SOC Faaliyet Raporu – Temmuz 2021
01/07/20211.GENEL DURUM
Günümüzde küresel ve ulusal ölçekte siber güvenliği tehdit eden faktörler, çoğu zaman yakalanması zor bir şekilde hızla artmakta ve şekil değiştirmektedir.
Barikat Siber Güvenlik Operasyon Merkezi (SGOM) kapsamında Temmuz 2021 Ayı’na ilişkin detaylı analizler bu raporda paylaşılmaktadır.
2021 yılı Temmuz ayı bir çok açıdan siber güvenlik tehditleri konusunda hareketli geçmiş, büyük üreticiler tarafından bildirilen bir çok uzaktan kod çalıştırma zafiyetleri ve eski zafiyetlerin polimorfik bileşenleri bu ayın gündeminde yer almıştır.
2.TEMEL FAALİYET KALEMLERİ, BULGULAR VE RAKAMLAR
Aşağıda detaylarını da bulacağınız SGOM bünyesinde Temmuz 2021 ayı içinde yapılmış çalışmaların özeti, bilgilendirme ve siber güvenliğin karanlık yüzündeki trendleri ülkesel çapta ele almak amacıyla dikkatinize sunulmuştur.
Edinilen veriye göre belirtilmiş olan olaylar Seviye-1 (L1) analistlerimiz tarafından geçtiğimiz ay yapılan olay analiz sonuçları muhataplarına bildirilmiş ve gerekli aksiyonların alınması sağlanmıştır. Ayrıca tespit edilen bu olaylardan %8’i Seviye-2 (L2) analizine yönlendirilmiş, Seviye-2 (L2) raporlarına göre de gerekli güvenlik operasyonları tetiklenmiştir.
Temmuz 2021 ayı istatistiklerine bakıldığında; aşağıda detayları verileceği üzere, özellikle orta ve yüksek kritikliğe sahip olayların büyük bir kısmının Suspicious Network Activities kategorisinde olduğu görülmektedir.
Yukarıdaki grafikte Barikat SGOM tarafından Temmuz 2021 ayı içinde, izleme hizmeti verilen kurum/kuruluşların hangi tehdit kategorileri ile yüzleştiği özetlenmiştir. Kategorileri kısaca açıklamak gerekirse;
Suspicous Network Activities: Ağ kullanımı sırasında oluşan şüpheli durumları tanımlayan ve anomalileri içinde barındıran kategori.
Account Management: Kurum/Kuruluşun obje yönetiminde kullandığı araçların üzerinde yapılan şüpheli değişiklikler.
Suspicious Web Communications: Proxy ya da url filtreleme kaynaklarından alınan ve alarma neden olan aktiviteler.
Authentication and Authorization: Merkezi sunucular veya yerel sistemler üzerinde meydana gelen yetkilendirme sorunlarını içeren kategori.
Malware: Uç noktalarda zararlı yazılım tespitini ifade eder.
Suspicious network activities kategorisi alarmları sınıflandırıldığında tahmin edilebileceği üzere en fazla olay potansiyel tarama aktivitesi ve kara liste IP’lerine erişim olarak görünmektedir. Ayrıca bu kategorinin altında zaman zaman sistem ve ağ yöneticileri tarafından yapılan legal işlemler de görünmektedir. Bu tip işlemler için analist ekibimiz müşteri ile direkt bağlantıya geçerek geri dönüşleri analiz etmek suretiyle durumu false/pozitif olanlar belirlenmekte ve kurallar ile ilgili iyileştirmeler gerçekleştirilmektedir.
3.KÜRESEL ÇAPTA KARŞILAŞILAN TRENDLER
APT 28
APT28 siber tehdit grubunun bulut hizmetleri ve kurum ağlarını hedef aldığı ve giriş vektörü olarak kaba kuvvet parola denemesi(Brute Force) ataklarını kullandığı tespit edilmiştir.
Özellikle bulut sistemler üzerinde Brute Force saldırısı gerçekleştiren tehdit aktörlerinin, sisteme ait giriş bilgilerini elde ettikten sonra bu bilgileri yetki yükseltme, güvenlik sistemlerinden kaçınma gibi amaçlar için kullandıkları tespit edilmiştir. Ayrıca tehdit aktörlerinin Microsoft Exchange sistemlerinde mevcut olan CVE 2020-0688 ve CVE 2020-17144 gibi zafiyetleri de istismar ettiği gözlemlenmiştir. Pek çok sektör ve kuruluşu hedef alan tehdit aktörleri saldırılarında dosyasız saldırı (Fileless Malware) tekniklerinden de yararlanmaktadır. Tehdit aktörleri yalnızca bulut hizmetlerini değil, şirket içi e-posta sunucularını da hedef almaktadır.
Söz konusu saldırılara maruz kalmamak adına güvenilir bir Anti-Virüs/Anti-Malware çözümünün kullanılması, kullanılan sistem ve programların güncel tutulması ve 2FA kullanılması tavsiye edilmektedir.
Kaynak:
https://threatpost.com/kubernetes-brute-force-attacks-russia-apt28/167518/
https://www.infosecurity-magazine.com/news/russias-apt-28-blamed-brute-force/
Casus Yazılımı (Spyware) Sağlayan Şirket: Candiru
Özel olarak hükümetlere casus yazılım (Spyware) sağlayan İsrail bağlantılı Candiru isimli yeni bir şirket tespit edilmiştir. Candiru tarafından hükümetlere sağlanan söz konusu casus yazılım IOS, Android, MacOS işletim sistemine sahip cihazları, bilgisayarları ve bulut sistemlerini izleme yeteneklerine sahip olduğu bildirilmiştir.
İnternet üzerinde Candiru’nun Spyware yazılımı ile bağlantılı medya şirketi ve sivil toplum kuruluşu izlenimi veren 750’den fazla web sitesi belirlenmiştir. Bununla birlikte; söz konusu kampanyada Türkiye, Filistin, İsrail, İran, Lübnan, Yemen, İspanya, Birleşik Krallık, Ermenistan ve Singapur bağlantılı en az 100 kişinin hedef alındığı gözlemlenmiştir. Hedefler arasında insan hakları savunucuları, muhalifler, gazeteciler, aktivistler ve politikacılar yer almaktadır. Güvenlik araştırmacıları tarafından yapılan analizler neticesinde casus yazılımın Windows işletim sistemlerini etkileyen CVE-2021-31979 ve CVE-2021-33771 kodlu iki yetki yükseltme zafiyetinden yararlandığı tespit edilmiştir.
Söz konusu zararlı yazılım kampanyalarının hedefi olmamak adına zafiyetleri gideren güncel sürümlerin kullanılması, bilinmeyen taraflardan gelen e-posta ve eklerinin açılmaması, şüpheli bağlantılara tıklanmaması, ek olarak olası saldırılara karşı önlem ve aksiyon alınmasını kolaylaştıracak güvenlik çözümlerinin kullanılması tavsiye edilmektedir.
Kaynak:
https://cisomag.eccouncil.org/devilstongue-a-new-spyware-from-israeli-company-candiru/
https://www.ft.com/content/187718a1-9b24-46d8-92a7-0fc5be99b061
HiveNightmare
Microsoft Windows 10 için yönetici parolalarını açığa çıkarmasına neden olabilecek bir 0-day güvenlik zafiyeti tespit edilmiştir.(Referans Linki)
HiveNightmare ya da SeriousSAM olarak adlandırılan söz konusu zafiyet öncelikle henüz yayımlanmamış olan Windows 11 beta sürümünde tespit edilmiştir ancak Windows 10’unda söz konusu zafiyete karşı savunmasız olduğu belirlenmiştir.
HiveNightmare, yönetici ayrıcalıklarına sahip olmayan bir kullanıcının tüm önemli parolaları ve anahtarları içeren Windows Güvenlik Hesap Yöneticisi (SAM) veritabanına erişmesine imkân sağlamaktadır. Bu zafiyetten başarı ile yararlanan tehdit aktörleri SAM, SYSTEM ve SECURITY Registry dosyalarına erişebilmekte ve ayrıcalıklarını yükseltebilmektedir.
Microsoft, tehdit aktörlerinin program yüklemesine, veriler üzerinde değişiklikler gerçekleştirmesine veya tam kullanıcı haklarına sahip yeni hesaplar oluşturmasına izin veren söz konusu zafiyet için bir dizi geçici çözüm yayınlamıştır.
Microsoft tarafından yayınlanan geçici çözümler;
CVE-2021-36934 kodlu güvenlik zafiyetinin istismarına yönelik henüz herhangi bir bulgu bulunmamaktadır. Söz konusu zafiyetten kaynaklanabilecek saldırıların hedefi olmamak adına yayınlanacak güncellemelerin takip edilmesi ve yayınlanan geçici çözümlerin ivedilikle uygulanması tavsiye edilmektedir.
Kaynak:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
ProxyShell Zafiyeti
Kıdemli siber güvenlik araştırmacısı Orange Tsai tarafından Microsoft Exchange sunucuları üzerinde keşfedilen CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 zafiyetleri proxyshell olarak ismlendirilmektedir.
İlgili zafiyetlerin yamaları daha önce yayınlanmıştır. Ancak yapılan tespitler dünyada bu zafiyetlere açık çok fazla exchange sunucusu olduğunu göstermektedir.
Proxyshell zafiyet güncellemeleri için:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523
Detaylı Bilgi
https://peterjson.medium.com/reproducing-the-proxyshell-pwn2own-exploit-49743a4ea9a1
https://guvenlikzafiyet.barikat.com.tr/microsoft-exchange-server-remote-code-execution-vulnerability-34473.html
4.AYIN ZAFİYETLERİ
Barikat SGOM tarafından Temmuz 2021 ayı içerisinde bildirimi yapılan zafiyetler aşağıda yer almaktadır.
| Sistem | CVE ID | CVE SKORU (CVSS 3.x) |
|---|---|---|
| Windows Print Spooler |
CVE-2021-1675
https://us-cert.cisa.gov/ncas/current-activity/2021/06/30/printnightmare-critical-windows-print-spooler-vulnerability https://www.bleepingcomputer.com/news/security/public-windows-printnightmare-0-day-exploit-allows-domain-takeover/ |
8.8 |
| McAfee (SIEM) | https://kc.mcafee.com/corporate/index?page=content&id=KB94640 | - |
| Symantec | CVE-2021-30648 | 9.8 |
| Microsoft Exchange Server |
CVE-2021-31206
CVE-2021-34473 |
9.8
9.8 |
| SolarWinds Serv-U |
CVE-2021-35211
https://www.microsoft.com/security/blog/2021/07/13/microsoft-discovers-threat-actor-targeting-solarwinds-serv-u-software-with-0-day-exploit/ https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211 |
10.0 |
| Trend Micro |
CVE-2021-32463
|
7.8 |
5.AYIN ÖNERİSİ
Son dönemlerde ülkemizi hedef alan bazı siber saldırı grupları olduğu bilinmektedir.
Bu gruplar kurumsal ağlara girebilmek adına birçok giriş vektörünü denemektedirler ve bunlarda en yoğun olarak rağbet gören vektör oltalama(phishing) saldırılarıdır.
Phishing saldırılarından korunmak için;