MITRE ATTACK Framework

MITRE ATT&CK, bir saldırganın ağ üzerindeki bilgisayar sistemlerine sızma ve bu sistemleri ele geçirme yöntemlerini ve ağ üzerindeki saldırıların taktiklerini ve tekniklerini tanımlayan bir bilgisayar güvenliği bilgi tabanıdır. Bu bilgi tabanı, saldırganların kullanabileceği çeşitli saldırı tekniklerini kataloglar ve bu tekniklerle mücadele etmek için savunma stratejileri sunar. ATT&CK, siber güvenlik uzmanlarına, savunma stratejileri oluşturmak ve geliştirmek için bir rehberlik sağlar.

MITRE ATT&CK Framework, saldırganların kullandığı saldırı taktiklerini ve tekniklerini kategorize eden ve bu taktiklere karşı savunma stratejilerini tanımlayan bir yapıya sahiptir. İki ana bölümden oluşur:

Taktikler: Saldırıların genel amaçlarını ifade eder. Örneğin, initation (başlatma), execution (yürütme), persistence (kalıcılık), privilege escalation (yetki yükseltme) gibi.

Teknikler: Her taktiği oluşturan spesifik saldırı yöntemlerini temsil eder. Örneğin, taktik “Execution” altında “Command-Line Interface” veya “Scripting” gibi teknikler bulunabilir.

MITRE ATT&CK Framework, siber saldırganların kullandığı yöntemleri kataloglar ve savunma stratejileri geliştirme sürecinde siber güvenlik uzmanlarına rehberlik eder.

TAKTİKLER

Initial Access (İlk Erişim): Bu taktik, saldırganların hedef ağa veya sistemlere ilk erişimi sağladıkları aşamayı ifade eder. Saldırganlar genellikle başlangıçta açıkları veya zayıflıkları kullanarak bu erişimi elde ederler.

• Araçlar: Metasploit, Cobalt Strike, Social Engineering Toolkit (SET)
• Örnekler: Spear phishing, Exploit Public-Facing Application

Execution (Yürütme): Bu aşama, saldırganların kötü niyetli kodları çalıştırmak veya sistemlerde işlem yapmak için kullanabilecekleri yöntemleri içerir. Saldırganlar genellikle komut satırı araçlarını veya betik dillerini kullanarak bu aşamada işlem yaparlar.

• Araçlar: PowerShell, Command Prompt, Shell Scripting
• Örnekler: Command-Line Interface, Scripting

Persistence (Kalıcılık): Saldırganlar, erişim sağladıkları sistemde kalıcı olmak için çeşitli teknikleri kullanır. Bu, sistem yeniden başlatıldığında veya güncellendiğinde erişimi sürdürmek için yapılan işlemleri içerir.

• Araçlar: Windows Registry, Windows Task Scheduler, Cron
• Örnekler: Registry Run Keys/Startup Folder, Scheduled Task

Privilege Escalation (Yetki Yükseltme): Saldırganlar, elde ettikleri düşük seviyeli erişim haklarını yüksek seviyeli erişim haklarına yükseltmek için yöntemler ararlar. Bu, genellikle sistem veya ağ üzerinde daha fazla kontrol sağlamak için yapılır.

• Araçlar: Mimikatz, Windows Credential Editor, PowerUp
• Örnekler: Exploitation of Vulnerability, Access Token Manipulation

Defense Evasion (Savunma Kaçınılması): Saldırganlar, algılanmayı veya engellenmeyi önlemek için savunma mekanizmalarını atlatmaya çalışırlar. Bu, izleme, tespit veya engelleme çabalarından kaçınmak için yapılan çeşitli teknikleri içerir.

• Araçlar: Process Hacker, ProcDump, Process Explorer
• Örnekler: File Deletion, Process Injection

Credential Access (Kimlik Bilgisi Erişimi): Saldırganlar, kullanıcı kimlik bilgilerini (örneğin, şifreleri veya oturum açma verilerini) elde etmek için yöntemler kullanır. Bu, doğrudan kimlik bilgilerini çalmak veya depolanan kimlik bilgilerine erişmek olabilir.

• Araçlar: Mimikatz, LaZagne, Keystroke Logging Software
• Örnekler: Credential Dumping, Keylogging

Discovery (Keşif): Saldırganlar, hedef ağ veya sistemleri keşfetmek ve üzerinde çalışmak için bilgi toplama sürecine girerler. Bu, sistem yapılandırması, ağ topolojisi veya kullanıcı bilgileri gibi bilgilerin elde edilmesini içerir.

• Araçlar: Nmap, Windows Management Instrumentation (WMI), Bloodhound
• Örnekler: Query Registry, System Information Discovery

Lateral Movement (Yanal Hareket): Saldırganlar, erişim elde ettikleri bir sistemden diğer sistemlere veya ağ içinde hareket etmeye çalışırlar. Bu, saldırganın eriştiği bir sistemden başka bir sisteme yayılma çabalarını ifade eder.

• Araçlar: PsExec, Bloodhound, CrackMapExec (CME)
• Örnekler: Remote Desktop Protocol, SMB/Windows Admin Shares

Collection (Toplama): Saldırganlar, hedef sistem veya ağdan veri veya bilgi toplamak için çeşitli yöntemleri kullanırlar. Bu, duyarlı verilerin veya kullanışlı bilgilerin toplanmasını içerir.

• Araçlar: FTK Imager, Wireshark, Snort
• Örnekler: Data from Local System, Data from Network Shared Drive

Exfiltration (Dışa Aktarma): Saldırganlar, hedef sistem veya ağdan topladıkları verileri dışarıya çıkarmak için yöntemler kullanır. Bu, çalınan verilerin bir dış sunucuya aktarılmasını içerir.

• Araçlar: FTP, DNS Tunneling, HTTP/S
• Örnekler: Exfiltration Over Command and Control Channel, Exfiltration Over Alternative Protocol

Impact (Etki): Saldırganlar, sistemlere veya ağlara zarar vermek veya hizmetleri kesintiye uğratmak için çeşitli yöntemler kullanabilirler. Bu, genellikle kötü amaçlı yazılımın kullanılmasıyla gerçekleşir.

• Araçlar: SDelete, Diskpart, rm (Unix/Linux)
• Örnekler: Data Destruction, Disk Wipe

TEKNİKLER

Command and Scripting Interpreter (Komut ve Betik Yorumlayıcıları): Saldırganlar, sistemlerde komut veya betik yürütebilecekleri araçları kullanarak işlem yaparlar. Bu, komut satırı araçları veya betik dillerinin kullanılmasıyla gerçekleşebilir.

• Araçlar: PowerSploit, Empire, Covenant
• Örnekler: PowerShell, Command Prompt (cmd), Python

Resource Development (Kaynak Geliştirme): Saldırganlar, kendilerine özgü kötü amaçlı yazılım veya araçları geliştirmek için kaynakları oluştururlar. Bu, özel exploit’ler, kötü amaçlı yazılımlar veya arka kapılar gibi şeyleri içerebilir.

• Araçlar: Metasploit Framework, Veil, Cobalt Strike
• Örnekler: Özel exploit’ler, kötü amaçlı yazılımlar, arka kapılar (backdoors)

Credential Access (Kimlik Bilgisi Erişimi): Saldırganlar, kullanıcıların kimlik bilgilerini ele geçirmek için çeşitli teknikleri kullanırlar. Bu, parola çalma, hash çalma veya oturum açma bilgilerini ele geçirme gibi yöntemleri içerir.

• Araçlar: Mimikatz, LaZagne, Evilginx
• Örnekler: Pass-the-Hash, Phishing, Keylogging

Discovery (Keşif): Saldırganlar, hedef sistem veya ağdaki bilgileri keşfetmek için çeşitli teknikleri kullanırlar. Bu, sistem yapılandırması, ağ topolojisi veya kullanıcı bilgileri gibi bilgilerin elde edilmesini içerir.

• Araçlar: Nmap, Bloodhound, Windows Management Instrumentation (WMI)
• Örnekler: Network Scanning, System Information Discovery

Lateral Movement (Yanal Hareket): Saldırganlar, erişim elde ettikleri bir sistemden diğer sistemlere veya ağ içinde hareket etmeye çalışırlar. Bu, bir sistemden diğerine geçmek için kullanılan çeşitli teknikleri içerir.

• Araçlar: CrackMapExec (CME), PsExec, Bloodhound
• Örnekler: Remote Desktop Protocol (RDP) Hacking, SMB Relay

Collection (Toplama): Saldırganlar, hedef sistem veya ağdan veri veya bilgi toplamak için çeşitli yöntemleri kullanırlar. Bu, duyarlı verilerin veya kullanışlı bilgilerin toplanmasını içerir.

• Araçlar: FTK Imager, USB Rubber Ducky, Wireshark
• Örnekler: Data from Local System, Data from Removable Media

Command and Control (Komut ve Kontrol): Saldırganlar, hedef sistemleri kontrol etmek veya yönlendirmek için komut ve kontrol mekanizmalarını kullanırlar. Bu, kötü amaçlı yazılımın kontrol edilmesi veya saldırı komutlarının iletilmesini içerir.

• Araçlar: Meterpreter, Cobalt Strike, Empire
• Örnekler: Remote Access Trojans (RATs), Command-Line Interface

Exfiltration (Dışa Aktarma): Saldırganlar, hedef sistem veya ağdan topladıkları verileri dışarıya çıkarmak için yöntemler kullanır. Bu, çalınan verilerin bir dış sunucuya aktarılmasını içerir.

• Araçlar: FTP, DNS Tunneling, HTTP/S
• Örnekler: Data Compressed, Exfiltration Over Command and Control Channel

Impact (Etki): Saldırganlar, sistemlere veya ağlara zarar vermek veya hizmetleri kesintiye uğratmak için çeşitli yöntemler kullanabilirler. Bu, genellikle kötü amaçlı yazılımın kullanılmasıyla gerçekleşir.

• Araçlar: SDelete, Diskpart, rm (Unix/Linux)
• Örnekler: Data Destruction, Disk Wipe