MITRE ATT&CK Framework Nedir? Siber Tehditleri Anlamak ve Savunmak

-

Modern siber saldırılar artık yalnızca kötü amaçlı yazılım bulaştırmaktan ibaret değildir. Günümüzde saldırganlar; keşif yapar, sistemlere sızar, yetki yükseltir, ağ içinde yatay hareket eder, veri çalar ve izlerini gizler. Bu karmaşık süreçleri anlamak için dünya genelinde kabul görmüş bir çerçeveye ihtiyaç duyulur.

İşte bu noktada devreye MITRE Corporation tarafından geliştirilen MITRE ATT&CK Framework girer.

MITRE ATT&CK, saldırganların gerçek dünyada kullandıkları taktikleri ve teknikleri sistematik şekilde sınıflandıran bir bilgi tabanıdır. Günümüzde SOC ekipleri, tehdit avcıları (Threat Hunters), olay müdahale uzmanları (Incident Responders), Red Team ve Blue Team ekipleri tarafından aktif olarak kullanılmaktadır.

MITRE ATT&CK Nedir?

ATT&CK ifadesi:

Adversarial
Tactics,
Techniques,
and
Common
Knowledge

anlamına gelir.

Türkçe karşılığı:

"Saldırgan Taktikleri, Teknikleri ve Ortak Bilgi Tabanı"

MITRE ATT&CK, gerçek saldırılardan elde edilen verilerle oluşturulmuş bir bilgi bankasıdır.

Amaç:

  • Saldırgan davranışlarını standartlaştırmak

  • Savunma ekiplerinin ortak dil kullanmasını sağlamak

  • Güvenlik ürünlerini değerlendirmek

  • Tehdit avcılığı yapmak

  • Olay müdahalesini geliştirmek

ATT&CK Matrisinin Yapısı

ATT&CK üç temel bileşenden oluşur:

1. Taktik (Tactic)

Taktik, saldırganın hedefini ifade eder.

Örnek:

  • İlk erişim elde etmek

  • Kalıcılık sağlamak

  • Veri çalmak

ATT&CK içerisinde taktikler sütunlar halinde gösterilir.

2. Teknik (Technique)

Teknik, saldırganın hedefe ulaşmak için kullandığı yöntemdir.

Örnek:

Taktik:

Credential Access

Teknik:

Brute Force

Yani saldırgan parola elde etmek için kaba kuvvet saldırısı yapmaktadır.

3. Alt Teknik (Sub-Technique)

Tekniklerin daha detaylı alt kategorileridir.

Örnek:

Phishing

alt teknikleri:

  • Spear Phishing Attachment

  • Spear Phishing Link

  • Spear Phishing Service

ATT&CK Enterprise Matrix

En yaygın kullanılan matris Enterprise Matrix'tir.

Başlıca taktikler:

TaktikAmaç
ReconnaissanceKeşif
Resource DevelopmentKaynak hazırlama
Initial Accessİlk erişim
ExecutionKod çalıştırma
PersistenceKalıcılık
Privilege EscalationYetki yükseltme
Defense EvasionSavunmadan kaçma
Credential AccessKimlik bilgisi ele geçirme
DiscoverySistem keşfi
Lateral MovementAğ içinde yayılma
CollectionVeri toplama
Command and ControlKomuta kontrol
ExfiltrationVeri sızdırma
ImpactEtki oluşturma

ATT&CK Saldırı Zinciri

Tipik bir saldırı aşağıdaki şekilde ilerler:

Reconnaissance
Resource Development
Initial Access
Execution
Persistence
Privilege Escalation
Credential Access
Discovery
Lateral Movement
Collection
Exfiltration
Impact

1. Reconnaissance (Keşif)

Saldırgan hedef hakkında bilgi toplar.

Örnek faaliyetler:

  • Alan adı araştırması

  • Sosyal medya incelemesi

  • Personel bilgileri toplama

  • DNS kayıtlarını inceleme

Kullanılan araçlar:

  • WHOIS

  • Shodan

  • Maltego

2. Resource Development

Saldırgan operasyon için kaynak hazırlar.

Örnekler:

  • Zararlı alan adı satın alma

  • VPS kiralama

  • Sahte e-posta altyapısı kurma

3. Initial Access

İlk erişimin elde edilmesidir.

En yaygın teknikler:

Phishing

Kurbanın kandırılması.

Exploit Public-Facing Application

İnternete açık sistemlerin sömürülmesi.

Supply Chain Compromise

Tedarik zinciri saldırıları.

Örnek:

SolarWinds Supply Chain Attack

4. Execution

Sistemde kod çalıştırılması.

Örnek teknikler:

powershell.exe -EncodedCommand ...

cmd.exe /c payload.exe

bash exploit.sh

5. Persistence

Sistem yeniden başlatılsa bile erişimin korunması.

Teknikler:

  • Registry Run Keys

  • Scheduled Tasks

  • Startup Folder

  • Services

Örnek:

schtasks /create /tn Update /tr malware.exe

6. Privilege Escalation

Yetki yükseltme.

Amaç:

User
Administrator
SYSTEM

Yöntemler:

  • Kernel Exploit

  • UAC Bypass

  • Token Manipulation

7. Defense Evasion

Güvenlik sistemlerinden kaçınma.

Örnek teknikler:

Obfuscated Files

Kod gizleme.

Process Injection

Başka sürece zararlı kod yerleştirme.

Indicator Removal

Log silme.

Örnek:

wevtutil cl Security

8. Credential Access

Kimlik bilgilerini ele geçirme.

Yöntemler:

  • Keylogger

  • Password Spraying

  • Credential Dumping

Ünlü teknik:

LSASS Dumping

Araç:

Mimikatz

9. Discovery

Ağ ve sistem keşfi.

Örnek komutlar:

whoami
ipconfig
net user
net group

Linux:

id
ifconfig
uname -a

10. Lateral Movement

Ağ içerisinde diğer sistemlere yayılma.

Teknikler:

  • SMB

  • RDP

  • SSH

  • Pass-the-Hash

Amaç:

Workstation
File Server
Domain Controller

11. Collection

Verilerin toplanması.

Örnekler:

  • Dokümanlar

  • Veritabanları

  • E-postalar

  • Ekran görüntüleri

12. Command and Control (C2)

Ele geçirilen sistemlerin yönetilmesi.

Mimari:

Attacker
C2 Server
Victim

Sık kullanılan protokoller:

  • HTTPS

  • DNS

  • ICMP

13. Exfiltration

Verinin dışarı çıkarılması.

Yöntemler:

  • HTTPS

  • Cloud Storage

  • DNS Tunneling

Örnek:

Database Backup
ZIP
HTTPS Upload

14. Impact

Son aşama.

Örnekler:

  • Dosya şifreleme

  • Veri silme

  • Hizmet kesintisi

  • Sistem bozma

Örnek olay:

WannaCry Ransomware Attack

MITRE ATT&CK ve SOC Operasyonları

SOC ekipleri ATT&CK'i aşağıdaki amaçlarla kullanır:

Alarm Sınıflandırma

Örnek:

T1055
Process Injection

Alarm doğrudan ATT&CK tekniğine bağlanabilir.

Threat Hunting

Örnek soru:

"Ortamımızda PowerShell kullanımına dayalı saldırı belirtisi var mı?"

Incident Response

Olay müdahalesinde:

Saldırgan hangi teknikleri kullandı?

sorusu ATT&CK ile cevaplanır.

ATT&CK Teknik Kimlikleri

Her teknik benzersiz ID'ye sahiptir.

Örnekler:

TeknikID
PhishingT1566
Process InjectionT1055
PowerShellT1059.001
Command ShellT1059.003
Scheduled TaskT1053
Valid AccountsT1078

Bu kodlar raporlarda yaygın kullanılır.

ATT&CK ve Purple Team Çalışmaları

Purple Team yaklaşımında:

Red Team

Bir ATT&CK tekniğini uygular.

Örnek:

T1055
Process Injection

Blue Team

Bunu tespit etmeye çalışır.

Sonuç:

Detect
Analyze
Improve

Bu süreç güvenlik olgunluğunu artırır.

ATT&CK Navigator

MITRE'nin en güçlü araçlarından biri:

ATT&CK Navigator

Özellikleri:

  • Teknikleri renklendirme

  • Kapsama analizi

  • Savunma boşluklarını görme

  • Red Team planlama

ATT&CK'in Avantajları

✅ Ortak dil oluşturur

✅ Gerçek saldırılara dayanır

✅ Tehdit avcılığını kolaylaştırır

✅ Güvenlik ürünlerini değerlendirmeye yardımcı olur

✅ SOC operasyonlarını standartlaştırır

✅ Olay müdahalesini hızlandırır

ATT&CK'in Sınırlamaları

❌ Bir savunma standardı değildir

❌ Risk puanlaması yapmaz

❌ CVSS yerine geçmez

❌ Her saldırıyı birebir temsil etmez

❌ Sürekli güncellenmesi gerekir

Sonuç

MITRE ATT&CK günümüzde siber güvenlik dünyasının ortak dili haline gelmiştir. Bir güvenlik analistinin, SOC uzmanının, tehdit avcısının veya olay müdahale uzmanının ATT&CK taktiklerini ve tekniklerini bilmesi artık temel bir gerekliliktir. Saldırganların davranışlarını anlamak, tehditleri tespit etmek ve savunma mekanizmalarını geliştirmek için ATT&CK Framework en güçlü kaynaklardan biridir.

Özellikle Blue Team, Threat Hunting, Incident Response, SIEM korelasyon kuralları ve Purple Team çalışmalarında ATT&CK bilgisi doğrudan operasyonel fayda sağlar. Siber güvenlik kariyerinde ilerlemek isteyen herkesin ATT&CK matrisi üzerindeki teknikleri düzenli olarak incelemesi ve gerçek senaryolarla ilişkilendirmesi önerilir.

MITRE ATT&CK Çerçevesi: Siber Tehditleri Anlamak ve Savunmayı Güçlendirmek

Siber güvenlik dünyasında tehditleri anlamak, yalnızca saldıranların kullandığı araçları bilmekten ibaret değildir; aynı zamanda onların düşünce yapısını, hedeflerini ve yöntemlerini de kavramayı gerektirir. İşte bu noktada MITRE ATT&CK (Adversary Tactics, Techniques, and Common Knowledge) çerçevesi devreye girer. Siber güvenlik uzmanları, analistler ve eğitimciler için ortak bir dil oluşturan bu yapı, günümüzün en önemli savunma ve analiz rehberlerinden biridir.

MITRE ATT&CK Nedir?

MITRE ATT&CK, siber saldırganların gerçek dünya gözlemlerine dayanan davranışlarını kategorize eden, sürekli güncellenen küresel bir bilgi tabanıdır. Geleneksel güvenlik modelleri genellikle neyin saldırıya uğradığına (indicators of compromise - IoC) odaklanırken, ATT&CK saldırganların nasıl ve neden hareket ettiğine odaklanır.

Bu çerçeve üç temel sütun üzerine inşa edilmiştir:

  • Taktikler (Tactics - "Neden?"): Saldırganın ulaşmak istediği kısa vadeli teknik hedeftir. Örneğin; sisteme ilk erişimi sağlamak (Initial Access), sistemde kalıcılık sağlamak (Persistence) veya verileri dışarı sızdırmak (Exfiltration).

  • Teknikler (Techniques - "Nasıl?"): Saldırganın bir taktiği başarmak için kullandığı spesifik yöntemdir. Örneğin; "Initial Access" taktiği için "Phishing" (Oltalama) veya "Valid Accounts" (Geçerli Hesapların Kullanımı) birer tekniktir.

  • Prosedürler (Procedures - "Spesifik Uygulama"): Belirli bir tehdit aktörünün (örneğin APT29) bir tekniği tam olarak nasıl uyguladığının detaylı açıklamasıdır.

Çerçevenin Temel Taktikleri (Matris Görünümü)

MITRE ATT&CK matrisi, bir saldırının yaşam döngüsünü başından sonuna kadar kapsar. Kurumsal matriste yer alan başlıca taktiklerden bazıları şunlardır:

  1. Keşif (Reconnaissance): Hedef hakkında bilgi toplama (Açık portlar, zafiyet taramaları).

  2. Kaynak Geliştirme (Resource Development): Saldırı için altyapı hazırlama.

  3. İlk Erişim (Initial Access): Ağ veya sisteme ilk adımın atılması.

  4. Çalıştırma (Execution): Zararlı kodun hedef sistemde çalıştırılması.

  5. Kalıcılık (Persistence): Sistem yeniden başlatılsa bile erişimin korunması (Örn: Zamanlanmış görevler oluşturma).

  6. Ayrıcalık Yükseltme (Privilege Escalation): Standart kullanıcı haklarından, yönetici (root/admin) haklarına geçiş.

  7. Savunmadan Kaçınma (Defense Evasion): Güvenlik araçlarına (Antivirüs, IDS/IPS) yakalanmamak için teknikler kullanma.

  8. Yanal Hareket (Lateral Movement): Ağ içindeki diğer cihazlara ve sunuculara sıçrama.

Eğitim ve Simülasyonlarda MITRE ATT&CK Kullanımı

MITRE ATT&CK, özellikle yapılandırılmış siber güvenlik eğitimlerinde ve laboratuvar ortamlarında mükemmel bir senaryo üretme aracıdır. Teorik bilginin pratiğe döküldüğü Red Team vs. Blue Team simülasyonlarında her iki taraf için de bir referans noktası sunar.

Red Team (Kırmızı Takım) Perspektifi

Saldırı simülasyonları düzenlerken, rastgele araçlar kullanmak yerine senaryolar ATT&CK matrisine dayandırılabilir.

  • Örnek Senaryo: Red Team, "Discovery" taktiği altında ağ haritası çıkarmak için Nmap kullanır. Ardından "Credential Access" taktiği ile bellekten parola dökümleri almayı dener. Bu planlı yaklaşım, simülasyonun bir "gelişmiş kalıcı tehdit" (APT) grubunu ne kadar iyi taklit ettiğini ölçmeyi sağlar.

Blue Team (Mavi Takım) Perspektifi

Savunma tarafı, mevcut güvenlik altyapısının hangi teknikleri tespit edebildiğini görmek için matrisi bir kontrol listesi olarak kullanır.

  • Örnek Savunma: Ağ trafiğini analiz eden bir Blue Team, yalnızca anormallikleri aramak yerine, kurallarını doğrudan MITRE teknikleriyle eşleştirebilir. Örneğin, Suricata veya Snort üzerinde yazılan IDS kuralları, "Command and Control" (C2) taktiğine ait belirli ağ paketi imzalarını (örn: hping3 ile oluşturulan anomali trafiği) tespit edecek şekilde optimize edilir ve loglar doğrudan ATT&CK ID'leri ile etiketlenir.

Güvenlik Duruşunu Değerlendirme (Gap Analysis)

MITRE ATT&CK'in en güçlü yanlarından biri "Boşluk Analizi" (Gap Analysis) yapmaya olanak tanımasıdır. Bir ağ altyapısını yönetirken kendinize şu soruları sormanızı sağlar:

  • "Saldırganlar 'Lateral Movement' için SMB protokolünü kullanırsa, bunu tespit edecek loglamayı yapıyor muyum?"

  • "Sistemlerimizde yetki yükseltme (Privilege Escalation) girişimlerini engelleyecek sıkılaştırmalar (hardening) mevcut mu?"

Bu sorulara verilen yanıtlar doğrultusunda, SIEM (Security Information and Event Management) kuralları güncellenir ve eksik olan log kaynakları (örneğin Linux sistemlerde auditd, Windows'ta Sysmon) sisteme entegre edilir.

Sonuç

MITRE ATT&CK, siber güvenliği soyut bir kavram olmaktan çıkarıp, ölçülebilir ve test edilebilir bir mühendislik disiplinine dönüştürür. Öğrenciler, sistem yöneticileri ve siber güvenlik profesyonelleri için olaylara "saldırganın gözünden" bakma yeteneği kazandırır. Bu çerçeveyi laboratuvar çalışmalarına ve günlük operasyonlara entegre etmek, ağ savunmasında proaktif ve bilinçli bir yaklaşım benimsemenin en sağlam yoludur.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı