SOC Faaliyet Raporu - Mart 2021
18/06/20211.GENEL DURUM
Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.
Barikat Siber Güvenlik Operasyonları Merkezi kapsamında Şubat Ayı’na ilişkin detaylı analizler bu raporda paylaşılmaktadır.
2021 yılı Mart ayı içeresinde bir çok açıdan siber güvenlik tehditleri konusunda hareketli geçtiği, büyük üreticiler tarafından bildirilen bir çok uzaktan kod çalıştırma zafiyetleri, ve eski zafiyetlerin polimorfik bileşenleri bu ayın gündeminde yer almıştır.
2.TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR
Aşağıda detaylarını da bulacağınız Barikat Siber Güvenlik Operasyon Merkezi (SGOM) bünyesinde Mart 2021 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.
Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %6’sı Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.
Mart 2021 ayı istatistiklerine bakıldığında aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının şüpheli aktiviteler, AD Kullanıcı İşlemleri ve tarama aktiviteleri nedeniyle oluştuğu görülmektedir.
Yukarıdaki grafikte Barikat SGOM tarafından Ocak 2021 ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;
Şüpheli Aktiviteler: Herhangi bir kategoriye dahil olmayan ve %100 tanımlanmış bir atak metriğini içinde barındırmayan, ancak anomali oluşturmuş ve potansiyel tehdit olabilecek aktiviteler.
AD Kullanıcı Aktiviteleri: Kurum/Kuruluşun obje yönetiminde kullandığı araçların (Bu kategoride %100 Windows Active Directory yapısı baz alınıyor) üzerinde yapılan şüpheli değişiklikler.
Tarama Aktiviteleri: Uzaktan yerele ya da yerelden uzağa yapılan tarama aktiviteleri.
Zararlı IP Adresi ile İletişim: C&C olması muhtemel, tehdit istihbarat servislerinden toplanan zararlı IP’ler ile iletişimi ifade eder.
Brute Force Aktiviteleri: Saldırganın bir hesaba ait parolayı tahmin etme motivasyonuyla, farklı parola kombinasyonları denemesi durumunu ifade eder.
Malware Detection: Uç noktalarda zararlı yazılım tespitini ifade eder.
Mesai Dışında Login: Sistemlere mesai saatleri dışında yapılan oturum açma aktivitelerini ifade eder.
Şüpheli aktiviteler kategorisi alarmları sınıflandırıldığında tahmin edilebileceği üzere en fazla olay potansiyel oltalama aktivitesi ve şüpheli göndericilerden gelen mailler olarak görünüyor. Ayrıca bu kategorinin altında zaman zaman sistem ve ağ yöneticileri tarafından yapılan legal işlemler de görünmektedir. Bu tip işlemler için analist ekibimiz müşteri ile direk bağlantıya geçerek geri dönüşleri analiz etmek suretiyle durumu false/pozitif olanlar belirlenmekte ve kurallar ile ilgili iyileştirmeler gerçekleştirilmektedir.
3.KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER
Egregor Fidye Yazılımı
Egregor fidye yazılımı, büyük kuruluşları hedefleyen Sekhmet isimli eski fidye yazılımının yeni bir versiyonu olarak keşfedilmiştir. Egregor fidye yazılımı kısa bir sürede çok sayıda organizasyonu etkilemiştir. Zararlı yazılımın geliştirilmesinin arkasında Maze adlı siber tehdit grubunun olduğu düşünülmektedir.
Egregor, kuruluşlara oltalama veya belli bazı sömürüleri kullanarak saldırmakta ve kritik dosyaları şifrelemektedir. Ele geçirdiği dosyaları şifreleyip, fidye talebinde bulunmadan önce kendi sunucularına kopyalamaktadır. Fidyeyi ödeyen kurumlara sunucularındaki dosyaları geri vermektedir. Egregor zararlı yazılımı kısa sürede Barnes&Noble, Ubisoft ve diğer pek çok büyük kuruluşa başarılı siber saldırılarda bulunmuştur. Bununla birlikte endüstriyel ürün, perakende ve nakliye sektörlerindeki yüksek değerli 130'dan fazla kuruluşu da etkilediği bilinmektedir.
XMRig Miner Worm(Solucan)
Aralık ayı başlarında, Golang'da yazılmış yeni ve daha önce tespit edilmemiş bir Worm zararlısı(solucan) keşfedilmiştir. Bu solucan, 2020 sonu ve 2021 yılı ilk çeyreğinin en popüler çok platformlu zararlı yazılımları arasına şimdiden katıldığı görülmektedir.
Solucan, XMRig Miner'ı yaymak için ağ içerisinde hareket etmektedir. Kötü amaçlı yazılım hem Windows hem de Linux sunucularını hedef almakta ve ilgi çekici bir biçimde bir platformdan diğerine kolayca yayılabilmektedir. İnternete açık olan kurumsal hizmetleri hedefledeği gözlemlenmektedir; MySQL, Tomcat Yönetici Paneli ve zayıf parolalara sahip Jenkins sistemlerin zararlının odak noktası olduğu yapılan analizlerde görülmüştür. Ayrıca zararlının eski bir sürümünde, WebLogic’in güncel CVE-2020-14882 kodlu güvenlik zafiyetinden yararlanmaya çalıştığı gözlenmiştir.
Analizler sırasında, saldırganların Komuta ve Kontrol (C&C) sunucusundaki zararlıyı güncellemeye devam ettiği görülmüş ve bu solucanın etkin olduğunu, gelecekteki güncellemelerde etki alanını genişleteceği düşünülmektedir.
4.AYIN ZAFİYETLERİ
Barikat SGOM tarafından bu ay bildirimi yapılan zafiyetler aşağıda yer almaktadır.
| Sistem | CVE ID | CVE SKORU (CVSS 3.x) |
|---|---|---|
| Microsoft Exchange Server Remote Code Execution | CVE-2021-26855 | 9.1 |
| Microsoft DNS Server Remote Code Execution | CVE-2021-24078 | 9.8 |
| Microsoft Fax Service Remote Code Execution | CVE-2021-24077 | 9.8 |
| F5 BIG-IP |
CVE-2021-22986
CVE-2021-22987 CVE-2021-22988 CVE-2021-22989 CVE-2021-22990 CVE-2021-22991 CVE-2021-22992 |
9.8
9.9 8.8 8.0 6.6 9.0 9.0 |
| VMWare | CVE-2021-21978 | 9.8 |
| Microsoft DNS Server Remote Code Execution |
CVE-2021-26877
CVE-2021-26897 |
9.8
9.8 |
| McAfee | CVE-2021-23885 | 8.8 |
| Microsoft DNS Server Remote Code Execution |
CVE-2021-26893
CVE-2021-26894 CVE-2021-26895 |
9.8
9.8 9.8 |
| Tenable | CVE-2021-20076 | 8.8 |
| McAfee | CVE-2020-7346 | 7.8 |
| Spectre Vulnerability Exploitation | https://guvenlikzafiyet.barikat.com.tr/spectre-vulnerability-exploitation.html | - |
| March 2021 Microsoft Exchange 0-Day Reports | https://guvenlikzafiyet.barikat.com.tr/march-2021-microsoft-exchange-0-day-reports.html | - |
| Microsoft Exchange Server Zero-day Zafiyetleri (ProxyLogon) – Güncelleme | https://www.barikat.com.tr/blog/ms-proxylogon-zero-day-update | - |
5.AYIN ÖNERİSİ
Uzaktan çalışmanın da çok önem kazandığı bu dönemde saldırganların hedeflerindeki organizasyonların erişilebilirliğini sekteye uğratmak adına sık sık DdoS aktivitelerine başvurmaktadır. DDoS aktivitelerinden korunmak için yerel ve ISP bazında çözümlerin kullanılması önerilmektedir.
Ayrıca kurumsal bazda DDoS aktivitelerini tespit ve müdahale yeteneklerini test etmek üzere Barikat AR-GE tarafından geliştirilen SaaS olarak çalışan LoDDoS ürününün kullanılması ve sonuçlara göre alınacak aksiyonların da planlanması bu tip erişilebilirlik saldırılarının önüne geçmek açısından özellikle orta ve büyük ölçekli organizasyonlar için elzemdir.
LoDDoS ile ilgili detaylı bilgi için:
https://www.barikat.com.tr/arge/loddos