Cyber Kill Chain, siber uzayda kötü niyetli faaliyetleri tespit etme ve durdurma amacıyla siber saldırıları adım adım anlama yaklaşımını temsil eder. İlk olarak 2011 yılında Lockheed Martin tarafından askeri bir modelden baz alınarak üretilmiştir.
Siber saldırganların faaliyetlerini anlamak, organizasyonların siber savunma stratejilerini belirlemelerine büyük katkı sağlar. Cyber Kill Chain, organizasyonlara bir saldırıyı nasıl tespit edebileceklerini, engelleyebileceklerini, durdurabileceklerini, iyileştirebileceklerini ve güvenlik operasyonlarını hangi noktalarda güçlendirmeleri gerektiğini gösterir. Tüm bu gereksinimler bu yapının gelişmesine ve atak yüzeyinin görünür hale gelmesine olanak sağlamıştır.
Teorik olarak; siber saldırının başarılı bir şekilde gerçekleşmesi için bir saldırganın öncesinde, saldırı sırasında ve sonrasında çeşitli aşamalardan geçmesi gerekmektedir. Bu aşamalar sıralıdır ve bir aşamada başarısızlık yaşanması durumunda saldırgan bir sonraki adıma geçemez. Siber Kill Chain modeli, saldırganların bu aşamalarını 7 farklı adıma böler. Siber saldırıların bu adımları aşağıdaki görselde gösterilmektedir:
1)Reconnaissance
Cyber Kill Chain, “Reconnaissance” aşamasıyla başlar. Saldırganlar bu adımda hedef sistem hakkında bilgi edinmeye çalışırlar. Bir saldırganın hedef sistemle ilgili ne kadar fazla bilgi sahibi olursa, saldırı yüzeyi o kadar genişler. Hedefe yönelik saldırı vektörleri bu aşamada oluşturulur. Bu adımda kullanılan teknikler iki alt kategoriye ayrılabilir:
Pasif Keşif: Hedef sistemle fiziksel olarak etkileşime girmeden, hedef sistemle ilgili kaynaklardan bilgi toplama sürecini ifade eder. Örneğin, hedef sistemin web sitesinde yer almayan bilgilere ulaşmak için Web arşiv web siteleri kullanılabilir.
Aktif Keşif: Hedef sisteme doğrudan etkileşimde bulunarak bilgi toplama yöntemini ifade eder. Örneğin, bir web sunucusuna istek göndererek, sunucu hakkında sürüm bilgisi elde etmek mümkün olabilir.
Saldırgan, “Keşif” sürecinde çeşitli kaynaklardan bilgi toplamak için çeşitli yöntemler kullanabilir. Bu aşamada saldırgan aşağıdaki işlemleri gerçekleştirebilir:
- Hedefe ait sunucu ve yazılımların versiyon bilgilerinin alınması
- Hedef hakkında daha önce yayınlanmış açık kaynaklardan bilgi edinilmesi
- Kurum çalışanlarının e-posta adreslerinin alınması
- Sosyal ağ platformlarını kullanarak kurum çalışanları hakkında kurum içi veya kişisel bilgilerin elde edilmesi
- İnternete bağlı cihazların tespiti
- İnternet üzerinden erişime açık sunuculardaki güvenlik açıklarının tespiti
- Kuruluşa ait IP adres bloğunun tanımlanması
Bu raporda bir saldırganın aktiviteleri Cyber Kill Chain döngüsü baz alınarak bir senaryo üzerinden anlatılacaktır. Saldırgan reconnaissance fazında temsili bir X kurumunu hedef alarak kurumda çalışanların e-posta adreslerini ele geçirmeyi hedeflemektedir. Saldırgan TheHarvester aracını kullanarak kurum çalışanlarına ait bazı mailleri ele geçirmeyi başarmıştır.
E-posta toplama, e-posta adreslerini herkese açık, ücretli veya ücretsiz hizmetlerden elde etme işlemidir. Bir saldırgan, bu topladığı e-posta adreslerini oltalama saldırıları gibi hassas verileri çalmak için kullanabileceği bir tür sosyal mühendislik saldırısı için kullanabilir. Saldırgan, keşif amaçları için geniş bir araç yelpazesi kullanabilir aşağıda e-posta adreslerini elde edebileceği bazı osint araçları aşağıda örnek olarak verilmiştir.
- TheHarvester – Bu araç, e-posta adreslerinin yanı sıra isimleri, alt alanları, ip adreslerini ve URL’leri de toplamak için çeşitli genel veri kaynaklarını kullanabilir.
- Hunter.io – Bu, bir domain ile ilişkilendirilmiş iletişim bilgilerini elde etmenizi sağlayan bir e-posta toplama aracıdır.
- OSINT Framework – OSINT Framework, çeşitli kategorilere göre sınıflandırılmış OSINT araçlarını toplamanıza olanak tanır.
2)Weaponization
“Weaponization”, Cyber Kill Chainde ikinci adımdır. Bu aşamada saldırgan bir önceki aşamada elde ettiği bilgileri kullanarak saldırı için gerekli araçlara erişir ya da zararlı executable dosyasını doğrudan geliştirir. Bu aşamada, bir siber saldırı için yapılan hazırlık, saldırının türüne göre farklılık gösterebilir. Örneğin oltalama tipi bir siber saldırı gerçekleştirilecekse, tanınan bir güvenlik açığına yanıt olarak bir açık oluşturulabilir veya kötü niyetli e-posta içeriği oluşturulabilir. Siber saldırı için gerekli araçlar hazırsa saldırgan bu aşamayı hızla tamamlar ve siber saldırının bir sonraki aşamasına geçer. Bu noktada saldırı henüz başlamamıştır ve kurban genellikle saldırganın farkında değildir.
“Saldırgan, “Weaponization” aşamasında birçok farklı saldırı tekniği geliştirebilir veya bir siber saldırı için gerekli bileşenleri hazırlayabilir. Aşağıda, bu aşamada kullanabileceği bazı işlemler sıralanmıştır:
- Zararlı Yazılım Oluşturma: Saldırgan, hedef sistemlere sızmayı veya hassas bilgilere erişmeyi amaçlayan kötü amaçlı yazılımlar geliştirebilir.
- Phising İçin Zararlı Yazılım Oluşturma: Phising girişimlerinde kullanılmak üzere, kullanıcıları yanıltmak için tasarlanmış kötü amaçlı içerikler oluşturabilir. Bu içerikler, e-posta şablonları veya kötü amaçlı belgeler gibi farklı biçimlerde olabilir.
- Açıkların Geliştirilmesi: Saldırgan, zayıf noktaları tespit edip bunları daha etkili bir şekilde kullanmak için açık geliştirebilir.
Saldırgan bu fazda X kurumuna ulaştırmak için gerekli zararlı yazılımını oluşturur. Saldırganın zararlı yazımını oluşturacağı bazı araçlar aşağıda örneklendirilmiştir. Aşağıda örnek olarak verilen araçlardan saldırgan zararlı yazılımı oluşturmak için MacroPack aracını kullanmış ve zararlısını oluşturmuştur.
- MacroPack – MS Office belgeleri veya VBS gibi retro formatları gizlemeyi ve oluşturmayı otomatikleştirmek için kullanılan bir araçtır. MacroPack, antivirüs çözümlerini atlamayı kolaylaştırır ve VB kaynağından son Office belgesine veya diğer yükleme türlerine kadar olan süreci otomatikleştirir.
- Msfvenom – Hedef sisteme erişim sağlamak veya savunma önlemlerini test etmek amacıyla kullanılan kötü amaçlı yazılım payloadlarını (zararlı kodlar) oluşturmak için kullanılır. Kullanıcılar, hedef sisteme erişmek için özelleştirilebilir payload’lar oluşturabilir ve bu payloadları hedef sistemlere teslim etmek için kullanabilirler.
3) Delivery
Cyber Kill Chain’in üçüncü adımı “Delivery” aşamasıdır. Bu aşamada saldırgan, önceki aşamalarda hazırladığı siber saldırıyı gerçekleştirir. Bu aşama, kurbanla ilk etkileşimin gerçekleştiği aşamadır. Örneğin, kötü amaçlı yazılım bu aşamada uygun bir ortama yüklenir ve kurban, kötü amaçlı yazılımı bu ortamdan kendi sistemlerine indirir. Teslim aşamasında kötü amaçlı içerik, mağdurların cihazlarına farklı yöntemlerle iletilir. Kötü amaçlı içeriği iletmek için kullanılan yöntemler, saldırının türüne göre değişebilir. Örneğin, bir oltalama saldırısı için e-posta kullanmak tercih edilebilir ya da e-postadaki zararlı içerik bir web adresine yüklenerek iletilmiş olabilir.
“Delivery” aşamasında, saldırgan, farklı yöntemlerle çeşitli siber saldırı araçlarını hedefe ulaştırabilir. Bu aşamada saldırgan aşağıdaki işlemleri gerçekleştirebilir:
- Kötü amaçlı URL’yi içeren e-posta gönderme
- E-posta ile dosya eki olarak kötü amaçlı yazılım gönderme
- Web sitesi üzerinden kötü amaçlı yazılımın dağıtımı
- Kötü amaçlı URL’nin sosyal medya aracılığıyla iletilmesi
- Sosyal medya üzerinden kötü amaçlı yazılımın dağıtımı
- Kötü amaçlı yazılımın bir USB cihazı aracılığıyla doğrudan hedef sisteme fiziksel olarak yüklenmesi veya yüklenmesinin sağlanması
Saldırgan keşif aşamasında X kurumunda çalışanlara ait elde ettiği e-posta adreslerine oluşturduğu zararlı macrolu dosyayı iletebilmek için phising yöntemini kullanmıştır. Saldırganın X kurumuna yaptığı keşifler sonrasında kuruma ait sunucu ve yazılımların versiyon bilgilerinin keşfedildiğini ve iletilen zararlının bir Windows işletim sistemi kullanıcısına ait olduğunun bilinmesi döngüyü anlamak için önem arz etmektedir.
4)Exploitation
Cyber Kill Chain’in dördüncü aşaması “Exploitation” aşamasıdır. Bu aşamada, saldırgan, önceki aşamada kurbanın cihazına ilettiği zararlı yazılımı aktif hale getirmek için işlem yapar. İstismar aşamasında, zararlı yazılımın çalıştırılması işlemi gerçekleştirilir. İlk sistem erişimi ve kontrolü, saldırgan tarafından bu aşamada kazanılır ve bu işlem sonraki saldırı faaliyetlerinin temelini oluşturur. Eğer istismar işlemi burada başarısız olursa veya gönderilen kötü amaçlı yazılım çalıştırılamazsa, siber saldırıda sonraki aşamalar başarılı olmaz.
“Exploitation” aşamasında saldırgan, hedefte istismar etmeyi amaçladığı program veya sistem hakkında temel bilgilere sahiptir ve uygun saldırı araçlarını önceden hazırlamıştır. Bu aşama, saldırının veya aracın çalıştırıldığı ve test edildiği adımdır. Eğer exploit veya araç, kurbanın sistemi üzerinde kullanılmaya uygun değilse, bu aşama başarısız olabilir. Bu seviyede, saldırgan aşağıdaki işlemleri gerçekleştirebilir:
- Donanım açığından yararlanan istismarı çalıştırma
- Yazılım veya işletim sistemi güvenlik açığından yararlanan exploit’i çalıştırma
- Kötü amaçlı yazılımı çalıştırma
Saldırganın X kurumuna iletmiş olduğu zararlı Microsoft Office’e ait Remote Code Execution zafiyetini kullanacak şekilde tasarlandığından zararlı başarılı bir şekilde zafiyeti sömürür ve bu aşamada saldırgan hedef sisteme erişim kazanma sürecin başlatarak saldırının temelini oluşturur.
Oluşturulan bu senaryonun dışında güncel olarak saldırganlar hedef kurumun ağına sızdıktan sonra AD üzerinde enumeration aktivitelerini gerçekleştirmek için Sharphound ve Bloodhound araçlarını kullanabilir.
Domain üzerinde elde edilen bilgiler neticesinde çeşitli domain ataklarını (Kerberoasting, Pass the hash,Pass the ticket,DcSync) gerçekleştirmek için Rubeus, Mimikatz, John the ripper v.b. araçların kullanımını gerçekleştirebilirler.
5) Installation
Cyber Kill Chain’in beşinci aşaması “Installation” aşamasıdır. Bu aşamada, saldırgan, istismar ettiği hedef sistem üzerinde kalıcılık sağlamaya çalışır. Saldırgan, sisteme bir arka kapı ekleyerek herhangi bir zamanda erişebileceği bir erişim yolunu kurmaya çalışır. İstismar edilen güvenlik açığı, belirli bir süre sonra yamalanarak işlevsiz hale getirileceğinden, saldırganın hedef sistemdeki erişimi sürdürebilmesi için farklı yöntemlere başvurması gerekebilir. Ayrıca, saldırgan, sistemde yüksek yetkilere sahip bir kullanıcı hesabına erişim sağlamak için ayrıcalık yükseltme taktikleri kullanarak sistemin kalıcılığını sağlamaya çalışabilir. Bu aşama, siber saldırının başlangıcından sonra nihai hedeflere ulaşmak için saldırı hazırlıklarının yapıldığı aşamadır.
“Kurulum” adımında, saldırgan, istismar ettiği sistem üzerinde yetkileri dahilinde bir dizi çeşitli işlem gerçekleştirebilir. Saldırgan, bu işlemleri gerçekleştirirken sistemde olabildiğince az iz bırakmayı ve güvenlik ürünlerinin bu işlemlere müdahale etmesini engellemeyi hedefler. Bu şekilde, saldırgan daha uzun bir süre boyunca sisteme fark edilmeden kalabilir ve saldırı için gerekli zamanı kazanabilir. Bu aşamada, saldırgan aşağıdaki eylemleri gerçekleştirebilir:
- Kurban cihazın kalıcılığını sağlamak için bir hizmet, güvenlik duvarı kuralı veya zamanlanmış görev eklemek.
- Kurbanın cihazına kötü amaçlı yazılım yüklemek.
- Kurbanın sistemine bir back door yerleştirmek.
- Eğer bir web sunucusu konumlandırılmışsa web sunucusuna web shell yüklemek.
Saldırgan bu aşamadan sonra X kurumuna erişim sağlama sürecini sürdürür ve hedef sistemi daha fazla kontrol etme yetkisi kazanmaya çalışır. Bunu davranışı yazmış olduğu zararlı sayesinde kendisini schedule task oluşturarak sistemde kalıcılık sağlamayı hedefler.
6) Command and Control (C2)
Komuta ve kontrol aşamasında, saldırganlar, hedef ağındaki cihazları veya kimlikleri uzaktan yönetmek için başarıyla kurulmuş saldırı vektörünü kullanırlar. Tehdit aktörleri, tespit edilmemek ve ek giriş noktaları oluşturmak amacıyla komuta ve kontrol aşaması sırasında yanal hareket yeteneğini de kullanabilirler.
Bu aşamadan sonra saldırgan X kurumunda kurban ile iletişim kurmak için C2 sunucusunu yapılandırır ve bir ip adresi ile haberleşerek saldırgan tarafından X kurumu kontrol edillir.
Ana senaryomuza ek olarak saldırganların komuta kontrol sunucusu olarak kullandığı diğer bir uygulama ise Cobalt Strike olarak bilinen popüler bir uygulamadır. Genellikle saldırganlar zararlı dosyayı sisteme enjekte ettikten sonra C2 sunucusu, exploit ve payload oluşturma ve post exploitation v.b birçok aktiviteleri barındıran kapsamlı bir saldırgan aracı olarak bilinmektedir.
7) Actions on Objectives
“Actions on Objectives” Cyber Kill Chain’in yedinci ve son aşamasıdır. Bu aşamada saldırgan, siber saldırının ilk aşamalarında planladığı eylemleri gerçekleştirir. Ancak saldırganın bu noktaya ulaşmadan önce başarıyla tamamlanması gereken adımlar ele alınmıştır. Bu sayede saldırgan, sistem üzerinde istediği işlemleri gerçekleştirme yeteneğine sahip olur. Aşağıda, saldırganın bu aşamada gerçekleştirebileceği bazı adımlar bulunmaktadır:
- Fidye yazılımı kullanarak sistemdeki dosyaları şifrelemek
- Sistem içindeki kritik bilgileri dışarı sızdırmak
- Sistemdeki önemli bilgileri silerek sisteme zarar vermek
- Lateral Movement ile daha fazla yetki elde etmek ve ağdaki diğer makineleri enfekte ederek saldırının kapsamını genişletmek
- Başka cihazlara erişim sağlamak için kullanıcı kimlik bilgilerini toplamak
- Sistem içinde bilgi toplama işlemleri
- Sistemdeki bilgileri değiştirmek veya manipüle etmek
Saldırgan tarafından gerçekleştirilen aktiviteler Cyber Kill Chain döngüsü baz alınarak aşağıdaki tabloda özetlenmiştir.
| Adımlar | Saldırgan Aktivitesi |
| Reconnaissance | Çeşitli osint kaynakları kullanılarak kuruma ait çalışanların e-postalarının öğrenilmesi. |
| Weaponization | Kuruma ait zararlı yazılımın(doc) oluşturulması. |
| Delivery | Phising yoluyla zararlı(doc) hedefe iletilmesi |
| Exploitation | Microsoft Office’e ait zafiyetin sömürülmesi |
| Installation | Zararlı yazılımın kendisini task oluşturarak kalıcılık sağlaması |
| Command & Control, C2 | Kurbana ait sunucuyla haberleşmesi |
| Actions On Objectives | Kuruma ait hassas içerikli verilerin C2 merkezine gönderilmesi ya da daha kötü olası senaryolar. |
Cyber Kill Chain Controls Matrix
Aşağıda sunulan Siber Ölüm Zinciri Kontrolleri Matrisi, kuruluşunuzun farklı saldırı aşamalarında uyguladığı kontrolleri ve bu kontrollerin bir siber saldırının seyrini engellemeye, durdurmaya veya etkisiz hale getirmeye nasıl yardımcı olabileceğini belirlemek amacıyla oluşturulmuştur.
| Phase | Detect | Deny | Disrupt | Degrade | Deceive | Contain |
| Reconnaissance | Web Analytics T.Intelligence NIDS | Information sharing policy Firewall ACLs | ||||
| Weaponization | Web Analytics T.Intelligence NIDS | NIPS | ||||
| Delivery | Endpoint Malware Protection | Change Management Proxy Filter HIPS | Inline AV | Queuing | Router ACLs Trust Zones | |
| Exploitation | Endpoint Malware Protection HIDS | Secure Password Patch Management | DEP | App-aware Firewall Trust Zones Inter Zone NIPS | ||
| Installation | SIEM HIDS | Privilage Separation Strong Password MFA | Router ACLs | Trust Zones DNS Sinkholes | ||
| Command & Control, C2 | NIDS HIDS | Firewall ACLs Network Segmentation | HIPS | Tarpit | DNS Redirect | Incident Response |
| Actions On Objectives | Endpoint Malware Protection | Data-at-Rest Encryption | Endpoint Malware Protection | Qualty of Services | Honeypot | Firewall ACLs |
Referanslar:
https://www.sans.org/blog/cyber-kill-chain-mitre-attack-purple-team/
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
https://sbscyber.com/resources/how-the-cyber-kill-chain-can-help-you-protect-against-attacks
https://warnerchad.medium.com/courses-of-action-matrix-in-cyber-threat-intelligence-82bf49243e46
https://app.letsdefend.io/training/lesson s/cyber-kill-chain
