Daha önce analizini yapmış olduğum; tehditler ilgili yazmış olduğum blog yazılarında kurumsal ağlarda alınabilecek bir takım güvenlik önlemlerine de yer veriyordum. Bu yazımda ise hepsini bir araya getirip yeni bir active prevention stratejisi öğrenince, hem bir knowledge base olması ve hemde yeni öğrendiğim yöntemler, stratejiler ile bu yazıyı güncel tutarak blogumu ziyaret edenlerinde okuması için paylaşıyor olacağım. Esasen geçtiğimiz yıllarda Gartner tarafından yayımlanan adaptive güvenlik yaklaşımı ile güvenlik olayları daha olmadan önce çıkan her yeni tehdite karşı saldırıların gerçekleşme ihtimallerini öngörüp gereken önlemlerin alınmasını sağlıyor. Bir saldırıdan korunmak öncelikli amaç. Prevent kısmında bize gelen her tehditi proaktif olarak önleme fazı var. Perimeter security ve active response sağlayan güvenlik çözümleri ile güvenlik olayını engelleme amacı var. Tespit kısmında riskleri öngörme, güvenlik olayına dönüşebilecek bir olay varsa bunu tespit etme, saldırıların gerçekleşme riskini azaltmak amacı vardır. Respond kısmında ise prevention ve detection ile tespit edilemeyen tehditlere daha derinlemesine bakıp, adli forensic süreçleri ve bulguları elde edilerek, tespit edilen bir tehdit varsa bunu remediate fazı devreye giriyor. Predict kısmında ise gerçekleşebilecek saldırıları öngörerek olaylar olmadan önce tespit ve prevention için çıktılar sağlamaktadır. Örneğin herhangi bir zararlı yazılım tarafından istismar edilen bir yöntem; EDR gibi sistemlere sahipseniz endpoint visibility önemli olduğu için yeni çıkan bir tehdit karşısında uygun query, alarm, rule geliştirme işlemlerini yapıp sistemlerinizde en kötü senaryoyu düşünerekten bu ve bundan sonraki saldırılara karşı sistemlerimizi hazırlıklı tutmamız gerekiyor.
Bunu bir örnekle açıklayacak olursa linkteki analizi yapılmış olan agenttesla zararlısı user account kontrolü bypass etmek için bilinen bir yöntemi kullanıyor. Eğer T anında local networkünüzde bir kullanıcı böyle bir zararlıyı bir şekilde perimeter' security atlatılmış olsaydı; detection tarafında aşağıdaki EQL query'si ile bunun tespiti mümkün olabilecekti. Security analist olarak çalışan kişilerinizde önlerine katma değerli alarm, log geldiği için detaylı analiz edip tehditi daha detaylı anlayabiliyor olabilecekti. Ya da bir APT grubu tarafından yazdığınız query'e touch eden bir aktivite olsaydı bunu da tespit edebilecektiniz.
Registry Preparation of Event Viewer UAC Bypass
Identifies preparation for User Account Control (UAC) bypass via Event Viewer registry hijacking. Attackers bypass UAC to stealthily execute code with elevated permissions.
id: | f90dd84d-6aa1-4ffd-8f0e-933f51c20fbe |
---|---|
categories: | detect |
confidence: | low |
os: | windows |
created: | 11/30/2018 |
updated: | 11/30/2018 |
Proaktif Cyber Defense
- Zip,Vbs,exe,.7z.. türünde dosya eki olan dosyaların özellikle mail tarafındaki Sandbox'ing yapan sistemlere mutkala sandboxing yapması için custom politikalar tanımlanması ve diğer analiz profillerinin uygulanarak dosyaların analizi sağlanması ve mutlaka mail tarafında gelen her paketlenmiş dosyasının açılıp sandboxing yapan sistemlerede custom imajlar ile analizin sağlanması,
- Dns firewall üzerinde Dynamic dns host kategorisinin engellenmesi ve ürün üzerinden alınabiliyorsa custom raporların çekilmesi, alınamıyorsa SIEM'inize gondermiş olduğunuz event'lar üzerinden dynamic dns host raporlarının çekilip istatiksel olarak da ek kontrolünün sağlanması,
- Web Content Gateway, Proxy Cihazları üzerinde Dynamic Dns Host Kategorisinin Engellenmesi,
- Eğer farklı güvenlik sistemlerine yeteri kadar yatırım sağlayamayan kurumlar ise ve NGFW özelliklerini kullanarak url-filtering çözümlerini kullanıyorsa sinkhole ve kategori bazlı engelleme yapılıp yine dynamic dns host kategorisinin engellenmesi,
- Zararlı yazılımlar tarafından sıklıkla kullanılan jar, ace, arj, vbs, ps, exe, iso, r00, vb, bat, tmp, lnk, scr, ınf... vb. gibi zararlı dosya uzantılarının mail gw sistemleri üzerinde doğrudan engellenmesi,
- Tehdit İstihbaratından gelen verilerin geniş api desteğine sahip güvenlik cihazlar ile ilgili gereken entegrasyonların yapılarak blocklama yapacak şekilde proaktif aksiyonların alınması,
- Bilinen Zararlılar, apt ve spear phishing kampanyaları ile ilgili güncel open repository'lerden, CTI üzerinden gelen yara kuralları ile ilgili kuralların güncel tutulması ve güvenlik cihazlarına eklenmesi, örneğin italya'yı hedef alan bir spear phishing kampanyasının bundan bir kaç saat sonra size gelmesi muhtemel. Ek olarak bunu yapmak size sadece kullanmış olduğunuz üreticiden aldığınız intelligance güvenmek yerine ek bir kontrol sağlamış olacak. İstihbaratın çeşitlendirilmesi bu noktada faydalı olacaktır.
- Tehdit istihbaratı rolüne sahip güvenlik personelleri varsa bu roldeki kişilerin güvenlik üreticileri tarafından yayımlanan blog postları, underground forumları, real time free open intelligence kaynaklarını ,tweetleri, twitterdaki aktif kişileri takip ederek güncel tehditlerden haberdar olarak; kendi altyapılarında bu güvenlik olaylarının gerçekleşip gerçekleşmediğini analiz ederek, gereken önlemlerin alınması,
- Zararlıların sizin kurumunuzu hedef almasa da ilgili zararlıların altyapınızda kullanmış olduğunuz güvenlik ürünlerinde test ederek sonuçlarını değerlendirip çıkarımlarda bulunup iyileştirmelerin yapılması ya da (attack and breach simulation araçlarının) aktif olarak kullanılarak çıkarımlarda bulunması) ve SIEM,EDR sistemlerinde yazılabilecek yeni bir kural varsa yazılması,
- Bilinen zararlılar ile ilgili ips, ids imzalarının güncel tutularak bu sistemlerden gelen logların analiz edilmesi(Bu zararlının https://rules.emergingthreats.net/ içerisinde public kuralları bulunmaktadır.) Farklı güvenlik ürünleri kullanıyorsanız yine bu cihazların düzenli olarak ids/ips imzalarını prevention modda tutulduğundan emin olması ve arada kontrollerin yapılması,
- Ssl inspection ya da ssl offloading cihazlarında WAN'e giden ve gelen trafiğin açılarak content'in analiz edilmesi, ssl açılan trafik eğer NGFW ise file blocking, antivirus, anti-spyware, url-filtering, ids, vulnerability protection... vb. gibi özelliklerin prevention moda alınıp logların SIEM sistemlerine gönderilerek analiz edilmesi ve prevention modda çalışan sistemlere tcpreplay gibi benzer araçlarla ya da gerçek zararlı ile trafikten geçirilip bu cihazların yeteneklerinin ölçülmesi ve yeni bir bulgu elde edilirse uygun loglara göze custom SIEM kurallarının tanımlanması
- Saldırganlar tarafından sıklıkla kullanılan no-ip, dynamic dns servislerinin ekstra engellenmesi(.hopto.org, .zapto.org, .sytes.net, .ddns.net, no-ip.org, dyndns.org, changeip.com, duiadns.net, dynamicdns.org,duck dns...)
- EDR, AV, NGAV gibi çözümlerde eğer ürünlerin yetenekleri varsa normal altyapı içerisinde genel olarak anlamdırılan process eventlarından sonra, kendini normal bir process gibi başlatıp sonra kill'eden ve AppData\Roaming altında kendini kill edip aynı dizinden başlatılan EDR query/rule'larının parent/child process, launch ilişkileri düşünülerek çıkan sonuçları SIEM/SOAR sistemlerine gönderilmesi ve güvenlik analisti rolünde çalışan kişilerin analiz ederek olayları anlamasının sağlanmasıyla ve her yeni farklı tehdit türü için kuralların yazılması
- MITRE ATT&CK, EQL ve TTP tarafında yeni çıkan tehdit, RAT, APT, Lolbins, attack türlerinden olan yeni zararlılar ile ilgili ortamınızda bulunmayan query'ileri yazıp sitemlerin gelişiminin sağlanması
- Mail gw cihazlarında custom politika bazlı aşağıdaki gibi regexlerin yazılarak engellenmelerin sağlanması
attachement : ( DOC[0-9]{10}.zip ) geliyorsa blocklansın.
mail header : (Mail Subject: zip Received: from [aA-zZ]{5} ( [public IP address] l) by [domain] with MailEnable ESMTP;[date] ya da Received: (qmail [aA-zZ]{3} invoked by uid [aA-zZ]{3}); [date] ) blocklansın.
- Url click protection/content disarm özelliği destekleyen mail güvenlik sistemlerinde bu kategoriler ile ilgili custom politikalar tanımlanması ve özellikle url içeren maillerin sonu http://sampledomain.com/abc.exe, http://sampledomain.doc şeklinde dosyalar geliyorsa mutlaka sandboxing cihazlarına analize gitsin şeklinde politikaların tanımlanması/force edilmesi.
- NGFW ve içerik analiz sistemlerinden yararlanarak source-app, user-agent vb. gibi bilgilerden haberdar olarak compliance raporları ile kontrol edilmesi
- Red Teaming yapan ekiplerle sıkı çalışıp benzer attacklarla ilgili yapılabileceklerin altyapınızda denenip test edilip defans tarafında iyileştirmelerin yapılarak siem, edr, av diğer defans ürünleri tarafında uygun kuralların geliştirilmesi.
- NGFW üzerinde DNS sinkholing özelliklerinin aktif edilmesi, istatiksel olarak çıkarılacak raporlar ile birlikte kötü reputasyona sahip domainleri ziyaret eden kişilerin timeline bakıp eğer anormal sayıda ziyaret istekleri varsa bot infecte olabileceğini düşünerek şüphenilen client bilgisayarlarda detaylı forensic yapılması
- NTA/NDR cihazlarından çıkan alarmların SIEM'e alınması, tetiklenen alarmların başka sistemlerden gelecek loglarda ilişkisi varsa korelasyona tabi tutulması
- SIEM,EDR ya da diğer sistemlerden alınan alarmlar sonucu şüphenilen bir bilgisayar varsa bununla ilgili historical network forensic yapmak isteniliyorsa Wide Area Network'e giden ve gelen Full packet capture işlemi yapan cihazlarda en az bir ay data tutacak şekilde, süphenilen bilgisayarlar için forensic işlemlerinin yapılması
- Attack and breach simulasyonları yapan güvenlik ürünlerine sahipseniz bu ürünler üzerinden çıkan raporların sonuçlarının değerlendirilip poor güvenlik konfigürasyonuna sahip cihazlarınızda iyileştirme yapılması ve düzenli olarak bu raporların kontrol edilerek güvenliğin maksimum seviyelere çıkarılmasının sağlanması
- SOAR gibi sistemler yardımıyla ya da custom scriptler yardımıyla 3.parti tehdit istihbaratı, ioc, yara kural feedi sağlayan platformlar üzerinden içeride kullanmış olduğunuz güvenlik çözümlerine alıdırılabiliyorsa proaktif önlemlerin aldırılmasının sağlanması
- Open source honeypot ya da ticari deception ürünlerinin networkünüzde önem derecesine göre bazı yerlere deploy edilerek güvenlik analistleri tarafından tetiklenen alarm imzaların analiz edilmesi ve logları SIEM'e gonderebiliyorsa logların SIEM'e alınması(modern honey network, tpot, canary, attivo, acalvio...)
- Son kullanıcılar tarafından ziyaret edilen web sitelerinde bilinen ve bilinmeyen tüm dosya türlerinin indirilirken mutlaka sandboxing yapan sistemlere analiz yapması için uygun mimarilerin tasarlanması ve perimeter security cihazlarının konumlandırılması ile networkünüzden geçen dosyalardan haberdar olunması
- Perimeter Security cihazlarında kategori bazlı engellemeler yapılması ve prevention moda alınarak bu kategorilerden gelecek incidentların SIEM sistemlerine yonlendirilmesi(Spyware, Botnet, Malware,P2P, Onion, DGA, IPS Signatures, File Blocking, Vulnerability Protection, Tunneling apps....)
- Atomic Read Team, Infection Monkey ve githubda bulunan open test simülasyonlarının yapılarak alarm logu çıkan sistemlerden çıkarılacak sonuçlarla birlikte MITRE ATT&CK, EQL detect kurallarının geliştirilmesi ve güvenlik analistleri tarafından incelenmesinin sağlanması.
- APT grupları ile ilgili yayımlanan raporların, analiz çalışmalarının takip edilerek yeni attack yontemleri ve zaafiyetlere karşı uygun proaktif önlemlerin hızlıca alınması(patch,yara rule, ioc blocking, blacklist, signature update, siem rules, edr rules...)
- NGFW sahip iseniz kurum altyapınızı farklı vlan, dmz ortamlarına ayırıp internal segmantasyon yaparak önem derecesi kritik assetlerinize ve sunucularınızın bulunduğu ortamlarda strict firewall policyleri, ssl offloading ve diğer ngfw policylerini uygulamak, önem derecesi yüksek olan assetlerinize uygun kritik öneme sahip SIEM alarmları geliştirerek, izole olan ortamdaki gerçekleşen her hareketi izleyerek uçtan uca visibility'i sağlamak
- Zafiyet tarama sistemlerinden gelen tarama sonuçlarına göre en çok istismar edilen CVE kodları ve zafiyetler ile ilgili sistemlerin kritiklik durumu göz önünde bulundurularak gereken update, upgradelerin hızlıca aksiyon olarak alınması(Örnek: Pulse Secure VPN )
- Önem derecesi yüksek kritik asset ve sunucularınızın bulunduğu ortamlarda epp çözümleri ile ortama erişebilen kullanıların sunucu ve diğer sistemlere upload edebileceği dosya izin ve yetkileri kısıtlandırmak, hatta en yetkili kullanıcılar hariç başka yetkisiz kimselerin bu ortamlara erişimini zorlaştırarak olası bir güvenlik vakası için saldırı etki alanını daraltmak.
- Network seviyesinde yapabilecek saldırılar için(Vlan hooping, STP attacks, CDP attack arp spoofing, ip spoofing) network cihazlarında alınması gereken ve default enable durumda olmaması gereken portlar, ACL, policy kontrolleri ile network cihazlarının doğru yapılandırıldığından emin olmak, sızma testi, zafiyet değerlendirilmesi testleri gibi testlerin sonuçlarının da CSIRT ekibi tarafından düzenli olarak takip edilip güvenlik olayına neden olabilecek bir durum olursa hızlıca gereken aksiyonların alınması yönünde harekete geçmek.
- Active directory ve Domain kontrollerlar üzerinde gerçekleşecek attacklar için uygun group policy ayarlarını düzenlemek, password policy düzenlemek.
- Ortak dosya paylaşım alanlarına belirli departmanlardan olan kişileri rol bazlı yetki ve sınırlandırmalar koyarak erişimi kısıtlandırmak; kritik verilerin tutulduğu finasal veriler, ihaleler, ağ mimarisi... yerlerde Active directory ve storage üzerinde object access audit policylerini yapılandırarak logları varsa merkezi log yönetim sistemlerine almak.
- VPN sistemlerinde gerçekleşen hareketler ile ilgili lokasyon bazlı, iş saatleri bazlı siem sistemlerinde korelasyon kuralları uygulamak, sms otp önlemlerini almak ve gerektiğinde anormal davranışlar ile ilgili vpn yapan kişinin vpn'ni sonlandırabiliyor olmak
- Network ve perimeter güvenlik çözümlerinde sadece ürün yeteneklerine güvenmeyip, Zero Trust yaklaşımı ile hareket ederek alınabilecek ek güvenlik önlemlerini almak.
- Bilinen attack türleri ile ilgili kurum bünyesinde farklı paydaşlarında yer aldığı kapsamlı bir güvenlik olay müdahalesi planı hazırlayarak, herhangi bir güvenlik olayına maruz kaldığınız durumlarda gereken süreçleri işleterek güvenlik olayını bertaraf etmek.
- Endpoint protection sistemlerinde parola korumalı taranamayan dosyalar için aylık schedule tarama raporlarını alıp özellikle zararlı barındırabilecek dosya isimlerini bir kontrol edip göz gezdirmek.
- Zararlı bulaşmış olduğunu düşündüğünüz client'larda anlamlandıramadığınız trafik, istek, adware...bot.. vb şüpheleniyorsanız ve bunları analiz etmek için yeteri kadar zamanınız yoksa ilgili bilgisayarlara temiz imaj attırıp bir daha aynı güvenlik olayına mahal vermeyecek durumlar ile ilgili proaktif önlemler almak.
- Enfekte olduğu düşünülen bilgisayarlara shared local userlar ile login olmamak.
- Macro enabled word dokumanların GPO da yapılacak ayarlar ile birlikte blocklanması potansiyel macro içeren zararli yazılım, apt ve süpheli dosyalar için ek bir önlem olacaktır.
- Önem derecesi yüksek kritiklik arz eden ve herkesin erişmesinin gerekli olmadığı windows, linux, unix sunucularda kritik önem arz eden port numaralarına firewall, iptables, selinux gibi araçlarla 22,3389,445... erişimi sınırlandırmak.
- Yeni ihtiyaçlar için kurulmuş olan sunucu, client, güvenlik çözümü... default gelen administrator, admin gibi kullanıcı isimlerini default bırakmayıp çözüm bunları değiştirmeye imkan sağlıyorsa bunları değiştirmek. Önem dereci yüksek hesaplara MFA ya da lockout policy'ler ile yapılandırma sağlamak.
- Zaman zaman saldırganlar dropbox, mega upload, we transfer... gibi ücretsiz cloud storage hizmeti sağlayan platformlar üzerinden zararlı dağıtabilmektedirler. Eğer mevcut kullanılan proxy, web gw ürünlerinde cloud storage bazlı kategorilendirme varsa bu kategoriyi engellemek; iş ihtiyaçları doğrultusunda anlık izinler vermek; ya da CASB tarzı ürün ve modüller kullanarak bu ve benzeri durumları kontrol altına almak.
- SMB protokolü kullanımı ile ilgili eğer yapınız buna izin veriyorsa ve business business continuity'i engelleyecek herhangi bir kısıt yoksa; windows group policy ile windows fw üzerinde client arasında inbound smb communication için strict policy'ler uygulamak. Ya da buna imkan yoksa HIPS sistemleri ile client to client trafiği arasında gerçekleşen smb trafiği için uygun custom modifikasyonlar yapmak.
- İstenmeyen uygulamalara karşı EPP ürünlerinde ya da diğer güvenlik çözümlerinde Application Whitelisting politakaları uygulayarak kurum içi çalışanlarınızın istenmeyen uygulamaları kullanmasının önüne geçmek ve bu istenemeyen uygulamalarla gelen zararlı, keylogger, adware, fake av.. gibi uygulamaların önüne geçmek.
- External dns alan adı çözümüne izin veren bir yapınız varsa bunları bir kontrolden geçirmek veya dns firewall çözümleri ile kontrol etmek. Dns portu 53, 5353 harici dns istekleri varsa bunları kontrol etmek.
- Olası bir DOS, DDOS saldırısına karşı network monitoring yapmak, herhangi bir saldırı olması durumunda haberdar olmak için kurumunuzun müşteri tarafına hizmet veren web, dns gibi public servislerinizi izliyor olmak.
- Lolbas attacklarına karşı user agent string, EDR queryleri, SIEM ve Applocker gibi proaktif önlemler ile herhangi bir kurum içi çalışanınıza gelmiş olabilecek APT grubunun attacklarına karşı hazırlıklı olmak.Bknz(Cobalt, Turla, Apt33,Muddywater...)
- İnternal network sızma testlerinde özellikle red teaming ve sızma testi yapan kişilerin sıklıkla kullandıkları(psexec,mimikatz,nmap,powershell..) ataklarına karşı hazırlıklı olup network trafik anomaly çözümlerinden alınan çıktılar ile SIEM'e logları gönderip kurallar yazmak.
- JA3 ve JA3S fingerprintlerini kontrol edebilecek uygun güvenlik araçları kullanarak uçtan uca networkünüzden haberdar olmak.
- GDPR ve KVKK'ya kurumunuzu bir güvenlik ihlali ve kritik veri kaçırılmasına karşı özellikle (onedrive,dropbox, megaupload, file storage...) gibi domainlerin mutlaka yasaklandığından emin olmak.
- Son kullanıcılar tarafından yapılan download işlemlerinde traffic shaping, rate limiting, QOS gibi yöntemleri devreye almak ve belirli boyutun üzerinde yapılan indirme işlemlerinde limit koymak iç hattınızı sature edecek durumların önüne geçmenizi sağlayacaktır.
- Güvenlik olay müdahalesi esnasında acil lazım olabilecek system, network bilgilerini içeren dokumanların oluşturulması, diyagramların tasarlanması ve ilgili asset sahibi bilgilerininde bu dokumanlarda yer alması.
- Herhangi bir olay olmasını beklemeden mümkünse kurumsal SOME ekiplerinin gerekirse iş birimlerini de işin içersine katarak bilgi paylaşımı ve bilgi paylaşım programları oluşturulması.
- Kuruma perimeter security tarafında güvenlik ihlaline neden olabilecek bir durum varsa mutlaka bunun gözden geçirilmesi ve proaktif aksiyonlar hızlıca alınamıyorsa bunun mutlaka üst yönetim ve paydaşlara bağımsız bir şekilde raporlanması.
- Periyodik olarak yapılan taramalarla public olarak erişilebilecek yüksek önem derecesine sahip dosyaların keşfi yapılarak ortada ihlale neden olabilecek bir teknolojik eksiklik ve governance tarafında bir şey varsa proaktif önlemlerin mutlaka alınması.
- Privilage escalations ve role değişiklikleri ile ilgili advance logging ve alerting mekanizmalarının devreye alınması.
- Yüksek önem derecesine sahip yetkili hesapların yaptığı hareketlerin ayrıca izlenerek haberdar olunulması.
- Network ürünlerini yöneten ekiplerin kullanmış oldukarı sistem hesapların yetkisiz olması ve email, internet bağlantısı kullanamadıklarının valide edilmesi.
- Süpheli bir bilgisayar ve hack vakası yaşamış olabileceğiniz bir durumla karşılaşırsanız; tüm kullanıcı, servis hesapları, servis hesapları credentiallarını resetletme yoluna gidilmesi.
- Domain admin ve enterprise admin gibi hesapların sayısının mümkün olduğu ölçüde minimum tutulması.
- WMI gibi önem derecesi yüksek bir servis ve port acılması gerekiyorsa, iş kesintilerine neden olmadan user bazlı vmi yetkilendirmeleri yapmak.
- Active directory üzerinde otamatik olarak değiştirilebilen, merkezi olarak yönetilebilen ve random, karmasık parolalara sahip, group managed service accounts özelliklerinin aktif olarak kullanılması
- Red teamer ve attack'erlar tarafından sıklıkla kullanılan privilage escalation, lateral movement gibi microsoft komutlarının endpoint logları, sysmon ya da EDR logları ile tespit edilebiliyor olması. Böyle bir aktivite gozlemlendiğinde tespit edebilmek için SIEM, SOAR sistemlerinde gereken alarm mekanizmalarının tetiklenmesi.
- Bir saldırganın bir uç nokta bilgisayarı hackledikten ve dışarı ile başarılı bir şekilde bağlantı kurduktan sonra yapabileceği(kerberosting, golden,silver ticker, pass the hash, pass the ticket, ldap recon, brute force, spn discovery, gpp-passowrd, over the hash, krbtg,dcshadow,dcsync,unconstrained kerberos delegation.. mimikatz) Active directory attackları ile ilgili daha fazla görünürlüğün sağlanabiliyor ve tespit edilebiliyor olması.
- Client bilgisayarlarında Policy bazlı gruplama yaparak powershell kullanımına ihtiyacı olmayan kullanıcıların belirlenerek powershell'in group policy ile tamamen kapatılması ya da constrained language mode devreye alınarak powershell yetkilerinin limitlendirilmesi.
- Perimeter security güvenlik ürünlerinizde çıkacak olan güvenlik zafiyetlerine karsı(F5 BIG-IP CVE-2020-5902, Citrix CVE-2019-19781, CVE-2020-3196) ekren haberdar olup gecilmesi gereken guncellemeleri geçmek, compromised olduğunu dusunduğunuz sistemler varsa yeniden kurulum yaptırmak, bu sistemlere yeni hesaplar ile birlikte taze ve karmasık sifreler set etmek, 2FA mekanizlamalarını devreye almak, management interface'i internete acık sistemleri kısıtlamak, internal segmantasyon yaparak yetkisiz kullanıcıların bu sistemlere erişimlerini sınırlandırmak, us-cert gibi bültenlere uye olarak gelen bildirimleri yakından takip etmek, yeni cıkan ips imzalarını bu kritik sistemler için devreye almak, güvenlik güncellemeleri uzun sürecekse workaround çözümleri uygulayarak zaman kazanıp güncelleme bitene kadar yakından takip etmek.
Referanslar:
https://www.contextis.com/en/blog/avivore
https://eqllib.readthedocs.io/en/latest/analytics/f90dd84d-6aa1-4ffd-8f0e-933f51c20fbe.html
https://app.any.run/tasks/de581e48-0233-4111-b4fd-4bb5a0f4d567/
https://attack.mitre.org/techniques/T1088/
https://www.efficientip.com/web-proxy-not-enough/
https://redcanary.com/blog/testing-initial-access-with-generate-macro-in-atomic-red-team/?utm_content=101966885&utm_medium=social&utm_source=twitter&hss_channel=tw-2349092263
https://www.binarydefense.com/using-sysmon-and-etw-for-so-much-more/?utm_content=101639822&utm_medium=social&utm_source=twitter&hss_channel=tw-2715666338
https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-admin/threat-prevention/use-dns-queries-to-identify-infected-hosts-on-the-network/dns-sinkholing.html
https://www.ixiacom.com/resources/threat-hunting-101
https://www.crowdstrike.com/epp-101/threat-hunting/
https://security.stackexchange.com/questions/159560/how-does-malware-use-unregistered-domains
https://www.securonix.com/resources/under-the-hood-effective-threat-hunting-for-the-soc-analyst/
https://www.cybereason.com/blog/how-to-generate-a-hypothesis-for-a-threat-hunt-techniques
https://www.betaalvereniging.nl/wp-content/uploads/TaHiTI-Threat-Hunting-Methodology-whitepaper.pdf
https://www.exploit-db.com/docs/english/47018-threat-hunting---hunter-or-huntedauthor.pdf
https://eqllib.readthedocs.io/en/latest/analytics/f90dd84d-6aa1-4ffd-8f0e-933f51c20fbe.html
https://app.any.run/tasks/de581e48-0233-4111-b4fd-4bb5a0f4d567/
https://attack.mitre.org/techniques/T1088/
https://www.efficientip.com/web-proxy-not-enough/
https://redcanary.com/blog/testing-initial-access-with-generate-macro-in-atomic-red-team/?utm_content=101966885&utm_medium=social&utm_source=twitter&hss_channel=tw-2349092263
https://www.binarydefense.com/using-sysmon-and-etw-for-so-much-more/?utm_content=101639822&utm_medium=social&utm_source=twitter&hss_channel=tw-2715666338
https://docs.paloaltonetworks.com/pan-os/8-1/pan-os-admin/threat-prevention/use-dns-queries-to-identify-infected-hosts-on-the-network/dns-sinkholing.html
https://www.ixiacom.com/resources/threat-hunting-101
https://www.crowdstrike.com/epp-101/threat-hunting/
https://security.stackexchange.com/questions/159560/how-does-malware-use-unregistered-domains
https://www.securonix.com/resources/under-the-hood-effective-threat-hunting-for-the-soc-analyst/
https://www.cybereason.com/blog/how-to-generate-a-hypothesis-for-a-threat-hunt-techniques
https://www.betaalvereniging.nl/wp-content/uploads/TaHiTI-Threat-Hunting-Methodology-whitepaper.pdf
https://www.exploit-db.com/docs/english/47018-threat-hunting---hunter-or-huntedauthor.pdf
Hiç yorum yok :
Yorum Gönder