APT Nedir? – Gelişmiş Kalıcı Tehdit
APT Nedir? sorusu dijital dünyanın geldiği nokta ve siber saldırıların artışı işe sık dile getirilen sorulardan bir tanesi haline geldi.
Gelişmiş Kalıcı Tehdit olarak tanımlanan APT kavramı, saldırganın hedef sisteme sızarak ciddi zararlar verebilecek süre boyunca sistem içerisinde kalmasını ifade etmektedir. Gelişmiş tehdit aynı zamanda bir hacker’ı veya hacker grubunu da ifade etmektedir. Genellikle devlet destekli olan gelişmiş tehditler ileri seviye saldırı tekniklerine hakimdirler. Hedefledikleri sistem genelde büyük bir kurum, kuruluş veya politik gruptur. Gelişmiş tehditlerin tek motivasyonu para degildir, APT’ler hedef sistemlere politik düşüncelerden dolayı da saldırı girişiminde bulunabilirler.
Çok iyi şekilde finanse edilen APT grupları, saldırı sırasında tek bir saldırı vektörü yerine birkaç farklı saldırı vektörünü birleştirerek ortaya yepyeni bir saldırı tekniği çıkartarak saldırırlar ve hedef sistemde gizlenelerek saldırılarını ilerletirler. Hedefine sızmaya başaran APT, normal bir saldırganın aksine hedef ağında gezmeye, tüm kaynakları tespit etmeye çalışır. Sisteme en ağır darbeye verebilmek için tüm ağda gezinir ve en doğru anı bekler.
Siber uzayın savaş cephesini oluşturan APT’lerin önemi her geçen gün artmaktadır. Her ülke resmen kabul etmese de bir APT desteklemekte ve finanse etmektedir. Raporun ilerleyen kısımlarında FireEye’ın Advanced Persistent Threat Groups [1] makalesinde bahsedilen APT gruplarına da değinilmektedir.
Gelişmiş Kalıcı Tehdit Gruplarının Saldırı Teknikleri Nelerdir?
Klasik bir saldırgan hedef sisteme girip istediği şeyi aldıktan sonra çıkarken APT’ler çok farklı davranışlarda bulunurlar. Hedef sistemin en derin noktalarına kadar ilerlemeye çalışırlar. Bu bölümde ise APT’lerin saldırırken en sık kullandığı tekniklere yer verilmektedir.
APT’lerin saldırı vektörlerine ve kullandıkları tekniklere ilişkin çıkarımlar Mitre ATT&CK frameworkü (çerçevesi) kullanarak yapılmaktadır. Mitre ATT&CK, bir framework olup bugüne kadar gerçeklekleştirilen saldırıların (en azından büyük bir kısmının) atak vektörülerinin tutulduğu bir matristir. Bu matris hem kırmızı takım uzmanları hem mavi takım uzmanları tarafından kullanılmaktadır. Profesyonel çalışmalarda kırmızı takım uzmanları sızma testleri gerçekleştirirlen Mitre ATT&CK matrisinde yer alan taktik ve teknikleri uygularlar. Aynı şekilde mavi takım uzmanları da SIEM vb. ürünleri sıkılaştırırken burada verilen taktik ve teknikleri kullanırlar.
Özellikle APT gruplarının saldırıları baz alınarak hazırlanılan Mitre ATT&CK matrisi sayesinde en yaygın kullanılan APT atak vektörlerinin tespiti yapılabilmektedir.
APT Gruplarının Saldırı Aşamaları Nelerdir?
- Initial Access: Saldırganın hedef ağa ilk erişim sırasında kullandığı teknikler bu taktik altında yer almaktadır.
- Execution: Saldırganın hedef ağda zararlı kod çalıştırmasını sağlayan teknikleri içerir.
- Persistence: Saldırganın sızdığı ağda kalıcı olabilmesini sağlayan teknikleri barındıran taktiktir.
- Privilege Escalation: Hedef sisteme düşük kullanıcı yetkileriyle sızan saldırganın yetki yüksetlme çalışması sırasında kullandığı tekniklerin bulunduğu taktiktir.
- Defense Evasion: Saldırganın SIEM veya Anti-virüs yazılımları gibi savunma mekanizmalarını atlatması sırasında kullandığı tekniklerin yer aldığı taktiktir.
- Credential Access: Hedef sistemdeki kullanıcıların kullanıcı adı ve parola bilgilerine erişim sırasında kullanılan tekniklerdir.
- Discovery: Saldırganın hedef sistem ağı hakkında bilgi edinmesini sağlayan teknikler bu taktik altında bulunmaktadır.
- Lateral Movement: Yanal hareket olarak bilinen bu taktik, saldırganın bulunduğu ağ içerisindeki diğer sistemlere atlamasını sağlayan teknikleri içermektedir.
- Collection: Saldırganın sızdığı sistemdeki önemli bilgileri tespit edip toplaması sırasında kullandığı teknikleri içeren taktiktir.
- Exfiltration: Saldırganın hedef sistemdeki dosyalara erişimi sırasında kullandığı tekniklerdir.
- Command and Control: Komuta kontrol için kullanılan tekniklerdir. Saldırgan kullandığı kodu uzaktan kontrol ederken bu taktik altında yer alan tekniklerden yararlanır.
APT gruplarına ilişkin bir örnek için APT29 yazımı inceleyebilirsiniz.
Uzun süre Blogger’de acaaba.com adresinde yazılar yazdım. Genel olarak teknoloji, sanat ve psikoloji üzerine bir internet sitesi. Yaklaşık 3 yıldır aralıklı olarak siber güvenlik ile ilgilendim, 2 yıldır da profesyonel olarak bu alanda çeşitli çalışmalar yapmaktayım.