Taktikler ve Teknikler

On 09/10/2023, in Genel, by Specialist

Günümüzde kuruluşlar her zamankinden daha fazla siber tehditle karşı karşıya ve her zamankinden daha geniş saldırı yüzeylerine sahipler. Bu zorluklar göz önüne alındığında, şirketlerin bir adım önde olmaları ve tehditleri nasıl önleyecekleri, tespit edecekleri ve azaltacakları konusunda doğru kararlar almaları gerekmektedir.

Bu nedenle güvenlik uzmanları, işletmelerin siber güvenlik yeteneklerini güçlendirmelerine yardımcı olmak için Acı Piramidi gibi kavramsal modeller geliştirdiler. Bir Tehdit Avcısı (Threat Hunter), Olay Müdahalecisi (Incident Responder) veya SOC Analisti (SOC Analist) olarak Acı Piramidi (The Pyramid of Pain) kavramını anlamak önemlidir. Piramidin tabanından zirveye doğru ilerledikçe, kötü niyetli aktörler için değişiklik yapmanın zorluğu artar. En altta, en kolay değiştirilebilen bilgiler (örneğin hash değerleri) bulunurken, piramidin zirvesinde, en zor değiştirilebilen ve değerli bilgiler (Taktik, Teknik ve Prosedürler, TTP’ler) bulunmaktadır. Saldırganlar genellikle, ilk giriş yönteminden ağa yayılma ve veri sızdırma yöntemlerine kadar her şeyde kendilerini tanımlayan bir çalışma yöntemine sahiptir. TTP’ler, belirli bir tehdit aktörü veya grubu için oldukça özgündür ve bu yüzden bir saldırganın kimliğini belirlemede çok değerlidir. Saldırganların kullandığı araçları, teknikleri ve prosedürleri değiştirmek, bir hash değerini veya IP adresini değiştirmekten çok daha zordur. TTP’ler tanımak ve buna göre savunma stratejileri geliştirmek, organizasyonlar için daha uzun vadeli bir koruma sağlar. “Pyramid of Pain” içerisinde TTP’lerin en üstte yer alması, biz güvenlik ekiplerinin bir saldırgana en çok acıyı nasıl verebileceğimizi işini ne kadar zorlaştıracağımızı gösterir.

ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge,) MITRE tarafından oluşturulmuş bir bilgi tabanıdır ve siber tehditlerin ve onlara karşı alınabilecek önlemlerin anlaşılması için kullanılır. ATT&CK, saldırganların sistemler üzerindeki eylemlerini tanımlayan taktikler, teknikler ve prosedürleri (TTP) kapsar. ATT&CK matrisi, taktikler (tactics) ve teknikler (techniques) olmak üzere iki ana bileşenden oluşur.

Hem taktiklerin hem de tekniklerin anlaşılması ve birlikte değerlendirilmesi çok önemlidir, ancak hangisinin daha kritik olduğu, belirli bir durumun veya görevin gereksinimlerine bağlı olarak değişkenlik gösterebilir Taktikler, bir saldırganın amacına ulaşmak için izlediği genel hedefleri veya adımları ifade eder. Örneğin, “Initial Access” (Başlangıç Erişimi) veya “Execution” (Uygulama) birer taktiktir. Teknikler, belirli bir taktiği gerçekleştirmek için kullanılan spesifik yöntemleri yani saldırganın genel amaclarına ulaşmak için kullandığı spesifik yöntemleri belirtir. Her taktik, onu gerçekleştirmek için kullanılabilecek birçok tekniği içerebilir. Stratejik ve yüksek seviyeli bir bakış açısı için taktiklere dayalı tespit daha kritiktir. Tespitleri ve Müdahaleleri sadece TTP’ler içerisindeki tekniklere dayalı yapmak saldırganın genel amacını ve hedefine ulaşmak için kullanacağı spesifik yöntemlerin dışına çıktığı durumlarda yetersiz kalacağı gibi sadece tekniklere odaklanırsanız, en kritik tehditleri önceliklendirmekte zorluk yaşayabilirsiniz.

 

FireEye kısa süre önce, saldırganların Red Team araçlarını çaldıklarını bildiren bir siber saldırı raporu yayınladı. FireEye ayrıca bu çalınan araçların kuruluşlara karşı kullanımını belirlemek için Karşı Tedbirler (IOC, YARA Kuralları) yayınladı.

https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html

Red Team Araçları;
https://github.com/fireeye/red_team_tool_countermeasures

Yukarıdaki önlemlerin ilk analizi, Red Team’in bir şirketin güvenliğini değerlendirme tekniklerini ortaya koyuyor.

Aşağıda kullanılan tekniklerden birkaçı listelenmiştir:

 Active Directory reconnaissance and exploitation
 Credential dumping and stealing, etc.
 SMB, WMI enumeration
 MITM LLMNR/NBNS/mDNS/DNS/DHCPv6 man-in-the-middle attacks
 Exploiting known vulnerabilities across internal and public-facing systems
 Security evasions techniques
 Kerberos abuse, Kerberoasting exploitation
 Process injection


FireEye, araçların yaptıklarını yayınlamamasına rağmen, Attivo Networks araştırma ekibleri Red Team değerlendirmesi için kullanılan birçok açık kaynak araç çeşidini analiz etti ve buldu.

Aşağıda, FireEye Red Team araç setinin parçası olan Açık Kaynak araçları listelenmiştir:

 SharpHound (https://github.com/BloodHoundAD/SharpHound)
 PuppyHound (Modified Version of Sharphound)
 Seatbelt (https://github.com/GhostPack/Seatbelt)
 SharpSploit (https://github.com/cobbr/SharpSploit)
 ADPassHunt (Powershell scripts to extract passwords)
 SharpZeroLogon (https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon)
 Collection of Impacket tools (https://github.com/SecureAuthCorp/impacket)
 SafetyKatz (https://github.com/GhostPack/SafetyKatz)
 InveighZero (https://github.com/Kevin-Robertson/InveighZero)
 Rubeus (https://github.com/GhostPack/Rubeus)
 AndrewSpecial (https://github.com/hoangprod/AndrewSpecial)
 KeeFarce (https://github.com/denandz/KeeFarce)
 G2JS (https://github.com/med0x2e/GadgetToJScript)

Fırsat buldukça yukarıda araçları kullanarak test ortamında örnek saldırıları deneyip Attivo Network Aldatma Bazlı Tespit Sistemi ile bu atakların nasıl tespit edildiğini göstereceğim.



 

Deflect Attacks

On 17/12/2020, in Genel, by Specialist

Honeypot olarak da bilinen sınırlı güvenlikle yapılandırılan sistemler bir saldırganı cezbeder.

Honeypot’lar, sistem etkinliğinin kayıtlarını tutarak saldırganlar, saldırı teknikleri ve araçlar hakkında bilgi edinmek için kullanılır.

Kapsamlı savunma yaklaşımı, şüpheli trafiği birden çok honeypot’a yönlendirmek için ağdaki çeşitli noktalarda bırakılan tuzaklar ile birlikte kullanılır.

ThreatDefend® Detection & Response Platform

Attivo ThreatDefend® Platformu, bilinçli bir savunma için siber aldatma ve veri gizleme teknolojilerine dayalı benzersiz saldırı önleme, algılama ve saldırgan hareketlerinden istihbarat toplama sağlar. Platform, saldırı döngüsünün başlarında uç noktalarda, Active Directory’de ve şirket içi, bulut ortamlarında ve SCADA, IOT gibi özel saldırı yüzeylerinde saldırgan keşfini, yanal hareketi, ayrıcalık yükseltme ve toplama etkinliklerini etkili bir şekilde tespit eder.

 

1) Make a backup of your database before making any of the following changes.

2) On the Enforce Server: Stop the VontuManager and VontuIncidentPersister services.

3) Log into SQLPlus as the DLP user (default: protect).

For deleting system event between a specific date; (NOT Incidents)

4) delete from systemeventWHEREeventdate >= TO_DATE(’01-JAN-13′, DD-MON-YY) ANDeventdate <= TO_DATE(’01-JAN-15′, DD-MON-YY);

5) commit;

For deleting agent event between a specific date; (NOT Incidents)

1) Make a backup of your database before making any of the following changes.

2) On the Enforce Server: Stop the VontuManager and VontuIncidentPersister services.

3) Log into SQLPlus as the DLP user (default: protect).

4) select count(*) from systemeventWHEREeventdate >= TO_DATE(’01-JAN-13′, DD-MON-YY) ANDeventdate <= TO_DATE(’01-JAN-15′, DD-MON-YY);

5) truncate table agentevent;

6) comitt;

 

 

20 Kritik Güvenlik Kontrolü Versiyon 6.1

On 28/03/2016, in Genel, by Specialist

Siber savunma olarak adlandırabileceğimiz şeyin evriminde artık büyüleyici bir noktadayız. Büyük veri kayıpları, fikri mülkiyet hırsızlığı, kredi kartı ihlalleri, kimlik çalınması, mahremiyetimize ilişkin tehditler, hizmet reddi – bunların tümü hepimiz için siber alanda bir yaşam biçimi halini aldı.

Siber Güvenlik Konseyi 2013 yılında bağımsız, uzman, kar amaçlı olmayan bir kuruluş olarak, açık bir Internet’in güvenliğine yönelik küresel bir kapsamla kurulmuştur.

Konseyin amacı Kritik Kontrollerin sürekli gelişiminin, desteklenmesinin ve benimsenmesinin sağlanması; siber güvenlik işgücünün yetkinliklerinin artırılması; ve siber alanda emniyetli, güvenli ve güvenilir bir şekilde çalışabilme yeteneğimizde ölçülebilir gelişmelere yol açan politikaların geliştirilmesidir. Ek bilgi için aşağıdaki adresi ziyaret ediniz (www.counciloncybersecurity.org)

Versiyon 6 neler Değişti

  • Yönetici Hakları Kullanımı’na ait Kontrol önceliği 12’inci Sıradan 5’e yükseltildi.
  • Güvenli Ağ Mühendisliği Kontrol Maddresi (Maddde 19) Silindi
  • E-Posta ve Ağ Tarayıcı Koruma Kontrol Maddesi 20 Kritik Kontrol Maddeleri arasına  7’inci sıradan giriş yaptı.
  • Hızlı Kazanımlar Kategorisi yerini Sistem,Ağ, Uygulama grup kontrolleri ile değiştirildi.Center for Internet Security Critical Security Controls olarakta adı değişti.
The Critical Security Controls for Effective Cyber Defense Version 6.1 ‘de  Temel ve Gelişmiş olmak üzere iki seviye katogeri eklendi. Alt kontrollerde herhangi bir değişiklik yapılmadı.

www.cisecurity.org/critical-controls/documents/CSC-MASTER-VER61-FINAL.pdf.

 

 

 

 

SMTP Strict Transport Security (SMTP-STS)

On 24/03/2016, in Genel, by Specialist

İleri Gelen Eposta Servis sağlayıcılarının(Google, Microsoft, Yahoo, Comcast ve LinkedIn) daha güvenli mesajlaşma isteği üzerine yeni Şifreli e-posta protokolü taslağı yayımlandı. SMTP-STS

Güvenli mesajlaşmak için kullanılan TLS mimarisinde SMTP-STS yapısında gönderilecek sertifikanın doğruluğu kontrol edilecek. eğer hatalı bir durum var ise mesaj gönderilmeden uyarı mesajı gelecek.

örnek kayıt;
_smtp_sts IN TXT ( “v=STS1; to=false; ” “rua=mailto:sts-feedback@example.com ” )

 

 

 

You need fist activate support account

smtp1> set-support
Warning: Do NOT execute this script without explicit direction from a Symantec
Customer Support person.
Changing password for user support.
New password:
Retype new password:
passwd: all authentication tokens updated successfully.
User support enabled until 03/04/2016.

After Login to CLI use support account

[support@smtp1 ~]$ openssl s_client -connect aztec.brightmail.com:443

CONNECTED(00000003)
depth=3 C = US, O = “VeriSign, Inc.”, OU = Class 3 Public Primary Certification Authority
verify return:1
depth=2 C = US, O = “VeriSign, Inc.”, OU = VeriSign Trust Network, OU = “(c) 2006 VeriSign, Inc. – For authorized use only”, CN = VeriSign Class 3 Public Primary Certification Authority – G5
verify return:1
depth=1 C = US, O = “VeriSign, Inc.”, OU = VeriSign Trust Network, OU = Terms of use at https://www.verisign.com/rpa (c)10, CN = VeriSign Class 3 International Server CA – G3
verify return:1
depth=0 C = US, ST = California, L = Mountain View, O = Symantec Corporation, OU = Symantec IT Security, CN = aztec.brightmail.com
verify return:1

 

VBoxManage registervm /home/selim/VirtualBox\ VMs/cuckoo1/cuckoo1.vbox

 
You can download the new Tomcat distribution here: http://tomcat.apache.org/download-70.cgi#7.0.64

Here are the steps to upgrade Apache Tomcat on management server.

1. Stop Data Insight services:
	From the command prompt, issue the following command:
	
        net stop DataInsightConfig
        net stop DataInsightComm
	net stop DataInsightWeb
        net stop DataInsightWatchdog
	net stop DataInsightWorkflow
	net stop DataInsightPortal

2. Backup previous <INSTALL_DIR>/DataInsight/portal_tomcat/conf/server.xml & <INSTALL_DIR>/DataInsight/portal_tomcat/conf/tomcat-users.xml.
3. Backup previous <INSTALL_DIR>/DataInsight/portal_tomcat/webapps/*
4. Delete <INSTALL_DIR>/DataInsight/portal_tomcat/*. 
5. Copy new tomcat distribution to <INSTALL_DIR>/DataInsight/tomcat. Make sure it’s the same major version as the previous one. E.g. 7.x.
6. Delete <INSTALL_DIR>/DataInsight/portal_tomcat/webapps/* 
  <INSTALL_DIR>/DataInsight/portal_tomcat/conf/server.xml 
  <INSTALL_DIR>/DataInsight/portal_tomcat/conf/tomcat-users.xml 
   from new distribution.
7. Replace files backed up in step 2 and 3.
8.Start Data Insight services:
	From the command prompt, issue the following command:
	
        net start DataInsightConfig
        net start DataInsightComm
	net start DataInsightWeb
        net start DataInsightWatchdog
	net start DataInsightWorkflow
	net start DataInsightPortal
 

Raspberr PI + 3GModem + PortSniffer

On 30/12/2014, in Genel, by Specialist

Çok ayrıntıya girmeden Yaptıklarımın özetini çıkartmak istiyorum;

RaspberryPI için işletim sistemi olarak
http://downloads.raspberrypi.org/raspbian_latest
raspbian kullandım.

Öncelikle Windows için Win32DiskImager’ı (binary) indirmek gerekiyor. İmaj’ın Nasıl atılacağını
http://www.raspberrypi.org/documentation/installation/installing-images/README.md adresinden bulabilirsiniz.

raspi-config içerisinden expand_rootfs yapıp 8GB micro usb belleğin tamamını kullanabiliyorsunuz.
dpkg-reconfigure keyboard-configuration komutu ilede klavyenizi türkçe olarak ayarlayabilirsiniz.
apt-get update
apt-get upgrade
apt-get install vim
apt-get install lynx
apt-get install autossh

USB 3G Modem calismasi içinde

apt-get install sg3-utils
vim /etc/udev/rules.d/10-Huawei.rules

aşağıdakileri yapıştırdım.

SUBSYSTEMS==”usb”, ATTRS{modalias}==”usb:v12D1p1F01*”, SYMLINK+=”hwcdrom”, RUN+=”/usr/bin/sg_raw /dev/hwcdrom 11 06 20 00 00 00 00 00 01 00″

Network Ayarları için
vim /etc/network/interfaces

konfigurasyon dosyasına aşağıdaki parametreleri girdim.

allow-hotplug eth1
iface eth1 inet dhcp

cihazı reboot ettikten sonra konsoldan ip aldığını kontrol ettim.
lsusb komutu ile bakıldığında
the Huawei Technologies nin 12d1:14db olması lazım 12d1:1f01 değil.

Amazondan geçiçi kiraladiğimiz Linux ipsine reverse ssh bağlatısını /etc/rc.local başlangıç dosyasının içine ekledikten sonra artık heryerden 3G bağlantısını otomatik yapan raspberrypi cihazına ssh hazır hala geldim.

chmod -R 700 /etc/tunnel
chmod 600 /etc/tunnel/selim.pem amazon Linux için ssh sertifikasi

chmod 700 tunnel.sh

tunnel.sh script içeriği

#!/bin/bash
set +e
SSH_OPTIONS=” -i /etc/tunnel/selim.pem”
# Always assume initial connection will be successful
export AUTOSSH_GATETIME=0
# Disable echo service, relying on SSH exiting itself
export AUTOSSH_PORT=0
#to test, use (check out man ssh for explanation of options:
autossh -vv — $SSH_OPTIONS -o ‘ControlPath none’ -R 9091:localhost:22 ec2-user@50.4.5.2 -N > /var/user_sshlog.out 2> /var/user_ssh_error.out &

 

 

reverseshell

Artık Amazon Cloud üzerindeki sunucudan ssh -p 9091 root@localhost komutu ile cihaza her yerden bağlanamabilirim.

Tabi bütün bu zahmet asıl amacım için bir ön hazırlıktı;

RaspberryPI için uyumlu bir usb ethernet dongle ile birlikte artık iki adet ethetnete sahib olduğuma göre bu iki etherneti. inbount outbound olarak ayarlayabildim ve bu şekilde snifflemek istediğim hatta seri bağlamam yetti monitor etmek içinse colud üzerindeki sunucudan cihazima ssh ile bağlandım.

ifconfig eth0 0.0.0.0
ifconfig eth2 0.0.0.0
brctl addbr bridge0
brctl addif bridge0 eth0
brctl addif bridge0 eth2
dhclient bridge0
ifconfig bridge0 up
FullSizeRender