Siber güvenlik dünyasında saldırılar çoğu zaman tek bir hamleyle gerçekleşmez. Bir saldırgan, hedef sisteme ulaşmadan önce belirli aşamalardan geçer. İşte bu saldırı sürecini anlamak için kullanılan en önemli yaklaşımlardan biri “Kill Chain” metodolojisidir. Kill Chain, bir siber saldırının başlangıcından sonuna kadar geçen tüm aşamaları analiz etmeyi amaçlayan bir güvenlik modelidir. İlk olarak Lockheed Martin tarafından geliştirilen bu model, saldırganların nasıl hareket ettiğini anlamaya ve savunma mekanizmalarını buna göre geliştirmeye yardımcı olur.
Bugün birçok Siber Güvenlik Operasyon Merkezi ekibi, sızma testi uzmanı ve tehdit avcılığı yapan güvenlik analistleri Kill Chain yaklaşımını kullanmaktadır. Çünkü bir saldırının hangi aşamada olduğunu bilmek, saldırıyı erken durdurabilmek açısından büyük önem taşır.
Kill Chain Neden Önemlidir?
Kill Chain metodolojisinin temel amacı saldırganın ilerleyişini aşama aşama analiz etmektir. Böylece güvenlik ekipleri yalnızca saldırıyı tespit etmekle kalmaz, saldırının hangi noktada engellenebileceğini de anlayabilir.
Örneğin bir saldırgan sisteme erişim sağlamış olabilir ancak henüz yetki yükseltme aşamasına geçmemiş olabilir. Bu durumda saldırıyı tamamen durdurmak için hâlâ zaman vardır.
Modern siber güvenlik operasyon merkezleri (SOC) bu yüzden saldırıların yaşam döngüsünü analiz ederek çalışır.
Kill Chain Aşamaları
Bilgi Toplama (Reconnaissance)
Saldırının ilk aşaması bilgi toplamadır. Bu aşamada saldırgan, hedef hakkında mümkün olduğunca fazla veri elde etmeye çalışır. Toplanan bilgiler şunlar olabilir:
- Açık IP adresleri
- Kullanılan teknolojiler
- Çalışan e-posta adresleri
- Domain bilgileri
- Açık portlar
- Sosyal medya verileri
- Şirket çalışanlarının paylaşımları
Saldırganlar bu süreçte genellikle OSINT (Open Source Intelligence) tekniklerinden yararlanır. Bu aşamada kullanılan başlıca Kali Linux araçları şunlardır.
- Nmap
- Shodan
- Maltego
- theHarvester
- Recon-ng
Bu aşama çoğu zaman görünmez şekilde gerçekleşir. Çünkü saldırgan doğrudan sisteme saldırmak yerine önce hedefi tanımaya çalışır.
Zafiyet Analizi
Bilgi toplama tamamlandıktan sonra saldırgan sistemdeki güvenlik açıklarını analiz etmeye başlar. Amaç, sistemde bulunan zayıf noktaları keşfetmektir. Bunlar şunlar olabilir:
- Güncel olmayan yazılımlar
- Yanlış yapılandırılmış servisler
- Açık portlar
- Varsayılan şifreler
- Güvensiz web uygulamaları
- SQL Injection açıkları
- XSS açıkları
- Zayıf kullanıcı yetkileri
Bu aşamada saldırgan otomatik zafiyet tarama araçları kullanabilir.
- OpenVAS
- Nessus
- Nikto
- Burp
- Suite
- Acunetix
Zafiyet analizi aşaması, saldırının en kritik noktalarından biridir. Çünkü başarılı bir saldırının temeli burada atılır.
Sömürme (Exploitation)
Saldırgan uygun güvenlik açığını bulduktan sonra bu açığı kullanarak sisteme erişim sağlamaya çalışır. Bu aşama exploitation yani sömürme aşamasıdır.
- Bir SQL Injection açığı üzerinden veritabanına erişmek
- RCE (Remote Code Execution) açığı ile sunucuda komut çalıştırmak
- Zayıf şifreleri brute force yöntemiyle kırmak
- Exploit kullanarak sisteme shell düşürmek
Kullanılan araçlar: Metasploit, SQLMap, Hydra, CrackMapExec
Privilege Escalation (Yetki Yükseltme)
Sisteme giriş yapmak saldırgan için yeterli değildir. Çünkü çoğu zaman ilk erişim düşük yetkili bir kullanıcı hesabı üzerinden gerçekleşir. Bu nedenle saldırgan daha yüksek yetkilere ulaşmaya çalışır. Privilege Escalation aşamasında hedef:
- Administrator yetkisi almak
- Root erişimi elde etmek
- Domain Admin olmak
- Güvenlik mekanizmalarını devre dışı bırakmak
Bu aşamada Kernel açıkları ,Yanlış yetkilendirmeler, Weak permissions, Credential dumping, Token manipulation gibi yöntemler kullanılır. Windows ortamlarında Mimikatz gibi araçlar oldukça yaygın kullanılır.
Yatay Hareket (Lateral Movement)
Bir saldırgan tek bir sistemle yetinmez. Özellikle kurumsal ağlarda hedef genellikle tüm altyapıya yayılmaktır. Lateral Movement yani yatay hareket aşamasında saldırgan ağ içerisindeki diğer sistemlere geçmeye çalışır. Amaç: Yeni sistemlere erişmek, Domain controller ele geçirmek, Kritik sunuculara ulaşmak ve Ağ içerisinde kalıcı olmaktır.
Bu aşamada kullanılan yöntemler: Pass-the-Hash, Remote Desktop Protocol (RDP), SMB saldırıları PsExec, Credential reuse. Yatay hareket saldırıları özellikle Active Directory ortamlarında büyük risk oluşturur.
İz Temizleme
Profesyonel saldırganlar sistemden çıkmadan önce geride bıraktıkları izleri silmeye çalışır. Bu aşamanın amacı saldırının fark edilmesini geciktirmektir. Silinmeye çalışılan veriler: Log kayıtları, Komut geçmişi, Zararlı dosyalar, Event log kayıtları, Geçici dosyalar. Bazı saldırganlar ayrıca log manipülasyonu yaparak sahte kayıtlar oluşturabilir.
Son: Raporlama
Kill Chain metodolojisi yalnızca saldırganları anlamak için kullanılmaz. Aynı zamanda sızma testi uzmanları tarafından profesyonel raporlama süreçlerinde de kullanılır. Bir penetration test sonrasında hazırlanan raporda genellikle: Bulunan zafiyetler, Kullanılan yöntemler, Etkilenen sistemler, Risk seviyeleri, Exploitation detayları, Yetki yükseltme senaryoları, Önerilen güvenlik önlemleri yer alır.
