APT Nedir ve Nasıl Önlenir?

Teknoloji geliştikçe siber tehditlerin sayısı da bir o kadar artmaktadır. Siber tehditler arasında bulunan APT, bir diğer adı ile gelişmiş kalıcı tehdit, siber korsanları saldırı esnasında uzun süre sistemde fark edilmeden tutan, tespiti zor bir siber tehdit türleridir.

Şirketlerin sık sık kesintiler yaşaması ve bu kesintilerin sebeplerini bilememelerin nedeni de APT saldırılarıdır. APT saldırıları aynı zamanda şirketlerin veri kaybı yaşamalarına, altyapı sabotajına ve hizmet kesintileri ile site devralmaları gibi sonuçlara yol açabilir. APT’ler çevrimiçi tehditlerin aksine belirli tek bir hedefe odaklanırlar. ATP’ler şirketlerin aksine çoğu zaman ülkelerin, savunma ve telekomünikasyon kurumlarını ya da elçilikleri de hedef olarak görebilir.

APT’ler vur-kaç taktiğinden ziyade sistemde herhangi bir hareketlilik belirtisi göstermeden, sistemden dilediği verileri çalmaya çalışır ve olabildiğince de içeride kalmayı dener. APT saldırıları günümüzde birçok şirketin verilerini çalmasından dolayı ciddi finansal sorunlara yol açmaktadır. APT saldırıları konusunda en endişe verici nokta ise güvenlik önlemleri tarafından fark edilmeyişleri ve kalıcı bir biçimde sistemde bulunmalarıdır.

APT saldırılarını kullanan saldırganlar, büyük şirketlere zarar verebilme amacı ile genellikle daha az önlem alınan ve büyük şirketlerin sahibi olduğu küçük tedarik zincirlerini hedef almaktadırlar. Bu sebepten dolayı APT saldırılarının nasıl etkisizleştirileceği ve tespit edilebileceğini bilmek oldukça önem taşır.

APT Nasıl Çalışır?

APT’lerin takip etmiş oldukları aşamalar vardır. Öncelikle herhangi bir ağın hacklenmesi ile birlikte başlayan süreçte APT herhangi bir biçimde tespit edilememektedir. Bu aşama sonrasında ise saldırganlar şirket verilerini haritalandırır ve sonrasında da hassas verileri şirketin erişilebilir ve zayıf noktalarını bulmak için veri toplama işlemine başlar.

APT saldırılarında, hackleme işlemini yapanlar birden fazla yöntem ile ağa girmeyi deneyebilirler. Örnek vermek gerekirse ilk erişimi sağlamak amacı ile kimlik avı adı verilen saldırılar ile çalışanların ya da iş ortakların kimlik bilgilerini kullanabilmektedirler. Böylelikle hackerler sistemde fark edilmeden uzun süre kalabilirler.

APT saldırıları oldukça geniş bir terim olduğundan dolayı APT’lerin birden fazla aşaması bulunmaktadır fakat genelde üç temel aşama göz önünde bulundurulur:

1. Aşama: Sızma

Sızma aşaması olan ilk aşamada, az önce de bahsettiğimiz üzere kimlik avı ve benzeri yöntemlerle sisteme girmeyi denerler. Sızma aşamasında ön plana çıkan taktik ise eş vakitli DDoS saldırıları başlatmaktır. DDoS kullanarak hackerler personellerin dikkatini dağıtırlar ve ağ ihlalini kolaylaştırırlar.

DDoS saldırıları nasıl engellenir? Öğrenmek için buradaki blog yazımızı inceleyebilirsiniz.

APT korsanlarının sızma aşamasında denedikleri diğer saldırı yöntemleri şu şekildedir:

  • Kimlik avı
  • SQL enjeksiyonları
  • Sıfırıncı gün istismarları
  • RFI (uzaktan dosya ekleme)
  • Kötü amaçlı yazılımlar
  • DNS tünelleme
  • XSS (siteler arası komut dosyası çalıştırma)

İlk aşama sonrası APT korsanları trojanı oluştururlar. Trojan, APT korsanlarının sistemi uzaktan kontrol edebilmesinde yardımcı olur.

2. Aşama: Genişleme

İkinci aşama hackerlar sisteme girdikten sonra başlar. Erişimlerini genişletirler ve derinleştirirler sonrasında da erişimlerinin iptal olmadığından emin olurlar. Bu işlemleri de ek şifre toplayarak ya da çaldıkları orijinal şifrenin değiştirilmesi durumunda “Truva Atı” adında başka bir kötü amaçlı yazılım sayesinde gerçekleştirirler. Böylelikle hackerlar sistemde kalıcı bir hal almaya başlarlar ve sonrasında da girmiş oldukları ağ hakkında güvenlik açıkları, daha fazla bilgi toplama ya da derin erişim seçeneklerini kontrol etmeye başlarlar.

Son işlemlerinin de iptal olmadığından emin olmak isteyen hackerlar, tekrardan kötü amaçlı yazılımlara başvurarak birçok değerli veriye erişimi bulunan personelleri hedeflerine katarlar. Son emin olma aşamasında ise genellik “Brute Force” olarak da adlandırılan kaba kuvvet saldırısı taktiğini başlatırlar.

Kötü yazılımlar, hackerların tüm bu işlemler haricinde şunları da yapmasına olanak tanır:

  • Ağ segmentleri arasında gezinebilmelerini,
  • Ağ etkinliğini izleyebilmelerini,
  • Hassas verileri toplayabilmelerini,
  • Sistem kontrollerinden gizlenebilmelerini,
  • Yeni giriş noktalarını tespit edebilmelerini.

Güvenlik kontrolleri ikinci aşamada çoğu zaman hackeleme işleminin farkına varmazlar ve böylelikle de hedefte olan kişi hackerların istediği şeyleri bir bir yapmaya başlar.

3. Aşama: Verilerin Çıkarılması

Üçüncü ve genellikle son aşamada ise verilerin hepsi neredeyse birden fazla sunucu baza alınarak toplanmış ve sistemden çıkarılma amacıyla da tek bir konumda depolanmıştırlar. Hackerlar toplamış oldukları verileri, veri aktarımı sırasında ağı koruyan güvenlik ekibinin dikkatini dağıtarak dışarı çıkarırlar. Dikkat dağıtma işlemi yine güvenlik ekibini meşgul edecek DDoS ve benzeri saldırılar ile yapılır. Ancak APT hackerları genelde var oldukları bilinsin istemezler; çünkü varlıklarından bir haber olan ağa sonradan çok basit bir şekilde girebilirler.

APT hackerlarının amacı veri çalmaktan ziyade sistemi sabote etme üzerine kuruluysa, ağın biriktirdiği tüm veri tabanını yok edebilir ya da veri tabanını kurtarma adına atılan adımları engellemek için ağda ciddi hasarlar bırakabilirler.

APT Nasıl Tespit Edilir?

APT hackerlarını tespit etmek, kullandıkları çeşitli yöntemler yüzünden kolay değildir. Ancak sistemde açığa çıkabilecek anormallikler ya da hacklenmeye dayalı sistemde görülebilecek erken uyarı durumları APT hackerların varlığını gösterebilir. APT hackerlarından korunabilmek adına hackleme işlemlerinin belirtilerini öğrenmek şarttır. Bu belirtiler ise sırasıyla şunlar olabilir:

  • Garipsenebilecek zaman dilimleri aralığında sunucularınıza sürekli olarak girişlerin bulunması. Gece geç saatlerde, yani çalışanların ağa erişmediği durumlarda sunucular üzerinde oturum açma sayılarının artışı. Bu APT hackerlarının fark edilmemek amacı ile en sık uyguladığı işlemlerden biridir.
  • Sistemde algılanabilecek herhangi bir Truva Atı da APT saldırısına işaret olabilir. Dilerseniz Truva Atı ya da bir diğer adı ile Trojan hakkında “Trojan Nedir? Trojan Virüsü Kurtulma Yöntemleri” adlı yazımıza göz atabilirsiniz.
  • Sunucularınızda yer alan verilerin herhangi bir sebep olmadan ani bir biçimde taşınması ya da hiç olmaması gereken bir alanda saklanması da APT saldırılarının göstergesidir. Bu nedenden dolayı veri paketleri incelenmelidir. Garip veri tabanı etkinliği mutlaka ama mutlaka incelenmelidir. Veri tabanı etkinliklerinde oluşabilecek büyük ve ani veri akışları APT saldırılarının en büyük ipuçlarındandır.
  • Hash saldırıları da yine APT saldırılarının birer göstergesidir; çünkü, hash saldırıları genellikle geçişli depolama ya da parola verilerinin tutulmuş olduğu çeşitli bellekler üzerinde yapılır. Bu durum da hackerların yeni kimlik doğrulayabilmelerinin önünü açar.
  • Yine hedefli kimlik avı e-postaları olarak da geçen saldırılar herhangi bir APT saldırılarının en büyük belirtilerindendir. APT hackerları tarafından üst kademeli çalışanlara e-posta yollayarak, gerekli bilgileri toplamasında yardımcı olan bir saldırı türüdür.

APT Nasıl Önlenir?

APT’ler konusunda kabul edilebilecek en zor durum muhtemelen APT’lerden korunmak amacı ile yapılan işlemlerin hiçbirinin sunucuları %100 korumamasıdır. APT’lerden korunmak için standart güvenlik önlemleri ve virüsten korunma programları haricinde güvenlik ekiplerinin iş birliği içerisinde yürütebilecekleri birbirinden farklı savunma taktikleri gerekmektedir. APT saldırılarından korunmak amacı ile ekstradan şu yöntemler denenebilir:

Trafiği İzleme:

Daha önce de bahsettiğimiz üzere, sunuculara garipsenebilecek zaman aralıklarında yapılan girişler ya da sunucu trafiğinin anlık olarak artması ve büyümesi APT saldırılarının belirtisidir. Bu nedenle sunucu trafiğini izlemek APT saldırılarını tespit etmek ve bu konuda gerekli önlemleri erkenden alabilmek adına önemlidir.

Whitelist:

Whitelist ya da bir diğer adı ile beyaz liste, sunucunuzda yer alan alan adları ya da uygulamalardan hangilerinin erişilebilir olduğunu kontrol etmenizi sağlar. Beyaz listeye alma durumları, hackerların saldırılarını savuşturmanızda oldukça yardımcı olacaktır. Whitelist işleminin işe yaraması adına sunucularınızı korumakla görevli çalışanlarının alan adları ve sunucunuzda yer alan uygulamaları dikkatli bir biçimde seçmesi gerekmektedir. Bu esnada güncellemeleri sık sık takip etmeleri ve güncelleme yapmayı da güvenlik açığını en aza indirme amacı ile aksatmamaları gerekmektedir.

Whitelist, diğer adı ile beyaz liste hakkında daha fazla bilgi sahibi olmak adına “Whitelist Nedir?” adlı yazımıza göz atabilirsiniz.

Sıkı Erişim Kontrollerinin Sağlanması:

Daha önce de bahsettiğimiz üzere APT çalışanları için bir sunucuya sızmanın en kolay yöntemi, sunucuda yer alan çalışanların hacklenmesidir. Bu nedenden dolayı sunucunuz için “Sıfır Güven” anlamına gelen Zero Trust ilkesini benimseyebilirsiniz. Bu ilke ile sunucunuzda yer edinebilecek her türlü hesabın düzeylerine sınır koyar ve sadece ihtiyaç anlarında sunucunuzu kullanıma açar. Bu işlem sayesinde çalışanınız her ne kadar güvenli prosedürlerini ihlal etse bile sunucunuza girebilecek herhangi bir APT saldırısının ağda yer almasını sınırlandırır.

Antivirüs Yazılımlarının Kullanımı ve Saldırıları Önlemeye Yönelik Sistemler:

Her ne kadar antivirüs yazılımları ya da saldırıları önlemek amacı ile kullanılan sistemler APT saldırılarını önleyemeseler bile APT saldırılarında yardımcı olabilecek Truva Atı ve benzeri ek virüsleri algılayabilirler. Bu nedenden dolayı antivirüs yazılımlarının kullanımı ve saldırıları önlemek adına kullanılabilecek sistemlerin (örneğin izinsiz giriş önleme sistemleri) devreye sokulması şarttır.

2022 yılının en iyi Antivirüs programlarını incelemek için buradaki blog yazımızı ziyaret edebilirsiniz.

2FA (İki Faktörlü Kimlik Doğrulama) İşlemi:

2FA yani iki faktörlü kimlik doğrulama işlemleri, sunucuda yer alan hassas alanlara erişim esnasında ikinci bir doğrulama aşamasından geçmesini şart kılar. Sistemde dolaşabilecek olası bir APT saldırı ve benzeri saldırılar ise 2FA ile yavaşlatılabilir.

İki faktörülü kimlik doğrulama hakkında bilgi edinmek isterseniz, “İki Faktörlü ya da İki Adımlı Doğrulama Nedir?” adlı yazımıza göz atabilirsiniz.

Güncellemeleri Aksatmama:

Sistemleri, sunucuları ve ağları sürekli olarak güncel tutmak APT saldırılarının önüne geçilmesinde en büyük etkenlerden biridir. Güncellemelerin düzenli olarak yapılması, sunucunuzda yer alabilecek uyumsuzluk problemleri ve zayıf noktaları kapatır ve olası sorunların ortaya çıkma olasılıklarını olabildiğince düşürür.

Çalışanların Eğitim Alması:

Daha önce de bahsettiğimiz üzere APT hackerlarının genellikle hedef aldıkları kitle sunucu içerisinde faaliyet gösteren çalışanlardır. Bu neden dolayı APT ve benzeri virüs yazılımlarının negatif etkileri ve bu etkilere ulaşma süreci hakkında çalışanların eğitim alması olası bir saldırıya karşı sizi daha hazırlıklı yapabilir ve saldırının zarar verme olasılığını düşürür.

E-Posta Koruma Araçlarının Kullanımı:

APT hackerlerinin kötü yazılımlar ile sunucunuza saldırıları sıklıkla e-posta üzerinden yapılmaktadır. Bu durum sunucunuzu oldukça zayıflatabilir. Bu nedenden dolayı e-postalarınızın güvenliği adına kötü amaçlı yazılım korumalarını ve spam önleyicilerini açmanız gerekmektedir. E-posta filtreleme özellikleri ile APT sızma denemelerini büyük ölçüde durdurabilirsiniz.

Arka Planda Sürekli Olarak Tarama Yapmak:

APT saldırıları sonucunda sunucunuzda kalabilecek açıklar için arka planda sürekli olarak tarama yapmak iyi bir fikirdir. Bu durum sunucunuza yapılan herhangi bir saldırının kalıntılarını temizlemekte güvenliğinizi iki katına çıkarabilmektedir.

WAF:

WAF yani bir diğer adı ile web uygulaması güvenlik duvarını kullanarak sunucularınızda yer alabilecek bütün trafik hareketliliklerini filtreleyebilirsiniz. WAF, APT saldırılarını sunucuya sızma aşamasında önler

VPN:

Konumunuzun sürekli belirsiz olması ve IP adresinizin sürekli değişiyor olması da yine APT saldırılarını savurmada etkili olan yöntemlerden birsidir. Bu nedenle sunucularınızda VPN kullanabilirsiniz.

“Web Sitenizin Güvenliği için Yapmanız Gereken 10 Şey”i sizler için listeledik. Buraya tıklayarak, blog yazımızı okuyabilirsiniz.

0 Shares:
Benzer İçerikler