ABD şirketleri: Çin Halk Cumhuriyeti (ÇHC) tarafından desteklenen bir tehdit aktörü olan Volt Typhoon’a dikkat edin.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) ABD’li işletmelere acil bir mesajı var: Çin Halk Cumhuriyeti (ÇHC) tarafından desteklenen bir tehdit aktörü olan Volt Typhoon’a dikkat edin.
Kurumun geçen hafta yayınlanan ortak Siber Güvenlik Danışmanlığı (CSA), karadan uzakta yaşama (LOTL) tekniklerini kullanmaları da dahil olmak üzere siber aktörle ilişkili bir dizi taktik, teknik ve prosedürü (TTP’ler) vurgulamaktadır.
Bu blogda Volt Typhoon’u inceleyeceğiz, tespit edilmekten nasıl kurtulduklarını inceleyeceğiz, CISA’nın koruma önerilerini tartışacağız ve Malwarebytes EDR’nin bu tür tehditleri ortadan kaldırmaya nasıl yardımcı olabileceğini göreceğiz.
Volt Typhoon kimdir?
Çin hükümetiyle olan bağları göz önüne alındığında, Volt Typhoon’u Gelişmiş Kalıcı Tehdit (APT) grubu olarak etiketlemek adil olur.
İyi finanse edilen ve seçkin bir hacker filosundan oluşan APT grupları, hükümetler, büyük şirketler veya kritik altyapı gibi yüksek değerli varlıkları hedefler. Genellikle yüksek derecede şaşırtmaca ve ısrarla çok aşamalı, çok vektörlü yaklaşımlar kullanırlar.
Volt Typhoon bir istisna değildir.
2021’in ortalarında olay yerine gelişlerinden bu yana Volt Typhoon, Guam’da ve Amerika Birleşik Devletleri’nin başka yerlerinde çok sayıda kritik altyapı kuruluşunu hedef aldı. Kurbanları, iletişim, hükümet, bilgi teknolojisi (BT), eğitim ve daha fazlası dahil olmak üzere çok çeşitli sektörlerden geliyor.
Gözlemlenen davranış, Volt Typhoon’un amacının, çoğu APT grubu gibi, hızlı bir vuruş değil, bir sistem içinde uzun vadeli bir varlık olduğunu ve tespit edilmeden mümkün olduğunca fazla bilgi toplamalarına izin verdiğini gösteriyor.
Artık Volt Typhoon’un kim olduğu ve neyin peşinde olduklarıyla ilgili temel bilgileri öğrendiğimize göre, araçlarının, tekniklerinin ve prosedürlerinin (TTP’ler) ayrıntılarına geçelim.
Volt Typhoon tespit edilmekten nasıl kurtulur?
Volt Typhoon’un casusluk kampanyalarının merkezinde, saldırganların tespit edilmekten kaçmak için meşru araçlardan yararlandıkları durumlar olan karadan yaşayan (LOTL) saldırıları vardır.
CISA tavsiyelerinin çoğunun Volt Typhoon’un LOTL tekniklerini kullanması etrafında dönüyor olması, bu tür tehditlerin ciddi bir endişe kaynağı olduğunu vurguluyor. Normal sistem davranışını taklit eden LOTL saldırıları, BT ekiplerinin ve güvenlik çözümlerinin herhangi bir kötü niyetli etkinlik belirtisini algılamasını son derece zorlaştırır.
Komut Dosyası Blok Günlüğü, PowerShell tarafından yürütülen tüm kod bloklarını kaydeder, bu da şüpheli etkinliklere işaret etmenize neden olabilir. Kaynak.
Volt Typhoon’un kullandığı yerleşik araçlardan bazıları wmic, ntdsutil, netsh ve PowerShell’dir.
Volt Typhoon’un LOTL saldırılarını saldırı zincirinin farklı aşamalarında nasıl kullandığına dair iki örneğe bakalım.
LOTL Örnek 1: Tanınma
Volt Typhoon, geçerli Windows Yönetim Araçları (WMI) araç setinin bir parçası olan wmic komutunu kullanarak yerel sürücüler hakkında bilgi toplar.
Bu komut satırı aracı, yönetici ayrıcalıklarına ihtiyaç duymadan sürücü harfi, dosya sistemi türü, boş alan ve birim adı gibi ayrıntıları toplamalarına olanak tanır.
Ana makinenin depolama düzenini ve kapasitesini bu şekilde anlamak, örneğin, araçlarını ve tekniklerini belirli bir sisteme uyarlamalarına yardımcı olabilir.
cmd.exe /C "wmic path win32_logicaldisk get caption,filesystem,freespace,size,volumename"
LOTL Örnek 2: Kimlik Bilgileri Erişimi
Volt Typhoon, Windows Etki Alanı Denetleyicilerinden (DC’ler) iki önemli varlığı yakalamaya çalışır: ntds.dit dosyası ve SYSTEM kayıt defteri kovanı. Bunların her ikisi de, yetkisiz aktörler için altın madeni olabilecek kullanıcı ayrıntıları, grup bağlantıları ve şifrelenmiş parolalar dahil olmak üzere çok sayıda veri içerir.
Bu bilgilere erişmek için, Birim Gölge Kopyası Hizmeti adı verilen yerleşik Windows hizmetini kullanırlar. Bu hizmet, her ikisi de önemlerinden dolayı genellikle kilitli olan ntds.dit dosyasının ve SYSTEM kayıt defteri kovanının klonlarını oluşturmalarına yardımcı olur.
Bu klonlanmış kopyalar, Volt Typhoon’un orijinal dosyaları değiştirmekten kaçınmasına ve böylece gizliliği korumasına izin verir. Saldırganlar bu dosyaları ele geçirerek, alarm vermeden çevrimdışı olarak şifrelerin şifresini çözmek için çalışabilirler.
cmd /c vssadmin create shadow /for=C: > C:\Windows\Temp\
cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\Windows\NTDS\ntds.ditC:\Windows\Temp > C:\Windows\Temp\
CISA’nın en iyi uygulamaları
Volt Typhoon’un kullandığı türden LOTL saldırılarını ortaya çıkarmak, sistem davranışlarındaki ince anormallikleri veya kalıpları tespit etmeyi gerektirir.
Aynı şekilde, CISA’nın işletmelere tavsiyesi, sağlam günlük tutma mekanizmaları, anormal hesap faaliyetlerini inceleme ve daha fazlası aracılığıyla potansiyel LOTL saldırılarının tespitini geliştirmenin önemini vurgulamaktadır:
| CISA Danışmanlığı | Tanım |
|---|---|
| İzlemeyi ve günlüğe kaydetmeyi geliştirin | Alışılmadık IP adreslerini, anormal hesap etkinliğini ve şüpheli işlem oluşumlarını izlemek için gelişmiş izleme sistemlerini kullanın. Windows güvenlik günlüklerinde “denetim süreci oluşturmayı”, “işlem oluşturma olaylarına komut satırını dahil etmeyi”, WMI İzlemeyi ve derin PowerShell günlüğünü etkinleştirin. |
| Sertleştirme sistemleri ve ağları | Etki alanı denetleyicisi güvenliğini iyileştirin ve bağlantı noktası proxy kullanımını sınırlayın. Güvenlik duvarı yapılandırmalarını düzenli olarak kontrol edin ve tercihen ayrı bir ağda güçlendirilmiş merkezi bir kayıt sunucusu bulundurun. |
| Düzenli kontrolleri koruyun | Yönetici ayrıcalıklarının kullanımını düzenli olarak doğrulayın ve izinsiz giriş işaretleri için tüm günlük izinlerini (Olay Kimliği 1102 girişleri) inceleyin. Potansiyel istismarı ve yanal hareketi belirlemek için uç cihazlarda tutarlı günlük kaydını ve ağ düzeyinde günlük kaydını etkinleştirin. |
Malwarebytes EDR’si
Malwarebytes ile Şüpheli Etkinlik izleme, Volt Typhoon’un kullandığı türden olası LOTL tekniklerini tespit edebilir. Daha önce açıkladığımız LOTL Örneği #2’yi—Kimlik Bilgisi Erişimi— ele alalım.
Açıkladığımız gibi, aktör, bir işletim sistemi örneği olan şifre kırma işlemini gerçekleştirmek için ntds.dit dosyasını ve SYSTEM kayıt defteri kovanını ağdan çıkarmaya çalışıyor. Kimlik Bilgisi Erişimi MITRE tarafından T1003 olarak tanımlanmıştır.
Malwarebytes EDR’yi kullanarak bunun gibi şüpheli etkinlikleri bulabilir ve ilişkili olduğu uç noktayı hızla izole edebiliriz.
“Boşaltma” şu durumlarda gerçekleşir: `ntds.dit file` ve SYSTEM kayıt defteri kovanı orijinal (ve genellikle kilitli olduğu için erişilemez) konumdan kopyalanır. `C:\Windows\Temp directory`. Bu süreç, verileri etkin bir şekilde ayıklıyor veya yeni, daha erişilebilir bir konuma “döküyor”.
Neyse ki, Malwarebytes EDR bizi bu şüpheli süreç konusunda uyardı ve soruşturmanın ardından şüpheli aktivitenin ilişkili olduğu uç noktayı düzeltebildik.
Ulus-devlet destekli saldırılara hızlı ve etkili bir şekilde yanıt vermek
Volt Typhoon’un faaliyetleriyle ilgili son bilgiler, onları Amerika Birleşik Devletleri’ndeki işletmeler ve kuruluşlar için siber güvenlik endişelerinin zirvesine fırlattı.
Çin devleti tarafından desteklenen Volt Typhoon, faaliyetlerini tespit etmeyi zorlaştıran bir dizi gizli teknik kullanıyor. Bu taktiklerin başında, Living Off the Land (LOTL) tekniklerinin kullanılması ve hedef ağlara sızma ve kalıcılık için wmic, ntdsutil, netsh ve PowerShell gibi yerleşik araçlardan yararlanılması dahildir.
Bu gelişmiş kalıcı tehditlerle mücadele etmek için işletmeler, LOTL saldırılarına özgü şüpheli etkinlikleri belirlemek ve izole etmek için CISA’nın tavsiyelerini Malwarebytes EDR gibi araçlarla eşleştirmelidir.
EDR çözümlerini yönetme uzmanlığına sahip olmayan kuruluşlar için Yönetilen Tespit ve Yanıt (MDR) hizmetleri de çekici bir seçenektir.
MDR hizmetleri, tehditleri 7/24 izleyebilen ve bunlara yanıt verebilen, Volt Typhoon gibi APT tehditlerini hızlı ve etkili bir şekilde algılayıp yanıtlayabilen ve maksimum koruma sağlamak için EDR çözümlerinin sürekli olarak ayarlanmasını ve optimizasyonunu sağlayan deneyimli güvenlik analistlerine erişim sunar.
APT saldırılarını bugün durdurun