SOC Faaliyet Raporu – Eylül 2021
01/09/20211.GENEL DURUM
Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.
Barikat Siber Güvenlik Operasyon Merkezi (SGOM) kapsamında Eylül 2021 Ayı’na ilişkin detaylı analizler bu raporda paylaşılmaktadır.
2021 yılı Eylül ayı bir çok açıdan siber güvenlik tehditleri konusunda hareketli geçmiş, saldırganlar trend olarak en çok sağlık sektörünü hedef almışlardır. Sağlık sektörünün ardından hedefe koyulan endüstriler eğitim ve güvenlik olarak gelmektedir. Görülen veri sızıntıları saldırganların son dönem motivasyonları hakkında net bir fikir ortaya koymaktadır.
2.TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR
Aşağıda detaylarını da bulacağınız SGOM bünyesinde Eylül 2021 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.
Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %7’si Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.
Eylül 2021 ayı istatistiklerine bakıldığında; aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının Suspicious Network Activities kategorisinde olduğu görülmektedir.
Yukarıdaki grafikte Barikat SGOM tarafından Eylül 2021 ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;
Suspicous Network Activities: Ağ kullanımı sırasında oluşan şüpheli durumları tanımlayan ve anomalileri içinde barındıran kategori.
Account Management: Kurum/Kuruluşun obje yönetiminde kullandığı araçların üzerinde yapılan şüpheli değişiklikler.
Suspicious Web Communications: Proxy ya da url filtreleme kaynaklarından alınan ve alarma neden olan aktiviteler.
Authentication and Authorization: Merkezi sunucular veya yerel sistemler üzerinde meydana gelen yetkilendirme sorunlarını içeren kategori.
Malware: Uç noktalarda zararlı yazılım tespitini ifade eder.
Suspicious network activities kategorisi alarmları sınıflandırıldığında tahmin edilebileceği üzere en fazla olay potansiyel tarama aktivitesi ve kara liste IP’lerine erişim olarak görünmektedir. Ayrıca bu kategorinin altında zaman zaman sistem ve ağ yöneticileri tarafından yapılan legal işlemler de görünmektedir. Bu tip işlemler için analist ekibimiz müşteri ile direkt bağlantıya geçerek geri dönüşleri analiz etmek suretiyle durumu false/pozitif olanlar belirlenmekte ve kurallar ile ilgili iyileştirmeler gerçekleştirilmektedir.
3.KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER
BlackMatter Ransomware
BlackMatter Revil ve DarkSide gruplarının hatalarından ders alarak rotasını belirleyen yeni bir fidye yazılımı grubudur. Grup Recorded Future ile yaptığı röportajda 100 milyon $ üzerinde işlem yapan şirketleri hedeflemekle ilgilendiğini ancak sektör olarak sağlık, kamu kuruluşları ve kritik altyapıları hedeflediğini belirtmektedir.
Colonial Pipeline gibi büyük ölçekli saldırıların arkasında yer aldığı bilinen Darkside fidye yazılımının arkasında da yine aynı grubun olduğu otoritelerce düşünülmektedir. Çünkü teknik olarak incelendiğinde aynı şifreleme rutinlerini kullandıkları konusunda bir fikir oluşmuş durumda. BlackMatter’ın kendi iddiası da yapbozu Revil, Darkside, ve Lockbit üzerinden tamamladığı yönünde.
Yeni ZLoader Varyantı
Google gibi arama motorlarını TeamViewer uzak masaüstü yazılımını indirmek için ziyaret eden kullanıcıların, ZLoader zararlı yazılımını sistemlerine bırakan kötü amaçlı bağlantılara yönlendirildikleri tespit edilmiştir.
Bulaşma zinciri, bir kullanıcının arama sonuçları sayfasında Google tarafından gösterilen bir reklamı tıkladığında ve tehdit aktörünün kontrolü altındaki sahte TeamViewer sitesine yönlendirildiğinde başlamaktadır. Böylece kullanıcı, yazılımın hileli ancak imzalı bir türevinin ("Team- Viewer.msi") indirilmesi için ikna edilmektedir. Sahte yükleyici, makinenin savunmasını bozmayı ve son olarak ZLoader DLL yükünü ("tim.dll") ve diğer yükleri indirmeyi amaçlayan ilk aşama düşürücü görevi görmektedir.
. ZLoader yükleyicisine ve kampanya esnasında tespit edilen diğer bulgulara ilişkin bazı IoC bilgileri aşağıda listelenmektedir. Güvenlik cihazlarından IoC bulgularının engellenmesi önerilmektedir.
FileHash-SHA256:
- a0c97cd4608d62e2124087ecd668c73ec3136c91
- f1b54e107bf40024ef8ee6d992d1b5e3c1d0e065
- a0c97cd4608d62e2124087ecd668c73ec3136c91
- 84ebf306662c017d5691de87af25f76691f1098a
- f2611ae855ea0999e09eb9bfa51b326d94eec303
- 5e68c3243ebed0edb107dd33d293274210171219
- a9e5618aee8c37c8cf8257be901bdd9cf277c042
- 42f1d5711e5f5e67680043ba11b16da4709cfa1e
- 58745d445b5d3cb55fa7295fb6c2d4c4745548ec
- 3a80a49efaac5d839400e4fb8f803243fb39a513
- d533e609324db8736bed96d638c2b4cd997f5802
- dc945e57be6bdd3cc4894d6cff7dd90a76f6c416
- 0cf72cc488c2c972e880ef79f7ed5a17ea0d24dd
URL:
- hxxp://teamviewerindirme.fastforişvekişiselkullanıcımızhizmetimizağustos.alightindarkplacesbook.com/
- hxxps://team-viewer.site/index.php
- hxxps://team-viewer.site/download/Team-Viewer.msi
- hxxps://zoomvideo.site/download/Zoom.msi
4.AYIN ZAFİYETLERİ
Barikat SGOM tarafından Eylül 2021 ayı içerisinde bildirimi yapılan zafiyetler aşağıda yer almaktadır.
| Sistem | CVE ID | CVE SKORU (CVSS 3.x) |
|---|---|---|
| Fortinet |
CVE-2021-22127
CVE-2021-24017 CVE-2021-36179 CVE-2021-36182 CVE-2021-24006 CVE-2021-36179 CVE-2021-36182 |
8.8
5.4 8.8 8.8 8.8 8.8 8.8 |
| CyberArk | CVE-2021-31796 | 7.5 |
| F5 (BIG-IP) |
CVE-2021-23025 CVE-2021-23028 CVE-2021-23036 CVE-2021-23040 CVE-2021-23042 CVE-2021-23048 CVE-2021-23049 |
8.8
7.5 7.5 8.8 7.5 7.5 7.5 |
| IBM QRadar | CVE-2021-29750 | 7.5 |
| IBM Security Guardium | CVE-2020-4690 | 9.8 |
| McAfee |
CVE-2021-31836
CVE-2021-31841 CVE-2021-31847 |
7.1
7.8 7.8 |
| Microsoft Windows WLAN AutoConfig Service | CVE-2021-36965 | 9.8 |
5.AYIN ÖNERİSİ
Yapılan incelemeler gösteriyor ki; birçok siber güvenlik olayı düzenli güncelleme ve yamalama faaliyetlerinin yapılmamasından yararlanıyor. Bu tip durumların önüne geçmek ve sistemlerinizi stabil tutabilmek için;