Bu makale, modern siber tehditleri ve herhangi bir kötü amaçlı yazılım/siber saldırının arkasında en sık kullanılan saldırı yüzeylerini anlamanıza yardımcı olacaktır. Çoğu zaman, siber saldırılar aşamalı olarak gerçekleştirilir. Bu nedenle SOC ekibi, saldırı modellerini ve saldırı zincirini anlamalıdır.
Bu nedenle, saldırı zincirini kırmak ve suçlunun amacını durdurma niyetini önlemek, verilerin kaybolmasından kaynaklanan iş etkisini azaltacaktır. Bu size kuruluşunuza %100 savunma adımları veya mavi ekip kılavuzları sağlamaz.
Saldırı vektörleri hakkında bir parça kısa bilgi sağlayacak ve her SOC ekibinin, güvenlik izlemesinin ilk aşamasına sahip olması için bir savunma mekanizması oluşturması gerekiyor.
Bu adımlar, herhangi bir Ağ Güvenliği Ekibi tarafından takip edilebilir veya SOC’yi karşılayamayan küçük ölçekli endüstriler veya daha küçük firmalar, bununla bir savunma duvarı oluşturmaya yardımcı olacaktır.
Ayrıca, SOC Analisti için Eksiksiz Siber Saldırı Saldırı Eğitimini de bulabilirsiniz.
Aklınızda bulundurmanız gereken 3 önemli gerçek.
Siber suçlular her zaman güvenlik kontrollerinden önce plan yapar.
1.) Saldırana her şeyi kolayca vermeyin; almasını zorlaştırır. (Ağdaki Kontrol Önlemleri)
2.) Kullanılmıyorsa meşru güvenlik açığı bulunan uygulamayı etkinleştirmeyin, saldırganlar ağda her zaman yasal uygulamaları kullanır. (LOLBinlerin Kötüye Kullanımı)
3.) Saldırganların yalnızca tek bir kod parçası oluşturduğunu düşünmeyin, her zaman daha fazla komut ve işlevsellik içeren saldırı aşamalarına güvenirler. (Siber Öldürme Zincirleri)
Yani, çevrenize göre inşa etmeniz gereken savunma mekanizmaları.
1.) Kötü amaçlı yazılım dağıtımına karşı savunma – Kuruluşunuzun ağına girme
2.) Kötü amaçlı yazılım başarılı bir şekilde teslim edilirse, yanal hareketini ve kalıcılığını nasıl savunacaksınız? – Kuruluş ağınızın içinde hareket etme.
3.) Saldırgan tüm faaliyetlerini tamamladıysa, son aşaması dışarı sızacak veya ihlal edilecektir – Kuruluşunuzun Ağından Ayrılma.
Aşamaları kıralım ve yaygın enfeksiyon vektörlerinden güvenliği sağlamak için savunma mekanizmalarını görelim.
1. Aşama: Kötü Amaçlı Yazılım/MalSpam İletimi
Her kuruluşta, güvenlik duvarları/IPS ve e-posta ağ geçitleri, kuruluşunuza kötü amaçlı yazılım dağıtımına karşı savunmada hayati bir rol oynar. Ancak son zamanlarda, bu teknikler Siber saldırganlar tarafından kolayca yeniliyor.
Günümüz siber saldırıları tek aşamalı değildir, kötü amaçlı yazılımları bulaşma aşamasındaki tüm kuruluşlara dağıtırlar. İlk olarak, saldırgan, kurbanı kötü amaçlı olmayan URL’leri tıklaması için cezbeder ve CnC’ye yönlendirir ve yükleri düşürür. Bu aşamalar geleneksel savunma sistemleri tarafından engellenemez.
Başlıca İki yol: 1.) E-posta Teslimi – MalSpam, Spear phishing, E-posta Kampanyaları 2.) RDP Giriş Noktaları
A.) Çoğu e-posta kampanyasında yaygın olarak kullanılan E-posta ekleri.
1 .vbs (VBScript dosyası)
2 .js (JavaScript dosyası)
3 .exe (yürütülebilir)
4 .jar (Java arşiv dosyası)
5 .docx, .doc, .dot (Office belgeleri)
6 .html, .htm (web sayfası dosyaları)
7 .wsf (Windows betik dosyası)
8.pdf
9 .xml (Excel dosyası)
10.rtf (Office tarafından kullanılan zengin metin biçimi dosyası).
İstenmeyen ve yetkisiz e-posta eki uzantılarını engelleyin. Gmail bu uzantıları engelledi ve kuruluşlarınızda da engellenebilir. .ade, .adp, .bat, .chm, .cmd, .com, .cpl, .dll, .dmg, .exe, .hta, .ins, .isp, .jar, .js, .jse, .lib , .lnk,.mde, .msc, .msi, .msp, .mst, .nsh .pif, .scr, .sct,.shb, .sys, .vb, .vbe, .vbs, .vxd, .wsc , .wsf, .wsh
B.) Çalışanları komut dosyalarını uç nokta düzeyinde çalıştırma konusunda kısıtlayın.
C.) Spam e-postalar hakkında Kullanıcı Farkındalığı ve yeterli eğitim.
RDP – Uzak Masaüstü Protokolü (Bağlantı Noktası 3389) Hassas RDP bağlantılarına (bağlantı noktası 3389 varsayılandır) sahip sunucuları belirlemek, Shodan ve masscan gibi tarama araçları sayesinde inanılmaz derecede kolay hale getirilmiştir.
Oradan, RDP hesap kimlik bilgilerini kırmak için NLBrute gibi kaba kuvvet araçlarını uygulamak yeterlidir ve saldırganlar içeridedir. Alternatif olarak, saldırganlar kendilerini özellikle tembel hissediyorlarsa, basitçe yer altı DarkMarket xDedic’e yönelebilirler; güvenliği ihlal edilmiş bir sunucunun maliyeti 6 ABD doları kadar düşük olabilir.
RDP, özellikle SamSam, CrySiS, LockCrypt, Shade, Apocalypse ve diğer varyantların arkasındaki aktörlerin harekete geçmesiyle fidye yazılımı suçluları için favori bir bulaşma vektörü haline geldi.
RDP İstismarı Savunma Mekanizması:
• Güvenlik duvarları aracılığıyla erişimi kısıtlayın
• Güçlü parolalar ve 2FA/MFA kullanın
• RDP kullanarak oturum açabilen kullanıcıları sınırlayın
• Kaba kuvvet saldırılarıyla karşılaşmak için bir hesap kilitleme politikası belirleyin.
Aşama 1A: Komuta ve Kontrol sunucularından yüklerin alınması.
Son varyantlarda, e-postalar, siber saldırganların kurbanı çekici kelimeler veya resimlerle herhangi bir kötü amaçlı bağlantıya tıklamaya ikna etmesi için uygun seçeneklerdir. Bazı senaryolarda, e-posta, kurbanı e-postadan herhangi bir komut dosyası çalıştırmaya ikna etmek için 1. aşamadır; bu, kullanıcının uygulamalarını kötüye kullanır ve 2. enfeksiyon aşaması için herhangi bir yükü indirir. Bu yasal kaynakların İnternet’ten dosya indirmesini devre dışı bırakmak veya kısıtlamak, yük alımını önlemeye yardımcı olabilir.
Siber Saldırganlar, hedeflerine ulaşmak için meşru Microsoft ofis uygulamalarını kötüye kullanmayı her zaman severler. Çünkü
1.) Office uygulamaları evrensel olarak kabul edilir. Saldırganlar tarafından bir e-postada kullanılan çoğu ek adı (Fatura, Elektronik Tablo, Raporlar, Bilançolar, Evraklar, İhaleler)
2.) Office uygulamalarını silah haline getirmek kolaydır. Saldırganlar Microsoft’un yerleşik yeteneklerini cezbeder ve daha fazla şekilde kullanırlar.
Saldırganlar, yükleri almak için Microsoft uygulamalarını nasıl kötüye kullanır?
A.) Makrolar – Devre dışı bırakın veya kısıtlayın
B.) Nesne Bağlama ve Gömme (OLE) – Devre dışı bırakın veya kısıtlayın
C.) Dinamik Veri Alışverişi (DDE) – Word’den kaldırılan işlevsellik, Excel ve Outlook’ta hala devre dışı bırakılması gerekiyor
D.) İstismar Denklem Düzenleyicisi – CVE-2017-11882 – İşlevsellik Ocak 2018 Windows Güvenlik Güncelleştirmesi’nde kaldırıldı
Saldırganlar, yükleri almak için yalnızca Microsoft Office uygulamalarını değil, yasal uygulamaları ve Windows’ta yerleşik araçları da kullanır.
A.) VBScript ve JavaScript – Gerekmiyorsa devre dışı bırakma
B.) Powershell – Applocker veya Windows Software Restriction Policy (SRP) kullanarak yeteneklerin devre dışı bırakılması veya azaltılması.
C.) Certutil.exe, mshta.exe, regsvr32.exe, bitsadmin.exe ve curl.exe dosyalarının kötüye kullanılması – Uygulamanın engellenmesi ve giden isteklerde bulunulmasının engellenmesi.
Meşru Uygulamalar Uygulamanın Beyaz Listeye Alınmasını Önlemek İçin Aşağıdakiler Kullanılabilir: Engelleme veya Düşük İzleme önerilir.
2. Aşama: Kötü amaçlı yazılımın yürütülmediğinden ve kuruluşa yayılmadığından emin olun
Geleneksel olarak kuruluşlar, kötü amaçlı yazılımların çalışmasını önlemek için virüsten koruma (AV) yazılımlarına güvenirler.
Saldırılar, AV’yi atlamak/kaçmak için gelişti. Uç nokta koruma yazılımının etkili olması için, daha akıllı dosya analizi ve kötü niyetli davranışları tespit etmek ve engellemek için tasarlanmış gerçek zamanlı sistem etkinliği analizi için makine öğreniminden yararlanması gerekir.
Uygulama beyaz listesi, başka bir iyi katmandır ancak bakımı zor olabilir. Saldırganlar, onaylanmış süreçlere kötü amaçlı kod enjekte ederek beyaz listeyi ve AV’yi de atlayabilir.
Saldırganlar ayrıca meşru bir işlemin bellek alanına kötü amaçlı kod enjekte ederek, böylece ayrıcalıklarını ele geçirerek ve onun kisvesi altında çalıştırarak beyaz listeyi ve birçok AV/NGAV çözümünü atlayabilir.
Saldırganların kullanabileceği çeşitli kötü amaçlı enjeksiyon teknikleri vardır; DLL Enjeksiyonu, Yansıtıcı DLL Enjeksiyonu, İşlem İçi Boşaltma, İşlem doppelgänging, AtomBombing, vb.
Ortamınızdaki kötü amaçlı yazılım yürütmeye karşı savunma,
1.) Uç nokta koruması.
2.) Uygulama beyaz listesi
3.) Mümkünse, kullanıcıların komut dosyası çalıştırmasını devre dışı bırakın veya kısıtlayın
4.) Klasörler Üzerinde Windows Kontrolü
5.) Enjeksiyon tekniklerini, izleme süreçlerini ve API çağrılarını önlemek.
3. Aşama: Saldırı zincirinin son aşamasında/sonrasında verilerinizin sızmadığından veya ihlal edilmediğinden emin olun
Saldırganlar ilk erişime sahip olduklarında, dikkatleri istismar sonrası faaliyetlere çevrilir. Saldırganlar, radar altında çalışmaya devam etmek için “arazi dışında yaşamak,” sistemde zaten mevcut olan meşru araçları ve süreçleri kullanarak. Sömürü sonrası ilk hedeflerden biri, tipik olarak ayrıcalık yükseltme, kalıcılığı sağlamak için ek haklar ve erişim kazanma sürecidir.
Saldırganlar, komut dosyalarını kayıt defterinde depolamak da dahil olmak üzere çeşitli yükleme noktaları oluşturmak için sistem araçlarını ve işlevlerini kötüye kullanabilir.
Artan sayıda kötü amaçlı yazılım çeşidi, genellikle uzaktan yönetim araçlarını kötüye kullanarak otomatik olarak yayılmak üzere tasarlanmıştır.
Tehlike işaretleri vermeden kötü amaçlı faaliyetler yürütmek için meşru programları ve yerleşik işlevleri kötüye kullanma stratejisi. Bazı
en sık kötüye kullanılan araçlar Güç kalkanı, Windows Yönetim Araçları (WMI) ve uzaktan yönetim araçları gibi PsExec.
Saldırgan Teknikleri ve Savunma Mekanizmaları:
1.) Otomatik yükseltme için tasarlanmış kötüye kullanım programları
a.) Mümkün olduğunda en yüksek UAC uygulama seviyesini kullanın.
b.) Yönetici Onay Modunu Etkinleştirin.
c.) Kullanıcıları yerel yönetici grubundan kaldırın.
2.) DLL kaçırma
a.) Uç nokta koruma yazılımı.
b.) Uzak DLL’lerin yüklenmesine izin verme.
c.) Güvenli DLL Arama Modunu etkinleştirin.
3.) Ayrıcalık yükseltme istismarları (belirteç çalma, NULL işaretçi başvurusu güvenlik açıklarından yararlanma, güvenlik tanımlayıcılarını NULL olarak ayarlama, vb.)
a.) Kullanıcı alanı, çekirdek alanı ve CPU düzeyinde görünürlük içeren uç nokta koruma yazılımı.
4.) Kimlik bilgilerini boşaltma
a.) Kimlik bilgilerini önbelleğe almayı devre dışı bırakın.
b.) AppLocker ile PowerShell’i devre dışı bırakın veya kısıtlayın.
c.) En az ayrıcalığı uygulayın, kimlik bilgilerinin çakışmasını önleyin.
d.) LSASS ve diğer kimlik bilgileri depolarını koruyan uç nokta koruma yazılımı
5.) Yanal hareket teknikleri (uzaktan yönetim araçlarını kötüye kullanma vb.)
a.) UAC ayarları önerileri.
b.) Ağ segmentasyonu en iyi uygulamaları (ref: SANS)
c.) İki faktörlü kimlik doğrulama (2FA).
6.) Kötü amaçlı komut dosyalarını kayıt defterinde gizleme
a.) Otomatik Çalıştırmalarla İzleyin.
7.) Kötü amaçlı zamanlanmış görevler oluşturma
a.) Windows Güvenlik Günlüğü Olay Kimliği 4698’i izleyin.
8.) Olaylara (başlangıçta, vb.) dayalı olarak komut dosyası yürütmeyi tetiklemek için WMI’yı kötüye kullanma
a.) Savunma amaçlı WMI olay abonelikleri oluşturun.
a.) Mümkün olduğunda, uzak WMI için sabit bir bağlantı noktası ayarlayın ve bloke edin.
Çözüm
Bu, organizasyonumuzda ne tür tehdit vektörleri ve saldırı yüzeyleriyle karşılaşabileceğimizin temel olarak anlaşılması ve temel düzeyde bir savunma duvarı inşa edilmesi ile ilgilidir.
Bu, tüm tehditlere karşı %100 güvenli olmanızı sağlamaz, ortaya çıkan daha fazla sayıda benzersiz yol vardır ve ortaya çıkan kötü amaçlı yazılım kalıpları arasında daha fazla korelasyon vardır. Bu nedenle, yukarıdaki tavsiyelere dayalı olarak bilinen siber saldırı modellerine karşı zaten güvende olduğumuzdan emin olmalıyız.