12 Nisan 2017 Çarşamba

Siber Saldırılar ve Ajdar

Siber saldırıların %90'ında, ilk erişim sosyal mühendislik saldırıları aracılığıyla sağlanıyor. Bir kuruma veya şirkete sızmayı amaçlayan saldırganlar pek çok farklı yöntemler kullansalar da bahsedeceğim gibi bir senaryo sıklıkla gerçekleşiyor. 

Tabii ki bir şeyi yapmanın bin yolu var. Bu olabilecek senaryolardan sadece biri ama gerçek hayatta gerçekleştirilmesi kesinlikle mümkün. Saldırgan bir X şirketini hedef alıyor olsun.

Saldırgan tarafından,

Şirket çalışanları tespit edilir. 
  1. Çalışanlar arasında "teknoloji ile arası iyi olmayan" kişiler tespit edilir. 
  2. Çalışanlar arasında yüksek yetkiye sahip olanları tespit edilir. 
  3. IT biriminde çalışan ve Bilgi Güvenliği'nden sorumlu çalışanlar tespit edilir 
  4. Çalışanların isimleri, e-mail adresleri ve mümkünse kullanıcı adları tespit edilir. 
  5. Bir phishing maili ile 2. aşamada tespit edilen çalışanlardan birinin kişisel dizüstü bilgisayarı ele geçirilir. 
  6. Ele geçirilen bilgisayarın üzerinde bir tersine bağlantı arka-kapısı açılır. 
  7. Bilgisayarın şirket iç ağına bağlanması beklenir. 
  8. Bilgisayar iç ağa bağlandığında, saldırgan iç ağa sızmış olur ve yaptığı taramalar ile iç ağın topolojisini öğrenir. 
  9. Önceden elde edilen bilgileri kullanarak, bir kullanıcı adı ve parola listesi oluşturulur 
  10. Parola listesi ağdaki bilgisayarlara uzaktan erişim sağlamak için, SSH, RDP, VNC, Telnet, SMB gibi protokolleri kullanarak iç ağdaki diğer bilgisayarlar üzerinde denenir. 
  11. Geçerli kullanıcı adı ve parolalar tespit edilir ve istismar kodu bile çalışmtırmadan iç ağda başka bilgisayarlar ele geçirilir. 
  12. Bilgisayar üzerinde yetki yükseltme saldırıları gerçekleştirilir. 
  13. Bilgisayarlar üzerindeki yetkili kullanıcı hashleri ele geçirilir. 
  14. Pass-The-Hash saldırısı ile ağda yetkili bilgisayarlar ele geçirilir. 
  15. Domain'de yeni bir kullanıcı açılır ve yönetici yetkisi verilir. Bu noktadan sonra, saldırgan bütün iç ağı kontrol etmektedir. 
Örneğimizde, saldırı bir kuruma, şirkete ya da organizasyona yayılmadan önce zayıf halka hedef alındı. Bu da şirketin bir personeliydi.

Saıldırı öncesi, saldırganlar, hedef aldıkları personel hakkında olabildiğince çok bilgi elde etmeyi amaçlarlar. Bunun için kullanılabilecek araçlardan biri:

Pipl.com

İşleri biraz daha ilgi çekici kılmak için hepimizin bildiği bir sima üzerinden örnek verme ihtiyacı hissettim.


Pipl kullanarak, bir kişinin veya kişinin kullanıcı adının hangi sosyal medya hesaplarını kullandığını görüntüleyebiliriz. Gördüğümüz üzere, Ajdar'ın bir lakabı (alias) var: theworldstaras



Kişi hakkında daha fazla bilgi elde edbilmek için bu lakabı ayrı olarak aratmak ve çeşitli arama motorları ve sosyal medya platformlarında bu lakap altında girilen kayıtlara bakılabilir.


Gördüğümüz üzere Ajdar'ın birçok sosyal medya hesabı var. Bir dünya hiperstarı olduğu için bir soundcloud hesabı olması kaçınılmaz:


Tabii ki, bu hesapları başkaları Ajdar adı altında açmış olabilir. Bu hesapların gerçekten ona ait olduğundan emin olmak zor. Ne de olsa ajdarbirdünyastarı1. 

2. lakap da ortaya çıktı. 

Her şey bir yana, eğer örneğimiz yerine büyük bir şirketin önemli bir personeli olsaydı, bu tür bir çalışma sonucunda hakkında elde edilecek bilgiler parola tahmin ve phishing saldırılarında kullanılabilirdi.

Bu Tür Saldırılardan Nasıl Korunmalı?

İnternet birçok konuda dostunuz olsa da, hakkınızda yapılan paylaşımlara gelince, büyük bir düşmanınız bile olabilir. Sizi kimin taglediğini kontrol edemezsiniz. Eğer gizli/önemli projeler üzerinde çalışan bir şirkette çalışıyorsanız, kendinizin/iş arkadaşlarınızın/personelinizin sosyal medya paylaşımlarına dair belirli kuralları olmalı.

Şirket ve proje gizliliğini tehlikeye atacak paylaşımlara izin verilmemeli. Sizin ya da iş arkadaşlarınız tarafından yapılan paylaşımlar kullanıcı rızası ile halka açıldığından ötürü, bu paylaşımları görüntülemek suç unsuru değildir.

Gerçek ortamda, bu tür bilgilerin internete açık ve yasal olarak erişilebilir olması, saldırganlar için teşvik edici faktördür. Çoğu saldırgan, kendisine hedef seçerken herhangi bir saldırı gerçekleştirmeden hakkında daha çok bilgi elde edebildiği sistemleri hedef alır.

Buna ek olarak, kişisel bilgisayarların iş yerlerinde kullanılan sistemlerde aynı bağlanmaması birçok saldırıyı önleyecektir. Ağ genelinde,IP ve MAC adresi bazında yapılan whitelisting önemli bir güvenlik önlemidir. Böylece ağa yeni dahil olan, güvenilmeyen makineler başka bir ağa atanabilir.
on 12 Nisan by Berk Cem Göksel |   Edit