ABD ve küresel siber güvenlik kurumları, Çin’den devlet destekli bir siber aktör olan “Volt Typhoon”un faaliyetlerine dikkat çekmek için ortak bir danışma belgesi yayınladı.
Bu faaliyetin Amerika Birleşik Devletleri’ndeki kritik altyapı sektörlerindeki ağlar üzerindeki etkisi, özel sektör işbirlikçileri tarafından kabul edilmiştir.
Ancak hem bu sektörleri hem de küresel ölçekte diğer sektörleri hedef almak için benzer metodolojilerin tehdit aktörleri tarafından kullanılabileceği düşünülüyor.
İlgili Güvenlik Kuruluşları
Aşağıda, bu ortak danışma belgesine dahil olan tüm siber güvenlik kurumlarından bahsetmiştik:-
- Amerika Birleşik Devletleri Ulusal Güvenlik Teşkilatı (NSA)
- ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA)
- ABD Federal Soruşturma Bürosu (FBI)
- Avustralya Sinyalleri Müdürlüğü’nün Avustralya Siber Güvenlik Merkezi (ACSC)
- İletişim Güvenliği Kuruluşunun Kanada Siber Güvenlik Merkezi (CCCS)
- Yeni Zelanda Ulusal Siber Güvenlik Merkezi (NCSC-NZ)
- Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC-UK)
Aktörün önemli bir işleyiş biçimi, hedeflerine ulaşmak için önceden var olan ağ yönetim araçlarından yararlanarak “arazi dışında yaşamak” tekniğini kullanmayı içerir.
Bu teknik, standart Windows işlemleriyle sorunsuz bir şekilde entegre olarak, harici uygulamaların varlığını işaretleyen EDR sistemlerini atlayarak ve varsayılan günlüklerde kayıtlı etkinliği en aza indirerek aktörün tespit edilmeden kalmasını sağlar.
Kullanılan Yerleşik Araçlar
Aşağıda, bu aktörün kullandığı bazı yerleşik araçlardan bahsetmiştik: –
- wmic
- ntdsutil
- netsh
- Güç kalkanı
Savunucuların sistem ve temel davranış anlayışlarından yararlanarak maçları değerlendirmeleri ve önemlerini belirlemeleri gerekir.
Ayrıca, ağ savunucularının bu komutları kullanarak algılama mantığını tasarlarken komut dizisi argümanlarındaki değişkenliği dikkate almaları gerekir.
Bu, farklı ortamlarda değişebilen, kullanılan bağlantı noktaları gibi öğelerdeki farklılıkların muhasebeleştirilmesini içerir.
Azaltmalar
Bunun dışında yazarlık ajansları, kuruluşlara güvenliklerini artırmak için aşağıdaki önlemleri derhal almalarını şiddetle tavsiye etti: –
- Etki alanı denetleyicilerini sağlamlaştırın, ntdsutil.exe gibi şüpheli işlem oluşumları için olay günlüklerini izleyin ve komut doğrulama için yönetici ayrıcalıklarını denetleyin.
- Ortamlarda gerektiğinde bağlantı noktası proxy kullanımını sınırlayın ve etkinleştirin.
- Potansiyel olarak dahil olan ana bilgisayarları belirlemek için komut satırlarında, kayıt defteri girişlerinde ve güvenlik duvarı günlüklerinde olağandışı IP adreslerini ve bağlantı noktalarını araştırın.
- Yetkisiz değişiklikler ve dahili ana bilgisayarlara harici erişim için çevre güvenlik duvarı yapılandırmalarını gözden geçirdiğinizden emin olun.
- Mesai saatleri dışında yapılan oturumlar ve imkansız zaman ve mesafe oturumları gibi anormal hesap etkinliklerini tespit edin.
- Günlük dosyalarını, bölümlere ayrılmış bir ağ üzerindeki güçlendirilmiş merkezi bir günlük sunucusuna iletin.
CISO’ların Karşılaştığı Ortak Güvenlik Sorunları? – Ücretsiz CISO Kılavuzunu İndirin