SİBER SUÇ TAKİBİ NASIL YAPILIR?


SİBER SUÇ TAKİBİ NASIL YAPILIR?

Şimdiye kadar birçok yerde "IP nasıl gizlenir?", "kendimizi nasıl gizleriz?", "izleri nasıl sileriz?" gibi soruları ve cevapları görmüş olabilirsiniz. Burada ise olaya bir siber güvenlik analistinin bakış açısıyla yaklaşacağız.

Mr.Robot da birçok sahnenin gerçekçi olduğunu duymuşsunuzdur. Peki bu takip tam olarak nasıl oluyor? Merak etmeyin teknik detayla sizleri sıkmayacağım. Öyküleyici - betimleyici bir anlatım kullanacağım. Fakat meraklısı için son aşamada teknik detaylardan da bahsedebilirim.

Sanal ortamda suç işlendiğinde, yasal yaptırım olarak fiziksel bir suçtan farkı olmadığını söyleyim ilk olarak. Bu yüzden hem bilgisayar başında hem de gerçek hayatta güvenlik güçleri birlikte çalışacaktır. Ben burada bilgisayarla alakalı kısımlardan bahsedeceğim.

Süreçlerden bahsetmek gerekirse;

*** DELİL TOPLAMA (OSINT) ***

Belki de en sancılı kısım bu aşamadır. Çünkü; işi bilen bir hacker'ın, dikkatli olduğu sürece takip edilmesi imkansız gibidir. Hatta imkansızdır. Peki neden %100 gizlilik diye bir şey olamaz diyorlar? Diyoruz? İnsan, düşünen bir canlıdır. Hackerların da duyguları ve kendilerine ait gururları vardır. İşte tam da bu noktada açık veriyorlar. Sosyal medyada (özellikle twitter veya reddit) sahte bir nick ile kendilerini övecek paylaşımlar yapıyorlar. Kim olursa olsun, bir süre sonra gururlanmaya başlıyor ve paylaşma ihtiyacı hissediyor. Yakın çevresine hiçbir şey yansıtmasalar bile internet ortamında izleri bulunabiliyor.

İlk delil toplama kaynağımız ortaya çıkmış oldu, OSINT (open source intelligence - açık kaynak istihbarat). Tamamen ücretsiz, herkese açık olan internet bilgi kaynaklarıdır yani. Google, bing, linkedin, reddit, twitter aklıma ilk gelen kaynaklar. Peki bunlara teker teker girerek bilgi araştırması mı yapıyoruz? Nadiren evet, ama genelde hayır. Pipl.com gibi bu işi otomatik yapan sitelerden yardım alıyoruz. Ad-soyad, telefon numarası veya mail bilgilerini birçok ortamda tarayıp bize sunuyor.

Birçok senaryo için osint kaynakları ilaç gibi gelecektir. Mesela bir şirkete ait çalışanların mail bilgilerini, şirketin websitesine ait subdomainleri, webserver haricinde mail server, dns zone gibi bilgileri de edinebiliriz. Bu noktada pipl.com haricinde theharvester, nmap nse scripts, maltego, fierce, recon-ng gibi hazır programlardan da yardım alıyoruz.

Hedefimizdeki hackerin eylemleri kronolojik sırada not alınır. Yapılan eylem; birçok kişinin kredi kartı bilgilerinin çalınması olsun. Kart bilgileri çalınan kişilerin paraları 2 şekilde nakite dönüştürülebilir; ya tek kullanımlık bir hesaba eft yapılmıştır, ya da 3D Secure olmayan bir internet sitesinden alışveriş yapılmıştır. Üçüncü bir alternatif daha vardır aslında; bitcoin satın alınmış olabilir. Ki takibi en zor olan da budur. Fakat imkansız değildir. Buradaki takip yöntemini açıklamayacağım (coin transaction history ile veri analizi yardımıyla yapıldığını söyleyim sadece).

*** ETİK HACKER (PENTESTER) DESTEĞİ ALMAK ***

Güvenlik analistleri genel saldırı methodlarını elbette bilirler. Fakat bazı durumlarda hacker gibi düşünebilmek gerekir. İşte bu noktada beyaz şapkalı hackerlardan yardım alınır. Saldırganın psikolojisini anlamak çok önemlidir. Böylece sonraki hedefini ve saldırı yöntemini tahmin etmek mümkün hâle gelecektir. Kredi kartı bilgilerini bir bankanın veritabanı üzerinden aldığını varsayalım. Kart bilgilerini olabilecek en zor yoldan aldığına göre oldukça idealist bir hacker karşımızda demektir. Sonraki hedefinin de başka bir banka olabileceğini tahmin edebiliriz bu noktada.

Bu durumda şöyle bir yöntem izlenebilir; devlete bağlı bir banka (X bankası) ile anlaşma yapılır. X bankası için honeypot kurulur.

Honeypot; gerçek bir sistemle birebir aynı olan sahte sistemlerdir. Tespit etmesi oldukça zordur. 

Aydın Keskin

Information Security Assistant

 

Kurması çok pahalı olduğu için çok büyük şirketler buna sahiptir ve böyle özel durumlarda da kurulabilir. Saldırganların şüphelenmemesi için event logger, reg ripper gibi analiz programları kesinlikle kurulmamalıdır. Tıpkı gerçek sistem gibi antivirüs, firewall gibi yapılar da yer almalıdır. Saldırganın hareketlerini takip etmek için bir switch teknolojisinden faydalanılır. Port mirroring / span ismi verilen bu teknikte, tüm ağ trafiği offline olarak başka bir ortama da aktarılır.

Ardından X bankasının web sunucusu dinamik NAT teknolojisi ile güven altına alınır (gerçek IP adresi dışarıdan bilinemez yani). Sosyal medyada sistemlerinin oldukça güvenli olduğuna dair açıklama yapılıp hacker'ı saldırması için teşvik edilir. Tez canlı ve tecrübesiz ise bu tuzağa düşecektir.

Honeypot sisteme saldırdığında, güvenlik analistlerine (özellikle malware analistleri) büyük iş düşecektir.

*** MALWARE ANALİSTLERDEN DESTEK ALMAK ***

Mr.Robot dizisindeki Elliot'un pozisyonunda kişilerin yardımı gerekiyor bu noktada. Hacker'ın honeypota sızmak için kullandığı malware yazılımının analiz edilip hangi web sunucusuna reverse shell bağlantısı ile bilgi çekildiği bulunmalıdır. Böylece web sunucunun kurulum zamanı, domain gibi bilgileri üzerinden daha somut bilgiler elde edebiliriz. Veya localhost üzzerinden web server açılmış da olabilir. Bu durumda hackerin o andaki public IP bilgilerine erişmiş oluruz.

*** FİZİKSEL DELİLE ERİŞİM ***

IP bilgileri bulunan cihaza teknik takip yapılıp ilgili yere gidildiğinde, büyük ihtimalle kütüphane veya halka açık bir ortam ile karşılaşmış olacağız. Büyük ihtimalle bilgisayar üzerinde veri bırakılmamıştır. Fakat güçlü bir wiping yapabilmek için yeterli vakti de olmayacağı için güzel bilgiler edinilebilir.

*** ADLİ BİLİŞİM UZMANLARINDAN DESTEK ALMAK ***

Hacker ile alakası olduğu düşünülen bütün cihazların (usb flash, bilgisayar, telefon) read-only biçimde imajı alınır. Tüm imajların SHA256 ve MD5 hashleri ile veri bütünlüğü doğrulanır. Ardından bu imajların kopyaları alınarak onlar üzerinden analize başlanır.

FTK Access data, encase, prodiscover, osforensics, autopsy, bulk extractor gibi birçok ücretli- ücretsiz program yardımıyla veriler incelenir. İmajlar üzerindeki telefon - mail - domain bilgileri not edilir.

Kayıt defteri analizine geçilir. Bilgisayara bağlanmış tüm USB cihazların bilgileri not edilir, en son çalıştırılan cmd komutlarına bakılır, autorun anahtar dizinine bakılır, ortam değişkenlerine bakılır. Silinmiş veriler için birkaç undeleter uygulamasından yardım alınır. Bütün executable dosyalar, txt ve şüpheli resim dosyaları not edilir.

İmajlar üzerinde cluster analiz yapılır. Bu, tüm hard diskin raw formatında incelenmesidir (hex biçiminde). Çok zordur, fakat gözden kaçmış şüpheli işlemleri bulabilmek için gereklidir (özellikle APT saldırılarında). Bu analizin detaylarına geçmeyeceğim. Belki ileriki zamanlarda ayrı bir konuda anlatırım.

*** SON AŞAMA ***

Tüm elde edilen bilgiler değerlendirilir. İlk aşamaya tekrar dönülür ve bilgi toplanır (telefon, mail, domainler üzerine araştırma yapılır). Böylece hackera bir adım daha yaklaşılmış olur...

Yazıyı burada (belki de en heyecanlı yerinde) bitiriyorum. Çünkü; bu kovalamaca bir döngü halinde devam edecektir. Dikkatli bir hacker ise birkaç yıl sürebilecek bir kovalama olabilir. Fakat eninde sonunda hata yapacaktır.

Gördüğünüz gibi profesyonel siber güvenlik dünyasında takip bir şekilde yapılabiliyor. O yüzden aklınıza "VPN açarsam gizlenebilir miyim" gibi sorular gelmesin. Ve bug bounty programları haricinde önünüze gelen her siteye test amaçlı saldırıda bulunmayın. Güvenliğe önem veren bir yere denk gelirseniz, sizi VPN veya başka bir şey kurtaramaz.

Aydın KESKİN

 

Kaynak ; https://www.linkedin.com/in/aydin-keskin/



İlginizi Çekebilecek Yazılar







İletişim | Gizlilik | Kullanım Koşulları