Endüstriyel Ethernet Switch

Dragonfly Siber Güvenlik Saldırılarına Karşı Savunma – Sonuçların Değerlendirilmesi –...

Anasayfa, Makaleler

Dragonfly Siber Güvenlik Saldırılarına Karşı Savunma – Sonuçların Değerlendirilmesi – Bölüm C (4/5)

93views
1

Bölüm C – Sonuçların Değerlendirilmesi

Bir organizasyonun Dragonfly gibi bir kampanya ile karşılaşılaşması genel riskinin değerlendirilme sürecinde dikkatli analizler gerektirir. Bu sadece çalışan tehtidlerin ve güvenlik açıklarının kapsamlı bir anlayışını içermez, aynı zamanda farklı bir yapı sonuçları da bir gedik gibi ortaya çıkarabilir.

Dragonfly tarafından yapılan saldırı dizisi bu kampanyadan korunmayı ve onu tespit etmeyi zorlaştıran “içeriden öğrenilen” taktikleri kullanır. Yetkili iç personel güvenilir kaynaklardan elde edilen ve güvenilir olduğu “varsayılan” komponentleri kullanarak saldırının herbir aşamasında eylemleri başlattı. Bu “içeridekiler” hedef alınan firmaların veya hizmet düzeyi anlaşmaları (SLA) çerçevesinde bakım sağlayan üçüncü tarafların ve taşeronların personeli olabilirler. Bu kampanya sizin özel organizasyonunuzu etkilemeyebilir. Ancak, Dragonfly tarafından kullanılan taktikler, araçlar ve prosedürlerden öğrenilebilecek değerli dersler vardır.

Yetkisiz Kod Çalıştırma

Yükseltilmiş ve hatta yönetici ayrıcalıklarına sahip “normal” modda çalışmaları için kullanıcılara olanak tanıyan endüstriyel sistemlerde ve genel ofis sistemlerinde yaygın bir sorun vardır. Yeni işletim sistemleri, Kullanıcı Hesabı Denetimi gibi ek özellikler, (UAC) sağlıyor , fakat bu özellikler ICS ortamlarında daha yaygın olan işletim sistemlerinde mevcut değildir.

Dragonfly tarafından kullanılan yöntemler, Windows XP tabanlı bilgisayarları (kurbanların bilgisayarlarının yüzde 50’sinden fazlası Windows XP ile çalışıyordu)hedef aldı ve ICSye aşina herkes Windows XP dağıtımının aslında ne kadar yaygın olduğunu bilir20.

Dragonfly tarafından yayılan malware benzersizdi ve gelecek saldırılar için büyük olasılıkla bir çerçeve sağladı. Kullanıcının ilk eylemi gerçekleştirmek için yetkisi olmasa bile ( yani,yeni bir uygulama yükleme veya güncelleştirme),o kötü amaçlı yazılım süreçlerini meydana getirmek ve süreklilik oluşturmak için bir mekanizma sağladı.

Havex analizi için oluşturulmuş durumlar kısıtlı kullanıcı hesapları (Bölüm B) kullanılarak başlatıldığında kötü amaçlı yazılımın beklendiği gibi çalıştığını gösterdi (ve OPC tarayıcı durumunda , daha istikrarlı çalıştı) . Herhangi bir kullanıcıya – bu bir mühendis veya operatör olabilir- endüstriyel ağda imkan dahilinde zararlı yazılımı başlatması için etkili şekilde imkan verdiğinden , bu sorun ICS için önemli bir risk oluşturabilir.

Bilgileri İfşa Etme

Saldırının ikinci aşaması yerel bilgisayardan hayati sistem ve uygulama yapılandırma bilgilerini alma ve C2 sunucusuna bu bilgileri iletmeye odaklanmıştır. Basit komutlar hedef hakkında (systeminfo gibi) yama seviyesi ( veya Windows XP sistemleri düşünüldüğünde yama eksikliği ) , ağ erişim ve kullanıcı bilgilerini kapsayan değerli bilgileri temin ederek çalıştırılabilir. Tüm bunlar herhangi bir başarılı saldırı için gerekli değerli bir keşif sağlıyor.

Daha endişe verici şey , tarayıcı şifre yöneticileri, VPN konfigürasyon bilgileri, VPN kimlik bilgileri ile ilgili hassas bilgilerin kasıtlı dışa sızdırılması ve çalınmasıdır. Bu bilgiler daha sonra uzaktan erişim makinaları, PLC ve hatta tüm ICS gibi kritik sistemlere yetkisiz erişim olanağı tanıyarak sonraki zamanda tekrar kullanılabilir.

Yetkisiz Uzaktan Erişim

Uzaktan erişim hala ICS için en büyük risklerden biri olarak değerlendiriliyor ve hatta çok faktörlü kimlik doğrulaması ile bile (bu VPNlerin durumundaki gibi) beklenilen birçok koruma seviyesini sağlamayabilir.

Kötü amaçlı yazılımın bu özel seti kurulmuş bir VPN tünelinin “uzak” ucunda bulunan sistemleri sıralamak için tasarlandı. eWON ve MB Connect Line yazılımını kullanan (truva atı bulaşmış yazılım ile) iki ana saldırı vektörü her iki uygulamanın da tipik olarak bağlantının uzak tarafında yayıldığı gerçeğini güçlendirdi. Bu uygulamalar tedarik zinciri güvenlik açıklarını da hedef alabilirdi, çünkü büyük olasılıkla OEMler ve tedarikçiler onları bakım anlaşmalarının ve SLAların bir parçası olarak kullandı. eWON global olarak bir milyonun üzerinde uzaktan erişim bağlantısına sahip olduğunu iddia ediyor. Bunun anlamı bir detarikçi veya OEMin tek bir tavizi uzaktan destek için bu organizasyonlara bağlı olan birçok son kullanıyıcı dolaylı olarak etkileyebilir. Bu uzaktan erişim sistemlerine bağlanıldıktan sonra, onların doğrudan ICS ağlarına bağlanması muhtemeldir. İlave güvenlik önlemleri olmaksızın, virüs bulaşmış bu uzaktan erişim alıcılarının etkisini sınırlamak için yapılabilecek çok az şey vardır..

Kontrol İşlevlerine Yetkisiz Yazma Erişimi

Dragonfly tarafından kullanılan OPC modulüne sadece yerel ve uzaktan erişim OPC sunucularını taramak için modüllere olanak tanıyan OpcEnum numaralandırma hizmeti kullanıldı. OPCyi bilen biri , OPC numaralandırma özelliği için birincil motivasyonunun veri entegrasyonu yapmayı santral mühendisi için kolaylaştırmak olduğunu farkeder. Bunu yapmanın bir yolu, sunucuların ve yetkili kullanıcılar için bir çeşit “otomatik keşif” sunarak bu sunucularda bulunan noktaların otomatik numalaralandırmasını sağlamaktır. Havex OPC modülünün onun tarama işlevlerini gerçekleştirmede kullanması onun kolay kullanım özelliğidir.

Problem, ilave güvenlik önlemleri almadan Havex-virüslü kullanıcıların OPC sunucusuna da bağlanabilmesi ve süreç veri tabanına yeni değerler yazmak gibi kasıtsız eylemleri gerçekleştirebilmesidir. Havex OPC modulüne bu yetenekler dahil değildi , fakat kavram kodu kanıtı verilmesi artık kullanılabilir olmasıyla, başka, daha yıkıcı, OPC aramalarını kapsamak için Havex OPC modülünün işlevselliğini genişletmek saldırganlar için önemsiz bir görev olacaktır.

Hizmet Reddi/Görüntüleme Kaybı

Ics ana bilgisayarlarda çalışan sürece herhangi bir etki görüntülemenin veya gerçek zamanlı veri kontrolünün tamamen kaybını içerebilen hizmet olaylarının reddine yol açabilir. ICS ana bilgisayarlarda çalışan çoğu süreç gerçek zamanlı kontrol işlevleri için tasarlanır ve performans ve kullanılabilirliğin yüksek düzeyini garanti etmek amacıyla diğer yüklü bileşenleri eşleştirmek için ayarlanır. Bu çoğu satıcının bu ana bilgisayarlara yüklenebilecek opsiyonel yazılımlar üzerinde sınırlamalara sahip olmasının nedenidir. Deneylerimiz süresince, bazı Havex modülleri ICS anabilgisayarlarda çalışırken ortaya çıkan süreç değişkenliği kaydettik. Bu problemlerin çoğu ana bilgisayara gereksiz olarak sunularak hayati servislerin( Windows Explorer gibi) çökmesine neden oldu.Tek çözüm ana bilgisayarı tekrar başlatmaktı. Ne yazık ki, Havex süreklilik oluşturdu, böylece sistemin geri yüklenmesinden sonra malware çalışmaya devam etti ve sorun tekrarladı.

Dragonfly tarafından hedef alınan truva atı bulaşmış yazılımın değerlendirmesi, yazılım yüklemenin kritik bir ICS ana bilgisayarda gerçekleşmiş olmasının uzak ihtimal olduğunu gösteriyor. Havex kendini çoğaltmak için herhangi bir yeteneğe sahip değil , bu yüzden uzak bir VPN bağlantısı üzerinden bir ICS bulaştırma şansı çok azdı.

Ancak , VPN bağlantısının uzak ucunda ICSye OPC bağlantısı sağlamak için gerekli olduğu durumlar olabilir (MB Connect Line eFive çözümünün başlıca işlevi). Bu gibi durumlarda, sistem çöker ve yeniden başlatma operasyonları olumsuz etkileyebilir.

Sonuç – Bölüm C

Dragonfly malware ICS sisteminin performansını doğrudan etkilemedi ve görev kritik ICS ana bilgisayarlara kendisini yüklemedi. Onun potansiyel hasarı değerli bilgileri çalmak oldu. Bu , üretim tesisi hacimlerini ve kabiliyetlerini gösteren ağ ve cihaz bilgilerinin yanı sıra özel tarifleri ve üretim parti dizisi adımlarının çalınmasını içerebilir .

Dragonfly kampanyasının sonuçları şöyledir:

  • Yükleme veya güncelleme uygulamaları gibi şeyleri yapmak için yetkisi olmayan kullacıların sistemde çalışmaları için kötü amaçlı yazılım koduna izin verdi
  • Dahili kullanıcı sistemlerinde süreklilik kurdu.
  • Windows XP çalıştıran bilgisayarları hedef almaya odaklandı.
  • Herhangi bir kullanıcının- bir mühendis veya operator – endüstriyel sistemde zararlı yazılımı potensiyel olarak başlatabilmesine sebep oldu.
  • Kritik sisteme yetkisiz erişim olanağı vererek sonraki bir zamanda tekrar kullanılabiecek parolalar gibi hassas bilgileri aldı.
  • Tedarikçilere veya bakım gruplarına sistemi kontrol etmeleri için bir yol sunan yetkisiz uzaktan erişime olanak tanıdı.
  • OPC protokolünün kullanıldığı bu durumda kontrol işlevlerine yetkisiz yazma erişimi sağlamak için bir kavram kanıtı gösterdi.
  • Bir VPN bağlantısının uzak ucunu etkileyrek ve sistem çözkmesine veya yeniden başlatılmasına neden olarak kontrol sistemlerinin Hizmet Reddine veya Görüntüleme Kaybına neden olabilir.

Belden’in Siber Güvenlik Uzmanı , Eric Byres

Bir Belden markası olan Tofino Security’nin teknolojiden sorumlu başkanı (CTO) ve endüstriyel siber güvenlikte dünya otoritesi olan Eric Byres Dragonfly ile ilgili şu açıklamaları yaptı:

“Dragonfly yaratıcılarının bu saldırıyı tahribatsız olma ve sadece fikri mülkiyet hırsızlığı için amaçladıkları görünürken,  kötü amaçlı yazılımın tasarımının onu süreç kontrol işlemlerinde bulunması için potansiyel olarak çok daha tehlikeli hale getirdiği açıktır.”

“Saldırının yıkıcı olmasını diledikleri bazı noktalarda, onlar için indirilen modülleri değiştirmek ve kurbanların operasyonlarını ciddi şekilde etkilemek önemsiz olacaktır. Dragonfly takımının güdülerini bilmediğimizden, buna benzer bir saldırı ile karşılaşan bir firma risk analizlerinde en kötü seneryoyu varsaymalı ve buna göre devam etmelidir. ”

,

Beğendin mi? Arkadaşlarınla paylaş!

1
Erkan CİRİT

Posted by

0 Comments

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

log in

Captcha!
Forgot password?

reset password

Back to
log in