BiznetBiznet

By Biznet Bilişim A.Ş.

OilRig [Mart 2019]

Referanslar:
https://misterch0c.blogspot.com/2019/04/apt34-oilrig-leak.html?spref=tw
https://www.nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018C.pdf

Uyarı:
Alınacak tüm aksiyonlar ve kısıtlamalar kurum özelinde dikkatle uygulanmalı ve olası etkileri için ön inceleme yapılmalıdır.

Not:
Bu yazı mevcut analizler referans alınarak alınabilecek öncelikli aksiyonları Türkçe olarak paylaşmak amacıya hazırlanmıştır.

OilRig farklı yöntemlerle aktivitelerini sürdürüyor. Geçmiş yöntemlerinden farklı olarak yeni veri kaçırma yöntemleri geliştirildiği görülmektedir. Aşağıda güncel saldırı izi, TTPs, IOCs ve ilk yapılabilecekler sunulmuştur.


Güncel saldırı izi hakkında ana akış aşağıdaki gibidir.
Adım 1: İç ağlara erişimi yetkisi olan üçüncü partiler üzerinden yerel ağa erişim
Adım 2: RAT(Remote Access Trojan) ve Kalıcılık
Adım 3: Yetki Yükseltme (Mimikatz ve EternalBlue)
Adım 4: Yerel bilgi toplama, zafiyet ve servis arama
Adım 5: Letaral hareket, elde edilen hesaplarla yeni hostları ele geçirme
Adım 6: Kritik sunucu ve istemcilerden bilgi kaçırma
Kullanılan dağıtım noktaları
Dropbox
Degoo
Files fm
File ac
Özel liste için IOC listesi incelenmelidir.
İlgili sunucularda;

Öncelikle IoC listesi incelenerek zararlı aktive izi sürülmelidir. Ek olarak;


1-Geçmişe yönelik aşağıdaki domain’e erişimler kontrol edilmelidir.
IOC listesi aşağıda dikkatinize sunulmuştur.

2- PowerShell devre dışı bırakılabilir.
IOC listesinde yer alan PS ve path/folder’lar kontrol edilmelidir.

3- VB scipts devre dışı bırakılabilir.

4- IOC’de verilen liste, path ve uygulamalar kontrol edilmelidir.

5- Powershell zararlısı YARA Kuralı
https://github.com/Neo23x0/signature-base/blob/master/yara/apt_oilrig.yar#L247
Ticari AV’lerin imzası gün içerisinde eklenmeye başlamıştır. AV’ler güncellenmelidir.

6- Scheduled task’lar kontrol edilmeli

7- Sunucular üzinde InternetExplorer kaldırılabilir, WMI kullanımında kısıtlamaya gidilebilir.

8- Webshell kontrol
İlgili listeye ek olarak anormal istek gerçekleştirilen tüm aspx dosyaları kontrol edilmelidir.

Extented IoC List
Ekte/Aşağıda dikkatinize sunulmuştur.


By Murat Aydemir

NMAP Kullanılarak EKS/SCADA Sistemlerinde Aktif Tarama/Bilgi Toplama

Endüstriyel Kontrol Sistemleri(EKS) ve Supervisory Control and Data Acquisition (SCADA) sistemleri, elektrik iletim/üretim ve dağıtım işletmelerinde, enerji ve nükleer santrallerde, kimyasal fabrikalarda, rafinerilerde, su ve arıtma işletmelerinde ve daha büyük endüstriyel komplekslerde bulunan kritik altyapıların bir parçasıdır. Endüstriyel işletmelerin artan verimlilik talepleri, tüm dünyayı etkisi altına alan dijitalleşme trendi ve belkide en önemlisi; IT-OT yakınsamasının kontrolsüz bir şekilde artması Kritik Altyapılar için yeni atak yüzeyleri oluştururken, izleme (monitoring) teknolojilerinin gelişmesi ve OT bileşenler arasındaki bağlantıyı(connectivity) iyileştirmeyi amaçlayan yeni nesil ağ teknolojileri, EKS ve Kritik Altyapıları “özelleşmiş OT ağı saldırıları” olarak isimlendirilen yeni atak vektörlerinin hedefi haline getirmeye başladı.

EKS güvenliği alanında yapılan çalışmalar incelendiğinde, endüstriyel organizasyonlarda bulunan izole edilmiş şebeke ve yapıların bir parçası olduğu düşünülen OT ağ ve sistemlerinin, İnternet’e doğrudan veya dolaylı bir şekilde bağlı ve uzaktan erişilebilir olduğu görülmektedir. İstatistiki analiz sonuçlarına göre; bu şekilde internete doğrudan erişimi bulunan kritik altyapıların sayısının sürekli olarak arttığı görülmektedir. Siber güvenlik uzmanlarının EKS’ ler üzerine yaptığı analizler; bu alanda kullanılan birçok protokol ve ürünün evrensel güvenlik gerekliliklerini sağlamadığı ve bunun sonucu olarak siber saldırılara karşı savunmasız olduğunu işaret etmektedir.

Nmap; EKS-OT ağların için sızma testleri yapılırken, aktif bilgi toplama(active information gathering) aşamalarında kullanılan open source bir araçlardan bir tanesidir. Nmap bilinenin aksine sadece port taraması yapmakla kalmaz, desteklediği Nmap Script Engine(NSE) paketleriyle birlikte işletim sistemi bilgisi, kullanıcı listeleme(user enumeration), framework ve versiyon bilgisi gibi çok çeşitli özelleşmiş amaçlar içinde kullanılabilmektedir.

Biznet Bilişim EKS ekibi olarak yaptığımız saha çalışmalarında, “geleneksel IT güvenlik araçlarının OT ortamlarında nasıl kullanılabileceği” sıkça karşılaştığımız sorulardan bir tanesiydi. Bu sebepten dolayı “NMAP Kullanılarak EKS/SCADA Sistemlerinde Aktif Tarama/Bilgi Toplama” isimli bu yazıyı kaleme aldık

By İsmail Mert Ay Ak

S4x19 Endüstriyel Kontrol Sistemleri Güvenliği Konferansı İzlenimlerimiz

Biznet Bilişim olarak, her geçen gün endüstriyel kontrol sistemleri (EKS) güvenliği alanında deneyimlerimizi ve uzmanlığımızı geliştirmeye devam ediyor ve endüstriyel kontrol sistemleri güvenliği alanında çalışmalarımızı hız kesmeden sürdürüyoruz.

2018 Kasım ayında özel sektör, kamu ve akademinin buluştuğu kritik altyapılar başta olmak üzere EKS ve SCADA altyapılarına ilişkin siber dayanıklılık konularının gündeme geldiği Türkiye’nin ilk Endüstriyel Kontrol Sistemleri Siber Güvenlik konferansımızı gerçekleştirmemizin ardından, bu konuda uluslararası konjonktürde gelişmeleri takip etmek, niş alanlar üzerinde deneyimler edinmek, ikili işbirlikleri kurarak hizmetlerimizi olgunluk seviyesini arttırmak, konunun uzmanları ile doğrudan temasta bulunarak fikir alışverişi yapmak ve EKS ile ilgili güncel konular üzerinde global yaklaşımları gözlemlemek amacıyla, Miami/Florida’da bu yıl dünyanın en büyük Endüstriyel Kontrol Sistemleri konferansı olan S4 ICS Security Event’e bu yıl ikinci kez katılım sağladık. Ülkemizde EKS güvenliğinin öneminin giderek arttığı bu dönemde, etkinlikte edindiğimiz izlenimleri sizinle paylaşmak istedik.

S4 ICS Security Event, ABD’de her yıl gerçekleştirilen, Endüstriyel Kontrol Sistemleri başta olmak üzere, IoT, IIoT konularının güvenliğine yönelik çalışma yapan siber güvenlik uzmanlarının, altyapı yöneticilerinin, teknik uzmanların buluştuğu en büyük etkinliklerden biri olarak göze çarpıyor. Bu sene, 27 farklı ülkeden 529 katılımcının katıldığı S4x19 14-17 Ocak 2019 tarihleri arasında gerçekleştirildi. Etkinliğin ilk günü, temel OT güvenliği konularının ele alındığı OnRamp Training olarak adlandırılan eğitimle başlamış olup, devam eden 3 gün ise OT güvenliği ile ilgili bir çok farklı konudaki oturumlarla devam etti.

Aynı zamanda etkinlik boyunca gerçek bir EKS ve IIoT simülasyonu üzerinde bir CTF (Capture the Flag) yarışması düzenlendi. Hem firmaların hem de bireysel katılımcıların katıldığı bu yarışmada katılımcılar farklı segmentteki konularda uzmanlıklarını yarıştırdılar. Bu CTF’e ek olarak bir de Detection Challenge  adı verilen ve anomali tespit araçlarının yeteneklerinin ölçüldüğü ayrı bir yarışma daha düzenlendi. Bu yıl geçen seneden farklı olarak sadece iki farklı firma bu yarışmaya katılım gösterdi.

Konferans dahilinde gerçekleştirilen S4 Welcome Party, The Cabana Seasons ve Farewell Craft Beer Bash etkinlikleri EKS alanında çalışan siber güvenlik uzmanlarının, altyapı yöneticilerinin, teknik uzmanlarla birebir görüşmek, bilgi paylaşımlarında bulunmak ve deneyimleri dinlemek açısından sosyal bir iletişim platformu sağlamada çok yararlı oldu.

Konferans üç farklı sahnede gerçekleştirildi; bu sahneler;

  • Main Stage, etkinliğin asıl oturumlarının, panellerinin yapıldığı sahne,
  • Sponsor Stage, etkinlik sponsorlarının bu alanda yaptıkları çalışmaları ve geliştirdikleri ürünleri anlattıkları sahne,
  • Stage 2, Technical Deep Dive olarak adlandırılan, konuya derinlemesine bir bakış açısı ile hazırlanmış sunumların ve demoların gerçekleştirildiği sahneler olarak açıklanabilir.

Konferans konularını bir başlık altında değerlendirirsek aşağıdaki başlıkları sayabiliriz;

  • EKS Olay Müdahale ve Tespit
  • OT Atakları ve Atak Yöntemleri
  • EKS Zafiyet ve Risk Yönetimi
  • Güvenli EKS Ağ Tasarımları ve Mimarileri
  • EKS Güvenlik Stratejileri
  • OT-SoC
  • IoT-IIoT Güvenliği
  • OT Protokolleri ve Güvenliği
  • Endüstri 4.0 Güvenlik Yaklaşımları

Yukarıdaki konular üzerinde yapılan sunumlar ve bu alanlar üzerinde çalışmalar yapan uzmanlarla bir araya gelerek bilgi birikimlerinden faydalanmak, Biznet Bilişim olarak EKS Güvenlik hizmetlerimizin geliştirilmesinde ve uluslararası boyutta yürütmekte olduğumuz çalışmaları ivmelendirmek açısından pozitif etkiler yarattı.

Konferansta gerçekleştirilen sunumlardan dikkat çeken birkaç başlığa da değinmek istedik.

  • Is The Purdue Model Dead? And What’s Next?

Güvenli EKS/SCADA ağ mimarisi olarak değerlendirilen Purdue Model üzerine yapılan bu oturum, teknolojinin gelişimi, etkileşimli OT ağlarının (Cloud, IIoT, Secure Remote Access, vb.)  gün geçtikçe artması ve üretici bazlı oluşturulan mimariler ile Purdue Model’in artık -best practice- olamayacağı konusunda bir tartışma olarak gerçekleştirildi. Bu konuda iki farklı görüşün çıkarımlarını dinlemek OT güvenlik mimarilerine yeni bir bakış açısı kazanmamıza olanak sağladı.

  • MITRE’s ICS ATT&CK (Adversary Tactics and Techniques)

MITRE’nin geliştirdiği ATT&CK, siber olay modellemesi, olay müdahale ve tespiti prosedürlerinin geliştirilmesi konusunda IT yapıları için geliştirilmiş TTP(Tactics, Techniques&Procedures) tabanlı risk modelleme platformudur. S4’de katıldığımız bu oturumda IT yapıları için hazırlanan ATT&CK modelinin EKS yapılarına uyarlanması konusunda yapılan çalışmayı dinlemek ve bu platformun EKS yapılarına uyarlanması konusunda edinilen bilgileri kendi hizmetlerimizin zenginleştirilmesi ve ATT&CK bakış açısını EKS yapıları için kazanılması konusunda fikirler edinmiş olduk.

  • A New CVSS for ICS

Bu sunumda ise uzun zamandır üzerinde çalıştığımız yeni bir risk değerlendirme yaklaşımının ele alındığı hali hazırda kullanılan CVSSv2 ve CVSSv3 standartlarının EKS zafiyetleri için yeterli olmadığı konusuna değinildi. EKS zafiyetlerinin geleneksel IT güvenliği temeli olan CIA üçlüsü dışında safety temelli ve riskin yaratabileceği etki çerçevesinde şekillendirilmesi gerektiği görüşleri değerlendirildi. Bu anlamda vermiş olduğumuz kritik altyapı güvenlik denetimlerinde risk değerlendirmesinde bu bakış açısından bakılarak, risklerin derecelendirmesinin daha faydalı olacağı görüşünü değerlendirmiş olduk.

Ayrıca, zafiyet araştırmaları konusunda yapılan teknik sunumlarda ve EKS güvenlik uzmanları ile yaptığımız birebir görüşmelerde, çeşitli testbed (Test Yatağı) örnekleri ve sürecin nasıl işletilmesi gerektiğine yönelik deneyimleri dinlemek, ülkemizde de bu alanda nasıl çalışmalar yapabileceğimiz ve nasıl bir süreç ile sürdürebileceğimiz konusunda çok yararlı oldu.

OT güvenlik çözümleri, anomali tespit ürünler konularında üreticilerle gerçekleştirdiğimiz görüşmeler ve izlediğimiz üretici sunumları sayesinde, birçok ürünün karşılaştırmasını, sağladığı avantajları değerlendirmemiz ve bu açıdan hizmetlerimizin geliştirilmesi konusunda kurabileceğimiz uluslararası iş birliklerini değerlendirme fırsatı bulduk.

S4x19’da yapılan CTF esnasında gerçekleştirilen ICS Detection Challenge’da ise anomali tespit ürünleri CTF ortamındaki tespitleri değerlendirildi. CTF ortamı üzerinde oluşturulan 300 GB’dan fazla trafik yakalanarak pcap haline getirilerek bu pcap’ler üzerinde yapılan anomali tespitinde, yarışan ürünlerin %100 oranında ağ görünürlüğünü nasıl sağladığı, tespit edebildikleri anormallikler ve verileri nasıl analiz ettiklerine yönelik bir sunum daha gerçekleştirildi. Bu sunumda da, anomali tespiti ürünleri değerlendirmek açısından faydalı çıkarımlar yapmamıza etki etti.

By Murat Aydemir

Endüstriyel Kontrol Sistemleri için Purdue Katmanlı Güvenlik Mimarisi

Endüstriyel Kontrol Sistemleri (EKS), teknolojinin gelişmesi ve bu teknolojilerin endüstriyel ortamlarda kullanılmasıyla beraber her geçen gün daha yetenekli sistemler haline gelmektedir. Bu gelişimin önemli sebeplerinden birisinin geleneksel IT teknoloji/metodlarının endüstriyel kontrol sistemlerine uyarlanması olduğunu söylemek yanlış olmayacaktır. Bu durum IT ve OT teknolojilerinin yakınsamasının bir sonucu olarak ortaya çıkmaktadır. Şüphesiz Endüstri 4.0 devrimi, IoT ve IIoT teknolojilerinin yaygınlaşması ve işletmelerin artan verimlilik, kolay erişilebilirlik gibi taleplerinin bir sonucu olarak IT ve OT ortamlarının birbirine yakınsaması kaçınılmaz oldu. Ancak IT-OT yakınsamasının kontrolsüz şekilde artması kritik altyapılar için yeni saldırı yüzeyleri oluştururken, IoT ve IIoT teknolojilerinin OT ortamlarında aktif olarak kullanılmaya başlanması EKS’ ler için atak vektörü sayısını arttıran diğer bir nokta olmaktadır.

Endüstriyel altyapılarda genellikle birbirleriyle ilişkili ve birbirlerini besleyen çok sayıda farklı süreçten oluşmaktadır; bu sebeple yapıları gereği flat(düz) ağ mimarisinden ziyade çok katmanlı mimarilere sahip topolojilerdir. Her katman, kendisiyle ilişkili başka katmanlarla iletişim halinde olmakla beraber, her katman için uygulanması gereken güvenlik kriterlerinin farklı olması sebebiyle, her katman güvenlik mekanizmaları açısından farklılık gösterebilmektedir. Bu nedenle EKS gibi çok katmanlı topolojiler için derinlemesine güvenlik(defense-in-depth) anlayışı uygulanmalıdır. Bu anlayış; siber saldırılara karşı alınan tüm önlemlerin bir şekilde atlatılacağı fikrini baz alarak geliştirilmiştir.  Derinlemesine güvenlik anlayışı; her katman için, ilgili katmanın gerekliliklerine-özelliklerine ve bulundurduğu varklıklara göre önlem alınıp, saldırganın başarı oranını düşürmeyi hedef almaktadır.

Endüstriyel altyapılarda güncel teknolojilerin kullanılması, bu sistemleri daha becerikli hale getirirken, sistemlerin olası atak yüzeylerini arttırarak siber tehditleri de arttırdığından bahsetmiştik. Bu bağlamda gerek atak yüzeylerinin minimum seviyede tutulması, gerekse – her katman için- kontrol sistemlerin yönetimini daha güvenli hale getirmek için Purdue Üniversitesi (Indiana) tarafından “Purdue Model” katmanlı ağ mimarisi geliştirilmiş ve International Society of Automation ISA tarafından EKS’lere uyarlanmıştır. ISA; mühendislik, teknoloji gibi alanlarda iyileştirmeler yapan, aynı zamanda endüstriyel otomasyon ve kontrol sistemleri için standartları oluşturan bir kurum olup ISA-99 standardıyla beraber EKS’ler için siber güvenlik standardını oluşturmuştur.

1 2 3