SOC Faaliyet Raporu - Ocak 2021
22/02/20211. GENEL DURUM
Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.
2. TF-CIRT 62. TOPLANTISI
Barikat-CSIRT’ün de 1 Kasım 2018 tarihinden beri üyesi olduğu Trusted Introducer (TF-CIRT)’ın 62. TF-CIRT toplantısı pandemi nedeniyle 26 Ocak 2021 tarihinde 203 adet katılımcı ile online olarak icra edilmiştir. Online olarak katılım sağlanan toplantının öğleden önceki bölümünde bu yıl ilk olarak Elastic firması bir CTF faaliyeti düzenlemiştir. Öğleden sonraki oturumlarda konuşulan konular ve bazı konuşmacıların sunumlarına https://tf-csirt.org/tf-csirt/meetings/62nd/ linkinden erişilebilmektedir. Özet olarak toplantıda; TF-CIRT’ın faaliyetleri ile bilgilendirme, TriOP isimli Shodan’dan bilgi toplama amaçlı açık kaynaklı yazılımı, Siber Güvenlikte Yapay Zeka, Fidye Yazılımları, SSL sorunları, OpenVas ile zafiyetlerin Doğrulanması, Cuckoo Sandbox 3.0, Uzak Adli İnceleme konuları konuşulmuştur.
3. TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR
Aşağıda detaylarını da bulacağınız Barikat Siber Güvenlik Operasyon Merkezi (SGOM) bünyesinde Ocak 2021 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.
Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %3’ü Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.
Ocak 2021 ayı istatistiklerine bakıldığında aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının şüpheli aktiviteler, AD Kullanıcı İşlemleri ve tarama aktiviteleri nedeniyle oluştuğu görülmektedir.
Yukarıdaki grafikte Barikat SGOM tarafından Ocak 2021 ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;
Şüpheli Aktiviteler: Herhangi bir kategoriye dahil olmayan ve %100 tanımlanmış bir atak metriğini içinde barındırmayan, ancak anomali oluşturmuş ve potansiyel tehdit olabilecek aktiviteler.
AD Kullanıcı Aktiviteleri: Kurum/Kuruluşun obje yönetiminde kullandığı araçların (Bu kategoride %100 Windows Active Directory yapısı baz alınıyor) üzerinde yapılan şüpheli değişiklikler.
Tarama Aktiviteleri: Uzaktan yerele ya da yerelden uzağa yapılan tarama aktiviteleri.
Memory Usage: Memory kullanımının belirlenen eşik değerini aşması durumunu ifade eder.
Zararlı IP Adresi ile İletişim: C&C olması muhtemel, tehdit istihbarat servislerinden toplanan zararlı IP’ler ile iletişimi ifade eder.
Brute Force Aktiviteleri: Saldırganın bir hesaba ait parolayı tahmin etme motivasyonuyla, farklı parola kombinasyonları denemesi durumunu ifade eder.
Saldırı Emareleri: Kategorize edilemeyen çeşitli atak vektörlerini ifade eder.
Mesai Dışında Login: Sistemlere mesai saatleri dışında yapılan oturum açma aktivitelerini ifade eder.
VPN Aktiviteleri: VPN kaynaklarından alınan şüpheli aktiviteler. Örneğin bir kullanıcının çok fazla sayıda bağlantı isteği, bağlantı zamanı uzunluğu, yeni bir cihazdan VPN bağlantısı yapılması vs. gibi.
Şüpheli aktiviteler kategorisi alarmları sınıflandırıldığında tahmin edilebileceği üzere en fazla olay potansiyel oltalama aktivitesi ve şüpheli göndericilerden gelen mailler olarak görünüyor. Ayrıca bu kategorinin altında zaman zaman sistem ve ağ yöneticileri tarafından yapılan legal işlemler de görünmektedir. Bu tip işlemler için analist ekibimiz müşteri ile direk bağlantıya geçerek geri dönüşleri analiz etmek suretiyle durumu false/pozitif olanlar belirlenmekte ve kurallar ile ilgili iyileştirmeler gerçekleştirilmektedir.
4. KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER
Pro-ocean crypto-jacking Zararlısı
Rocke Hacker grubunun arkasında olduğu bilinen Pro-ocean Crypto-jacking zararlısı Ocak 2021 ayı içinde kendinden bahsettirdi. Oracle Weblogic, Apache ActiveMQ ve Redis platformlarının bilinen zafiyetlerini sömürerek çalışmaktadır. Üstelik bu zararlı sistemde kendisinden başka bir cryptominer yazılımı varsa bunu tespit edip kaldırabilme ve CPU’yu yoğun kullanan işlemleri durdurabilme yeteneklerine sahiptir.
Xhunt Kampanyasında Yeni 2 Backdoor Keşfedildi
Eylül 2020 ayında yayınlanan Xhunt kampanyası bilindiği üzere BumbleBee webshell’ini kullanarak Exchange sunucuları sömürüyordu. Yeni yapılan analizler, TriFive ve Snugy adlı 2 adet daha arka kapının yeni vektörler olarak göründüğünü ortaya koydu.
Solarwinds Raindrop
Symantec firması 19 Ocak 2021 tarihinde Solarwinds saldırısı ile bağlantılı yeni bir art niyetli yazılımın tespit edildiğini açıkladı.
Raindrop adı verilen bu yükleyici daha önce bulunan Teardrop zararlısına benzerliği ile dikkat çekmektedir.
Raindrop, Cobaltstrike Beacon zararlısını tetiklemektedir. Raindrop bir DLL olarak derlenmiştir ve iletişimini HTTPS trafiği üzerinden yapmaktadır.
Ön araştırmalara göre Raindrop, hedef sistemlerin ağında yatay olarak yayılmak üzere, özel olarak yerleştirildiği yönünde tespitler ortaya çıkmıştır.
5. AYIN ZAFİYETLERİ
Barikat SGOM tarafından bu ay bildirimi yapılan zafiyetler aşağıda yer almaktadır.
| Sistem | CVE ID | CVE SKORU (CVSS 3.x) |
|---|---|---|
| Solarwinds Raindrop Zararlısı | https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/solarwinds-raindrop-malware?es_id=36c0bc5392 | - |
| IBM Qradar | https://www.ibm.com/support/pages/node/6395080 | - |
6. AYIN ÖNERİSİ
Uzaktan çalışmanın yaygın olduğu bu dönemde, uzaktan çalışma altyapılarının güncel tutulması önerilmektedir. Herhangi bir mimarinin güncel tutulabilmesi için varlık yönetiminin sorunsuz yapılabiliyor olması en öncelikli kriterdir. Varlık yönetimi konusu uzaktan çalışmanın yaygınlaşması ile birlikte üzerine daha çok çalışma yapılması gereken bir konu olarak kendini göstermektedir.