SOC Faaliyet Raporu - Aralık 2020
12/01/20211. GENEL DURUM
Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.
2. TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR
Aşağıda detaylarını da bulacağınız Barikat Siber Güvenlik Operasyon Merkezi (SGOM) bünyesinde Aralık 2020 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.
Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %2’si Seviye-2 (L2) analiste yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.
Aralık ayı istatistiklerine bakıldığında aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının şüpheli aktiviteler, obje yönetimi ve zararlı IP adresi ile iletişim gibi kategorilerden meydana geldiği görünmektedir.
Yukarıdaki grafikte Barikat SGOM tarafından Aralık ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;
Şüpheli Aktiviteler: Herhangi bir kategoriye dahil olmayan ve %100 tanımlanmış bir atak metriğini içinde barındırmayan, ancak anomali oluşturmuş ve potansiyel tehdit olabilecek aktiviteler.
AD Kullanıcı Aktiviteleri: Kurum/Kuruluşun obje yönetiminde kullandığı araçların (Bu kategoride %100 Windows Active Directory yapısı baz alınıyor) üzerinde yapılan şüpheli değişiklikler.
Zararlı IP Adresi ile İletişim: C&C olması muhtemel, tehdit istihbarat servislerinden toplanan zararlı IP’ler ile iletişimi ifade eder.
Tarama Aktiviteleri: Uzaktan yerele ya da yerelden uzağa yapılan tarama aktiviteleri.
VPN Şüpheli Aktivite: VPN kaynaklarından alınan şüpheli aktiviteler. Örneğin bir kullanıcının çok fazla sayıda bağlantı isteği, bağlantı zamanı uzunluğu, yeni bir cihazdan vpn bağlantısı yapılması vs. gibi.
3. KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER
QakBot: Qbot ya da Pinkslipbot olarak da bilinir.
Esasında bir bankacılık trojanıdır. Finansal odaklı veriyi ele geçirmeyi hedefler ve tuş vuruşlarını takip eder. Polimorfik bir trojan olduğu için tanımlanabilir ve tespit edilebilir özelliklerini sürekli güncellemektedir.
İlk olarak 2007 yılında ortaya çıkan bu zararlı kendini sürekli güncellemekte ve özelliklerini geliştirmektedir. En son geldiği noktada çok katmanlı ve iyi tasarlanmış bir zararlı olarak karşımıza çıkmaktadır.
Emotet kampanyası aracılığı ile daha önce karşımıza çıkan zararlı normal bir dosya gibi görünerek (genellikle calc.exe) sisteminizi izlemeye başlar ve verileri çalmak için çalışır. Ayrıca sistem üzerinde arkakapılar bırakacak içerikleri indirmek için C2 sunucuları ile de iletişime geçtiği tespit edilmiştir.
QakBot’tan Korunmak İçin Öneriler:
• Mailleraracılığı ile gelen URL’lerin taranması,
• VBScript ve Javascript indirilmesini ve çalıştırılmasının engellenmesi,
• Local administrator kullanıcılarının parolalarının kontrolü ve zorlaştırılması,
• Şüpheli işlemlerin EDR ve SIEM üzerinden takip edilerek , tehdit avlama metodlarına başvurulması,
• Web proxy ve firewall loglarının C2 ilişkili olabilecek adres ve IP'lere karşı sürekli takip edilmesi.
Mountlocker Ransomware
Mountlocker ransomware zararlısı bir RaaS(Ransomware as a Service) olarak hizmet vermektedir. Bu durum teknolojiye ne kadar uzak olursa olsun herhangi bir saldırganın parasını ödeyerek bir ransom kampanyası başlatabileceği anlamına gelmektedir. Temmuz 2020’de keşfedilen bu zararlının 2020 Kasım – Aralık aylarında etkinliğini arttırdığı gözlemlenmektedir. Ransomware’dan korunmak için son kullanıcıların siber güvenlik farkındalığının arttırılması, tüm sistemlerin güncel tutulması ve son kullanıcıdaki güvenlik çözümleri ile tam hakimiyet sağlanması önerilmektedir.
4. AYIN OLAYI
Fireeye tarafından bildirilen sızıntı ile birlikte gündeme gelen “SolarWinds Sunburst Saldırı Kampanyası” tüm dünyada yankı uyandırdı. Microsoft’un kaynak kodlarının bile sızdırılmış olabileceği belirtilmektedir. Ayrıca bu kampanyanın hemen ardından saldırganların uzaktan komut çalıştırabilmesinin önünü açan “SolarWinds Orion API Kimlik Doğrulaması Atlatma Zafiyeti” konusu CERT tarafından bildirildi. SolarWinds’in ilgili açıklıkları ile ayrıntılı bilgi almak için:
SolarWinds Sunburst Saldırı Kampanyası
SolarWinds Orion API Kimlik Doğrulaması Atlatma Zafiyeti
5. AYIN ZAFİYETLERİ
Barikat SGOM tarafından bu ay bildirimi yapılan zafiyetler aşağıda yer almaktadır.
| Sistem | CVE ID | CVE SKORU (CVSS 3.x) |
|---|---|---|
| Symantec | CVE-2020-12593 | 7.5 |
| Micro Focus | CVE-2020-11851 | 9.8 |
| Check Point | CVE-2020-6021 | 7.8 |
| McAfee | Vulnerabilities in McAfee ePolicy Orchestrator | - |
| Microsoft SharePoint | CVE-2020-17118 | 9.8 |
| VMware | CVE-2020-4004 | 8.2 |
| VMware | CVE-2020-4005 | 7.8 |
| VMware | CVE-2020-4006 | 9.1 |
| VMware | CVE-2020-3992 | 9.8 |
| VMware | CVE-2020-4008 | 7.1 |
| VMware | CVE-2020-3992 | 9.8 |
| Microsoft Exchange Server | CVE-2020-17132 | 9.1 |
| Microsoft Exchange Server | CVE-2020-17142 | 9.1 |
| Trend Micro | CVE-2020-28572 | 7.8 |
| Solarwinds | CVE-2020-10148 | 9.8 |
| Solarwinds | Solarwinds | 9.8 |
| Microsoft Windows Network File System | CVE-2020-17051 | 9.8 |
| IBM QRadar | IBM QRadar Deployment Problem | - |
6. AYIN ÖNERİSİ
Phishing maillerinde son dönemin trendleri arasında COVID-19 aşısı ile ilgili yükselen bir trend olduğu gözlemlenmektedir. Bu durumun üzerinden gelebilmek adına mail güvenliği çözümlerinde gerekli anahtar kelimeler ile filtreler oluşturarak görünebilir hale getirilmesi ve son kullanıcılar üzerinde farkındalığın arttırılmasına yönelik çalışmaların yapılması tavsiye edilmektedir.