Bu yazıda bir saldırganın bir sistemi ele geçirirken nasıl yol izlediği ve bu yolda hangi aşamaları gerçekleştirdiğini anlatacağım.Kötü niyetli kişiler veya kişilerce cihazlarınız ele geçirilebilir bununla birlikte saldırgan veya saldırganlar kişisel verilerinize ulaşıp maddi ve manevi zararlar verebilirler bir saldırganı anlamanın en iyi yolu tabi ki saldırganın nasıl davrandığını bilmek ve hangi aşamaları izleyeceğini bilmektir. Cyber Kill Chain Lock Martin tarafından geliştirmiş bir modeldir bu model özelindeki aşamaların nasıl ilerlediğini açıklayacağım.
1-Keşif Aşaması
Bu aşamadaki amaç bilgi toplama ve plan oluşturma aşamasıdır.Saldırgan amacına göre kullanabileceği ve işine yarayacak sistemler hakkında bilgi toplar bu aşamada sosyal mühendislik ile bilgi toplama ağırlıklı olarak kullanılır.Örnek olarak sosyal medya hesapları ,e-posta hesapları,kurum veya kuruluş şirket bilgileri, sunucular ve sunucular hakkında bilgiler.
Bu aşamada kendinizi ve sisteminizi korumak için verilerinizden yararlanabilirsiniz.Örnek olarak bir web sisteminiz var ise bu sistemdeki kullanıcı hareketlerini incelemeniz ve web tarama işlemlerini kontrol etmelisiniz.Ayrıca kişisel tarafta bilinçli bir kullanıcı olmak için genel bir siber güvenlik bilgisi edinmeli ve önlemlerinizi almalısınız.
2-Silahlanma
İsminden anlaşılacağı gibi saldırganın hedefini bulduktan sonra silah oluşturması aşamasıdır.Bu aşamada saldırgan hedefine yönelik saldırı için malware,trojan,backdoor oluşturur ve bunları kullanıcının fark etmeyeceği şekilde kamufle edip Ofis dosyaları ,mail ,sahte sitelere gömerek bir şekilde araçlarını oluşturur tabi ki bunlardan faklı olarak tamamen saldırganın yeteneğine göre değişebilen silahlarla karşılaşılabilir.
Peki bu silahlanma aşamasından etkilenmemek için ne yapmalıyız? .Zararlı yazılımlardan korunmak için zararlı yazılım analizi yapmalıyız ve her aşamadaki gibi tabi ki kişisel olarak bilinçli olmalıyız ve farkındalığımızı yükseltmeliyiz.
3-Dağıtım
Bu aşamada oluşturulan silahın nasıl dağıtılacağına karar verilir.Örnek olarak oltalama tekniğimi kullanılacak veya fiziksel olarak bir aygıt aracılığı ile mi dağıtımı yapılacağı kararı verilir. Mr Robot dizisini izleyenler bilir bir bölümde sokaktaki bir kişi müzik CD’si dağıtıyor bu CD içinde bir backdoor var ve CD yi alan şahıs bilgisayarına CD yi takıyor CD’nin bozuk olduğunu görüyor fakat saldırgan çoktan sisteme erişim sağlıyor ve kullanıcıyı izlemeye başlıyor.Bu gibi örnekleri çoğaltabiliriz tabi ki her bölümdeki gibi burada da insan faktörü ön planda,korunmak için farkındalığımızı arttırmalıyız.
4-İstismar
Burada sistemin zafiyetlerinden yararlanılarak istismar gerçekleştirilir.Yukarıdaki örnekteki gibi hacklenen sistem istismar edilmeye başlanır.Örnek olarak saldırganın bir keylogger kullandığını düşünelim .Sisteminizde zafiyet varsa ve yukarıdaki aşamalar sonucu zararlı bir yazlımla karşı karşıya kalmanız olağan bir durum.Temel amaç zararlı yazılımın sistem üzerinde çalışmasını sağlamaktır.
5-Kurulum
Saldırganın sistemde kalması ve sistemde istediği eylemleri yapması için zararlı yazılımları yükleme aşamasıdır.Örnek olarak sisteme uzaktan erişim sağlayabileceği bir yazılım yüklemesi ve sistemi izlemesidir.Önlemek için sistemdeki firewall veya antivirüs yazılımlarının takip edilmesi ve olağan dışı hareketleri,yüklenen farklı yazılımların takip edilmesi gereklidir.
6-Komuta ve Kontrol
Sistemin uzaktan kontrol edildiği aşamadır.Bu aşamada saldırgan uzaktan komutlarla sistem içerisinde gezinebilir ve izlerini silebilir.Bu aşamadan korunmak içinde sistem izlenmeli ve sistem log kayıtları düzenli periyotlarda kontrol edilmelidir.
7-Hedefe Yönelik Hareketler
Son aşama olan hedefe yönelik hareketler de temel amaç ele geçirilen sistemin saldırgan tarafından istediği gibi davranması ve kalıcı olup güvenlik sistemlerinde yetki değişikleri ,Ağ içinde dolaşım ,Veriler üzerinden işlemler örnek olarak kritik verilerin şifrelenmesi gibi veya verileri bozma ,Sistemdeki servislerin kontrolünü sağlama gibi işlemlerin yapılmasıdır.
Bu aşamada sistem yönetici veya kişisel kullanıcı olayı fark edip vakaya mutlaka müdahale etmelidir.
Saldırganın izlerini bulmak için verileri toplayıp inceleme başlatılmalıdır.
Önceden planlanmış acil durum adımları uygulanmalı ve en az hasar ile sistem temizlenmelidir.
