EN

Tehlike Seviyesi Yüksek Tehditlerin Tespiti

14 Mart 2019

Saldırganlar tarafından hedeflenen sistemler üzerinde amaca ulaşmak için farklı biçim ve yöntemler kullanılır. Siber saldırılara karşı korunabilmek için saldırgan ve saldırı teknikleri iyi tanınmalıdır. Genel tehdit tespit planı yönlendirmesinde olduğu gibi tehdit tespiti için kullanılacak taktiklerde de belli bir plana göre yönlendirme yapılır. Bu plan yönlendirilmesi, sistemde korunması gereken alana bağlı olarak hangi saldırılara karşı korunduğu baz alınarak yapılır.

İncelenmesi Gereken Yüksek Seviye TTP(Teknik,Takdik,Prosedür) ve Faliyetler

İÇ KEŞİF (İnternal Reconnaissance)

Saldırganlar nereye gittiklerini nasıl belirler?

Host Dökümünü Çıkarma (Host Enumeration)

Amaç genellikle mevcut hostu bulmak ve işlevlerini belirlemek için ağ içindeki hostların ayrıntılı listesini diğer bir deyişle dökümünü çıkarmaktır. Local host ve local host yapılandırması hakkında genel bilgiler içerir. Bir saldırganın sistemde hangi kullanıcı olarak oturum açtığını ve hangi ayrıcalıklara sahip olduğu bilgisini edinir. Local host yapılandırılması host adı , IP adresi gibi host hakkında genel bilgileri barındırır.

Ağ Dökümünü Çıkarma (Network Enumeration)

Ağ dökümünü çıkarma ağdaki sistemlerin keşfidir . Bir hosttan diğer hostlara nasıl bağlantı kurulacağı hakkında bilgi verir. Saldırganlar bir bilgisayarı ele geçirdikten sonra ağı dolaşıp diğer bilgisayarlara erişmenin yollarını arar. Ağ dökümü ile ağdaki bilgisayar grupları, paylaşımları ve hizmetleri hakkında bilgi edinilir.

SÜREKLİLİK

Saldırganlar sistemin otomatik olarak yaptığı yeniden başlatma ve temel iyileştirmelerden nasıl kurtulurlar ?

Görev Zamanlayıcısı Düzenleme

Görev zamanlayıcısı, bir bilgisayarda belli rutindeki işlevlerin otomatik olarak gerçekleştirilmesini sağlar. Saldırganın uzaktan kod çalıştırma yetkisi olduğunda  görev zamanlayıcısında istediği bir işlevi planlayabilir. Böylece zararlı bir yazılımı sistemin her açılışında veya belli zamanlarda çalıştırabilir.

DLL Enjeksiyonu

DLL enjeksiyonu zararlı yazılımı saklamak, yakalamamak veya yüksek hakla çalışmasını sağlamak için kullanılan bir yöntemdir. Zararlı yazılım başka bir process’e enjekte edilerek kurban process’in haklarıyla çalıştırılır.

Kayıt Defteri Değişikliği

En sık görülen tehdit çeşitlerindendir. Saldırgan zararlı yazılımı, kayıt defterinde bulunan RUN ve RUNONCE  dizinlerine enjekte ederek her açılışta ve sistem ön yüklemesinde zararlı yazılımın çalıştırılmasını sağlar.

KOMUTA ve KONTROL

Saldırganlar araçları nasıl kullanırlar?

Yaygın Port, Yaygın Protokol

Saldırganlar bu yöntemi kullanarak , normal ağ trafiğine karışıp dikkat çekmeyen bir görünümde olmaya çalışırlar. Komuta ve kontrol için HTTPS , DNS tüneli ve yüksek trafik portları kullanılır.

Yaygın Olmayan Protokol, Yaygın Olmayan Bağlantı Noktası,

Saldırgan bu yöntemde yoğun olarak izlenen portları atlayarak nadir izlenen portlardan veri aktarımı gerçekleştirir. Bu yöntem ileotomatik ve manuel tarama sistemleri atlatılarak yüksek gizlilik sağlanılır.

YANAL HAREKET

Saldırgan ağda nasıl dolaşır?

Hash Atlama(Pass the Hash-PtH)

Bu teknikte saldırgan, ‘Kimlik Bilgisi Erişimi ‘ (Credential Access) tekniği ile şifre hashlerine ulaşır. Kullanıcının açık metin şifresini atlatabilir, yerel ve uzak sistemlerde işlem yapabilir.

RDP (Remote Desktop Protocol)

Uzak Masaüstü Protokolü, kullanıcının ağ bağlantısı üzerinden başka bilgisayarın masaüstüne bağlanmasına imkan tanır. Saldırgan bu protokolün aktif olduğu bir sisteme ait hesap bilgilerini ele geçirmişse hedef sisteme erişerek zararlı eylemler gerçekleştirebilir.

Paylaşılan Webroot (Shared Webroot)

Bir firma, dahili olarak erişebildiği bir web sitesi veya intranet ağına sahipse, saldırgan bu web sitesine zararlı bir yazılım yükleyerek sonradan bir web tarayıcısı yardımıyla çalıştırabilir. İçerikler Web sunucu proseslerine ait izinlerle çalıştırıldığı için saldırgan yerel veya yönetici haklarına sahip olabilir.

Yol Durdurma (Path Interception)

Bu teknikte çalıştırılabilir bir dosya belli bir path’e yerleştirilir böylece amaçlanan hedef bir uygulama tarafından yürütülmüş olur. Bu yönteme örnek olarak tırnak içine alınmamış path’leri kullanmak, PATH ortam değişkeninin yanlış yapılandırılması ve bir programa DLL’lerin yüklenmesi için izlenen sırayı manipüle etmek ve DLL’i şüpheli bir şekilde tanımlamak gibi işlemleri içeren DLL search order hijacking sayılabilir. Çalıştırılabilir dosya daha yüksek haklara sahip bir prosesin parçası olarak çalıştırılırsa, saldırganında hakları arttırılmış olur.

EXFİLTRATİON (DUMPING)

Saldırganlar Verilerinizi Nasıl Çalıyor?

DNS Tünelleme

DNS tünelleme saldırganın DNS sorgularının içindeki encode edilmiş verileri aktarmasına imkan tanır. Saldırgan bu yöntemi ortak güvenlik kontrollerini atlamak ve hassas verileri çekmek için kullanılır.

SFTP/SCP Süzme(Dumping)

SFTP/SCP Dumping trafiğin ayrıntılarını gizlemek için SSL kullanımına izin verir. Bu tür faaliyetlerin önüne geçmek ve araştırmak için SSL’i kıracak bir proxy’e ihtiyaç duyulur.

Tehdit türlerinde odaklanmak istenilen tehdit belirlenip araştırılır. Saldırgan gibi düşünüp, kritik verilere hangi tekniklerle erişilebileceği belirlenmelidir. Bu, sonraki adımda hangi verilere bakılacağı ve hangi tekniklerin deneneceğinin belirlenmesinde fayda sağlar.

Her tehdit için bir önleme yöntemi vardır. Tehdit tespitinde yerel ağ içinde bulunmak en yüksek tehdit seviyesine sahip saldırıların dahi önceden görülüp durdurulmasına avantajı sağlar.

KAYNAKLAR

[1] Hunt Evil

[2] What is Enumeration

Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog