SOC Faaliyet Raporu - Nisan 2021
20/06/20211.GENEL DURUM
Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.
Barikat Siber Güvenlik Operasyon Merkezi (SGOM) kapsamında Nisan 2021 Ayı’na ilişkin detaylı analizler bu raporda paylaşılmaktadır.
2021 yılı Nisan ayı içeresinde bir çok açıdan siber güvenlik tehditleri konusunda hareketli geçtiği, büyük üreticiler tarafından bildirilen bir çok uzaktan kod çalıştırma zafiyetleri ve eski zafiyetlerin polimorfik bileşenleri bu ayın gündeminde yer almıştır.
2.TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR
Aşağıda detaylarını da bulacağınız SGOM bünyesinde Nisan 2021 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.
Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %8’i Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.
Nisan 2021 ayı istatistiklerine bakıldığında; aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının Şüpheli Aktiviteler, Zararlı IP ile İletişim Aktivitesi ve AD Kullanıcı İşlemleri nedeniyle oluştuğu görülmektedir.
Yukarıdaki grafikte Barikat SGOM tarafından Nisan 2021 ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;
Şüpheli Aktiviteler: Herhangi bir kategoriye dahil olmayan ve %100 tanımlanmış bir atak metriğini içinde barındırmayan, ancak anomali oluşturmuş ve potansiyel tehdit olabilecek aktiviteler.
AD Kullanıcı Aktiviteleri: Kurum/Kuruluşun obje yönetiminde kullandığı araçların (Bu kategoride %100 Windows Active Directory yapısı baz alınıyor) üzerinde yapılan şüpheli değişiklikler.
Tarama Aktiviteleri: Uzaktan yerele ya da yerelden uzağa yapılan tarama aktiviteleri.
Zararlı IP Adresi ile İletişim: C&C olması muhtemel, tehdit istihbarat servislerinden toplanan zararlı IP’ler ile iletişimi ifade eder.
Brute Force Aktiviteleri: Saldırganın bir hesaba ait parolayı tahmin etme motivasyonuyla, farklı parola kombinasyonları denemesi durumunu ifade eder.
Malware Detection: Uç noktalarda zararlı yazılım tespitini ifade eder.
Mesai Dışında Login: Sistemlere mesai saatleri dışında yapılan oturum açma aktivitelerini ifade eder.
Şüpheli aktiviteler kategorisi alarmları sınıflandırıldığında tahmin edilebileceği üzere en fazla olay potansiyel oltalama aktivitesi ve şüpheli göndericilerden gelen mailler olarak görünüyor. Ayrıca bu kategorinin altında zaman zaman sistem ve ağ yöneticileri tarafından yapılan legal işlemler de görünmektedir. Bu tip işlemler için analist ekibimiz müşteri ile direkt bağlantıya geçerek geri dönüşleri analiz etmek suretiyle durumu false/pozitif olanlar belirlenmekte ve kurallar ile ilgili iyileştirmeler gerçekleştirilmektedir.
3.KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER
REvil Ransomware Grubu
Fidye yazılımı çetesi REvil'i temsil ettiğini iddia eden bir grubun; Apple, Dell, HPE, Lenovo, Cisco gibi şirketler için dizüstü bilgisayarlar üreten Tayvanlı üretici firma Quanta Computer’a ait çok büyük boyutlarda gizli tasarımlara ve kişisel verilere eriştiği paylaşılmıştır.
REvil, Apple Watch, MacBook Air ve MacBook Pro tasarımlarını, Lenovo ThinkPad Z60m'yi tanımlayan verileri ele geçirdiğini söylemektedir. İddia edilen sızıntıyı duyuran gönderi, Apple logosunu taşıyan bir dizüstü bilgisayarın teknik çizimlerini içermektedir. Grubun yaptığı duyuruda Quanta'nın ele geçirilen verilerini geri almak için ödeme yapmayı reddettiğini ve bu nedenle şirketin birincil müşterisi olan Apple'ın etkilendiğini açıklanmıştır. Tehdit aktörleri, 1 Mayıs tarihine kadar ele geçirilen veriler için ödeme yapılmadığı takdirde daha fazla veriyi sızdıracaklarını söylemektedir.
Bu saldırıda sadece Apple verileri değil Quanta ile çalışan birçok firmanın da verilerinin ihlal edildiği düşünülmektedir. İhlalden potansiyel olarak etkilenebilecek firmalar; Dell, Hewlett-Packard, Alienware, Amazon, Cisco Systems, Fujitsu, Gericom, Lenovo Group, LG Electronics, Maxdata, Microsoft, MPC, Blackberry, Sharp, Siemens, Sony Group, Sun Microsystems, Toshiba, Verizon Wireless ve Vizio olarak listelenmiştir.
Zoom Install Paketi ile Dağıtılan WebMonitor RAT
Koronavirüs salgını, uzaktan çalışma kapsamında iletişim uygulamalarının kullanımını ciddi bir şekilde arttırmıştır. Bununla birlikte, her zaman olduğu gibi, siber suçluların popüler eğilimlerden ve kullanıcı davranışından yararlanmaları beklenir. Zoom dahil olmak üzere çeşitli uygulamalara yönelik tehditlere giderek artmaktadır.
Nisan ayının başlarında, bir cryptominer (kripto madencisi uygulaması) yayabilmek amacıyla, Zoom yükleyicilerinden yararlanan bir saldırı tespit edildi. Yükleyiciler yasal olsa da, kötü amaçlı yazılımlarla birlikte paketlenip, şüpheli kaynaklardan gelebilmektedirler.
Zoom uygulamasının 5.0 sürümünü yayınlamıştır. Çok sayıda kötü amaçlı yazılım çeşidi, niyetlerini gizlemek için meşru uygulamalar gibi görünür. Bu saldırı türü için başka birçok uygulama da kullanılmaktadır. Bu özel durum için, siber suçlular yasal yükleyicileri WebMonitor RAT ile yeniden paketlemiş ve bu yeniden paketlenmiş yükleyicileri kötü amaçlı sitelerde yayınlamış olabilir. Kaynağından şüphe edilen herhangi bir verinin indirilmemesi ve kullanılmaması tavsiye edilmektedir.
4.AYIN ZAFİYETLERİ
Barikat SGOM tarafından Nisan 2021 ayı içerisinde bildirimi yapılan zafiyetler aşağıda yer almaktadır.
| Sistem | CVE ID | CVE SKORU (CVSS 3.x) |
|---|---|---|
| Fortigate |
CVE-2018-13379
CVE-2020-12812 CVE-2019-5591 |
9.8
9.8 6.5 |
| Microsoft Exchange Server Remote Code Execution |
CVE-2021-28480
CVE-2021-28481 CVE-2021-28482 CVE-2021-28483 |
9.8
9.8 8.8 9.0 |
| Forcepoint | CVE-2020-6590 | 7.5 |
| Trend Micro |
CVE-2021-28646
CVE-2021-25253 CVE-2021-25250 |
5.5
7.8 7.8 |
| Pulse Zero VPN Remote Code Execution | CVE-2021-22893 | 10.0 |
| Trend Micro |
CVE-2020-24559
CVE-2020-24558 CVE-2020-24557 CVE-2020-24556 |
7.8
7.1 7.8 7.8 |
| IBM Resilient | CVE-2021-20527 | 7.2 |
| Check Point | CVE-2021-30356 | 8.1 |
5.AYIN ÖNERİSİ
Tüm platformların ve verilerin dijitalleşmesinin hız kazandığı bu dönemde paralel bir hızla fidye yazılımı gibi zararlıların da sayısı ve giriş vektörleri her geçen gün artmaktadır.
Fidye yazılımlar ile oluşabilecek kayıpların önüne geçebilmek amacıyla, fiziksel yedeklilik noktasında tüm kuruluşların aksiyon alması önerilmekte ve siber güvenlik özelinde üst yönetimlerin daha fazla stratejik sorumluluk alması tavsiye edilmektedir. Fidye yazılımları asimetrik olarak sayıları artan zararlılardır bu nedenle mücadele tüm kurumsal satıhta yürütülmelidir.