Barikat Siber Güvenlik Logo

SOC Faaliyet Raporu – Temmuz 2021

SOC Faaliyet Raporu – Temmuz  2021 | Barikat Siber Güvenlik

SOC Faaliyet Raporu – Temmuz 2021

01/07/2021

1.GENEL DURUM

Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.

Barikat Siber Güvenlik Operasyon Merkezi (SGOM) kapsamında Temmuz 2021 Ayı’na ilişkin detaylı analizler bu raporda paylaşılmaktadır.

2021 yılı Temmuz ayı bir çok açıdan siber güvenlik tehditleri konusunda hareketli geçmiş, büyük üreticiler tarafından bildirilen bir çok uzaktan kod çalıştırma zafiyetleri ve eski zafiyetlerin polimorfik bileşenleri bu ayın gündeminde yer almıştır.

2.TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR

Aşağıda detaylarını da bulacağınız SGOM bünyesinde Temmuz 2021 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.

Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %8’i Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.


Şekil-1 Olay Kritikliğine Göre Dağılım Grafiği

Temmuz 2021 ayı istatistiklerine bakıldığında; aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının Suspicious Network Activities kategorisinde olduğu görülmektedir.


Şekil-2 Olay Kategorilerine Göre Dağılım Grafiği

Yukarıdaki grafikte Barikat SGOM tarafından Temmuz 2021 ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;

Suspicous Network Activities: Ağ kullanımı sırasında oluşan şüpheli durumları tanımlayan ve anomalileri içinde barındıran kategori.

Account Management: Kurum/Kuruluşun obje yönetiminde kullandığı araçların üzerinde yapılan şüpheli değişiklikler.

Suspicious Web Communications: Proxy ya da url filtreleme kaynaklarından alınan ve alarma neden olan aktiviteler.

Authentication and Authorization: Merkezi sunucular veya yerel sistemler üzerinde meydana gelen yetkilendirme sorunlarını içeren kategori.

Malware: Uç noktalarda zararlı yazılım tespitini ifade eder.

Suspicious network activities kategorisi alarmları sınıflandırıldığında tahmin edilebileceği üzere en fazla olay potansiyel tarama aktivitesi ve kara liste IP’lerine erişim olarak görünmektedir. Ayrıca bu kategorinin altında zaman zaman sistem ve ağ yöneticileri tarafından yapılan legal işlemler de görünmektedir. Bu tip işlemler için analist ekibimiz müşteri ile direkt bağlantıya geçerek geri dönüşleri analiz etmek suretiyle durumu false/pozitif olanlar belirlenmekte ve kurallar ile ilgili iyileştirmeler gerçekleştirilmektedir.


Şekil-3 Şüpheli Aktivitelerin Dağılım Oranı

3.KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER

APT 28

APT28 siber tehdit grubunun bulut hizmetleri ve kurum ağlarını hedef aldığı ve giriş vektörü olarak kaba kuvvet parola denemesi(Brute Force) ataklarını kullandığı tespit edilmiştir.

Özellikle bulut sistemler üzerinde Brute Force saldırısı gerçekleştiren tehdit aktörlerinin, sisteme ait giriş bilgilerini elde ettikten sonra bu bilgileri yetki yükseltme, güvenlik sistemlerinden kaçınma gibi amaçlar için kullandıkları tespit edilmiştir. Ayrıca tehdit aktörlerinin Microsoft Exchange sistemlerinde mevcut olan CVE 2020-0688 ve CVE 2020-17144 gibi zafiyetleri de istismar ettiği gözlemlenmiştir. Pek çok sektör ve kuruluşu hedef alan tehdit aktörleri saldırılarında dosyasız saldırı (Fileless Malware) tekniklerinden de yararlanmaktadır. Tehdit aktörleri yalnızca bulut hizmetlerini değil, şirket içi e-posta sunucularını da hedef almaktadır.

Söz konusu saldırılara maruz kalmamak adına güvenilir bir Anti-Virüs/Anti-Malware çözümünün kullanılması, kullanılan sistem ve programların güncel tutulması ve 2FA kullanılması tavsiye edilmektedir.

Kaynak:
https://threatpost.com/kubernetes-brute-force-attacks-russia-apt28/167518/
https://www.infosecurity-magazine.com/news/russias-apt-28-blamed-brute-force/

Casus Yazılımı (Spyware) Sağlayan Şirket: Candiru

Özel olarak hükümetlere casus yazılım (Spyware) sağlayan İsrail bağlantılı Candiru isimli yeni bir şirket tespit edilmiştir. Candiru tarafından hükümetlere sağlanan söz konusu casus yazılım IOS, Android, MacOS işletim sistemine sahip cihazları, bilgisayarları ve bulut sistemlerini izleme yeteneklerine sahip olduğu bildirilmiştir.

İnternet üzerinde Candiru’nun Spyware yazılımı ile bağlantılı medya şirketi ve sivil toplum kuruluşu izlenimi veren 750’den fazla web sitesi belirlenmiştir. Bununla birlikte; söz konusu kampanyada Türkiye, Filistin, İsrail, İran, Lübnan, Yemen, İspanya, Birleşik Krallık, Ermenistan ve Singapur bağlantılı en az 100 kişinin hedef alındığı gözlemlenmiştir. Hedefler arasında insan hakları savunucuları, muhalifler, gazeteciler, aktivistler ve politikacılar yer almaktadır. Güvenlik araştırmacıları tarafından yapılan analizler neticesinde casus yazılımın Windows işletim sistemlerini etkileyen CVE-2021-31979 ve CVE-2021-33771 kodlu iki yetki yükseltme zafiyetinden yararlandığı tespit edilmiştir.

Söz konusu zararlı yazılım kampanyalarının hedefi olmamak adına zafiyetleri gideren güncel sürümlerin kullanılması, bilinmeyen taraflardan gelen e-posta ve eklerinin açılmaması, şüpheli bağlantılara tıklanmaması, ek olarak olası saldırılara karşı önlem ve aksiyon alınmasını kolaylaştıracak güvenlik çözümlerinin kullanılması tavsiye edilmektedir.

Kaynak:
https://cisomag.eccouncil.org/devilstongue-a-new-spyware-from-israeli-company-candiru/
https://www.ft.com/content/187718a1-9b24-46d8-92a7-0fc5be99b061

HiveNightmare

Microsoft Windows 10 için yönetici parolalarını açığa çıkarmasına neden olabilecek bir 0-day güvenlik zafiyeti tespit edilmiştir.(Referans Linki)

HiveNightmare ya da SeriousSAM olarak adlandırılan söz konusu zafiyet öncelikle henüz yayımlanmamış olan Windows 11 beta sürümünde tespit edilmiştir ancak Windows 10’unda söz konusu zafiyete karşı savunmasız olduğu belirlenmiştir.

HiveNightmare, yönetici ayrıcalıklarına sahip olmayan bir kullanıcının tüm önemli parolaları ve anahtarları içeren Windows Güvenlik Hesap Yöneticisi (SAM) veritabanına erişmesine imkân sağlamaktadır. Bu zafiyetten başarı ile yararlanan tehdit aktörleri SAM, SYSTEM ve SECURITY Registry dosyalarına erişebilmekte ve ayrıcalıklarını yükseltebilmektedir.

Microsoft, tehdit aktörlerinin program yüklemesine, veriler üzerinde değişiklikler gerçekleştirmesine veya tam kullanıcı haklarına sahip yeni hesaplar oluşturmasına izin veren söz konusu zafiyet için bir dizi geçici çözüm yayınlamıştır.

Microsoft tarafından yayınlanan geçici çözümler;

  • %windir%\system32\config içeriğine olan erişimler kısıtlanmalıdır. Bu bağlamda kullanıcıların Powershell ya da Komut İstemi üzerinde “icacls %windir%\system32\config\*.* /inheritance:e” komut dizisini çalıştırmaları gerekmektedir.
  • “Volume Shadow Copy Service (VSS) hizmeti ile oluşturulan yedek kopyalar varsa silinmeli ve Sistem Geri Yükleme noktaları kaldırılmalıdır.
  • CVE-2021-36934 kodlu güvenlik zafiyetinin istismarına yönelik henüz herhangi bir bulgu bulunmamaktadır. Söz konusu zafiyetten kaynaklanabilecek saldırıların hedefi olmamak adına yayınlanacak güncellemelerin takip edilmesi ve yayınlanan geçici çözümlerin ivedilikle uygulanması tavsiye edilmektedir.

    Kaynak: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

    ProxyShell Zafiyeti

    Kıdemli siber güvenlik araştırmacısı Orange Tsai tarafından Microsoft Exchange sunucuları üzerinde keşfedilen CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 zafiyetleri proxyshell olarak ismlendirilmektedir.

    İlgili zafiyetlerin yamaları daha önce yayınlanmıştır. Ancak yapılan tespitler dünyada bu zafiyetlere açık çok fazla exchange sunucusu olduğunu göstermektedir.

    Proxyshell zafiyet güncellemeleri için:
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523

    Detaylı Bilgi
    https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1
    https://guvenlikzafiyet.barikat.com.tr/microsoft-exchange-server-remote-code-execution-vulnerability-34473.html

    4.AYIN ZAFİYETLERİ

    Barikat SGOM tarafından Temmuz 2021 ayı içerisinde bildirimi yapılan zafiyetler aşağıda yer almaktadır.

    Sistem CVE ID CVE SKORU (CVSS 3.x)
    Windows Print Spooler CVE-2021-1675
    https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability
    https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/
    8.8
    McAfee (SIEM) https://kc.mcafee.com/corporate/index?page=content&id=KB94640 -
    Symantec CVE-2021-30648 9.8
    Microsoft Exchange Server CVE-2021-31206
    CVE-2021-34473
    9.8
    9.8
    SolarWinds Serv-U CVE-2021-35211
    https://www.microsoft.com/security/blog/2021/07/13/microsoft-discovers-threat-actor-targeting-solarwinds-serv-u-software-with-0-day-exploit/
    https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211
    10.0
    Trend Micro CVE-2021-32463
    7.8

    5.AYIN ÖNERİSİ

    Son dönemlerde ülkemizi hedef alan bazı siber saldırı grupları olduğu bilinmektedir.

    Bu gruplar kurumsal ağlara girebilmek adına birçok giriş vektörünü denemektedirler ve bunlarda en yoğun olarak rağbet gören vektör oltalama(phishing) saldırılarıdır.

    Phishing saldırılarından korunmak için;

  • Güvenlik ekipler yeni oltalama tekniklerini takip etmeli
  • Kullanıcıların linklere tıklamadan önce düşünmeleri açısından siber güvenlik farkındalığı
  • Politikaları itibariyle korumaya yönelik bir EDR çözümü
  • Düzenli siber istihbarat beslemesi
  • Ve tüm yetkilendirme mekanizmaları için çoklu otantikasyon önerilmektedir.
  • Sosyal Medyada Paylaş