Cyber Kill Chain Nedir ?

Bir saldırganın amaçlarına ulaşmak için yaptığı tüm çalışmaların ve denemelerin kategorize edilirek sıralanması ile oluşturulmuş bir salıdırı özeti zinciridir demek pek yanlış olmaz.

Saldırgan tarafından anlaşılması ve uygulanması önemli değilken savunan tarafta bir saldırının hangi aşamada olduğu öncesinde yaptıklarının tespiti ve yapılabileceklerin ön görülmesi ve önlem alınması için çok önemlidir.

Bir olay raporu hazırlarken bu adımlarda hangi yöntemlerin kullanıldığı hedeflerin tespit edilmesi varsa zararın tespiti ve bir daha benzer bir olayın yaşanmaması için alınması gereken önlemlerden bahsederken sıkça referans gösterilmektedir.

Bir saldırının farklı aşamaları için farlı önlemler, güvenlik cihazları ve güvenlik prosedürleri mevcuttur. Bir saldırının başlangıcını engellemek ile başlamış bir saldırıyı engellemek hatta saldırgan açısından başarı ile sonuçlanmış bir saldırının sonuçlarını belirlemek için farklı yöntemler mevcuttur.

1.RECON:  Saldırganın hedefi hakkında bilgi toplama aşamasıdır. Bilgi toplama yöntemleri aktif ve pasif olarak ikiye ayrılmaktadır. Amaç hedef hakkında işe yarayabilecek tüm bilgilere erişmektir.

2.WEAPONIZATION: Saldırganın hedefini belirledikten sonra keşfedebildiği zafiyetler için kullanabileceği yöntemleri belirlemesi ve uygun araçları hazırlama aşamasıdır.

3.DELIVERY: Saldırganın belirlediği hedef için seçmiş olduğu zafiyeti kullanabileceği aracı hedefe iletme aşamasıdır. Bu araç bir zararlı olabileceği gibi fiziksel bir araç da olabilir.

4.EXPLOIT: Hedefe ulaşmış olan zararlının hedeflenen zafiyeti ve rastgele bir zafiyeti kullanarak saldırganın hedefine isteği dışında işlemleri gerçekleştirme aşamasıdır.

5.INSTALLATION: Hedef sistem üzerindeki zafiyetin başarılı bir şekilde sömürülmesinin ardından gelen hedefe asıl zararlının indirilme aşamasıdır.

6.C2 (Command And Control): Hedef sistem üzeride yerleşmiş olan zararlının çalışması ile beraber saldırgan tarafına haber vermesi veya iletişme geçme aşamasıdır.

7.ACTION: Hedef sistemde başarılı bir şekilde çalışmış olan zararlının saldırganın isteği doğrultusunda eylemlerini gerçekleştirme aşamasıdır. Bu aşama saldırgana uzaktan bir erişim sağlayabileceği gibi sistem üzerindeki tüm dosyaları da şifreleyebilir.

Bir siber saldırıda tüm adımlar gerçekleşebileceği gibi bazı adımlar gerçekleşmeye bilir. Örnek olarak  hedef sisteme gönderilmiş bir ransomware installation ve C2 adımlarını gerçekleştirmeksizin Action adımına geçer. Ayrıca adımlar birbirleri ile yer değiştirebilir ve tekrar edebilirler. Bir networkte bir cihaza erişim sağlayabilmiş birisi diğer cihazlara da erişim sağlamak için defalarca aynı adımları tekrarlayabilir.

Tüm adımları içeren bir oltamla (phishing) saldırı için adımlarda yapılan işlemler için birer cümle ile zinciri anlatmak gerekirse;

1.RECON:  Hedef şirketin faaliyet alını ve çalışanların muhtemel ilgi alınları ve saldırıda kullanılacak mail adreslerinin toplanması.

2.WEAPONIZATION: Saldırıda kullanılacak mailin ve iletilecek olan zararlının hazırlanması.

3.DELIVERY: Hedef mail adreslerine zararlı içeren maillerin gönderilmesi.

4.EXPLOIT: Hedef kişinin gelen mail içerisinde yer alan zararlıyı çalıştırması ve zararlının sistemde veya uygulamalarda olan açıklardan yararlanması.

5.INSTALLATION: Çalışan zararlının sistem üzerine başka bir zararlı indirmesi.

6.C2: Zararlının C2 serverı ile iletişimini kontrol etmesi , ilk iletişimi gerçekleştirmesi.

7.ACTION :  Zararlının saldırgan için hedef sistemde uzaktan kontrol sağlaması.

Yukarıdaki örnekten de anlaşılabileceği gibi tüm adımlarda farklı durumlar söz konusudur ve her adım özelinde alınacak farklı önlemler mevcuttur.

Bir saldırının boyutunu ve sonuçlarını yöntemini kullandığı zafiyeti anlamak ve önlem alabilmek için tüm adımlar analiz edilmelidir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir