Bloga geri dön
APT (Gelişmiş kalıcı tehdit) gelişmiş saldırı çeşitleri ile sistemlere erişip, uzun süre sistemde erişim sağladığı saldırı tipidir. Saldırganlar sistemde fark edilmeden uzun süre sistem de normal bir kullanıcı gibi görünüp sistem hakkında detaylı bilgi sahibi olurlar. Bu saldırı ile genel olarak sistemi devre dışı bırakma, veri ihlali, hizmet kesintisi gibi olumsuz durumlar gerçekleşir.
APT detay gerektiren ve karmaşık bir siber saldırı türüdür. Genel olarak kıdemli siber güvenlik grupları tarafından gerçekleştirilir. Bu saldırı türünün asıl amacı sistemin içerisine girmek değil, sistem içerisinde girdikten sonra uzun süre fark edilmeden içeride bilgi toplamaktır. Saldırganların asıl hedefleri büyük ölçekli firmalar ve Devlet kurumlarıdır.
Genel olarak saldırganların stratejik casusluk, sabotaj veya finansal kazanç kazanmak için saldırı yaparlar. Devlet destekli APT grupları da bulunmaktadır.
Saldırganlar ilk olarak sistem hakkında bilgi toplamaya çalışırlar. Hedef kullanıcılar için LinkedIn, şirket web siteleri ve sosyal medya gibi platformlardan kullanıcılar hakkında bilgi toplanır. Mesela bir web sitesine saldırı yapılacaksa Whois sorgusu, IP adresi ve lokasyon, Alt domainler gibi bilgiler toplanabilir. Sistem network ü hakkında bilgi sahibi olmak için port taraması, güvenlik duvarı yapılandırılmalarının taraması gibi işlemler yapılır.
Saldırganlar keşif aşamasında elde ettikleri bilgiler ile sisteme sızarlar. Bu sızma hedef kullanıcı hakkında toplanan bilgiler ile hazırlanmış phising e-posta ile olabilir. Mesela hedef kullanıcının tuttuğu takım Fenerbahçe’dir. Fenerbahçe özelinde bir phising hazırlanıp kullanıcıya gönderilmiştir ve kullanıcı merak edip e- postayı açtığında sisteme erişim sağlanabilir. Saldırgan sistem ağında bulduğu bir yazılım açığı üzerinden sisteme sızmış olabilir.
Sızma işlemi gerçekleştikten sonra saldırganlar sisteme tekrar erişeme aşamasıdır. Bunu yapmak için birden fazla seçenek vardır. Arka kapı (backdoor), istem ile kendileri arasından bir backdoor oluştururlar ve sistem yeniden başlasa bile sistem ile bağlantı kurabilirler. Sızdıktan sonra yeni bir kullanıcı oluşturarak, bağlantısı kesilse bile yeni oluşturdukları kullanıcılar ile sisteme tekrar erişim sağlayabilirler.
Saldırganlar erişim sağladıktan sonra sistem hakkında daha fazla bilgi toplayıp sistemde daha yüksek ayrıcalıklara sahip olmaya çalışırlar. Sistem girdikten sonra tarama yaparak şu an hangi yetkiye sahip olduğunu ve sistemin yapısı hakkında bilgi sahibi olurlar. Ayrıcalıklı kullanıcı hesapları hakkında bilgi toplanır.
Saldırganlar sistemde yeterince bilgiye ve yetkinliğe sahip olduktan sonra verileri elde ederler. Bu veriler finansal bilgiler veya gizli belgeler gibi bilgiler olabilir. Sistemde fark edilmeden veri çekmek için DDOS saldırısı gibi saldırılar yaparak kullanıcıların dikkatini dağıtabilirler. Verileri sızdırmak için birçok seçenek vardır. Normal data trafiğinin içerisini saklayıp, HTTP/HTTPS trafiği içine veri gömülerek çıkarılabilir. Dosyalar zip formatında sıkıştırılıp şifreli bir şekilde çıkarabilirler. Kurdukları gizli sunucular ile verileri gönderebilirler.
APT grupları genellikle devlet destekli olurlar. En çok bilinen APT grupları ve hangi ülkeye ait oldukları aşağıdaki gibidir.
APT saldırı gelişmiş bir saldırı çeşididir. Bu tip saldırıları tamamen önlemek mümkün değildir. Antivirüs ve güvenlik duvarı yöntemler genel olarak APT saldırılarında her zaman koruma sağlayamaz.
Sistemde bulunan uygulamalar ve ağ cihazlarının güncel olması gerekmektedir. Böylelikle saldırganlar bilinen açıklarla saldırı gerçekleştiremezler. Sistem koruması olur.
SIEM ile log analizi yapılabilir. Sunucular, ağ cihazları, güvenlik duvarları, uygulamalar ve endpoint cihazları sürekli olarak log üretir. SIEM ile olağan dışı işlemler tespit edilebilir. Birden fazla başarısız giriş denemesi, admin grubuna bir kullanıcı eklenmesi gibi işlemler tespit edilebilir.
Sosyal mühendislik saldırıları için kurumda çalışanlar bilgilendirilebilir. Phishing mailleri hakkında detaylı bir eğitim verilebilir.
