GELİŞMİŞ SİBER SİLAHLAR VE

TESPİT YÖNTEMLERİ

Bahtiyar BİRCAN Uzman Araştırmacı

Siber Güvenlik Enstitüsü

6 Kasım 2012

2

Gündem

• Siber Savaşlar

• Gelişmiş Siber Silahlar (APT)

• Gelişmiş Siber Silahların Tespiti

• Gelişmiş Siber Silah Tespit Sistemi

• Önlemler

• Sonuç

Siber Savaşlar

Siber Savaşlar

• Günümüzde savaşlar siber uzayda yapılmaktadır.

• Birçok savaş ve anlaşmazlık fiziksel dünyaya paralel olarak sanal alemde de devam etmektedir.

• Siber savaş konsepti bir çok ülkenin askeri yapılanması bu yeni konsepte göre yeniden yapılandırılmıştır.

• Asimetrik tehdit.

• Ülkelerde siber savaş birimleri

• Hedef sadece askeri sistemler değil

• Saldırı kaynağını bulmak zor. Saldırı kaynağı olarak başka bir ülkeyi göstermek çok kolay

4

Siber Silah Maliyetleri

5

Radara yakalanmayan

bombardıman uçağı

Radara yakalanmayan

avcı uçağı

Cruise füzesi

730 milyon $

100 milyon $

1 milyon $

10 $ - 50 bin $ Siber silah

Siber Savaş Örnekleri

• 1982 – Farewell Dosyası

• 1990 – Körfez Savaşı

• 1998 – Ay Işığı Labirenti

• 1999 – NATO Kosova Krizi

• 2007 – Suriye İsrail Gerginliği

• 2007 – Estonya Siber Savaşı

• 2008 – Gürcistan Siber Savaşı

• 2008 – İsrailin Gazze İşgali

• 2009 – Kırgızistan Olayları

• 2009 – Mavi Marmara Saldırısı

6

Siber Savaşlar

• Siber Casusluk Olayları

– Titan Rain

– GhostNET

– Operation Aurora

– Wikileaks

– ShadyRAT

– Night Dragon

• Bilinen Siber Silahlar

– Stuxnet

– Duqu

– Flame / miniFlame

– Gauss

– Tinba

7

Siber Savaşlar ve Siber Silahlar

• Siber savaşlarda genel amaçlı saldırı araçlarının yanında yoğunlukla siber silahlar da kullanılmaktadır.

• Şu ana kadar olan siber savaşlarda genelde DDoS yapılmış ve çok karmaşık silahlar kullanılmamıştır.

• Geliştirilen bir siber silah genelde tek kullanımlık. Tespit edildikten sonra etkisi yitirilmiş oluyor.

• Bundan dolayı bir çok ülke geliştirdikleri siber silahları zorunlu olmadıkça kullanmak istememektedirler

8

Gelişmiş Siber Silahlar /

Advanced Persistent Threat (APT)

APT Nedir ?

• Advanced persistent threat (APT) usually refers to a group, such as a foreign government, with both the capability and the intent to persistently and effectively target a specific entity.

• Devletler veya büyük gruplar tarafından desteklenen, siber savaşlarda istenen saldırıları yerine getirmek için geliştirilmiş, hedefi net olarak belirlenmiş zararlı yazılımlar.

10

APT Özellikleri

• Gelişmiş teknikler kullanır

– Hedeflere sızmak için gelişmiş teknikler kullanmaktadır.

– Siber savunma sistemlerini kolaylıkla atlatabiliyor.

– Özel geliştirilmiş veya internette bulunabilen saldırı araçları kullanımaktadır

• Kalıcıdır

– Bulaştığı sistemlerde yayılarak uzun süre fark edilmeden çalışabiliyor

• Hedef odaklı

– Belirli sistemleri ve kişileri hedef almaktadır

• Arkasında yetkin bir grup veya ülke bulunmaktadır

11

APT Yayılma Yöntemleri

• Sosyal Mühendislik

• USB / CD / DVD

• Oltalama Saldırıları (Spear Phishing)

• Ofis dokümanları

– Microsoft Ofis

– Adobe PDF

• Web siteleri

• Sıfırıncı gün saldırıları

– Microsoft Windows

– Internet Explorer

– Java

– Flash

• Açık kaynaklı saldırı araçları 12

APT Özellikleri

13 Kaynak: Mandiant

APT Özellikleri

14 Kaynak: Mandiant

APT Saldırı Aşamaları

• Bilgi toplama

• Sisteme sızma

• Yayılma

• Sisteme kalıcı olarak yerleşme

• Hedeflerin yerine getirilmesi

• Kalıcılığın devam ettirilmesi

15

APT Hedefleri

16 Kaynak: TrendMicro

APT Hedefleri

17 Kaynak: TrendMicro

Gelişmiş Siber

Silahların Tespiti

APT Tespiti

• Yeni yaklaşımlar gerektirmektedir.

• Bilinen siber savunma yöntemleri/ürünleri işe yaramamaktadır.

• Sızma testleri = APT tespit simülasyonu

• Bir çok alanı ilgilendirmektedir.

– Olay müdahale (Incident Response)

– Ağ güvenliği (IDS/IPS, Ağ izleme, DPI, FW, NAC..)

– Log Yönetimi, SIEM

– Adli bilişim (Forensic)

– Malware analizi

– DLP

19

APT Tespiti Öncesi Önkabuller

• APT Davranışı nedir?

– Bulaşma yöntemleri

– C&C Haberleşmesi

– Hedefler (Bilgi çalma, sistemleri çökertme ..)

• Ne tespit edilecek ?

– Sistemlere sızma

– Sistemlerden dışarı bilgi çıkarma

20

APT Tespiti – Dünyadaki Yaklaşımlar

• Ticari ürünler

– Mandiant

– FireEye

– Damballa

– Bit9

– PaloAlto Wildfire

• Yaklaşımlar

– C&C Haberleşmesi

– DNS trafik incelemesi

– SIEM / Log korelasyonu

– Malware Analizi

21

Merkezi Tehdit Veritabanı

• Tespit edilen saldırıların ve APT’lerin verilerinin tutulduğu tehdit veritabanı

• İçerdiği veriler

– IP Reputation

– File Reputation

– Malware davranışı

– Zaman bilgisi

• Ticari Tehdit Veritabanları

• Her kurum / ülke için özel veritabanı

• Hedefli saldırılarda başarı oranı düşük olabilir

22

Gelişmiş Siber Silah

Tespit Sistemi

APT Tespit Sistemi

APT Tespit Sistemi - Planla

• Kapsam

• Süre

• Amaç

• Prosedürler

• Lojistik

APT Tespit Sistemi - İzle

• Ağın izlenmesi – IDS/IPS

– NMS

– VPN

– Güvenlik Duvarı

• Uç noktaların izlenmesi – Host logları

– Registry değişiklikleri

– Memory

– İşletim sistemi servisleri

– Önemli dosyalar

• Merkezi Kayıt Yönetimi

• Merkezi Güvenik İzleme (SIEM)

APT Tespit Sistemi – Tespit Et

• Ağ üzerinden – HTTP başlık bilgisi

– SSL sertifikaları

– E-posta içeriği ve eklentileri

– DNS trafiği

– NetFlow

– Ağ trafiği istatistikleri • Bağlantı süresi

• Paket boyutu

• Giden / Gelen verinin oranı

– İç ağ trafiği

– Olası C&C sunucu haberleşmesi

• Host üzerinden – Local ve Domain kullanıcı değişiklikleri

– Kullanıcı logon

– Servis değişiklikleri

– Process injection

– Zamanlanmış görevler

– Önemli dosyaların hash değerleri

• Veri madenciliği ve anomali tespiti

APT Tespit Sistemi - Yakala

• Ağ üzerinden – E-posta trafiği içindeki zararlı dosyalar

– Web trafiği içindeki dosyaları

– Drive-by download

– Şifreli trafik

• Host üzerinden – Disk imajı

– Memory imajı

APT Tespit Sistemi – Analiz Et

• Adli analiz – Disk imajı

– Memory imajı

• Malware analizi yöntemleri ile yakalanan yazılımların analizi – Statik analiz

– Dinamik analiz

– Sandboxing

• Analizler sonucu yazılımların otomatik olarak profilinin çıkartılması – Host üzerindeki davranışı

– Ağ üzerindeki davranışı

APT Tespit Sistemi – Sonuçları Yayınla

• Analiz sonucu elde edilen bilgilerin ve APT profilinin merkezi tehdit veritabanına konulması

• Veritabanı bilgilerinin kullanan diğer sensörlere yayılması

APT Tespit Sistemi – Önlem Al

• Ağ seviyesinde saldırıların önlenmesi – Güvenlik Duvarı kurallarının güncellenmesi

– IPS imzalarının güncellenmesi

– Proxy / İçerik filtreleme politikalarının güncellenmesi

• Host seviyesinde – HIPS kurallarının güncellenmesi

– DLP

• Kritik sistemlerin internet ile bağlantılarının kesilmesi

Önlemler

Önlemler

• Gelişmiş siber silahları tamamen önlemek mümkün değil

• Saldırılar için hazırlıklı olmak gerekiyor

• Sistemlerin sıkılaştırılması

• Güçlü şifre politikaları

• Personel eğitimi

• Kritik sistemlerin internetten izole edilmesi

Sonuç

• Siber savaşlar şu an devam etmektedir.

• Siber savaşlarda APT aktif olarak

kullanılmaktadır

• APT tespit ve önlemesi zor olsa da mümkün

• Saldırıları önleme adına özellikle kritik

sistemler ve kamu kurumlarında çalışmaların

bir an önce başlaması gerekmektedir

35

Teşekkürler

Bahtiyar BİRCAN

Siber Güvenlik Enstitüsü

bahtiyar.bircan@tubitak.gov.tr

+90 312 427 73 66

www.bilgem.tubitak.gov.tr

www.bilgiguvenligi.gov.tr