Hızla gelişen siber güvenlik dünyasında, ortaya çıkan tehditler dünya çapındaki kuruluşlar için önemli zorluklar oluşturmaktadır. Yenilikleri ve karmaşıklıkları ile karakterize edilen bu tehditler, genellikle yeni güvenlik açıklarını ve teknolojileri istismar ederek bunların tahmin edilmesini ve bunlara karşı savunma yapılmasını zorlaştırmaktadır.
Siber suçlular yöntemlerini sürekli olarak geliştirirken, işletmeler varlıklarını korumak için bilgili ve proaktif kalmalıdır. Bu çabadaki güçlü araçlardan biri, Threat Intelligence (TI) Lookup hizmetidir. HERHANGİ BİR KOŞUBu yeni ortaya çıkan tehditlere ilişkin değerli bilgiler sağlayan.
Ortaya çıkan tehditler, kalıcı tehditlerden birkaç açıdan farklıdır:
- Yeni Teknikler: Daha önce yaygın olarak görülmemiş yeni yöntem ve araçları içeriyor.
- Sürekli Evrim: Saldırganlar tespit edilmekten kaçınmak için stratejilerini sürekli olarak geliştirirler.
- Öngörülemezlik: Öngörülemez yapıları onları savunmayı özellikle zorlaştırır.
- Potansiyel Etki: Mağdurlar için maddi kayıplar ve itibar kaybı gibi ciddi sonuçlar doğurabilirler.
Ortaya Çıkan Tehditleri İzlemenin Neden Önemli Olduğu
Birçok kuruluş, farkındalık, kaynak veya uzmanlık eksikliği nedeniyle ortaya çıkan tehditlerle başa çıkmakta zorlanıyor. Bu tehditler operasyonları aksatabilir, veri ihlallerine yol açabilir ve müşteri güvenini aşındırabilir. Ortaya çıkan tehditler hakkında bilgi sahibi olmak ve proaktif önlemler almak, kurumsal varlıkları korumak için olmazsa olmazdır.
Tehdit İstihbarat Araması Nasıl Yardımcı Olur?
ANY.RUN’ın Tehdit İstihbarat Araması ortaya çıkan tehditlerin önünde kalmak isteyen kuruluşlar için değerli bir kaynaktır. 400.000 güvenlik uzmanından oluşan küresel bir topluluk tarafından desteklenen hizmet, tehlike göstergelerinin (IOC’ler) ve diğer tehdit verilerinin geniş bir veritabanına erişim sağlar. Kullanıcılar, kötü amaçlı yazılım ve kimlik avı tehditleri hakkında bilgi toplamak için çeşitli parametreleri kullanarak bu verilerde arama yapabilir.
TI Lookup’ın Temel Özellikleri:
- Kapsamlı Arama:Kullanıcılar 40’tan fazla farklı arama parametresini kullanarak 2TB’lık en son tehdit verilerini tarayabilirler.
- Hızlı Sonuçlar: Her arama, karşılık gelen deneme oturumlarıyla hızlı sonuçlar sağlar.
- YARA Arama: Dahili kural düzenleyicisi, kullanıcıların daha hassas aramalar için özel YARA kurallarını kullanmalarına olanak tanır.
- API Entegrasyonu: TI Lookup, kesintisiz çalışma için mevcut güvenlik sistemleriyle entegre edilebilir.
Ortaya Çıkan Tehditlere ve Soruşturma Yöntemlerine Örnekler
1. Yeni Kimlik Avı Tehditleri
Siber suçlular sürekli olarak yeni kimlik avı taktikleri geliştiriyor, kullanıcıları aldatmak için meşru hizmetleri kötüye kullanıyor. Örneğin, yakın zamanda yapılan bir kampanya kimlik avı e-postaları dağıtmak için Amazon Simple Email Service (SES) hesaplarını kullandı.
Örnek: Tycoon 2FA Phish-kit Tarafından SES Hesaplarının Kötüye Kullanılması
Son zamanlarda ANY.RUN araştırmacıları bir kimlik avı kampanyası tespit edildi Amazon Basit E-posta Servisi (SES) hesaplarının ele geçirilerek kimlik avı e-postaları dağıtılması.
İle TI Lookup’ı kullanarakGüvenlik ekipleri bu tür kampanyaları tespit edip analiz edebilir, söz konusu alan adları, IP’ler ve dosyalar hakkında veri toplayabilir.
2. Yeni ve Gelişen Kötü Amaçlı Yazılım Aileleri
Yeni keşfedilen DeerStealer gibi yeni kötü amaçlı yazılım türleri önemli tehditler oluşturur. Bu kötü amaçlı yazılım türleri genellikle gelişmiş kaçınma teknikleri kullanır. TI Lookup, kullanıcıların YARA Search kullanarak bu tehditler hakkında bilgi toplamasına olanak tanır ve daha fazla analiz için ayrıntılı deneme raporları sunar.
Örnek: DeerStealer Kötü Amaçlı Yazılım
Temmuz 2024’te ANY.RUN keşfedildi DeerStealer adlı yeni bir kötü amaçlı yazılım ailesi. Bu kötü amaçlı yazılım, Google Authenticator web sitesini taklit eden bir kimlik avı kampanyası aracılığıyla dağıtıldı.
Tehdit İstihbarat Arama’yı kullanarak, DeerStealer’ın en son örnekleri hakkında verimli bir şekilde bilgi toplayabiliriz. YARA AramaBu araç, örnekleri içeriklerine göre tanımlamak için özel YARA kuralları uygulamamızı sağlar.
ANY.RUN analizine göre, hizmet, ilgili sanal alan oturumlarıyla birlikte dört örnek sağlıyor ve bu da tehdidin nasıl işlediğine daha yakından bakmamızı ve değerli istihbarat toplamamızı sağlıyor.
3. Taktikler, Teknikler ve Prosedürler (TTP’ler)
Saldırganlar, güvenlik açıklarından yararlanmak ve tespit edilmekten kaçınmak için taktiklerini sık sık günceller. Örneğin, HijackLoader’ın yeni sürümü şunları içerir: Kullanıcı Hesabı Denetimi (UAC) atlama. TI Lookup, MITRE ATT&CK çerçevesini temel alan sorguları kullanarak bu tür güncellemeleri belirleyebilir.
Örnek: Yeni HijackLoader Sürümünün Örnekleri
2024’ün başlarında, Kaçırma Yükleyici Kullanıcı Hesabı Denetimi (UAC) atlama özelliğine sahip bir güncelleme aldı (TT1548.002), kötü amaçlı yazılımın Windows güvenlik denetimlerini atlayarak çalışmasına izin veriyor. Bu güncellenmiş HijackLoader sürümünün örneklerini bulmak için TI Lookup’ta aşağıdaki sorguyu kullanabiliriz.
Yeni HijackLoader sürümünün örneklerini bulmak için aşağıdaki sorguyu kullanabilirsiniz: OF Arama: MITRE:”T1548.002″ VE tehditAdı:”hijackloader”.
4. Dünya Olaylarının Sömürülmesi
Siber suçlular saldırı başlatmak için genellikle küresel olayları kullanırlar. CrowdStrike kesintisi sırasında saldırganlar karışıklığı istismar etmek için kimlik avı kampanyaları başlattılar. TI Lookup, resmi siteleri taklit eden kötü amaçlı etki alanlarını tespit ederek soruşturmaya yardımcı oldu.
Örnek: CrowdStrike Olayı
ANY.RUN analistleri, yakın zamanda yaşanan bir güvenlik olayını istismar eden tehditleri tespit etmekte hızlı davrandılar. OF Arama önemli bir rol oynuyor. Arama sorgularından biri (domainName:”crowdstrike” VE threatLevel:”malicious”), olaydan kısa bir süre sonra ortaya çıkan resmi CrowdStrike etki alanını taklit eden etki alanlarını başarıyla tespit etti.
TI Lookup ile Ek Araştırma Teknikleri
- Şüpheli Bağlantıları Kontrol Edin:Şüpheli IP’lerin tehdit seviyesini hızla belirleyin.
- C2 Altyapısında Zekayı Zenginleştirin: Saldırganların kullandığı komuta ve kontrol altyapısındaki değişikliklerden haberdar olun.
- Kötü Amaçlı Ağ Etkinliğini Keşfedin: Ağ tehditlerini tespit etmek ve analiz etmek için Suricata IDS kurallarını kullanın.
- Mevcut Tehdit Ortamı hakkında bilgi edinin: Yerel gönderimlere dayanarak belirli bölgelere özgü tehditleri keşfedin.
Ortaya çıkan tehditlerin etkili bir şekilde araştırılması kapsamlı tehdit istihbaratına dayanır. ANY.RUN’ın TI Lookup’ı, kuruluşların bu tehditleri daha iyi anlamalarını ve azaltmalarını sağlayan zengin bir veri sağlar. İşletmeler bu aracı kullanarak siber güvenlik duruşlarını iyileştirebilir ve sistemlerinin güvenliğini ve bütünlüğünü sağlayabilir.
ANY.RUN Hakkında
ANY.RUN, TI Lookup, YARA Search ve Feeds gibi etkileşimli sanal alan ve tehdit istihbaratı ürünleriyle dünya çapında 400.000’den fazla siber güvenlik profesyonelini destekliyor. Bu araçlar, kuruluşların olaylara hızlı bir şekilde yanıt vermesine ve ortaya çıkan tehditler hakkında daha fazla bilgi edinmesine yardımcı olur.