SOC Faaliyet Raporu - Şubat 2021
14/03/20211. GENEL DURUM
Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.
Barikat Siber Güvenlik Operasyonları Merkezi kapsamında Şubat Ayı’na ilişkin detaylı analizler bu raporda paylaşılmaktadır.
2021 yılı Şubat ayı içeresinde bir çok açıdan siber güvenlik tehditleri konusunda hareketli geçtiği, saldırganların önceki dönemlere göre taktik, teknik ve prosedürel açıdan çok büyük gelişimler kaydetmediği ancak her zaman olduğu gibi zararlı yazılımlar noktasında polimorfizm ile değişimin sürekli devam ettiği kayıtlara geçmiştir.
Kişisel ve kurumsal tehditlerin trendi gözden geçirildiğinde Şubat ayı içinde COVID-19 konulu oltalama saldırıları ve bu oltalamaları takip eden yeni fidye yazılımları keşfedilmiştir. Fidye yazılımlarının seyrine bakıldığında daha önce bir kaç muhtelif olay yaşanan MAC OS platformunun hedef alınmaya başladığı ve fidye yazılımlarının sadece fidye değil ayrıca veri sızdırmak üzere de farklı fonksiyonlar ile yeteneklerini arttırdıkları gözlemlenmiştir.
2. TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR
Aşağıda detaylarını da bulacağınız Barikat Siber Güvenlik Operasyon Merkezi (SGOM) bünyesinde Ocak 2021 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.
Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %4’ü Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.
Şubat 2021 ayı istatistiklerine bakıldığında aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının şüpheli aktiviteler, AD Kullanıcı İşlemleri ve tarama aktiviteleri nedeniyle oluştuğu görülmektedir.
Yukarıdaki grafikte Barikat SGOM tarafından Şubat 2021 ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;
Şüpheli Aktiviteler: Herhangi bir kategoriye dahil olmayan ve %100 tanımlanmış bir atak metriğini içinde barındırmayan, ancak anomali oluşturmuş ve potansiyel tehdit olabilecek aktiviteler.
AD Kullanıcı Aktiviteleri: Kurum/Kuruluşun obje yönetiminde kullandığı araçların (Bu kategoride %100 Windows Active Directory yapısı baz alınıyor) üzerinde yapılan şüpheli değişiklikler.
Tarama Aktiviteleri: Uzaktan yerele ya da yerelden uzağa yapılan tarama aktiviteleri.
Zararlı IP Adresi ile İletişim: C&C olması muhtemel, tehdit istihbarat servislerinden toplanan zararlı IP’ler ile iletişimi ifade eder.
Brute Force Aktiviteleri: Saldırganın bir hesaba ait parolayı tahmin etme motivasyonuyla, farklı parola kombinasyonları denemesi durumunu ifade eder.
Malware Detection: Uç noktalarda zararlı yazılım tespitini ifade eder.
Mesai Dışında Login: Sistemlere mesai saatleri dışında yapılan oturum açma aktivitelerini ifade eder.
Şüpheli aktiviteler kategorisi alarmları sınıflandırıldığında tahmin edilebileceği üzere en fazla olay potansiyel oltalama aktivitesi ve şüpheli göndericilerden gelen mailler olarak görünüyor. Ayrıca bu kategorinin altında zaman zaman sistem ve ağ yöneticileri tarafından yapılan legal işlemler de görünmektedir. Bu tip işlemler için analist ekibimiz müşteri ile direk bağlantıya geçerek geri dönüşleri analiz etmek suretiyle durumu false/pozitif olanlar belirlenmekte ve kurallar ile ilgili iyileştirmeler gerçekleştirilmektedir.
3. KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER
MAC Ransomware – EvilQuest
Genellikle fidye yazılımı tehdidinden daha az etkilenen macOS cihazlarını şifrelemeyi amaçlayan bir fidye yazılımıdır. EvilQuest, vahşi ortamda bulunan macOS cihazları için üçüncü fidye yazılımı çeşididir.
EvilQuest fidye yazılımının, diğer fidye yazılımı varyantlarına kıyasla şifreleme algoritmasında tüm aşamalarda simetrik şifreleme kullandığı tespit edilmiştir. Bu da olay müdahale açısından bakıldığında bu şifrenin çözülmesinin diğer varyantlara oranla biraz daha kolay olabileceği anlamına gelmektedir.
EvilQuest diğer fidye yazılımlarında olmayan bazı ek işlevler içermektedir. Örneğin, hedef makina üzerinde ssh anahtarlarını aradığı, keylogger olarak faaliyet gösterdiği ve güvenilir sertifikaları aradığı tespit edilmiştir.
Korunmak için yapılabilecekler ise; sadece güvenilir kaynaklardan dosya indirmek, bir anti-virüs programı kullanmak ve yeterli sıklıkta yedek almak olarak sayılabilir.
Hildegard Zararlı Yazılımı
Hildegard adı verilen kötücül yazılım, Kubernetes platformlarını hedeflemektedir. Hildegard kötücül yazılımının, TeamTNT grubu tarafından geliştirildiği ve Monero kripto para birimi madenciliği için bulut ve konteyner altyapılarına odaklandığı tespit edilmiştir. Uzmanlar yazılımın detaylı incelenmesinin ardından halen geliştirilmeye devam edildiğini düşündüklerini belirtmişlerdir.
Masslogger Oltalama Kampanyası
Bu sürüm derlenmiş HTML (CHM) formatını kullanarak bulaşma zincirini başlatmaktadır.
Bu yeni sürüm Truva atı Windows üzerinde Microsoft Outlook, Google Chrome ve çeşitli anlık yazışma yazılımlarındaki hesap bilgilerinin çalınmasını hedef almaktadır.
Söz konusu bulaşma, hedef olan kuruma meşru görünümlü bir konu başlığı ile atılan bir e-posta ile başlamakta ve bu e-postanın ekinde alışılmadık bir dosya uzantısına sahip bir RAR dosyası içermektedir. Aslında bu dosya bir CHM (derlenmiş HTML) dosyasıdır, bu dosyanın içerisinde de aktif bulaşma sürecini başlatacak olan JavaScript kodu bulunmaktadır. Bu aşamalardan sonra bilgisayara indirilen zararlı yazılım kullanıcının bilgilerini çalma aşamasını başlatmaktadır.
ÖKampanya ile ilgili detaylara https://guvenlikzafiyet.barikat.com.tr/zafiyet/masslogger-oltalama-kampanyasi bağlantısı üzerinden ulaşılabilir.
4. AYIN ZAFİYETLERİ
Barikat SGOM tarafından bu ay bildirimi yapılan zafiyetler aşağıda yer almaktadır.
Sistem | CVE ID | CVE SKORU (CVSS 3.x) |
---|---|---|
IBM Qradar | CVE-2020-4888 | 8.8 |
Microsoft Windows TCP/IP Remote Code Execution | CVE-2021-24074 | 9.8 |
Microsoft Windows TCP/IP Remote Code Execution | CVE-2021-24094 | 9.8 |
VMWare | CVE-2021-21972 | 9.8 |
VMWare | CVE-2021-21973 | 5.3 |
VMWare | CVE-2021-21974 | 8.8 |
Trend Micro | CVE-2021-25249 | 7.8 |
Masslogger | https://guvenlikzafiyet.barikat.com.tr/zafiyet/masslogger-oltalama-kampanyasi
https://threatpost.com/masslogger-microsoft-outlook-google-chrome/164011/ |
- |
6. AYIN ÖNERİSİ
Uzaktan çalışmanın çok yaygınlaştığı bu pandemi döneminde, uzaktan çalışmanın hayatın bir parçası halline gelmiş olması ve bundan sonra da hep hayatımızda büyük yer tutacağı bir gerçektir. Bu nedenle uzaktan çalışma konusunda alınması gereken güvenlik önlemlerine çok dikkat edilmesi gerekmektedir. Organizasyonlar için öncelikle doğru mimarinin uygulanması, uzaktan erişecek personellerin ve erişilecek varlıkları belirlenmesi erişim kurallarının doğru tanımlanması gerekmektedir. Bağlantı yöntemi olarak da; yedekli ISP, şifreli erişim yöntemleri ve iki faktörlü doğrulama kullanılması doğru olacaktır. Uzaktan erişimin servis dışı kalmaması için DDOS saldırılarına karşı dayanıklılığı test edilmeli ve bu konuda düzeltici aksiyonlar hem ISP tarafında hem de organizasyon bünyesinde alınmalıdır. Ayrıca tüm varlıklarda doğru bir zafiyet yönetimi yapmak gerekecektir. Bu sayede uzaktan erişimle sömürülecek açıklıkların kapatılmasını sağlanacaktır. Yukarıda bahsedilen güvenlik tedbirlerine ilave olarak da tüm uzaktan erişime ait işlemlerin kayıtlarının tutulması, gerekli alarm oluşturacak tehdit tespit kurallarının oluşturulması ve oluşturulan bu alarmların ve bilişim altyapısının sürekli izlenmesi sağlanmalıdır. Bu sayede oluşabilecek olumsuz durumlar hızlıca tespit edilerek, gereken aksiyonlar en kısa sürede alınabilecektir.
Sistemlerde alınan onca tedbire ilave olarak siber güvenliğin her alanında olduğu gibi uzaktan çalışma konusunda da kullanıcı farkındalığı büyük önem taşımaktadır.