SolarWinds Saldırıları ve Tespiti için Ücretsiz Araç

Solarwinds Saldırısı

FireEye, SolarWinds siber saldırı tekniklerinin ayrıntılarını içeren bir doküman yayınladı ve saldırı izlerini tespit etmek için ücretsiz bir araç çıkarttı.

Özellikle devlet kurumları ve yazılım şirketlerini hedef alan fakat Fortune 500 şirketleri gibi büyük kuruluşları da tehlikeye attığı açıkça ortaya koyulan bu konu hakkında bilgi vermek istiyoruz.

Sparta Bilişim Active Directory güvenlik denetim ve eğitim hizmeti bu tür saldırılara neden olabilecek zafiyet ve konfigürasyon hatalarını tespit ederek kuruluşunuza aşağıdaki faydaları sağlar:

– Risk ve tehditlerin belirlenmesi,
– Şüpheli faaliyetlerin tespit edilmesi,
– Siber saldırgan veya zararlı yazılımlar tarafından yapılan değişikliklerin giderilmesi,
– Kuruluş politikalarının ötesinde güvenlik politikalarının belirlenmesi,
– Kuruluş politikalarının ötesinde güvenlik politikalarının belirlenmesi,
– Yetkili kullanıcı hesaplarının denetimi.

Konu hakkında detaylı görüşmek için bizimle sparta@sparta.com.tr mail adresinden hemen iletişime geçebilirsiniz. “ACTIVE DIRECTORY GÜVENLİĞİ NASIL SAĞLANIR?” başlıklı yazımıza BURADAN ulaşabilirsiniz.

SOLARWINDS SALDIRI İZLERİNİ TESPİT ETMEK

Öncelikle arka kapı bulunan SolarWinds ağ izleme yazılımını kullanan tüm kuruluşların, yeni araçların ve talimatların ışığında saldırı izlerinin belirtileri için loglarını kontrol etmesi gerekiyor.
 
Güncelleme ( Remediation and Hardening Strategies for Microsoft 365 to Defend Against UNC2452 | FireEye Inc linkinden ulaşabilirsiniz) ve konu hakkında ayrıntılı bilgiler içeren bir pdf dokümanı (wp-m-unc2452.pdf (fireeye.com) ) Salı günü yayınlandı.  

FireEye bu dokümanlarda siber saldırganların Rus devlet destekli olduğu ve özellikle iki grubu hedef aldığı konusunda uyarıyor: üst düzey bilgi erişimi olan kişiler ve sistem yöneticileri.

Ancak önemli bir nokta var; bu saldırıların tespit edilmesinin oldukça güç olduğu çünkü izlenen yolun genellikle hiç dikkat çekmeden ağda gezinmek ve kimlik doğrulama için kullanılan dijital sertifikaların taklit edilmesi gibi yöntemler izlediği belirtiliyor.

Yukarıda linki verilmiş olan pdf dokümanını okuma fırsatınız olursa görebileceğiniz gibi “Aktif olarak kullanılan sahte SAML tokenlarının tespit edilmesinin çok zor olduğu kanıtlanmıştır” denilmiş.

Tüm kimlik doğrulamalarının AD FS kaynaklı olduğundan emin olmak için Azure AD Sign-Ins günlüğündeki girdilerinin şirket içi AD FS sunucularının güvenlik olay günlükleriyle karşılaştırılması gerektiği de belirtilmiş.

Bir seçenek olarak tüm kimlik doğrulamalarının AD FS kaynaklı olduğundan emin olmak için bütün Azure AD Sign-Ins loglarının güvenlik olay günlükleriyle (security event logları) karşılaştırılması sunulmuş.

Teknik olarak Azure AD’ye kaydedilmiş olan tüm kullanıcı giriş işlemlerinin karşılığında şirket içi güvenlik olay günlüklerine kaydedilmiş bir karşılığının olması gerekiyor. Ancak çoğu kuruluş için bu logların tek tek karşılaştırılması uzun zaman alacağından pratik değil ve mümkün görünmüyor. Bu nedenle makale içerisinde loglarda nasıl bir arama yapılması gerektiğine dair de bilgi verilmiş.

BİR HESABIN ELE GEÇİRİLDİĞİ NASIL ANLAŞILABİLİR?

Log karşılaştırmalarında bir hesabın ele geçirilip geçirilmediğine bakmak için yukarıda bağlantılarını vermiş olduğumuz dokümanlarda ayrıntılı bilgiler bulunuyor. Erişimin nasıl engelleneceği ve ileride nasıl ek koruma sağlanabileceği konusunda da adım adım talimatlar bulunuyor.
 
Açıklama dokümanında “Bir uygulamaya eklenen bir kimlik bilgisi (credential) Microsoft 365’te oturum açmak için kullanıldığında, etkileşimli bir kullanıcının oturum açmasından farklı bir şekilde kaydedilir. Azure Portal’da bu oturumlar Azure Active Directory dikey penceresinin altındaki Oturum Açmalar’a gidip ardından hizmet sorumlusu Oturum Açmalar sekmesine tıklanarak görüntülenebilir … Şu anda bu oturum açma işlemlerinin Birleşik Denetim Günlüğü’ne kaydedilmediğini unutmayın.” denilmiş.
 
Önlem almak için FireEye önerileri şu şekilde:
– Özellikle tüm sistem yöneticisi hesaplarını inceleyin,
– Bu hesapların “belirli bir hizmet sorumlusuna yapılandırılmış veya eklenmiş” olup olmadığını araştırın,
– Varsa bunları kaldırın,
– Ardından, şüpheli olabilecek uygulama kimlik bilgilerini araştırın ve varsa bunları da kaldırın.

ÜCRETSİZ AZURE AD ARAŞTIRMA UYGULAMASI

FireEye tarafından yayınlanan ücretsiz uygulama Azure AD Investigator olarak adlandırılmış ve GitHub’dan erişilebiliyor (GitHub – fireeye/Mandiant-Azure-AD-Investigator).
 
Yayınlanan bu uygulama, SolarWinds’in arka kapılı Orion yazılımı aracılığıyla ağlarının tehlikeye atıldığına dair işaretler olması durumunda organizasyonları uyarıyor.
 
Geçtiğimiz ay SolarWinds, enfekte olma potansiyeline sahip 18.000 kuruluş olduğunu söyledi; bunların çoğu devlet daireleri ve Fortune 500 şirketleri.

Siber saldırganların devlet yetkililerine ve yazılım şirketlerine öncelik vermiş gibi göründüğü konusunda da bir uyarı bulunuyor.

ABD Ticaret Bakanlığı, Hazine Bakanlığı ve Adalet Bakanlığı dahil olmak üzere çok sayıda devlet kurumu şimdiden etkilenmiş görünüyor. Saldırganların herhangi bir iz bırakmadan ve tespit edilmeden yaklaşık 6 aydır sistemlerde gezindiği ve ileride bu sistemlere yeniden erişebilmek için farklı zafiyetler tespit etmek üzere çalıştığı düşünülüyor.

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*