Siber tehditleri, saldırma veya ciddi hasara yol açma şansına sahip olmadan önce ele almak, herhangi bir şirketin benimseyebileceği açık ara en iyi güvenlik yaklaşımıdır. Bunu başarmak için çok fazla araştırma ve proaktif tehdit avcılığı gerekir. Buradaki sorun, sonsuz veri dizileri arasında sıkışıp kalmanın ve ilgili hiçbir bilginin elde edilememesinin kolay olmasıdır.
Bunu önlemek için, şirketinizin tehdit farkındalığını ve genel güvenliğini artıracağı kesin olan, savaşta test edilmiş bu beş tekniği kullanın.
Bölgenizdeki kuruluşları hedef alan tehditleri bulma
Şirketiniz için mevcut tehdit ortamı hakkında bilgi edinmenin en temel ancak yüksek etkili yolu, gidip bölgenizdeki diğer kuruluşların ne tür saldırılara maruz kaldığını görmektir.
Çoğu durumda, tehdit aktörleri tek bir kampanya kapsamında onlarca işletmeyi aynı anda hedeflemeye çalışır. Bu, tehdidi erken yakalamanızı ve kuruluşunuzda doğru ayarlamaları yapmanızı mümkün kılar.
Güvenliğinize nasıl katkıda bulunur:
- Daha hedefli ve etkili savunma stratejisi.
- Doğru tehdit önceliklendirmesi.
- Kaynak optimizasyonu.
Nasıl çalışır:
Ülkenizdeki mevcut tehdit ortamını öğrenmenin birkaç yolu olsa da ANY.RUN bunun için en kapsamlı ve kullanıcı dostu çözümlerden birini sunar.
Dünya çapında 500.000’den fazla güvenlik uzmanı tarafından ANY.RUN’un sanal alanına yüklenen en son kötü amaçlı yazılım ve kimlik avı örneklerine ilişkin analiz raporlarından oluşan devasa bir halka açık veritabanını çalıştırır.
Her sanal alan oturumundan kapsamlı veriler çıkarılır ve ANY.RUN’un Tehdit İstihbaratı (TI) Araması aracılığıyla kullanıcılar tarafından aranabilir. Hizmet, IP adresleri ve dosya karmalarından kayıt defteri anahtarları ve mutekslere kadar 40’tan fazla farklı parametre sunarak, en küçük göstergeleri kullanarak tehditleri doğrulukla belirlemenize yardımcı olur.
Özellikle kötü amaçlı dosyalara odaklanmak istediğimizden URL’leri aramanın dışında bırakırken (NOT operatörünü kullanarak) Almanya’daki kuruluşları ne tür kimlik avı tehditlerinin hedef aldığını görmek istediğimizi varsayalım. Bunu yapmak için TI Lookup’a aşağıdaki sorguyu yazabiliriz:
tehditAdı:”kimlik avı” VE gönderimÜlke:”de” NOT görevType:”url”
 |
| TI Lookup tarafından gösterilen her sanal alan oturumunu keşfedebilirsiniz |
Saniyeler içinde, kimlik avı belgelerini, e-postaları ve Almanya’daki kullanıcılar tarafından ANY.RUN’a gönderilen diğer içerik türlerini içeren herkese açık sanal alan oturumlarının bir listesini alıyoruz.
Tehditlere ilişkin ek bilgiler edinmek ve paha biçilmez istihbarat toplamak için her oturumu tamamen ücretsiz olarak yakından gözlemleyebilirsiniz.
 |
| Kimlik avı e-postasının analizini gösteren, TI Arama sonuçlarındaki korumalı alan oturumlarından biri |
Yukarıdaki resimde gösterildiği gibi, analiz sırasında kaydedilen tüm ağ ve sistem etkinlikleriyle birlikte saldırının tamamını çalışırken görebiliriz.
Kuruluşunuzun güvenliğini nasıl artırabileceğini görmek için TI Lookup’ın 14 günlük ÜCRETSİZ deneme sürümünü edinin.
Şüpheli sistem ve ağ yapıtlarını TI araçlarıyla kontrol etme
Orta ölçekli kuruluşların güvenlik departmanları ortalama bir günde yüzlerce uyarı alır. Bunların hepsi gerektiği gibi takip edilmiyor ve bu da saldırganların yararlanabileceği bir boşluk bırakıyor. Ancak tüm şüpheli yapıların TI araçlarıyla doğrulanmasına yönelik bir katman daha eklemek, kuruluşları önemli mali ve itibar kayıplarından potansiyel olarak kurtarabilir.
Güvenliğinize nasıl katkıda bulunur:
- Kötü amaçlı etkinliklerin erken tespiti.
- Saldırganların kullandığı taktik ve tekniklerin anlaşılması.
- Etkiyi en aza indirmek için olaya hızlı müdahale.
Nasıl çalışır:
Güvenlik departmanları için yaygın bir senaryo, olağandışı IP bağlantılarıyla uğraşmaktır. Uyarı üreten meşru adreslerin pek çok örneği olduğundan, bazı çalışanların kayıtsız kalması ve gerçek kötü niyetli adreslerin paçadan kaçmasına izin vermesi kolaydır.
Bu gibi durumları ortadan kaldırmak için çalışanlar TI Arama’daki tüm IP adreslerini kontrol edebilir. Aşağıda olası sorguya bir örnek verilmiştir:
hedef IP:”78[.]110[.]166[.]82″
 |
| TI Arama, alanlar, bağlantı noktaları ve olaylar dahil her gösterge için ek bilgi sağlar |
Hizmet, bu IP’nin kötü niyetli yapısı hakkında bizi anında bilgilendirir ve daha fazla bağlam sağlar: tehdidin adı (Ajan Tesla) ve bu IP’nin kaydedildiği sanal alan oturumları.
Benzer şekilde, güvenlik uzmanları şüpheli komut dosyalarının kullanımı gibi sistem olaylarını kontrol edebilir. Herhangi birinin kötü niyetli faaliyetlerle bağlantılı olup olmadığını görmek için birden fazla göstergeyi aynı anda dahil edebiliriz.
Bu sorguyu düşünün:
commandLine:”C:\\Users\\Public\\*.ps1″ VEYA commandLine:”C:\\Users\\Public\\*.vbs”
İki tür komut dosyasını arayacak şekilde ayarlanmıştır: Genel dizine yerleştirilen .ps1 ve .vbs biçimindeki komut dosyaları.
Bu scriptlerin dosya adlarını bilmediğimiz için bunları * joker karakteriyle değiştirebiliriz.
 |
| Sorguyla eşleşen komut dosyaları |
TI Arama bize çok sayıda sanal alan oturumunda bulunan eşleşen komut dosyalarının bir listesini sağlar.
 |
| İstenen komut dosyalarını içeren korumalı alan oturumlarının listesi |
Artık isimlerini toplayabilir, bir saldırı kapsamında nasıl çalıştıklarını görebilir ve keşfedilen bilgilere dayanarak önleyici tedbirler alabiliriz.
Belirli TTP’lere göre tehditleri keşfetme
Bilinen güvenlik ihlali göstergelerini (IOC’ler) engellemek güvenliğinizin önemli bir unsuru olsa da, bunlar düzenli olarak değişme eğilimindedir. Bu nedenle saldırganların sektörünüzdeki kuruluşlara bulaşmak için kullandığı taktiklere, tekniklere ve prosedürlere (TTP’ler) güvenmek daha sürdürülebilir bir yaklaşımdır.
TI araçlarıyla, ilgilendiğiniz TTP’leri kullanan tehditleri izleyebilir, davranışlarını gözlemleyebilir ve şirketinizin tespit yeteneklerini geliştirmek için onlar hakkında çok değerli bilgiler toplayabilirsiniz.
Güvenliğinize nasıl katkıda bulunur:
- Saldırgan yöntemlerine ilişkin ayrıntılı bilgiler.
- Spesifik karşı önlemlerin geliştirilmesi.
- Ortaya çıkan tehditlere karşı proaktif savunma.
Nasıl çalışır:
TI Arama, düzinelerce TTP’yi içeren, eyleme geçirilebilir bir MITRE ATT&CK matrisi sağlar ve bunlara, bu tekniklerin uygulandığı kötü amaçlı yazılım ve kimlik avı tehditleri içeren korumalı alan oturumları eşlik eder.
 |
| TI Arama, eyleme dönüştürülebilir bir MITRE ATT&CK matrisi sunar |
Ücretsizdir ve kayıtlı olmayan kullanıcılar tarafından bile kullanılabilir. Saldırıların nasıl gerçekleştirildiğini keşfedebilir ve belirli TTP’leri kullanan belirli tehditleri bulabilirsiniz.
 |
| TI Arama, her TTP için tehdit örnekleri sağlar |
Yukarıdaki resim, hizmetin, saldırganlar tarafından güvenlik araçlarını değiştirmek ve tespit edilmekten kaçınmak için kullanılan bir teknik olan T1562.001 hakkında nasıl bilgi sağladığını göstermektedir.
Merkezde, TI Arama, belirli kötü amaçlı etkinlikleri tanımlayan bu teknikle ilgili imzaları listeler. Sağ tarafta ilgili tehditlere ilişkin raporları inceleyebilirsiniz.
Gelişen tehditleri izleme
Kuruluşlar saldırılara uyum sağladıkça tehditler altyapılarını değiştirme ve gelişme eğilimindedir. Bu nedenle, bir zamanlar şirketiniz için risk oluşturan tehditlerin izini asla kaybetmemeniz hayati önem taşıyor. Bu, bu tehdidin en son örnekleri ve yeni göstergeleri hakkında güncel bilgiler alınarak yapılabilir.
Güvenliğinize nasıl katkıda bulunur:
- Ortaya çıkan tehditleri azaltmak için zamanında eylemler.
- Güvenlik ekipleri için gelişmiş durumsal farkındalık.
- Gelecekteki saldırılara daha iyi hazırlık.
Nasıl çalışır:
TI Arama, belirli tehditler, güvenlik ihlali göstergeleri, davranış göstergeleri ve farklı veri noktalarının kombinasyonları hakkındaki güncellemeler hakkında bildirimler almak için abone olmanıza olanak tanır.
 |
| Bildirim almak için sorgunuzu girmeniz ve abone ol düğmesini tıklamanız yeterlidir. |
Bu, yeni değişkenlerden ve gelişen tehditlerden haberdar olmanızı ve savunmanızı neredeyse gerçek zamanlı olarak gerektiği gibi uyarlamanızı sağlar.
Örneğin, Lumma Stealer ile ilgili yeni alan adları ve diğer ağ etkinlikleri hakkında bilgi almak için bir sorguya abone olabiliriz:
tehditAdı:”lumma” VE alanAdı:””
 |
| TI Arama, her abonelik için yeni sonuçlar hakkında sizi bilgilendirir |
Yakında yeni güncellemelerin nasıl görünmeye başladığını göreceğiz.
 |
| Yeni sonuçları gösteren TI Araması |
Abone olduğunuz sorguya tıkladığınızda yeni sonuçlar görüntülenecektir. Bizim durumumuzda Lumma’nın dahil olduğu saldırılarda kullanılan yeni portları gözlemleyebiliyoruz.
Üçüncü taraf raporlarından zenginleştirilmiş bilgiler
Mevcut tehdit ortamına ilişkin raporlar, kuruluşlarınızı hedef alabilecek saldırılara ilişkin önemli bir istihbarat kaynağıdır. Ancak içerdikleri bilgiler oldukça sınırlı olabilir. Mevcut bilgilerin üzerine inşa edebilir ve ek ayrıntıları ortaya çıkarmak için kendi araştırmanızı yapabilirsiniz.
Güvenliğinize nasıl katkıda bulunur:
- Tehdit manzarasının daha eksiksiz bir resmini sağlamak.
- Tehdit verilerinin doğrulanması.
- Daha bilinçli karar verme.
Nasıl çalışır:
Lumma ve Amadey kötü amaçlı yazılımlarıyla üretim şirketlerini hedef alan bu son saldırıyı düşünün. Kampanyayla ilgili daha fazla örnek bulmak için raporda özetlenen bulguları takip edebiliriz.
Bunu yapmak için iki ayrıntıyı birleştirebiliriz: tehdidin adı ve saldırganlar tarafından kullanılan .dll dosyası:
filePath:”dbghelp.dll” VE tehditAdı:”lumma”
 |
| Sorguyla eşleşen korumalı alan oturumları |
TI Arama, düzinelerce eşleşen sanal alan oturumu sunarak orijinal raporda sağlanan verileri önemli ölçüde zenginleştirmenize ve bu verileri bu saldırıya karşı savunmanızı bilgilendirmek için kullanmanıza olanak tanır.
TI Arama ile Kuruluşunuzda Tehdit Avcılığını İyileştirin ve Hızlandırın
ANY.RUN’un Tehdit İstihbaratı Araması, genel kötü amaçlı yazılım ve kimlik avı örneklerinden elde edilen en son tehdit verilerine merkezi erişim sağlar.
Kuruluşlara şu konularda yardımcı olur:
- Proaktif Tehdit Belirleme: Keşfedilen istihbarata dayanarak savunmanızı proaktif olarak belirlemek ve güncellemek için veritabanında arama yapın.
- Daha Hızlı Araştırma: Yalıtılmış IOC’leri belirli tehditlere veya bilinen kötü amaçlı yazılım kampanyalarına hızla bağlayarak tehdit araştırmasını hızlandırın.
- Gerçek Zamanlı İzleme: İlgilendiğiniz göstergelerle ilgili yeni sonuçlara ilişkin güncellemeler alarak gelişen tehditleri izleyin.
- Olay Adli Tıp: Mevcut yapılara ilişkin bağlamsal bilgileri arayarak güvenlik olaylarının adli analizini geliştirin.
- IOC Koleksiyonu: İlgili tehdit bilgileri için veritabanında arama yaparak ek göstergeleri keşfedin.
Tüm yeteneklerini test etmek ve kuruluşunuzun güvenliğine nasıl katkıda bulunabileceğini görmek için TI Lookup’ın 14 günlük ücretsiz deneme sürümünü edinin.