Kağan Eğlence

Tag: Mitre

  • Red Team: Siber İstihbarat ve Red Team

    Savunma açısından tehdit istihbaratı ne kadar önemli ise Red Team için de aynı öneme sahiptir. Red Team çalışmaları içerisinde tehdit istihbaratı bize hedef organizasyonu, saldırgan grupları ve gerçekleştirilebilecek saldırı tekniklerini daha iyi anlama imkanı sunar. Tehdit istihbaratı sayesinde daha iyi planlama yapılabilir ve gerçek bir saldırıya en yakın saldırı simülasyonunu gerçekleştirebilir.

    Tehdit istihbaratı tabanlı olan TIBER-EU (Threat Intelligence-based Ethical Red Teaming) gibi bazı özelleşmiş frameworkler de bulunmaktadır. Genel olarak bu framework üzerinden ilerlemeyeceğim için detaylarından bahsetmedim fakat detaylarını araştırmanız genel bir fikir edinmeniz açısından faydalı olacaktır.

    Genel olarak bu başlıkta, SANS’ın “Threat Hunting & Incident Response” zirvesinden oluşturulmuş bir metodolojiyi takip ediyor olacağız. İlgili kaynaklara ve sunumlara araştırarak veya referanslar bölümünde bulunan linkler üzerinden erişebilirsiniz. Aynı zamanda Mitre’ın “Using ATT&CK for Cyber Threat Intelligence” başlıklı bir ücretsiz eğitimi de mevcut. Bu eğitimin linkini de referanslar bölümünde paylaşıyor olacağım.

    Adımlara geçmeden önce Indicators of Compromise(IOC)’den ve David Bianco’nun acı piramidinden kısaca bahsetmek faydalı olacaktır.

    Indicators of Compromise(IoC): Herhangi bir saldırı sonucunda oluşan kanıtların ifade edilmesi için kullanılan bir terimdir.

    Acı Piramidi

    David Bianco tarafından oluşturulan acı piramidi, temelde savunma ekiplerinin farklı tipteki IoC’leri ayırt etmesini kolaylaştırmayı amaçlamaktadır. Piramidin alt noktasından üst noktasına doğru ilerledikçe savunan taraf için IoC’lerin tanımlanması, saldırgan taraf için ise değiştirilmesi zorlaşmaktadır.  

    Saldırgan için örneklersek; saldırı içerisinde kullanılan hash değerleri manuel veya otomatik olarak kolaylıkla değiştirilebilirken, hedef organizasyon tarafından tespit edilmiş ve engellenmiş araçların yerine yenilerinin geliştirilmesi daha fazla efor gerektirecektir.

    Savunan taraf içinse; saldırganın kullanmış olduğu zararlıya ait hash değerinin tespiti ve engellenmesi kolaylıkla yapılabilirken, bir tekniğin tamamen tespiti ve engellenmesi çok daha zor olacaktır.

    Red Team için piramidin diğer noktalarından ziyade en üst kısmı ile yani TTP’ler üzerine odaklanacağız.

    Piramitteki adımları aşağıdan yukarıya doğru detaylandırırsak;

    • Hash Values: Şüpheli veya zararlı dosyaları tanımlamak, engellemek vb. amaçlar için kullanılan SHA1, MD5 gibi benzersiz hash değerleridir.
    • IP Addresses: Saldırgan gruplar ve aktörler tarafından kullanılan/kullanıldığı bilinen IP adresleri veya aralıklarıdır.
    • Domain Names: Alan adlarının veya alt alan adlarının tamamıdır.
    • Network/Host Artifacts: Ağ içerisinde zararlı aktivitelere ait olabilecek olan gözlemlenebilir tüm izlerdir.
    • Tools: Saldırganlar tarafından belirlenen amaca ulaşmak için kullanılan araçlardır.
    • TTPs: Daha önce “Metodolojiler ve Frameworkler” yazısında “MITRE ATT&CK FRAMEWORK” başlığında taktik, teknik ve prosedürlere kısaca değinmiştik. Açıklamayı biraz daha derinleştirirsek; saldırganlar tarafından, saldırının hazırlık aşamasından belirlenen hedefe ulaşılana kadar ki adımları uygulama yöntemleri diyebiliriz. Bazı yöntemler farklı araçlar ile gerçekleştirilebilmektedir bu nedenle araç ve yöntemi karıştırmamak gerekiyor. Örneğin; “oltalama saldırısı(T1566)”, “zararlı bir dosya ile gerçekleştirilen oltalama saldırı (T1556.001)” veya “zararlı bir link ile gerçekleştirilen oltalama saldırısı (T1566.002)” örnek teknikler veya yöntemlerdir. Bu noktada tekniklerde çeşitlenebilmektedir.

    Hedef Organizasyonu Anlamak

    Danışmanlık kapsamında dış bir organizasyona veya internal (ekibin içerisinde bulunduğu organizasyonun kendisine) yapılan bir Red Team çalışması gerçekleştirilirken hedef organizasyonun yapısını anlamak gerçekten önemlidir.

    Ağ dışından saldırı hazırlığı içerisinde bulunan bir saldırganın gözünden, organizasyonun zayıf noktalarının ve varlıklarının yüzeysel olarak belirlenmesi amaçlanır. Bazı bilgiler organizasyon ile yapılan görüşmeler sırasında da sağlanabilir. Elde edilen tüm veriler tehdit istihbaratı raporunun hazırlanması ve senaryoların belirlenmesi konusunda kullanılacaktır.

    Organizasyona ait süreçler, saldırı yüzeyleri, çalışan profilleri, varlık bilgileri, kurum tarafından yayınlanan belgeler, iş ilanları, kasıtlı/kasıtsız sızmış veriler, müşteri verileri gibi saldırısı sırasında herhangi bir şekilde kullanılabilecek olan her türlü bilginin toplanması fayda sağlayacaktır.

    Taklit Edilecek Olan Saldırganı Tanımlamak

    Red Team çalışmaları içerisinde temel amaç yaşanacak olan olası saldırılara önceden bağışıklık kazanmaktır. Özellikle Adversary Emulation için, öncelikle hedef organizasyonu veya organizasyonun bulunduğu sektöre yönelik saldırı ihtimali olan saldırganları düşünmeniz gerekmektedir. Basit bir şekilde örneklersek, testi yaptığınız organizasyonun coğrafyasını ve sektörünü hedef almış olan bir saldırgan grup varsa başka bir coğrafyayı ve alakasız bir sektörü hedef almış saldırgan grubu baz almak daha düşük fayda sağlayacaktır.

    Önemli olan bir diğer nokta ise Red Team’in kabiliyetidir.  Tecrübesiz bir şekilde ileri seviye senaryoları uygulamaya çalışmak yanlış sonuçlar verebilir veya çalışmanın erken bir başarısızlıkla sonuçlanması ile gereksiz bir efor oluşmasına neden olabilir. Bu nedenle çalışmalara yeni başlamış bir Red Team için karmaşıklığı düşük olan saldırı senaryolarını uygulamak ve zamanla gelişmiş saldırı senaryolarına geçmek daha verimli olacaktır.

    Siber Tehdit İstihbaratın Toplanması

    İstihbarat teşkilatları tarafından da kullanılan geleneksel istihbarat yaşam döngüsü 4 veya 5 adımdan oluşur. 5 adım içeren versiyonun içerisindeki adımlar genelde şu şekildedir;

    • Planning and Direction: Bu adımda istihbaratın toplanacağı potansiyel noktalar ve bilgilerin toplanabilmesi için gerekli yöntemler geliştirilir. Gerekli olan bilgilerin nasıl ve nereden elde edileceği planlanır, “Collection” adımı için gerekli olan yol haritası çıkartılır.
    • Collection: Oluşturulan plan doğrultusunda bilgiler toplanmaya başlanır ve gerekli istihbarat verileri elde edilir.
    • Processing: Toplanan ham verinin işlendiği ve anlamlandırıldığı aşamadır. Bu aşamada elde edilen veriler analiz için hazır hale getirilir. Örneğin, sızmış veri tabanları içerisinde organizasyon çalışanlarına ait maillerin filtrelenerek elde edilmesi gibi işlemler bu aşamada gerçekleştirilir.
    • Analysis and Production: İlk aşamada belirlenen gereksinimlerin karşılanması için “Processing” aşamasında elde edilen bilgilerin değerlendirildiği bölümdür. Yapılan analizler sonucunda kullanılabilir veriler belirlenir ve gerekli durumlarda kullanılmaya hazır olacak şekilde belli formatlara dönüştürülür.
    • Dissemination: İşlenen ve istihbarat niteliği kazanan verilerin müşteriye dağıtılması sürecidir. Burada müşteri olarak kendinizi de varsayabilirsiniz. Elde edilen istihbarat kullanılır, düzenli olarak gözden geçirilir ve bunun sonucunda yeni istihbarat ihtiyaçları doğabilir, ek planlama süreçleri geliştirilebilir.

    TTP’lerin Belirlenmesi

    Bu aşamada gerçekleştirilecek olan TTP’ler belirlenmektedir. Özel bir senaryo oluşturulabileceği gibi var olan bir APT (Advanced Persistent Threat) gruba ait senaryonun TTP’leri belirlenerek gruba ait saldırı taklit edilebilir.

    Var olan bir saldırgan gruba ait TTP’lerin belirlenmesi için birçok farklı yöntem mevcuttur. Bir grup özelinde gerçekleştirdiğiniz bir siber istihbarat çalışmasıyla, organizasyonunuzu hedef bir grubun analiziyle veya yayınlanmış siber tehdit istihbaratı raporları içerisinde bu TTP’leri elde edebilirsiniz. Örneğin, bir siber istihbarat raporunda bulunan APT39’a ait “Initial Compromise” aşamasındaki teknikleri kısaca aşağıdaki şekilde inceleyebiliriz.

    Sadece birkaç teknik için bu aşamayı örnekledik fakat bir senaryoyu tam anlamıyla gerçekleştirmek için tabi ki birkaç teknik yeterli olmayacaktır. İlgili gruba ait olabildiğince fazla ve doğru tekniklerin çıkarılması senaryonun amacına ulaşabilmesi için kritik öneme sahiptir.

    Bir diğer yöntem ise araştırmacılar veya Mitre tarafından hazırlanmış olan şablonları kullanmak. Bu yöntemin avantajı sürekli olarak güncellenmesi ve teknikler çıkartılırken zaman kazandırması. Dezavantajı ise sınırlı sayıda gruba ait bilgi barındırması ve senaryoyu uygulayacak kişilerin saldırganları tam olarak anlayamaması. Var olan bir şablonu kullanıyor olsanız bile ilgili gruba ait siber tehdit istihbaratı raporlarını okuyarak teknikleri nasıl uyguladıklarını, ne gibi araçları nasıl kullandıklarını detaylı şekilde incelemenizi kesinlikle tavsiye ederim.

    Mitre’nin paylaşmış olduğu verileri incelersek; ilk olarak https://attack.mitre.org/groups/ adresi üzerinden grupların olduğu adrese gidiyoruz ve burada ilgilendiğimiz grubu seçiyoruz. Daha önce örnek olarak aldığımız APT39’dan devam edelim.

    Seçtiğimiz gruba ait bilgiler geldikten sonra burada detaylı bilgiler ile birlikte oluşturulma tarihi ve son güncellenme tarihi gibi değerleri de görebiliyoruz. Daha sonra “Navigation Layers” üzerinde “view” seçiyoruz.

    Gelen sayfada ilgili gruba ait taktikleri seçili bir şekilde görebilirsiniz. İlgili tekniklerin üzerine geldiğimizde veya tıkladığımızda daha detaylı bilgiler gelecektir.

    Analiz ve Düzenleme

    Bu aşamadaki amacımız, elde ettiğimiz TTP’lerin anlamlandırılmaları ve Adversary Emulation planı için bir senaryo oluşturulması. Bu sayede Red Team’in izleyeceği adımlar net bir şekilde belirlenebilir.

    Örneğin; Zararlı dosya içeren bir e-posta ile spear-phishing saldırısı gerçekleştirecekseniz öncelikle bir C&C (Command And Control) sunucusu kurmanız gerekiyor. Privilege Escalation veya Credential Access aşamaları için öncelikle İnitial Access aşamasının tamamlanması gerekiyor gibi adımların belirlenmesi ve netleştirilmesi gerekmektedir.

    Adversary Emulation Planının Oluşturulması

    Siber tehdit istihbaratının son adımı ise Adversary Emulation planının oluşturulması. Bu aşamaya kadar toplanan bilgileri bir araya getirerek, her adımda gerçekleştirilecek olan işlemleri belirleyip belge hazırlıyoruz. Aşamalar içerisinde tam olarak neler yapılacağı da bu hazırlanan belge içerisinde detaylı olarak belirtilmelidir.

    Plan içerisinde taklit edilecek olan saldırgan grubun kullandığı araçlar ve özelliklerde belirtilir. Genel olarak Red Team çalışmalarında saldırganın daha önce kullanmış olduğu zararlı yazılımlar kullanılmaz. Bunun yerine araçların aynı özelliklerine ve işlevlerine sahip özel araçlar geliştirilir. Bu hem başka bir organizasyonu hedefleyen zararlının sizin hedefinizde çalışmama ihtimalini hem de içeriğini tam olarak bilmediğiniz bir zararlının oluşturabileceği potansiyel riskleri ortadan kaldırır.

    Mitre’ın APT3 için hazırlamış olduğu örnek Adversary Emulation planına da aşağıdaki bağlantı üzerinden erişebilirsiniz.

    Referanslar

  • Red Team: Metodolojiler ve Frameworkler

    Red Teaming ve Adversary Emulation için kurumlar veya şahışlar tarafından yayınlanmış olan birçok farklı framework ve metodoloji bulabilmemiz mümkün. Yapılan çalışma başlık ve yöntem olarak, kullanılan framework ve metodolojilere göre farklılıklar gösterebilmektedir. Bu yazı içerisinde, aşağıda paylaştığım framework ve metodolojilerin tamamını inceleme fırsatımız olmayacak fakat detaylarını merak etmeniz durumunda fikir olması açısından araştırmanızı öneririm.

    • TIBER-EU (Threat Intelligence-Based Ethical Red Teaming Framework – European Union)
    • UK CBEST
    • Hongkong iCAST (Intelligence-led Cyber Attack Simulation Testing)
    • Saudi Arabia FEER (Financial Entities Ethical Red Teaming)
    • Singapore AASE (Adversarial Attack Simulation Exercises)
    • NATO framework
    • Mitre’s ATT&CK framework
    • Cyber Kill Chain – Lockheed Martin
    • Unified Cyber Kill Chain – Paul Pols

    MITRE ATT&CK FRAMEWORK

    Hiçbir model %100 doğru değildir fakat bazı modeller kullanışlı olabilir. Bu modellerden birisi de saldırganların aksiyonlarını modelleyen Mitre Att&ck Framework. Mitre Att&ck, saldırgan davranışlara dayalı, gerçek dünya gözlemleri baz alınarak MITRE tarafından oluşturulmuş ve geliştirilen bir framework. Açık kaynaklı, ücretsiz ve herkesin erişebileceği bir modeldir.

    En üst satırda taktik olarak bahsettiğimiz alan, saldırgan amacı belirtmektedir. Taktiklerin sütunlarında bulunan diğer başlıklar ise içerisinde bulundukları saldırgan amaca ulaşmak için kullanılan tekniklerden oluşur. Seçilen bir tekniğe tıklandığında açılan kısım ise prosedür olarak geçer. Prosedürler yüksek seviyeli açıklama ile tespit, önleme, referanslar gibi birçok ek bilgi içerirler. Bir teknik için çeşitli prosedürler olabilir.

    Red Team Mitre Att&ck kullanarak, gerçekçi TTP’leri (Tactics, techniques and procedures – TTPs) araştırarak bir çalışma içerisinde uygulayabilir. Blue Team ise Mitre Att&ck modelini kullanarak var olan TTP’lere karşı savunma duruşuna ait durumunu analiz ederek bir skor oluşturabilir.

    Cyber Kill Chain

    Cyber Kill Chain, Lockheed Martin tarafından geliştirilen ve siber saldırıları tanımlamak için kullanılan en popüler modellerden biridir. Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command and Control, Actions on Objective olmak üzere toplamda 7 aşamadan oluşur.

    Unified Cyber Kill Chain

    Lockheed Martin tarafından geliştirilen Cyber Kill Chain(CKC), kolay anlaşılabilir ve basit olacak şekilde tasarlanmıştır bundan dolayı bazı limitlere sahiptir. Yapılan bazı araştırmaların sonucunda, Cyber Kill Chain’in malware odaklı olduğu düşünülmektedir. Bu noktada Cyber Kill Chain’in (özellikle ilk sızma gerçekleştirildikten sonra) bazı saldırıları ve saldırı vektörlerini karşılayamama durumu söz konusudur.

    Özellikle CKC’nin limitasyonlarından ve Mitre ATT&CK modelinin zamandan-bağımsız taktiklerinden kaçınmak adına, birçok model baz alınarak “Paul Pols” tarafından Unified Cyber Kill Chain geliştirilmiştir.

    Unified Cyber Kill Chain’in içerisinde, hibrit yaklaşımla oluşturulan toplamda 18 taktik bulunur. Bu taktikleri ve açıklamaları “Initial Foothold”, “Network Propagation” ve “Action on Objectives” olmak üzere 3 başlık altında aşağıdaki şekildedir. 

    1. Reconnaissance: Aktif ve pasif bilgi toplama kullanarak hedef organizasyon hakkında bilgi toplanır.
    2. Weaponization: Saldırı için gerekli olan araçlar, altyapı vb. hazırlıklar yapılır.
    3. Delivery: Hedef ortama hazırlanan nesnelerin (araç, zararlı vb.) iletilme teknikleri.
    4. Social Engineering: Kişilere zararlı aksiyonları aldırmayı hedefleyen teknikler.
    5. Exploitation: Hedef sistemlerde güvenlik açıklarının istismarına dayanan teknikler.
    6. Persistence: Saldırgana sistemlerde kalıcılık sağlayacak olan her türlü yöntem.
    7. Defense Evasion: Tespit ve engelleme mekanizmalarını atlatmaya sağlayan teknikler.
    8. Command & Control: Saldırgan ve hedef arasında iletişimi sağlayan teknikler.
    9. Pivoting: Direkt olarak erişim sağlanamayan sistemlere tünelleme ile erişimin sağlanması.
    10. Discovery: Saldırganın sistem ve ağ yapısı hakkında bilgi almasını sağlayan teknikler.
    11. Privilege Escalation: Saldırganın var olan yetkilerini yükseltmesini sağlayan teknikler.
    12. Execution: Saldırganın kontrolünde olan bir komutu hedef sistemde çalıştırmasını sağlayan teknikler.
    13. Credential Access: Hedef üzerinde oturum bilgileri ile erişim sağlamaya yarayan teknikler.
    14. Lateral Movement: Saldırganın başka sistemlere yatay erişim sağlanması sağlayan teknikler.
    15. Collection: Hassas verilerin belirlenmesi ve toplanması için kullanılan teknikler.
    16. Exfiltration: Saldırganın hassas verileri almasını sağlayan teknikler.
    17. Impact: Hedef sistemde manipülasyon, bozma gibi etkilere neden olmayı amaçlayan teknikler.
    18. Objectives: Stratejik nihai bir hedefe ulaşmayı amaçlayan bir saldırının diğer hedefleri.

    Nihai hedefe ulaşabilmek adına belirtilen taktikler beraber kullanılabilir, birleştirilebilir veya düzenlenebilir.

    Referanslar