Siber saldırılar gerçekleştiğinde nadiren tek bir bilgisayar zarar görür. Günümüzde siber suçlular gözlerini kurumsal ağlara dikerek birden fazla sisteme sızmayı ve bu sistemleri tehlikeye atmayı hedefliyor. Peki bu kötü aktörler büyük ağlara sızmayı nasıl başarıyorlar?
Her şey bir dayanak noktasıyla başlar. Siber suçlular, uzak masaüstü protokollerine yapılan kaba kuvvet saldırıları, halka açık uygulamalardaki güvenlik açıklarından yararlanma veya hiçbir şeyden haberi olmayan çalışanları cezbeden akıllıca hazırlanmış kimlik avı e-postaları aracılığıyla içeri girmenin yolunu bulur. değerli varlıklar ve erişimlerini yaymak.
Bu yatay hareketin izleri siber güvenlik ekipleri için çok önemli ipuçları. Güvenliği ihlal edilmiş varlıkların belirlenmesine, ihlalin boyutunun değerlendirilmesine ve daha fazla hasarı önlemek için güvenlik açıklarının desteklenmesine yardımcı olurlar. Bu tehdit aktörlerinin kullandığı taktikleri anlayarak, etkilenen makinelerde tehlike işaretlerini nerede arayacağınızı tam olarak belirleyebilirsiniz ve doğru bilgisayar adli tıp araçlarıyla bu alanların analizi daha verimli hale gelir.
En yaygın yanal hareket teknikleri
Yanal hareket, siber saldırıda, bilgisayar korsanlarının ilk ihlal noktasından ağ içindeki diğer sistemlere yöneldiği kritik bir aşamadır. Bu manevra onların daha fazla kaynağa erişmesine ve saldırılarını artırmasına olanak tanıyarak potansiyel hasarı artırır.
Bu aşama siber güvenlik ekipleri için önemli bir fırsattır. Bu, tehdit aktörlerinin faaliyetlerinin en çok açığa çıktığı zamandır ve kullanılan teknikleri ve araçları tespit etme şansı sunar. Siber olaylara müdahale araştırmacılarının bazı temel ilgi alanları şunlardır:
Kötü niyetli aktörler, yatay hareket etmek için genellikle Uzak Masaüstü Protokolü (RDP) gibi uzak hizmetlerden yararlanır. Bu hizmetler, dosyaları aktarmalarına, komutları yürütmelerine veya ağdaki diğer makinelerin kontrolünü ele geçirmelerine olanak tanır.
Saldırganlar, Windows ağlarının dosyalar ve yazıcılar gibi kaynakları paylaşmak için kullandığı Sunucu İleti Bloğu (SMB) protokolünü yanal olarak hareket etmek ve kötü amaçlı yazılım yaymak için kullanabilir.
Saldırganlar, halihazırda sistemlerde bulunan meşru araçları ve süreçleri kötü amaçlı faaliyetlerde bulunmak için sıklıkla kötüye kullanır ve bu da tespit etmeyi daha da zorlaştırır. Örnekler arasında PsExec ve PowerShell yer alır.
Windows kayıt defterindeki ve olay günlüklerindeki girişleri inceleyerek, güvenliği ihlal edilmiş makinelerde RDP kullanımına ilişkin kanıt bulabilirsiniz.
Dijital adli tıp araçları bu süreçte çok değerlidir. Bilgisayarlardan elde edilen verileri çıkarıp kategorilere ayırarak siber olay araştırmaları için ilgili dijital eserlerin bulunmasını kolaylaştırıyorlar.
Örneğin Belkasoft X, sağlanan veri kaynağından giden RDP bağlantılarını şu şekilde görüntüler:
RDP bağlantı ayrıntılarının kayıt defteri yolu genellikle şu adreste bulunur:
Yazılım\Microsoft\Terminal Sunucu İstemcisi\Sunucular
Vurgulanan örnekte, Yönetici hesabı, RDP aracılığıyla 192.168.1.79 IP adresiyle ana bilgisayarda oturum açmak için kullanıldı. Peki ya gelen RDP bağlantıları? Evet, bunlar da ortaya çıkarılabilir!
Gelen bağlantılarla ilgili ayrıntıları bulmak için Windows Olay Günlüklerini, özellikle de Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational kütükler.
Yönetici hesabının olaya dahil olduğunu bildiğimizden, o hesapla ilişkili olaylara odaklanmak için güvenlik günlüklerine bir filtre uygulayabiliriz.
Truva atından şüpheleniliyorsa daha fazla araştırma yapılması gerekir. Yapı sekmesindeki Yapılar penceresinde kayıt ayrıntılarını inceleyebilirsiniz.
KOBİ/Windows Yönetici Paylaşımını Analiz Etme
RDP popüler olabilir ancak rakiplerin yanal hareket için kullandığı tek teknik bu değildir. SMB/Windows Yönetici Paylaşımı yaygın olarak kullanılan başka bir tekniktir. Tehdit aktörleri, saldırılarının keşif aşamalarında, özellikle de zaten ayrıcalıklı kimlik bilgilerine sahiplerse, ağdaki potansiyel hedefler hakkında daha fazla bilgi edinmek için SMB/Windows Yönetici Paylaşımı tekniğini kullanır. Bu teknik, saldırganların araçlarını veya kötü amaçlı yazılımlarını başlangıçta güvenliği ihlal edilmiş bir ana bilgisayardan diğer ana bilgisayarlara aktarmak zorunda kaldıklarında da kullanışlı oluyor.
SMB/Windows Yönetici Paylaşımı istismarına işaret eden davranışları ortaya çıkarmanın en kolay yolu c$, d$ veya admin$ anahtar kelimelerini aramaktır. Dijital adli tıp araçları, vakadaki tüm kayıtlarda arama yapmanıza olanak tanır. Aşağıda Belkasoft X tarafından bulunan ac$ kullanım kaydının bir örneği bulunmaktadır. Başlat menüsü istemindeki son girişler kategori.
Yönetici hesabının ele geçirildiğini biliyorsanız kayıt defteri dosyasına da gidebilir, MRU’yu Çalıştır tuşuna basın (Başlat > Çalıştır komutuyla yürütülen girişlerin listesini tutar) ve c$, d$ veya admin$ anahtar sözcüklerini içeren girişleri kontrol edin.
PsExec ve PowerShell kullanımını araştırmak
Siber saldırganlar ağlar arasında yanal olarak hareket ederken, genellikle PsExec ve PowerShell gibi araçları kullanarak uzak ana bilgisayarlarda komut dosyaları veya kötü amaçlı yazılım çalıştırmaya güvenirler.
Ücretsiz bir Microsoft aracı olan PsExec, kullanıcıların uzak bilgisayarlarda program çalıştırmasına olanak tanır. Sistem yöneticilerinin ağ bağlantılı sistemleri yönetmesi için kullanışlı bir araç olmasına rağmen, uzak sistemlerde komutları, komut dosyalarını veya ikili dosyaları yürütme yeteneği nedeniyle tehdit aktörleri için de caziptir.
Cobalt Strike gibi popüler rakip çerçeveler de PsExec’e benzer teknikler kullanıyor. Aslında PsExec ve ilgili Cobalt Strike modülleri iki tekniğin bir karışımını kullanıyor: yönetici paylaşımları ve yeni hizmet oluşturma.
Bir sistemde yeni bir hizmet oluşturulduğunda Windows, olay kimliği 7045 için günlükler oluşturur. Olay kimliği 7045, güvenlik olaylarındaki olay kimliği 4697’ye karşılık gelir ve bunu inceleyerek yürütme ayrıntılarını bulabilirsiniz. Belkasoft X’te bu ID’ye sahip girişlere ayrılmış bir bölüm bulunmaktadır. Görmek Sistem günlüğü, 7045 altında.
PsExec’e benzer bir başka Cobalt Strike modülü de her türden tehdit aktörü arasında oldukça popüler olan PowerShell’i içeriyor. Bu modül psh_psexec olarak bilinir. PowerShell Olay günlüklerinde ve sistem günlüğündeki olay kimliği 7045’teki diğer günlüklerde yakalandı:
Bu hizmetler kolayca algılanır çünkü bunları başlatmak için tanınabilir adlar ve bağımsız değişkenler kullanılır.
Çözüm
Çoğu siber saldırı, yanal hareket içeren faaliyetlerle karakterize edilir. Bu aşamada, tehdit aktörleri genellikle en savunmasız unsurları bulmak için ağları araştırır. Bu makalede incelediğimiz tekniklerin çok fazla kullanım alanı vardır ve bir olaya müdahale müdahalesinde bunlarla karşılaşma olasılığınız oldukça yüksektir.
Nereye bakacağınızı bildiğinizde (kayıt defterindeki ve olay günlüklerindeki hassas konumlar ve dosyalar) ve doğru araçları kullandığınızda, yanal hareketi ortaya çıkarmak daha kolay hale gelir.