Siber güvenlik dünyasında son yılların önemli konularından biri APT olarak karşımıza çıkmaktadır. Farklı tanımları olsa da APT – Advanced PErsisten Threat- kısaca hedef odaklı karmaşık ve kalıcı tehditler anlamına gelmektedir ki burada her bir harfi önem taşımaktadır. Klasik arz talep dengesi mantığıyla hareket edildiği için piyasada hızlı bir şekilde APT engelleme ürünlerinin çıkmaya başladığını görmekteyiz. Bu ürünlerin bir kısmı gerçekten APT kavramını karşılar nitelikte olsa da büyük çoğunluğu klasik Antivirüs/IDS ve Antimalware ürünlerine yapılan makyajla APT olarak sunulmasıdır.
Bu yazıda APT ürünü seçerken nelere dikkat edilmeli ve APT ürünü demoları nasıl gerçekleştirilmeli gibi konulara değinilmektedir. BGA olarak iki yıldır farklı APT engelleme sistemi üreticilerinin ürünlerini test ediyoruz, yazıda bu konudaki tecrübelerimizi bulabilirsiniz.
Yazıya başlamadan önce temel olarak bilinmesinde fayda olan bir şey var ki, profesyonel olarak tasarlanmış, internette bulunan hazır araçlar harici özel geliştirilmiş açıklık ve araçlar kullanılarak gerçekleştirilen APT saldırısını sihirbazvari bir ürün ile yakalamak veya engellemek mümkün değildir. APT ürünlerini konumlandırırkan geri kalan Firewall, IPS, WAF, Antivirüs, AntiSpam, DLP, ADS vs gibi ürünlerin yakalayamayacağı %5’lik küçük ama değerli alanı hedeflemek gerekir.
APT Ürünü Seçim Kriterleri
APT ürünü alımı öncesinde min. sağlaması gereken özellikler aşağıda yazılmıştır.
- Internetten gelebilecek tehditler için Web ve SMTP üzerinden indirilebilecek çalıştırılabilir dosyaları kontrol edebilmeli(sadece exe veya pdf değil diğer ikili dosyalar da dahil)
- E-posta üzerinden gönderilen oltalama maillerindeki linklerin veya çalıştırılabilir dosyaların son kullanıcıya ulaşmadan incelenmesi.
- Cloud üzerinden istihbarat paylaşımı desteği olmalı
- Hiçbir şekilde internete bilgi göndermeden/almadan offline olarak inceleme yapabilmeli (sandbox)
- Inline olarak ve active response modunda konumlandırılabilmeli
- Internet’den indirilmemiş ama usb, dosya paylaşımı vs gibi yöntemlerle sistemlere bulaşmış zararlı yazılımlara ait call-back bağlantılarını yakalayabilme.
- IP reputasyon veritabanı kullanarak gün yüzüne çıkmamış komuta merkezlerine olan bağlantıları tespit edebilmeli.
- False pozitif değerleri düşük olmalı
- Gerektiğinde dosya sunucuları yedekleme sunucuları da offline olarak tarayabilmeli
Türkiye’de Aktif Olarak Satışı/Desteği Olan APT Çözümleri
- Fireeye
- Trend Micro DeepSecurity
- Palo Alto Wildfire
- Mcafee Advanced Threat Defense
- Checkpoint Threat Prevention
- Bluecoat
- Cisco Sourcefire FireAmp
APT Ürünü Demo/POC Çalışması
Bu konuda genellikle yapılan hata APT ürününün ağ altyapısına yerleştirerek klasik IDS/IPS veya benzeri işlev gören AntiVirüs ürünleri benzeri ortamdaki zararlıları keşfetmesini beklemektir. APT ürünleri imza tabanlı ürünler gibi davranırsa amacını yerine getirmemiş olur, iyi çalışan bir APT ürününden beklenen diğer çözümlerin kaçırdığı, yakalayamadığı karmaşıklıktaki zararlıları false positive olmadan ortaya çıkartmasıdır.
Bu sebepten “ortama koyduk bir ay boyunca bir şey yakalamadı, demek ki bu ürün kötü veya bizim APT’e ihtiyacımız yok” sık karşılaşılan hatalı bir düşüncedir. APT ürünlerinin ayda yılda oluşabilecek ve klasik güvenlik sistemleri tarafından yakalanamayacak türde ataklara karşı yerleştirildiğini bilmek gerekir. APT ürünü demosu yaparken aşağıdaki maddelere dikkat etmek ve bunların sonuçlarını bir Excel tablosu olarak satın alma kriterlerine eklemek doğru bir adım olacaktır.
APT Testleri icin oluşturulması gereken ortam:
Kurumların tercih ettiği ana işletim sistemlerinden birer adet kurulmalı, özellikle APT ürünlerinin çoğunun 64 bit desteklemediği gözönünde bulundurulduğunda kurumun kullandığı işletim sistemleri daha fazla değer kazanmaktadır. Standart Windows XP desteği olup diğer işletim sistemlerini ve mimarilerini desteklemeyen bir APT çözümü gerek ortamda bir işe yaramayacaktır zira kurumların büyük çoğunluğu artık XP/7 ve benzeri işletim sistemlerini birlikte kullanmaktadır.
Demo ortamında bulunması gereken asgari işletim sistemleri
- Windows XP 32/64 bit
- Windows 7 32/64 bit
- Windows 8 32/64 bit
Bu sistemlerden bir kısmı üzerine(32 bit olanlara) güncel Antivirüs yazılımı yüklenmelidir. APT ürününün AV’nin tanıyamadığı özellikteki zararlıları da tanıdığından emin olmak gerekir.
APT Ürünü Yerleşimi (Demo Amaçlı)
Ürünün hem pasif hem de aktif (inline mod) özelliklerinin test edilebilmesi için farklı iki konuma yerleştirilerek test edilmesi , inline yerleştirildiğinde varsa önünde içerik filtreleme sistemi ve IPS’i de aktif etmek ve APT ürünü tarafından yakalanabilecek zararlı dosya ve hareketlerin diğer ürünler tarafından yakalanıp yakalanmadığından emin olmak gerekir.
APT Testleri
Bilinen Zararlı Yazılım Testi
Google ve benzeri arama motorları kullanılarak internet üzerinden 15 adet bilinen zararlı yazılım dosyası indirerek aradaki sistemin bunları yakalayıp yakalamadığı not alınmalı.
SMTPS/HTTPS Üzerinden Zararlı Dosya İndirme ve Tespit Testleri
Zararlı yazılım geliştiricileri tarafından çok tercih edilmese de Network güvenlik sistemleri tarafından çoğunlukla incelenmediği bilinen SSL/TLS trafiği kullanılarak zararlı yazılım bulaştırma denemeleri de APT testleri kapsamında gerçekleştirilmelidir. İyi bir APT ürününden SSL/TLS trafiğini sonlandırabilmesi ve içinde geçen dosyaları ayıklayarak zararlı yazılım kontrolündeen geçirebilmesi beklenir. Burada bazı APT ürünleri pasif inceleme (trafiği önce yakala, kaydet sonra da gecerli CA ile tekrar aç…) yaptığı için PFS(Perfect Forward Secrecy) kullanılan sitelerde bu yöntem işe yaramayacaktır. Bir Alt test maddesi olarak PFS destekli site üzerinden de APT testi yapılmalıdır.
PFS Destekli HTTP Sunucu Kullanarak Pasif SSL Offload Testleri
PFS destekli http sunucu kurup üzerinden zararlı fonksiyonlar içeren ikili dosyaların transfer edilmesi esnasında APT sisteminin bunları yakalayıp yakalamadığı test edilmelidir.
SSL/TLS Üzerinden Call-back yapan Zararlı Yazılım Testleri
Bu test aşamasında amaç HTTP veya benzeri bir kanaldan(açık ve okunabilir) elde edilmiş zararlı yazılımlar çalıştırıldıktan sonra internete doğru komuta merkezine bağlanırken şifreli iletişim kullanırsa APT ürünü tarafından yakalanıp yakalanmadığının test edilmesidir.
SMTP Testleri
Bulaşan zararlı yazılımların çoğunluğu ya e-posta içinde link olarak gelir veya e-posta eklentisi olarak gelir. İyi bir APT ürünü hem e-posta içinde geçen linkleri inceleyebilmeli hem de e-posta ile birlikte gelen eklentileri kendi kum havuzunda (Sandbox) inceleyerek karar verebilme yeteneğine sahip olmalıdır. Bunun için E-posta üzerinden farklı adreslerden aşağıdaki uzantılarda zararlı yazılım/fonksiyon içeren ikili dosyalar hedef sisteme gönderilmeli ve APT ürününün bu trafikleri yakalayıp yakalamadığı tespit edilmelidir.
Bu test aşamasında amac APT sistemini denemek olduğu icin AntiSpam ürünleri devre dışı bırakılmalı veya mail gönderilecek test hesabı icin beyaz liste oluşturulmalıdır.
- zararlı yazılım içeren pdf uzantılı e-post
- zararlı yazılım içeren exe.pdf, exe uzantılı e-posta
- zararlı yazılım içeren xls,xlsx, doc,docx uzantılı e-posta
- zararlı yazılım içeren jar ve zip uzantılı e-posta
Bilinen Browser tabanlı Exploitlerin Test Edilmesi
Yazınn başlangıcında APT ürünlerini sadece Antimalware kategorisinde düşünmemek gerektiğinden bahsedilmiştir, buradan hareketle APT ürünlerinin işletim sisteminde çıkan ve sistemi sömürmek için kullanılan çeşitli exploitlere karşı da koruma sağlaması gerekir. Bazı APT ürünleri bunu birlikte geldikleri IPS fonksiyonları ile icra edebilmektedir. Bu test aşamasında Internet Explorer , Java , Flash benzeri 3-4 farklı üreticiye ait yeni çıkmış güvenlik zafiyetlerini Metasploit kullanarak simule edip test makinelerinden bu sayfaları ziyaret etmek ve APT ürününün engelleyip engellemediği test edilmelidir. Özellikle Metasploit ile birlikte gelen evasion teknikleri de kullanılmalı ve APT ürününün atlatma yöntemlerine karşı ne kadar korumaya sahip olduğu tespit edilmelidir.
Pdf, jar, xls gibi çalıştırılabilir zararlı dosyaların Testleri
Internet üzerinden indirilebilecek şekilde hazırlanmış ve içinde zararlı fonksiyonlar barındıran pdf, jar, zip, xls, exe gibi çalıştırılabilir dosyalar hazırlanmalı ve bu dosyalar APT tarafından korunaklı test sistemleri üzerinde açık kanallar üzerinden indirilerek çalıştırılmalı.
USB ve Paylaşım Üzerinden Aktarılan Zararlı Yazılım Testleri
USB veya dosya paylaşımı gibi offline bir metodla bulaştırılmış dosyalara ait call-back bağlantılarının APT ürünü tarafından yakalanıp yakalanmadığı test edilmeli. Bunun icin ilk aşamada farklı kanallardan indirilen 15 adet malware ve Veil gibi yazılımlar tarafından oluşturulmuş ikili dosyalar çalıştırılmalı, sonuçları not edilmeli.
Antivirüs Atlatma ve APT Testleri
Internet üzerinde antivirüs yazılımlarından kaçınmak amacıyla kullanılan smbexec ve Veil gibi yazılımlar kullanılarak üretilecek ikili dosyaların APT ürünü tarafından yakalanıp yakalanmadığı test edilmeli.