellenme tarihi gibi değerleri de görebiliyoruz. Daha sonra “Navigation Layers” üzerinde “view” seçiyoruz.
Gelen sayfada ilgili gruba ait taktikleri seçili bir şekilde görebilirsiniz. İlgili tekniklerin üzerine geldiğimizde veya tıkladığımızda daha detaylı bilgiler gelecektir.
Analiz ve Düzenleme
Bu aşamadaki amacımız, elde ettiğimiz TTP’lerin anlamlandırılmaları ve Adversary Emulation planı için bir senaryo oluşturulması. Bu sayede Red Team’in izleyeceği adımlar net bir şekilde belirlenebilir.
Örneğin; Zararlı dosya içeren bir e-posta ile spear-phishing saldırısı gerçekleştirecekseniz öncelikle bir C&C (Command And Control) sunucusu kurmanız gerekiyor. Privilege Escalation veya Credential Access aşamaları için öncelikle İnitial Access aşamasının tamamlanması gerekiyor gibi adımların belirlenmesi ve netleştirilmesi gerekmektedir.
Adversary Emulation Planının Oluşturulması
Siber tehdit istihbaratının son adımı ise Adversary Emulation planının oluşturulması. Bu aşamaya kadar toplanan bilgileri bir araya getirerek, her adımda gerçekleştirilecek olan işlemleri belirleyip belge hazırlıyoruz. Aşamalar içerisinde tam olarak neler yapılacağı da bu hazırlanan belge içerisinde detaylı olarak belirtilmelidir.
Plan içerisinde taklit edilecek olan saldırgan grubun kullandığı araçlar ve özelliklerde belirtilir. Genel olarak Red Team çalışmalarında saldırganın daha önce kullanmış olduğu zararlı yazılımlar kullanılmaz. Bunun yerine araçların aynı özelliklerine ve işlevlerine sahip özel araçlar geliştirilir. Bu hem başka bir organizasyonu hedefleyen zararlının sizin hedefinizde çalışmama ihtimalini hem de içeriğini tam olarak bilmediğiniz bir zararlının oluşturabileceği potansiyel riskleri ortadan kaldırır.
Mitre’ın APT3 için hazırlamış olduğu örnek Adversary Emulation planına da aşağıdaki bağlantı üzerinden erişebilirsiniz.
Referanslar
- https://www.ecb.europa.eu/paym/cyber-resilience/tiber-eu/html/index.en.html
- https://docplayer.net/103774356-Att-cking-the-status-quo-threat-based-adversary-emulation-with-mitre-att-ck.html
- https://attack.mitre.org/resources/training/cti/
- https://www.scythe.io/ptef
- https://www.ecb.europa.eu/pub/pdf/other/ecb.tiber_eu_framework.en.pdf
- https://www.mandiant.com/resources/apt39-iranian-cyber-espionage-group-focused-on-personal-information
- https://attack.mitre.org/groups/
- https://attack.mitre.org/resources/adversary-emulation-plans/
