proxylogon etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
proxylogon etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

27 Haziran 2022

ToddyCat Hacker Grubu, MS Exchange Sunucularını Hedefliyor

Çin bağlantılı olduğu düşünülen ToddyCat grubu, ağırlıklı olarak kamu ve askeri kuruluşlar olmak üzere Asya ve Avrupa'yı hedeflemeye devam ediyor.

Aralık 2020'den beri aktif olarak saldırıları görülüyor. Mart 2021 ProxyLogon zafiyetinden de faydalanarak Asya ve Avrupa'da özel ve kamu kuruluşlarının e-posta sunucularını hedeflediği biliniyor.

ToddyCat APT
ToddyCat APT

ToddyCat grubunun genel olarak kullandığı senaryo; 

Genel olarak 2 farklı zararlı yazılım kullanıldığı biliniyor, Samurai ve Ninja. 
Samurai; saldırganlara İnternet'e yönelik Web sunucularında kalıcı erişim sağlamak için tasarlanmış pasif bir arka kapıdır.
Ninja; güvenliği ihlal edilmiş sistemlerde sömürü sonrası faliyetleri gerçekleştirmek için kullanılan zararlı yazılımdır.

Dışarı açık olan genellikle 80. ve 443. portlarda çalışan Samurai zararlı yazılımı ile zafiyeti bulunan Microsoft Exchange sunucularını hedefleyerek ProxyLogon zafiyetini kullanarak sistemlere sızdığı ve devamında Ninja yazılımı ile iç ağda yanal hareketler gerçekleştirerek ağdaki diğer sistemlere de ulaşarak ağda yüksek profilli bir kullanıcı hakkı elde ettiği görülüyor. ProxyLogon zafiyetini ilk kullanan gruplardan biri olarak dikkat çekiyor. Uzak sistemleri kontrol etmek, tespit edilmesini engellemek, dosya sızdırmak, proxy bağlantısı ile kendi trafiğini oluşturmak ve hedeflenen ağın derinliklerine sızmak en büyük özellikleri arasında yer alıyor.

Grup ilk saldırılarında Tayvan ve Vietnam devlet ve askeri kuruluşlarını hedefledi. ProxyLogon zafiyeti sonrasında ise Rusya, Birleşik Krallık, Slovakya, Hindistan, İran, Pakistan, Endonezya ve Malezya gibi ülkelerde de saldırılarına devam etti.

Bu tür saldırılardan etkilenmemek, dışarıya açık sistemlerinizin güvenliğini sağlamak için BU SALDIRIDA TINA NE FAYDA SAĞLAYABİLİRDİ? alanında çözümlerimizi bulabilirsiniz. bizlerle ZOOM üzerinden de iletişime geçebilirsiniz.



Ninja C2
149.28.28[.]159
eohsdnsaaojrhnqo.windowshost[.]us

File paths
C:\inetpub\temp\debug.exe
C:\Windows\Temp\debug.exe
C:\Windows\Temp\debug.xml
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\web.exe
C:\Users\Public\Downloads\dw.exe
C:\Users\Public\Downloads\chrome.log
C:\Windows\System32\chr.exe
C:\googleup.exe
C:\Program Files\microsoft\exchange server\v15\frontend\httpproxy\owa\auth\googleup.log
C:\google.exe
C:\Users\Public\Downloads\x64.exe
C:\Users\Public\Downloads\1.dll
C:\Program Files\Common Files\microsoft shared\WMI\iiswmi.dll
C:\Program Files\Common Files\microsoft shared\Triedit\Triedit.dll
C:\Program Files\Common Files\System\websvc.dll
C:\Windows\Microsoft.NET\Framework\sbs_clrhost.dll
C:\Windows\Microsoft.NET\Framework\sbs_clrhost.dat
C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files\web.xml
C:\Users\Public\Downloads\debug.xml
C:\Users\Public\Downloads\cache.dat
C:\Windows\System32\config\index.dat
C:\Windows\Microsoft.NET\Framework\netfx.dat
%ProgramData%\adobe\2.dll
%ProgramData%\adobe\acrobat.exe
%ProgramData%\git\git.exe
%ProgramData%\intel\mstacx.dll
%ProgramData%\microsoft\drm\svchost.dll
%ProgramData%\microsoft\mf\svchost.dll
%ProgramData%\microsoft\mf\svhost.dll
%program files%\Common Files\services\System.Core.dll
%public%\Downloads\1.dll
%public%\Downloads\config.dll
%system%\Triedit.dll
%userprofile%\Downloads\Telegram Desktop\03.09.2021 г.zip
%userprofile%\Downloads\Telegram Desktop\Тех.Инструкции.zip
%userprofile%\libraries\1.dll
%userprofile%\libraries\chrome.exe
%userprofile%\libraries\chrome.log
%userprofile%\libraries\config.dll
C:\intel\2.dll
C:\intel\86.dll
C:\intel\x86.dll

Registry Keys
$HKLM\System\ControlSet\Services\WebUpdate
$HKLM\System\ControlSet\Services\PowerService
$HKLM\SOFTWARE\Classes\Interface\{6FD0637B-85C6-D3A9-CCE9-65A3F73ADED9}
$HKLM\SOFTWARE\Classes\Interface\{AFDB6869-CAFA-25D2-C0E0-09B80690F21D}







BU SALDIRIDA TINA NE FAYDA SAĞLAYABİLİRDİ?


TINA "Breaking The Attack Chain" metodolojisi ile siber savunma sağlar; başarılı bir siber saldırıları için gereken çeşitli aşamaları kırmak ve saldırıyı engellemek üzere farklı teknolojiler üretmektedir. 

- Görünürlüğü Engelleme: TINA'nın en yeni ürünü ile servislerin İnternet üzerinden görünürlüğü ve erişilebilirliği kontrol edilebilmekte ve saldırı riski minimize edilmektedir.

- Yatay İlerlemeyi Engelleme: TINA Advanced Threat Protection modelleri, ağ içerisine sızma olması durumunda yatay ilerlemeleri tespit etmektedir.

- Merkeze Dönüş Bağlantılarını Engelleme: TINA Advanced Threat Protection modelleri, ağ içerisine sızma olması durumunda saldırının devamındaki çalışmalar için gereken merkez ile iletişime geçme (C&C) bağlantılarını engellemek üzere geliştirilmiş teknolojileri de barındırmaktadır.




Siber Güç etkinliğinde ziyaretçilerimize bahsettiğimiz en son TINA teknolojimiz ile sunucularınızı, hatta firewall'unuzu dahi korumaya alan, en çok korktuğunuz tehditlere kökünden çözüm sunan çalışmalarımızı ve mevcut Advanced Threat Protection ürünlerimizi sizinle paylaşmamız için ZOOM toplantı talebini buradan başlatabilirsiniz.

07 Nisan 2021

Siber Güvenlik Bülteni - Mart 2021

 

Büyük Veri Sızıntıları

Geçtiğimiz günlerde 2 büyük siber saldırı haberi yayınlandı. Bunlardan biri yerli çevrim içi yemek siparişi verilen Yemeksepeti, diğeri ise dünyanın en büyük sosyal platformlarından Facebook oldu.

Yemeksepeti üzerinden kredi kartı bilgilerinin ele geçirilmediği fakat ad ve soyad, doğum tarihi, kayıtlı telefon numaraları, eposta adresleri, kayıtlı adres bilgileri ve SHA-256 ile şifrelenmiş parola bilgileri ele geçirildiğini kurum yetkililerince açıklandı. Saldırı 25 Mart 2021 tarihinden itibaren tespit edildi ve veri ihlali ile alakalı tüm kullanıcılara da bilgilendirme maili gönderildi, şifrelerin kolayca çözülemeyeceği söylense bile siber güvenlikte ihtimaller her zaman vardır bu yüzden hızlıca parolanızı değiştirmenizi ve aynı parolayı kullandığınız yerlerde de hızlıca parola değişikliği yapmanızı öneririz.

Facebook ise geçtiğimiz hafta veri ihlali bildirimi yaptı. Yaklaşık 106 ülkeden 533 milyon kişinin, Türkiye'den yaklaşık 20 milyon kişinin, bilgileri sızdırıldı. Bu bilgiler arasında telefon numaraları, e-posta adresleri, lokasyon bilgileri, cinsiyet bilgileri, ilişki durumları gibi dışarıya kapalı olan veriler sızdırıldı. Şu an birçok yerde ücretsiz olarak bu veriler dağıtılmakta ve birçok birey/kurum bu veriler üzerine çalışmaya başlamıştır.

Kuzey Kore'nin Sahte Türk Siber Güvenli Şirketi

Kuzey Kore hükûmeti tarafından desteklenen bir siber saldırı grubu, kurumları hedeflemek amaçlı "SecuriElit" isimli sahte bir güvenlik şirketi kurdu ve bu şirket ile ilişkilendirilmiş sosyal medya hesapları oluşturdu. Oluşturdukları sahte kurumsal websiteleri üzerinde daha önce birçok saldırıda kullanılan internet tarayıcı zafiyetlerini tetikleyen pgp.txt dosyaları tespit edildi. Yapılan analizlerde sahte şirkete ait tüm websitelerinin ve sosyal medya hesaplarının tespit edilenleri kapatılmış durumda fakat bu tür saldırılar her geçen gün artmaya devam ediyor, saldırıya maruz kalmak için herhangi bir websitesine giriş yapmanın bile yeterli olabileceğini bu olayda net olarak görebiliyoruz. Herhangi bir konuda hizmet alacağınız firma araştırması yaparken Google üzerinden araştırmalarınızda dikkatli olmanız gerekmektedir.

Sağlığımız Siber Saldırganların Elinde

Fidye saldırıları her geçen gün etkisini artırmaya devam ediyor. En riskli olarak sayılabilecek saldırılardan biri geçtiğimiz yıl sonunda denk gelen Universal Health Service oldu. Şirketin ABD ve İngiltere'de 10 binden fazla çalışanı bulunuyor ve yıllık gelirleri 10 milyar doların üzerinde. Kuruma yapılan saldırı sonucunda sistemlerin şifrelenmesiyle şirket bu sürede veremediği hizmetlerden dolayı kayıp bilançosu ortalama 67 milyon dolar olarak belirlendi. Kurum bu saldırılar için her ne kadar sistemleri geri döndürmeye çalışsa da maalesef bu siber saldırı gruplarına fidyeyi ödemek ve sistemleri aktif etmek durumunda kaldılar. UHS tarafından yapılan açıklamada herhangi bir bilgiye erişim olmadığını ve veri sızdırılmadığı iddia edildi.

Bu tür saldırılarda genel olarak müşteriler, siber saldırı gruplarına güvenmek zorunda kalıyor. 2020 yılı içerisinde pandeminin de etkisiyle birlikte dünya ekonomisinin zayıflaması birçok kişiyi bu tür illegal yollardan para kazandırmaya sevk etti ve pandemi sürecinde göz önünde olan sağlık sektörü fazlasıyla nasibini aldı, 2021 yılı içerisinde de benzer saldırıları görebiliriz. Bu konuda siber saldırılara karşı önemleri artırmak amacıyla güvenilir kurumlardan destek alınması gerekmektedir. Bu konuda destek ihtiyacınızda ISR Bilgi Güvenliği 'nin uzman kadrosuyla her zaman yanınızda olduğunu unutmayın.

​1 Parolanın Nesi Var...

2020 yılında da birçok kullanıcı adı ve parola sızdırıldı ve tahminî olarak aktif 1,5 milyar parolanın ve kombinasyonlarının kullanıldığı saptandı. 2020 yılında sızdırılmış kullanıcı adı ve parola bilgileri 2019 yılına göre %30 artış göstermiş durumda, 2020 yılı içerisinde etkili sayılabilecek sızıntı yaklaşık 854 vaka gerçekleşti. Bu vakalarda ortalama 5,4 milyon kayıt sızdı. Yapılan incelemelerde tespit edilen parolaların yaklaşık %60 ı aktif olarak kullanılmaktadır, bu da yeni saldırılarda brute force yönetmenin başarı oranını artırmaktadır.

​Birçok kurumun ve kişilerin bir parolayı birden fazla yerde kullandığı bilinmektedir, herhangi bir sızıntı olduğu noktada bir parolanın açığa çıkmasıyla ​diğer hesaplar üzerinde de hızlıca denemeler yapılmaya başlanarak sızıntının kapsamı aslında siber saldırı grupları tarafından genişletilmektedir. 

​Verilen parolaların 14 karakterden uzun, büyük küçük harf, rakam ve özel karakterlerden oluşmasının yanı sıra ayrıca tahmin edilebilir parolalardan da kaçınılması gerekmektedir, yukarıda belirtildiği gibi, tüm bunların yanı sıra aynı parolayı birden fazla hesap, site - farklı sistemler üzerinde kullanmak da diğer bir risk faktörüdür ve hesaplarınıza sızmaya yol açar., bunun yanında aynı parolayı birden fazla hesap üzerinde kullanmakta diğer bir risk faktörünü doğurmaktadır.

Güçlü parola oluşturmanın zorluğu birçok kurum, kuruluş ve kişi tarafından belirtilmektedir fakat günümüzde ücretli veya ücretsiz olarak kullanılabilecek, parola yönetim yazılımları burada sizler adına çok güçlü ve karmaşık parolaları hızlıca oluşturmaya olanak sağlamaktadır.

QNAP Coin Üretmeye Başladı

Geçtiğimiz yıl iki kritik zafiyetin çıktığı yedekleme sistemi üretici Qnap zafiyetler tarafında yamalar yayınlasa da yaması yapılmamış sistemler üzerinde ciddi etkisini göstermeye devam ediyor. Yapılan araştırmalarda görülüyor ki UnitMiner adı verilen zararlının çalıştığı sistemlerin %80ini zafiyetli Qnap'lar oluşturuyor, aynı zamanda zararlı yazılım Qnap üzerinde manipülasyonda yaparak sistemde kripto madenciliğini ve CPU kullanımının gizlendiği görüldü, sistem kullanıcısının Qnap web arayüzden kontrol ettiğinde herhangi bir anormallik görülmediği gözlemlenmiştir.

Son yıllarda kripto paraların al sat olarak kullandığı sanal borsalardan dolayı birçok sistem üzerinde performans tüketimini yaparak kripto madenciliği saldırıları gerçekleşmektedir. 

TINA ekibi olarak çalışma yaptığımız noktalarda da tespitlerimiz şunu göstermektedir; kurum sistemleri üzerinde değerli veri bulunmaması veya veriye ulaşılamaması durumlarında dahi sistemlere saldırı sürmekte, sistem kullanım yoğunluğunun düşük olduğu noktalarda kurum kaynakları içerisine yerleştirilmiş zararlı yazılımlar ile kripto madenciliği yapılmaktadır. 

​Kısacası siber saldırganlar artık sadece verinin değil, sahip olduğunuz tüm kaynakların; sistemlerin, kullanılmayan boşta duran internet hattınızın, elektriğinizin ve tüm donanım kaynaklarınızın işlemci gücünün de peşindeler. Yapılan bu tip saldırılara yönelik anlık olarak analiz gerçekleştiren sistemler ile kontrolü artırmanız gerekmektedir. Bu konuda destek ihtiyacınızda TINA Security 'nin ürün ailesinin her zaman yanınızda olduğunu unutmayın.

Microsoft ProxyLogon Zafiyeti

Microsoft bu ay içerisinde Exchange sunucular için birden fazla sıfırıncı gün zafiyet bildirimi yaptı ve zafiyetlerin yamalarını da paylaştı. Bu saldırılar ProxLogon olarak adlandırıldı. Zafiyetler CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 olarak referans edildi. Burada yapılan açıklamada bulut tabanlı sistemlerin değil, on-promise (yerel) sistemlerin etkilendiği açıklandı. Saldırı, Outlook (OWA) kullanıcılarına Microsoft Exchange sunucuları üzerinde kod çalıştırmasına olanak sağlamaktadır. Bu saldırıların arkasında Çin devletinin desteklediği bir siber saldırı grubununun olduğu düşünülmektedir.

Microsoft bu yamaları yayınlamasına rağmen aktif olarak ülkemiz dahil dünya üzerinde 30.000 üzerinde sistemin etkilendiği tespit edilmiştir. Bu yamaları hali hazırda yapmış bile olsanız, yama öncesi sisteme sızma ihtimali düşünülerek Microsoft tarafından PowerShell komut dosyası paylaşılarak zafiyetlerin tespitinde yardımcı olması amaçlanmıştır. PowerShell komut dosyayı buradan indirebilirsiniz.

Exchange server üzerinde indireceğiniz scripti Exchange Management Shell ile çalıştırıp kontrol edebilirsiniz.

Tüm Exchange Sunucuları Kontrol Etmek ve rapor üretmek için;
Get-ExchangeServer | . \Test-ProxyLogon. ps1 -OutPath $home\desktop\logs

Bulunduğunuz Exchange Sunucu Kontrol Etmek ve rapor üretmek için;
. \Test-ProxyLogon. ps1 -OutPath $home\desktop\log

Rapor üretmeden Bulunduğunuz Exchange Sunucu Kontrol Etmek için;
.\Test-ProxyLogon.ps1

Popüler Yayınlar