Cyber Kill Chain
Last updated
Last updated
Cyber Kill Chain Siber saldırıları analiz edebilmek amacıyla çeşitli modellerden birisi olan ve Lockheed Martin firması tarafından geliştirilen cyber kill chain keşif aşamasından saldırı aşamasına kadar tanımlayan ve bu saldırıyı gerçekleştirmek veya önlemek amacıyla oluşturulan 7 aşamalı bir modeldir.
Saldırı gerçekleşmeden veya bir istismar yaratılmadan önce keşif ve bilgi toplama aşamasıdır. Saldıran taraf; hedef sistem veya sistemler üzerinde çeşitli taramalar gerçekleştirerek zafiyetleri tespit etmeye çalışır ayrıca çalışanların isimleri, görevleri, e-mail adresleri, ip adresleri, ağ haritası çıkarma gibi eylemleri aktif ve pasif bilgi toplama araçlarıyla yapabildiği gibi, iş ilanları , linkedln , twitter , facebook , instagram gibi sosyal medya aracılığıyla hedef hakkında sosyal mühendislik yöntemleri ile bilgiler toplayabilir.
Keşif sırasında bulunan zafiyetlerin sömürülmesi için kullanılacak yöntemlerin belirlenmesi ve uygun araçları hazırlama olarak tanımlanan aşamadır. Bu aşamada zafiyete uygun exploitler, zafiyetin istismar edilmesi için kullanılabilecek payloadlar olabileceği gibi zararlı dosyalar ve dokümanlar, oltalama saldırısında kullanılabilecek sahte epostalar gibi birçok yöntem kullanılarak sızma işlemi gerçekleştirilebilir.
Hazırlanan zararlının ve belirlenen yöntemle hedefe iletilmesi bu aşamadadır. Çeşitli açık kaynak kodlu yazılımlar, phishing, sosyal networkler veya tünellemeler gibi yöntemler kullanılabileceği gibi, güvenlik olarak çalışanların sosyal mühendisliklere veya phishing saldırılarına karşı farkındalıkları, çalışanların hangi donanımların kurum ağına bağlanabildiği veya bağlanamadığı konusunda bilgilendirmesi, bilinen zararlı veya şüpheli web sitelerinin erişim bloklarının kontrol edilmesi bu aşamayı önleyebilir.
Oluşturulan zararlı ve belirlenen atak vektörünü kullanarak hedefin zafiyetinin sömürüldüğü aşamadır. Exploit hazırlanıp hedefe iletildikten sonra bu aşamada zararlı kod çalıştırılır. Bunu önlemek amacıyla yazılımlar ne sıklıkla güncellendiği , sistemdeki zafiyetlerin tespit edilmesi için güvenlik denetimleri yapılıp yapılmadığı kontrol edilebilir.
Hedefin sömürülmesi ardından, kalıcı bir tehdit haline gelmek, güvenlik sisteminin ötesinde sistem başarılı bir şekilde kontrol edilebilmesi için hedefe asıl zararlı yazılımın indirilmesi, zararlı yazılımın sistemde kalacağı süreyi mümkün olduğunca arttırmayı hedefleyen aşamadır. Sistemde çalışan bilgisayarlarla yüklenen yazılımların denetlenmesi, kullanıcıların istedikleri yazılımları bilgisayarlara yükleyebilirlikleri, whitelisting ve blacklisting oluşturma bu aşamayı önleyebilir.
Hedef sistemin uzaktan kontrol edildiği aşamadır. Saldırgan hedef sistemi ele geçirmiştir. Zararlı kodlar ağa yerleştirilmiştir. Bu aşamada hedef sistemi ele geçirdikten sonra hedeflemiş olduğu sistem üzerindeki aktiviteleri gerçekleştirir ve hedef sistemde bir haberleşme kanalı oluşturur.
Saldırgan amacına ulaşmak için çeşitli eylemler gerçekleştirir. Bu eylemler veri çalma, silme veya başka bir sisteme saldırma olarak örneklendirilebilir. Önceki adımları gerçekleştirildikten sonra saldırgan bu adımda eyleme geçer. Bu 7 aşama bir zincir gibi birbirlerine bağlıdır. Her aşamadaki başarı bir sonraki aşamayı etkileyecektir.
Aşağıda Cyber Kill Chain yapısının 7 aşamasını daha iyi anlamanızı sağlayacak bir saldırı örneği verilmiştir.
Saldırgan, e-ticaret şirketine saldırmaya karar verir ve dışarıdan açık kaynaklardan, sosyal medya platformlarından ve diğer mevcut kaynaklardan bilgi toplar. Bu aşamada, şirketin çalışanları, altyapısı, güvenlik politikaları ve diğer ilgili bilgileri hedeflenir.
Saldırgan, topladığı bilgileri kullanarak özel olarak hazırlanmış bir zararlı yazılım oluşturur. Bu zararlı yazılımı, kurban şirketin çalışanlarına ulaştırmak için bir phishing e-postası hazırlar. E-posta, önemli bir belge, fatura veya işle ilgili bir konu gibi görünerek kullanıcıların dikkatini çeker.
Saldırgan, hazırlanan phishing e-postasını şirketin çalışanlarına gönderir. E-posta, zararlı bir bağlantı içerebilir veya zararlı bir ek dosya içerebilir. Çalışanlar, e-postayı güvenilir bir kaynak gibi algılayarak bağlantıyı tıklar veya ek dosyayı açar.
E-postayı açan bir çalışan, zararlı bağlantıyı tıklarsa veya zararlı ek dosyayı açarsa, zararlı yazılım sistemde çalışmaya başlar. Zararlı yazılım, bilgisayar sistemine sızarak güvenlik açıklarını kullanır ve sistemdeki zayıf noktalara erişim elde eder.
Saldırgan, sistemde kalıcı bir varlık oluşturur ve uzaktan erişim sağlamak için gerekli araçları yükler. Bu aşamada, saldırgan, izini belli etmeden sistemde hareket etme yeteneğine sahip olur.
Saldırgan, kurban sistemle iletişim kurmak ve saldırıyı yönetmek için bir komuta ve kontrol altyapısı oluşturur. Bu altyapı aracılığıyla saldırgan, sistemi izleyebilir, kontrol edebilir ve diğer aşamalara geçiş yapabilir.
Saldırgan, asıl amacına ulaşmak için hedef sistemde istediği eylemleri gerçekleştirir. Bu eylemler arasında hassas veri çalma, sistemleri bozma, casusluk yapma veya başka zararlı faaliyetler bulunabilir.
Bu örnek, genel bir siber saldırı senaryosunu temsil etmektedir. Şirketler, güvenlik önlemleri ve bilinçli kullanıcı eğitimi ile bu tür saldırılara karşı korunabilir ve zararlı faaliyetleri tespit edip önleyebilirler.