Günümüzde kuruluşlar her zamankinden daha fazla siber tehditle karşı karşıya ve her zamankinden daha geniş saldırı yüzeylerine sahipler. Bu zorluklar göz önüne alındığında, şirketlerin bir adım önde olmaları ve tehditleri nasıl önleyecekleri, tespit edecekleri ve azaltacakları konusunda doğru kararlar almaları gerekmektedir.
Bu nedenle güvenlik uzmanları, işletmelerin siber güvenlik yeteneklerini güçlendirmelerine yardımcı olmak için Acı Piramidi gibi kavramsal modeller geliştirdiler. Bir Tehdit Avcısı (Threat Hunter), Olay Müdahalecisi (Incident Responder) veya SOC Analisti (SOC Analist) olarak Acı Piramidi (The Pyramid of Pain) kavramını anlamak önemlidir. Piramidin tabanından zirveye doğru ilerledikçe, kötü niyetli aktörler için değişiklik yapmanın zorluğu artar. En altta, en kolay değiştirilebilen bilgiler (örneğin hash değerleri) bulunurken, piramidin zirvesinde, en zor değiştirilebilen ve değerli bilgiler (Taktik, Teknik ve Prosedürler, TTP’ler) bulunmaktadır. Saldırganlar genellikle, ilk giriş yönteminden ağa yayılma ve veri sızdırma yöntemlerine kadar her şeyde kendilerini tanımlayan bir çalışma yöntemine sahiptir. TTP’ler, belirli bir tehdit aktörü veya grubu için oldukça özgündür ve bu yüzden bir saldırganın kimliğini belirlemede çok değerlidir. Saldırganların kullandığı araçları, teknikleri ve prosedürleri değiştirmek, bir hash değerini veya IP adresini değiştirmekten çok daha zordur. TTP’ler tanımak ve buna göre savunma stratejileri geliştirmek, organizasyonlar için daha uzun vadeli bir koruma sağlar. “Pyramid of Pain” içerisinde TTP’lerin en üstte yer alması, biz güvenlik ekiplerinin bir saldırgana en çok acıyı nasıl verebileceğimizi işini ne kadar zorlaştıracağımızı gösterir.
ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge,) MITRE tarafından oluşturulmuş bir bilgi tabanıdır ve siber tehditlerin ve onlara karşı alınabilecek önlemlerin anlaşılması için kullanılır. ATT&CK, saldırganların sistemler üzerindeki eylemlerini tanımlayan taktikler, teknikler ve prosedürleri (TTP) kapsar. ATT&CK matrisi, taktikler (tactics) ve teknikler (techniques) olmak üzere iki ana bileşenden oluşur.
Hem taktiklerin hem de tekniklerin anlaşılması ve birlikte değerlendirilmesi çok önemlidir, ancak hangisinin daha kritik olduğu, belirli bir durumun veya görevin gereksinimlerine bağlı olarak değişkenlik gösterebilir Taktikler, bir saldırganın amacına ulaşmak için izlediği genel hedefleri veya adımları ifade eder. Örneğin, “Initial Access” (Başlangıç Erişimi) veya “Execution” (Uygulama) birer taktiktir. Teknikler, belirli bir taktiği gerçekleştirmek için kullanılan spesifik yöntemleri yani saldırganın genel amaclarına ulaşmak için kullandığı spesifik yöntemleri belirtir. Her taktik, onu gerçekleştirmek için kullanılabilecek birçok tekniği içerebilir. Stratejik ve yüksek seviyeli bir bakış açısı için taktiklere dayalı tespit daha kritiktir. Tespitleri ve Müdahaleleri sadece TTP’ler içerisindeki tekniklere dayalı yapmak saldırganın genel amacını ve hedefine ulaşmak için kullanacağı spesifik yöntemlerin dışına çıktığı durumlarda yetersiz kalacağı gibi sadece tekniklere odaklanırsanız, en kritik tehditleri önceliklendirmekte zorluk yaşayabilirsiniz.
FireEye kısa süre önce, saldırganların Red Team araçlarını çaldıklarını bildiren bir siber saldırı raporu yayınladı. FireEye ayrıca bu çalınan araçların kuruluşlara karşı kullanımını belirlemek için Karşı Tedbirler (IOC, YARA Kuralları) yayınladı.
https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html
Red Team Araçları;
https://github.com/fireeye/red_team_tool_countermeasures
Yukarıdaki önlemlerin ilk analizi, Red Team’in bir şirketin güvenliğini değerlendirme tekniklerini ortaya koyuyor.
Aşağıda kullanılan tekniklerden birkaçı listelenmiştir:
Active Directory reconnaissance and exploitation
Credential dumping and stealing, etc.
SMB, WMI enumeration
MITM LLMNR/NBNS/mDNS/DNS/DHCPv6 man-in-the-middle attacks
Exploiting known vulnerabilities across internal and public-facing systems
Security evasions techniques
Kerberos abuse, Kerberoasting exploitation
Process injection
FireEye, araçların yaptıklarını yayınlamamasına rağmen, Attivo Networks araştırma ekibleri Red Team değerlendirmesi için kullanılan birçok açık kaynak araç çeşidini analiz etti ve buldu.
Aşağıda, FireEye Red Team araç setinin parçası olan Açık Kaynak araçları listelenmiştir:
SharpHound (https://github.com/BloodHoundAD/SharpHound)
PuppyHound (Modified Version of Sharphound)
Seatbelt (https://github.com/GhostPack/Seatbelt)
SharpSploit (https://github.com/cobbr/SharpSploit)
ADPassHunt (Powershell scripts to extract passwords)
SharpZeroLogon (https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon)
Collection of Impacket tools (https://github.com/SecureAuthCorp/impacket)
SafetyKatz (https://github.com/GhostPack/SafetyKatz)
InveighZero (https://github.com/Kevin-Robertson/InveighZero)
Rubeus (https://github.com/GhostPack/Rubeus)
AndrewSpecial (https://github.com/hoangprod/AndrewSpecial)
KeeFarce (https://github.com/denandz/KeeFarce)
G2JS (https://github.com/med0x2e/GadgetToJScript)
Fırsat buldukça yukarıda araçları kullanarak test ortamında örnek saldırıları deneyip Attivo Network Aldatma Bazlı Tespit Sistemi ile bu atakların nasıl tespit edildiğini göstereceğim.
Honeypot olarak da bilinen sınırlı güvenlikle yapılandırılan sistemler bir saldırganı cezbeder.
Honeypot’lar, sistem etkinliğinin kayıtlarını tutarak saldırganlar, saldırı teknikleri ve araçlar hakkında bilgi edinmek için kullanılır.
Kapsamlı savunma yaklaşımı, şüpheli trafiği birden çok honeypot’a yönlendirmek için ağdaki çeşitli noktalarda bırakılan tuzaklar ile birlikte kullanılır.
ThreatDefend® Detection & Response Platform
Attivo ThreatDefend® Platformu, bilinçli bir savunma için siber aldatma ve veri gizleme teknolojilerine dayalı benzersiz saldırı önleme, algılama ve saldırgan hareketlerinden istihbarat toplama sağlar. Platform, saldırı döngüsünün başlarında uç noktalarda, Active Directory’de ve şirket içi, bulut ortamlarında ve SCADA, IOT gibi özel saldırı yüzeylerinde saldırgan keşfini, yanal hareketi, ayrıcalık yükseltme ve toplama etkinliklerini etkili bir şekilde tespit eder.
1) Make a backup of your database before making any of the following changes.
2) On the Enforce Server: Stop the VontuManager and VontuIncidentPersister services.
3) Log into SQLPlus as the DLP user (default: protect).
For deleting system event between a specific date; (NOT Incidents)
4) delete from systemeventWHEREeventdate >= TO_DATE(’01-JAN-13′, ‘DD-MON-YY‘) ANDeventdate <= TO_DATE(’01-JAN-15′, ‘DD-MON-YY‘);
5) commit;
For deleting agent event between a specific date; (NOT Incidents)
1) Make a backup of your database before making any of the following changes.
2) On the Enforce Server: Stop the VontuManager and VontuIncidentPersister services.
3) Log into SQLPlus as the DLP user (default: protect).
4) select count(*) from systemeventWHEREeventdate >= TO_DATE(’01-JAN-13′, ‘DD-MON-YY‘) ANDeventdate <= TO_DATE(’01-JAN-15′, ‘DD-MON-YY‘);
5) truncate table agentevent;
6) comitt;
Siber savunma olarak adlandırabileceğimiz şeyin evriminde artık büyüleyici bir noktadayız. Büyük veri kayıpları, fikri mülkiyet hırsızlığı, kredi kartı ihlalleri, kimlik çalınması, mahremiyetimize ilişkin tehditler, hizmet reddi – bunların tümü hepimiz için siber alanda bir yaşam biçimi halini aldı.
Siber Güvenlik Konseyi 2013 yılında bağımsız, uzman, kar amaçlı olmayan bir kuruluş olarak, açık bir Internet’in güvenliğine yönelik küresel bir kapsamla kurulmuştur.
Konseyin amacı Kritik Kontrollerin sürekli gelişiminin, desteklenmesinin ve benimsenmesinin sağlanması; siber güvenlik işgücünün yetkinliklerinin artırılması; ve siber alanda emniyetli, güvenli ve güvenilir bir şekilde çalışabilme yeteneğimizde ölçülebilir gelişmelere yol açan politikaların geliştirilmesidir. Ek bilgi için aşağıdaki adresi ziyaret ediniz (www.counciloncybersecurity.org)
Versiyon 6 neler Değişti
- Yönetici Hakları Kullanımı’na ait Kontrol önceliği 12’inci Sıradan 5’e yükseltildi.
- Güvenli Ağ Mühendisliği Kontrol Maddresi (Maddde 19) Silindi
- E-Posta ve Ağ Tarayıcı Koruma Kontrol Maddesi 20 Kritik Kontrol Maddeleri arasına 7’inci sıradan giriş yaptı.
- Hızlı Kazanımlar Kategorisi yerini Sistem,Ağ, Uygulama grup kontrolleri ile değiştirildi.Center for Internet Security Critical Security Controls olarakta adı değişti.
The Critical Security Controls for Effective Cyber Defense Version 6.1 ‘de Temel ve Gelişmiş olmak üzere iki seviye katogeri eklendi. Alt kontrollerde herhangi bir değişiklik yapılmadı.
www.cisecurity.org/critical-controls/documents/CSC-MASTER-VER61-FINAL.pdf.
İleri Gelen Eposta Servis sağlayıcılarının(Google, Microsoft, Yahoo, Comcast ve LinkedIn) daha güvenli mesajlaşma isteği üzerine yeni Şifreli e-posta protokolü taslağı yayımlandı. SMTP-STS
Güvenli mesajlaşmak için kullanılan TLS mimarisinde SMTP-STS yapısında gönderilecek sertifikanın doğruluğu kontrol edilecek. eğer hatalı bir durum var ise mesaj gönderilmeden uyarı mesajı gelecek.
örnek kayıt;
_smtp_sts IN TXT ( “v=STS1; to=false; ” “rua=mailto:sts-feedback@example.com ” )
You need fist activate support account
smtp1> set-support
Warning: Do NOT execute this script without explicit direction from a Symantec
Customer Support person.
Changing password for user support.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
User support enabled until 03/04/2016.
After Login to CLI use support account
[support@smtp1 ~]$ openssl s_client -connect aztec.brightmail.com:443
CONNECTED(00000003)
depth=3 C = US, O = “VeriSign, Inc.”, OU = Class 3 Public Primary Certification Authority
verify return:1
depth=2 C = US, O = “VeriSign, Inc.”, OU = VeriSign Trust Network, OU = “(c) 2006 VeriSign, Inc. – For authorized use only”, CN = VeriSign Class 3 Public Primary Certification Authority – G5
verify return:1
depth=1 C = US, O = “VeriSign, Inc.”, OU = VeriSign Trust Network, OU = Terms of use at https://www.verisign.com/rpa (c)10, CN = VeriSign Class 3 International Server CA – G3
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Symantec Corporation, OU = Symantec IT Security, CN = aztec.brightmail.com
verify return:1
—
VBoxManage registervm /home/selim/VirtualBox\ VMs/cuckoo1/cuckoo1.vbox
You can download the new Tomcat distribution here: http://tomcat.apache.org/download-70.cgi#7.0.64
Here are the steps to upgrade Apache Tomcat on management server.
1. Stop Data Insight services: From the command prompt, issue the following command: net stop DataInsightConfig net stop DataInsightComm net stop DataInsightWeb net stop DataInsightWatchdog net stop DataInsightWorkflow net stop DataInsightPortal 2. Backup previous <INSTALL_DIR>/DataInsight/portal_tomcat/conf/server.xml & <INSTALL_DIR>/DataInsight/portal_ tomcat/conf/tomcat-users.xml. 3. Backup previous <INSTALL_DIR>/DataInsight/portal_ tomcat/webapps/* 4. Delete <INSTALL_DIR>/DataInsight/portal_ tomcat/*. 5. Copy new tomcat distribution to <INSTALL_DIR>/DataInsight/ tomcat. Make sure it’s the same major version as the previous one. E.g. 7.x. 6. Delete <INSTALL_DIR>/DataInsight/portal_ tomcat/webapps/* <INSTALL_DIR>/DataInsight/portal_tomcat/conf/server.xml <INSTALL_DIR>/DataInsight/portal_ tomcat/conf/tomcat-users.xml from new distribution. 7. Replace files backed up in step 2 and 3.
8.Start Data Insight services: From the command prompt, issue the following command: net start DataInsightConfig net start DataInsightComm net start DataInsightWeb net start DataInsightWatchdog net start DataInsightWorkflow net start DataInsightPortal
Çok ayrıntıya girmeden Yaptıklarımın özetini çıkartmak istiyorum;
RaspberryPI için işletim sistemi olarak
http://downloads.raspberrypi.org/raspbian_latest
raspbian kullandım.
Öncelikle Windows için Win32DiskImager’ı (binary) indirmek gerekiyor. İmaj’ın Nasıl atılacağını
http://www.raspberrypi.org/documentation/installation/installing-images/README.md adresinden bulabilirsiniz.
raspi-config içerisinden expand_rootfs yapıp 8GB micro usb belleğin tamamını kullanabiliyorsunuz.
dpkg-reconfigure keyboard-configuration komutu ilede klavyenizi türkçe olarak ayarlayabilirsiniz.
apt-get update
apt-get upgrade
apt-get install vim
apt-get install lynx
apt-get install autossh
USB 3G Modem calismasi içinde
apt-get install sg3-utils
vim /etc/udev/rules.d/10-Huawei.rules
aşağıdakileri yapıştırdım.
SUBSYSTEMS==”usb”, ATTRS{modalias}==”usb:v12D1p1F01*”, SYMLINK+=”hwcdrom”, RUN+=”/usr/bin/sg_raw /dev/hwcdrom 11 06 20 00 00 00 00 00 01 00″
Network Ayarları için
vim /etc/network/interfaces
konfigurasyon dosyasına aşağıdaki parametreleri girdim.
allow-hotplug eth1
iface eth1 inet dhcp
cihazı reboot ettikten sonra konsoldan ip aldığını kontrol ettim.
lsusb komutu ile bakıldığında
the Huawei Technologies nin 12d1:14db olması lazım 12d1:1f01 değil.
Amazondan geçiçi kiraladiğimiz Linux ipsine reverse ssh bağlatısını /etc/rc.local başlangıç dosyasının içine ekledikten sonra artık heryerden 3G bağlantısını otomatik yapan raspberrypi cihazına ssh hazır hala geldim.
chmod -R 700 /etc/tunnel
chmod 600 /etc/tunnel/selim.pem amazon Linux için ssh sertifikasi
chmod 700 tunnel.sh
tunnel.sh script içeriği
#!/bin/bash
set +e
SSH_OPTIONS=” -i /etc/tunnel/selim.pem”
# Always assume initial connection will be successful
export AUTOSSH_GATETIME=0
# Disable echo service, relying on SSH exiting itself
export AUTOSSH_PORT=0
#to test, use (check out man ssh for explanation of options:
autossh -vv — $SSH_OPTIONS -o ‘ControlPath none’ -R 9091:localhost:22 ec2-user@50.4.5.2 -N > /var/user_sshlog.out 2> /var/user_ssh_error.out &
Artık Amazon Cloud üzerindeki sunucudan ssh -p 9091 root@localhost komutu ile cihaza her yerden bağlanamabilirim.
Tabi bütün bu zahmet asıl amacım için bir ön hazırlıktı;
RaspberryPI için uyumlu bir usb ethernet dongle ile birlikte artık iki adet ethetnete sahib olduğuma göre bu iki etherneti. inbount outbound olarak ayarlayabildim ve bu şekilde snifflemek istediğim hatta seri bağlamam yetti monitor etmek içinse colud üzerindeki sunucudan cihazima ssh ile bağlandım.
ifconfig eth0 0.0.0.0
ifconfig eth2 0.0.0.0
brctl addbr bridge0
brctl addif bridge0 eth0
brctl addif bridge0 eth2
dhclient bridge0
ifconfig bridge0 up