Yakın zamanda Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından ABD’deki kritik bir altyapı kuruluşunda kapsamlı bir Kırmızı Takım Değerlendirmesi (RTA) gerçekleştirildi.
Yaklaşık üç ay süren bu değerlendirmede, gerçek dünyadaki tehdit aktörlerini simüle ederek kuruluşun siber güvenlik tespit ve müdahale yeteneklerinin değerlendirilmesi amaçlandı.
CISA kırmızı ekibi, kuruluşun teknoloji varlıkları hakkında önceden bilgi sahibi olmadan faaliyet gösterdi ve hedef kuruluş üzerinde açık kaynak araştırması yürüterek işe başladı.
Bunun yanı sıra, siber güvenlik araştırmacıları hedef odaklı kimlik avına yönelik ilk girişimlerinin başarısız olduğunu keşfettiler, ancak sonunda önceki bir Güvenlik Açığı Açıklama Programından (VDP) kalan bir web kabuğu aracılığıyla erişim elde ettiler.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Teknik Analiz
Aşama I: Kırmızı Takım Siber Tehdit Faaliyeti
İlk Erişim
Kırmızı ekip, başarısız hedef odaklı kimlik avı girişimlerinin ardından internete bakan bir Linux web sunucusundan yararlandı. Kuruluşun Linux web sunucusunda, rastgele komutlar çalıştırmalarına olanak tanıyan önceden var olan bir web kabuğu keşfettiler.
Linux Altyapısının Uzlaşması
Ekip, web sunucusundaki ayrıcalıkları artırdı ve no_root_squash’ın etkin olduğu bir NFS paylaşımı keşfetti; bu da onlara tüm kullanıcı dosyalarındaki hassas verilere erişim olanağı sağladı.
Windows Etki Alanı Denetleyicisi Uzlaşması
İlk erişimden yaklaşık iki hafta sonra kırmızı ekip, bir Windows etki alanı denetleyicisini tehlikeye atarak etki alanına katılan tüm Windows ana bilgisayarlarına yanal harekete izin verdi.
Sömürü Sonrası Faaliyet
Ekip, yönetici iş istasyonları ve kritik altyapı yöneticisi iş istasyonları da dahil olmak üzere çeşitli Hassas Ancak Sınıflandırılmamış (SBS) sistemlere erişim kazandı.
Komuta ve Kontrol
Kırmızı ekip, değerlendirme boyunca Sliver, Mythic, Cobalt Strike ve diğer ticari C2 çerçeveleri dahil olmak üzere üçüncü tarafların sahip olduğu ve işlettiği altyapı ve hizmetleri kullandı.
Savunmadan Kaçınma ve Mağdur Ağı Savunma Faaliyetleri
Kırmızı ekip, tespitten kaçınmak için süreç tanımlayıcılarını yeniden sıralamak ve süreçleri değiştirmek gibi çeşitli teknikler kullandı. Ağ savunucuları, ekibin Linux ortamındaki varlığının bir kısmını belirledi ancak Windows ortamındaki etkinliği büyük ölçüde tespit edemedi.
Aşama II: Ölçülebilir Olaylar
Kırmızı takım, örgütün savunmasının tepkisini kışkırtmak için tasarlanmış 13 ölçülebilir olay gerçekleştirdi. Bu olaylar arasında dahili bağlantı noktası taramaları, Active Directory numaralandırması, veri sızdırma girişimleri ve kötü amaçlı trafik oluşturulması yer alıyordu.
Bu değerlendirme, kritik altyapı kuruluşları için siber güvenlik uygulamalarında sürekli iyileştirmenin önemini göstermektedir.
Bu kırmızı takım çalışmasında belirlenen güvenlik açıklarını ve boşlukları ele alarak kuruluşlar kendilerini gerçek dünyadaki siber tehditlere karşı daha iyi koruyabilirler.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.