SOC Faaliyet Raporu - Mayıs 2021

SOC Faaliyet Raporu - Mayıs 2021

21/06/2021

1.GENEL DURUM

Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.

Barikat Siber Güvenlik Operasyon Merkezi (SGOM) kapsamında Mayıs 2021 Ayı’na ilişkin detaylı analizler bu raporda paylaşılmaktadır.

2021 yılı Mayıs ayı içeresinde bir çok açıdan siber güvenlik tehditleri konusunda hareketli geçtiği, büyük üreticiler tarafından bildirilen bir çok uzaktan kod çalıştırma zafiyetleri ve eski zafiyetlerin polimorfik bileşenleri bu ayın gündeminde yer almıştır.

2.TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR

Aşağıda detaylarını da bulacağınız SGOM bünyesinde Mayıs 2021 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.

Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %8’i Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.

Mayıs 2021 ayı istatistiklerine bakıldığında; aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının Suspicious Network Activities kategorisinde olduğu görülmektedir.

Yukarıdaki grafikte Barikat SGOM tarafından Mayıs 2021 ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;

Suspicous Network Activities: Ağ kullanımı sırasında oluşan şüpheli durumları tanımlayan ve anomalileri içinde barındıran kategori.

Account Management: Kurum/Kuruluşun obje yönetiminde kullandığı araçların üzerinde yapılan şüpheli değişiklikler.

Suspicious Web Communications: Proxy ya da url filtreleme kaynaklarından alınan ve alarma neden olan aktiviteler.

Authentication and Authorization: Merkezi sunucular veya yerel sistemler üzerinde meydana gelen yetkilendirme sorunlarını içeren kategori.

Malware: Uç noktalarda zararlı yazılım tespitini ifade eder.

Suspicious network activities kategorisi alarmları sınıflandırıldığında tahmin edilebileceği üzere en fazla olay potansiyel tarama aktivitesi ve kara liste IP’lerine erişim olarak görünüyor. Ayrıca bu kategorinin altında zaman zaman sistem ve ağ yöneticileri tarafından yapılan legal işlemler de görünmektedir. Bu tip işlemler için analist ekibimiz müşteri ile direkt bağlantıya geçerek geri dönüşleri analiz etmek suretiyle durumu false/pozitif olanlar belirlenmekte ve kurallar ile ilgili iyileştirmeler gerçekleştirilmektedir.

3.KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER

Avaddon Ransomware

Avaddon olarak adlandırılan yeni bir fidye yazılımı tespit edilmiştir. Modern fidye yazılım türü olan Avaddon, hedef cihazlardaki antivirus yazılımlarını atlatmakta ve kritik dosyaları şifreleyebilmektedir. Almanya, Çin ve İngiltere olmak üzere 20 farklı ülkede 10'dan fazla sektörün Avaddon'dan etkilendiği açıklanmıştır.

Hedeflenen cihazlara zararlı JavaScript dosyaları içeren e-postalar ile bulaşan zararlı yazılım, bulaştığı sistemin değerli olup olmadığı belirleyebilmek ve sistem keşfi yapabilmek için "GetUserDefaultLCID" isimli bir modül kullanmaktadır. Tespit edilen kritik dosyalar "AES-256" algoritması ile şifrelenmekte ve siber tehdit aktörlerinin kontrolünde olan C&C (Komut ve Kontrol) sunucularına aktarılmaktadır. Talep edilen fidyenin ödenmemesi durumunda, ele geçirilen kurumsal veriler Tor ağında yayınlanmaktadır.

Kritik siber saldırıların kurbanı olmamak adına, şüpheli/sahte içerikli e-postalara karşı dikkatli olunması ve aşağıda paylaşılan IoC (Indicator of Compromise) bulgularının güvenlik cihazları tarafından engellenmesi önerilmektedir.

Data Leak Site:

avaddongun7rngel[.]onion

FileHash-SHA256:

• 0a052eff71641ff91897af5bdecb4a98ed3cb32bcb6ff86c4396b1e3ceee0184
• 0ff4058f709d278ed662719b9627618c48e7a656c59f6bfecda9081c7cbd742b
• 146e554f0d56db9a88224cd6921744fdfe1f8ee4a9e3ac79711f9ab15f9d3c7f
• 165c5c883fd4fd36758bcba6baf2faffb77d2f4872ffd5ee918a16f91de5a8a8
• 28adb5fa487a7d726b8bad629736641aadbdacca5e4f417acc791d0e853924a7
• 2946ef53c8fec94dcdf9d3a1afc077ee9a3869eacb0879cb082ee0ce3de6a2e7
• 29b5a12cda22a30533e22620ae89c4a36c9235714f4bad2e3944c38acb3c5eee
• 331177ca9c2bf0c6ac4acd5d2d40c77991bb5edb6e546913528b1665d8b501f3
• 46a8c1e768f632d69d06bfbd93932d102965c9e3f7c37d4a92e30aaeca905675
• 5252cc9dd3a35f392cc50b298de47838298128f4a1924f9eb0756039ce1e4fa2
• 61126de1b795b976f3ac878f48e88fa77a87d7308ba57c7642b9e1068403a496

Conti Zararlı Yazılımı

ABD savunma sanayi şirketi olan BlueForce’un Conti fidye yazılımından etkilendiği ve kritik verilerinin sızdırıldığı ortaya çıkmıştır.

Söz konusu zararlı hedef cihazlara Cobalt Strike shell içeren bir DLL dosyası aracılığı ile bulaşmaktadır. Yerleşme tamamlandıktan sonra komuta kontrol sunucusu ile iletişim kurmaktadır. Kurban sistemdeki dosyaları şifreleyen Conti zararlısı şifrelediği dosyaları komuta kontrol merkezine aktardığı keşfedilmiştir.

Conti zararlısına ait ioc’lerin güvenlik teknolojileri üzerinde engellenmesi önerilmektedir.

IP:

23.106.160[.]174

23.82.140[.]137

Domain:

docns[.]com

tapavi[.]com

contirecovery[.]best

FileHash-SHA256:

• 3b375dcda1f6019d986de1f7ae3458657e623c4f401c121e660add55d36a9e8c
• 4e3d8806e6c9ba334166f12ffe4e27dbde203425c882fccf1e452f77355b7d25
• e974c09f204b99bfcdeb9fe4a561a28e064c612132829919f8b99a838c2b2106
• af218e34e12216d56e5c6c86704804866100aa09ccb9160bc4029492c3f1f959
• 591677b54eb556e7e840670eccb2d62434e336af6d3908394d17cb26e99c4733
• 2d3b859f2ad3f0e296fd29c1abc5eb80b4dabe7c0b9d9a3b44821c9ed8e015b1
• 63625702e63e333f235b5025078cea1545f29b1ad42b1e46031911321779b6be

Colonial Pipeline Yakıt Boru Hattı'na Ransomware Saldırısı Gerçekleştirildi

ABD Doğu Kıyısı'nda tüketilen yakıtın % 45'ini taşıyan Colonial Pipeline, uğradığı bir fidye yazılımı saldırısı nedeniyle hizmet vermeyi durdurdu. Colonial Pipeline Company 7 Mayıs tarihinde sistemin güvenliğini ihlal eden bir siber saldırıya maruz kaldıklarını, tüm boru hattı işlemlerini geçici olarak durduran tehdidi kontrol altına almak için bazı sistemleri proaktif olarak çevrimdışı duruma getirdiklerini açıklamıştır.

FireEye Mandiant olay müdahale ekibi saldırının arkasındaki tehdit aktörlerinin DarkSide adlı bir fidye yazılımı çetesi ile ilişkili olduğu varsayımı üzerinde durmaktadır. Ağustos 2020 tarihinde faaliyete geçen DarkSide, bugüne kadar 40'tan fazla hedeften ele geçirdiği verileri yayınlamıştır. Tehdit aktörlerinin ne kadar fidye talep ettiği veya Colonial Pipeline Company’nin nasıl bir aksiyon alacağı henüz bilinmemektedir. Söz konusu saldırının arkasındaki siber suçluların şirket ağından 100 GB veri ele geçirdiği iddia edilmektedir.

4.AYIN ZAFİYETLERİ

Barikat SGOM tarafından Mayıs 2021 ayı içerisinde bildirimi yapılan zafiyetler aşağıda yer almaktadır.

Sistem	CVE ID	CVE SKORU (CVSS 3.x)
IBM	CVE-2020-4993 CVE-2020-4929 CVE-2020-4883 CVE-2020-4979 CVE-2015-5237 CVE-2019-17195 CVE-2012-6708 CVE-2015-9251 CVE-2020-11022 CVE-2020-11023 CVE-2011-4969 CVE-2017-18640 CVE-2020-15250	4.9 5.4 6.5 9.8 8.8 9.8 6.1 6.1 6.1 6.1 - 7.5 5.5
McAfee	CVE-2021-23887	7.8
VMware	CVE-2021-21985 CVE-2021-21986	9.8 9.8

5.AYIN ÖNERİSİ

Dünyanın birçok noktasından birçoğu büyük organizasyonlar olmak üzere çok fazla sayıda sızıntı haberi basında yer almaktadır.

Veri sızıntısını önlemenin birinci ve olmazsa olmaz adımı sahibi olduğunuz verilerin sorumluluklarını paylaştırmak ve bu verileri sınıflandırmaktadır. Sınıflandırılmış veri, veri sızıntısı önleme teknolojileri aracılığı ile kontrol altına alınmaktadır.

Geneli itibariyle uygulamada sınıflandırma kısmı çok fazla düşünülmeden, veri sızıntısının teknoloji ile önlenebileceği düşünülmektedir ve bu yaklaşım organizasyonlar için ve özellikle milli güvenlik için çok büyük tehlikeleri içinde barındırmaktadır.