SOC Faaliyet Raporu - Kasım 2020
15/12/20201. GENEL DURUM
Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.
2. TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR
Aşağıda detaylarını da bulacağınız Barikat Siber Güvenlik Operasyon Merkezi (SGOM) bünyesinde Kasım 2020 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.
Yukarıdaki grafikte Barikat SGOM tarafından Kasım ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi kategorilerde tehditler ile yüzleştiği grafikte özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;
Erişilebilirlik Göstergeleri: Kurum/Kuruluşun verdiği hizmetlerde herhangi bir kesinti yaşanıp yaşanmadığını kontrol eder.
Güvenlik Göstergeleri: Kurum/Kuruluşun güvenlik tespit mekanizmalarından gelen alarmların takip edildiği göstergelerdir.
Performans Göstergeleri: Kurum/Kuruluşun iç kaynaklarında oluşan kaynak kullanımına yönelik metriklerin toplanmasıyla ortaya çıkan göstergelerdir.
Grafiğe göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %3’ü Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.
Kasım ayı istatistiklerine bakıldığında özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının Tarama Aktiviteleri, Brute Force Aktiviteleri ve Zararlı IP Adresi ile İletişim olayları olarak tespit edildiği görülmektedir.
Ayrıca Phishing Mail girişimleri tamamına yakını güvenlik cihazlarında bloke edilmiş olsa da her zaman olduğu gibi saldırganlar cephesindeki popülerliğini korumakta. Bu durum ransomware girişimlerinin ne kadar fazla denendiği konusunda siber savunma cephesine ciddi bir mesaj vermektedir.
3. KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER
Bu ay küresel raporlar ve bildirimler kontrol edildiğinde RYUK tehdidi liste başında yer almaktadır.
RYUK bir ransomware türevidir. 2018 yılında keşfedilmiş ve hedefli saldırılarda kullanıldığı belirlenmiştir.
RYUK zararlısının Zerologon exploit (CVE-2020-1472) zafiyetini kullandığı gözlemlenmektedir.
4. ÜLKEMİZİ TEHDİT EDEN TRENDLER
DeathStalker bir hack-for-hire APT grubudur ve 2012'den beri hukuk firmalarını ve finansal kuruluşları hedeflemektedir. Hedef aldığı başlıca ülkeler arasında Türkiye, Lübnan, İsviçre, Arjantin, Çin, Kıbrıs, Hindistan ve İsrail bulunmaktadır.
PowerPepper olarak adlandırılan zararlının 2020 Temmuz ayından beri aktif olarak kullanıldığı tespit edilmiştir. PowerPepper, uzaktan gönderilen shell komutlarını yürütebilen bir Windows PowerShell arka kapı yazılımıdır. Zararlı yazılımın, bir C&C tarafından yönetildiği ve alan adıyla ilişkili DNS sunucularına TXT tipi istekleri gönderdiği gözlemlenmiştir. Zararlı yazılım C&C sunucuları ile iletişim kurarak çalışan komutaların çıktılarını aktarmaktadır. Söz konusu zararlı yazılım aşağıdaki giriş vektörlerini kullanmaktadır.
- Oltama mailleri
- Zararlı pdf ve word dosyaları
5. AYIN ZAFİYETLERİ
Barikat SGOM tarafından bu ay bildirimi yapılan zafiyetler aşağıda yer almaktadır.
Sistem | CVE ID | CVE SKORU (CVSS 3.x) |
---|---|---|
Palo Alto Networks | CVE-2020-2050 | 8.2 |
McAfee | CVE-2020-7331 | 7.8 |
McAfee | CVE-2020-7332 | 8.8 |
Microsoft Windows Network File System | CVE-2020-17051 | 9.8 |
Microsoft Exchange Server | CVE-2020-17084 | 8.8 |
Microsoft Sharepoint | CVE-2020-17016 | 8.8 |
Microsoft Sharepoint | CVE-2020-17061 | 8.8 |
Fortinet | CVE-2018-13379 | 9.8 |
Fortinet | CVE-2018-13382 | 7.5 |
6. AYIN ÖNERİSİ
Geçtiğimiz ay Microsoft tarafından yayınlanmış olan RCE zafiyetine ilişkin güncellemeleri sistemlerinize yüklemeniz önemle tavsiye edilmektedir. Ayrıca IPV6 kullanmıyorsanız iş istasyonlarınızda ve sunucularınızda etkisizleştiriniz.