BiznetBiznet

By Biznet Bilişim A.Ş.

OilRig [Mart 2019]

Referanslar:
https://misterch0c.blogspot.com/2019/04/apt34-oilrig-leak.html?spref=tw
https://www.nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018C.pdf

Uyarı:
Alınacak tüm aksiyonlar ve kısıtlamalar kurum özelinde dikkatle uygulanmalı ve olası etkileri için ön inceleme yapılmalıdır.

Not:
Bu yazı mevcut analizler referans alınarak alınabilecek öncelikli aksiyonları Türkçe olarak paylaşmak amacıya hazırlanmıştır.

OilRig farklı yöntemlerle aktivitelerini sürdürüyor. Geçmiş yöntemlerinden farklı olarak yeni veri kaçırma yöntemleri geliştirildiği görülmektedir. Aşağıda güncel saldırı izi, TTPs, IOCs ve ilk yapılabilecekler sunulmuştur.


Güncel saldırı izi hakkında ana akış aşağıdaki gibidir.
Adım 1: İç ağlara erişimi yetkisi olan üçüncü partiler üzerinden yerel ağa erişim
Adım 2: RAT(Remote Access Trojan) ve Kalıcılık
Adım 3: Yetki Yükseltme (Mimikatz ve EternalBlue)
Adım 4: Yerel bilgi toplama, zafiyet ve servis arama
Adım 5: Letaral hareket, elde edilen hesaplarla yeni hostları ele geçirme
Adım 6: Kritik sunucu ve istemcilerden bilgi kaçırma
Kullanılan dağıtım noktaları
Dropbox
Degoo
Files fm
File ac
Özel liste için IOC listesi incelenmelidir.
İlgili sunucularda;

Öncelikle IoC listesi incelenerek zararlı aktive izi sürülmelidir. Ek olarak;


1-Geçmişe yönelik aşağıdaki domain’e erişimler kontrol edilmelidir.
IOC listesi aşağıda dikkatinize sunulmuştur.

2- PowerShell devre dışı bırakılabilir.
IOC listesinde yer alan PS ve path/folder’lar kontrol edilmelidir.

3- VB scipts devre dışı bırakılabilir.

4- IOC’de verilen liste, path ve uygulamalar kontrol edilmelidir.

5- Powershell zararlısı YARA Kuralı
https://github.com/Neo23x0/signature-base/blob/master/yara/apt_oilrig.yar#L247
Ticari AV’lerin imzası gün içerisinde eklenmeye başlamıştır. AV’ler güncellenmelidir.

6- Scheduled task’lar kontrol edilmeli

7- Sunucular üzinde InternetExplorer kaldırılabilir, WMI kullanımında kısıtlamaya gidilebilir.

8- Webshell kontrol
İlgili listeye ek olarak anormal istek gerçekleştirilen tüm aspx dosyaları kontrol edilmelidir.

Extented IoC List
Ekte/Aşağıda dikkatinize sunulmuştur.


By Seda Özden

Enerji Altyapıları İçin ISO 27019:2013 Standardı

Bilgi Güvenliği sektörü içerisinde olanlar ISO 27001  Bilgi Güvenliği Yönetim Sistemi standardına aşinalardır. ISO 27001 standardı ISO 27000 ailesinin kurumlar için belgenebilir nitelikte olan standardıdır. ISO 27001 standardı 2013 yılında bir önceki sürümü olan 2005 sürümünden revize edilerek güncellenmişti.  ISO 27019:2013 standardının ISO 27000 Bilgi Güvenliği Standard ailesinin bir parçası olarak ISO 27002- Code of practice for information security management- standardını referans alınarak oluşturulmuş bir standard olarak yayımlandığını görüyoruz. ISO 27002 standardı en iyi uygulama örneklerini içeren referans niteliğinde bir standarttır. ISO 27019:2013 standardının ISO 27001:2005 EK-A’sından oluşturulan ISO 27002:2005 standardı temel alınarak oluşturulduğunu söylemek yanlış olmayacaktır.
ISO 27019:2013 standardı bilgi güvenliği gereksinimlerinin enerji altyapıları başta olmak üzere kontrol sistemleri/otomasyon altyapıları uygulanabilir hale getirilmesini amaçlamaktadır. Bu alt yapılara örnek olarak elektrik üretimi, dağımı ve iletimi, doğalgaz iletimi işlemlerini gerçekleştirilen endüstriyel kontrol sistemleri verilebilir. Bu altyapılara ilişkin bilgi güvenliği ihtiyaçları geleneksel Bilgi Teknolojileri altyapılarından farklılık gösterebilmektedir.
ISO 27002:2005 standardı 11 ana başlık ve 133 kontrolden oluşuyordu. ISO 27019:2013 standardı ile aşağıdaki 31 alt madde için enerji altyapılarına özel yeni açıklamalar eklenmiştir.

ISO 27002:2005/
ISO 27019:2013
Açıklama ISO 27002:2013
Madde 6.1.6  Otoritelerle iletişim A.6.1.3
Madde 6.1.7  Özel ilgi grupları ile iletişim A.6.1.4
Madde 6.2.1  Dış taraflarla ilgili riskleri tanımlama N/A
Madde 6.2.2  Müşterilerle ilgilenirken güvenliği ifade etme N/A
Madde 6.2.3  Üçüncü taraf anlaşmalarında güvenliği ifade etme A.15.1.2
Madde 7.1.1  Varlıkların envanteri A.8.1.1
Madde 7.1.2  Varlıkların sahipliği A.8.1.2
Madde 7.2.1  Sınıflandırma kılavuzu A.8.2.1
Madde 8.1.1  Roller ve sorumluluklar A.6.1.1
Madde 8.1.2  Tarama A.7.1.1
Madde 8.1.3  İstihdam koşulları A.7.1.2
Madde 9.1.1  Fiziksel güvenlik çevresi A.11.1.1
Madde 9.1.2  Fiziksel giriş kontrolleri A.11.1.2
Madde 9.2.1  Teçhizat yerleştirme ve koruma A.11.4.1
Madde 9.2.2  Destek hizmetleri A.11.2.1 & A.11.5.2
Madde 9.2.3  Kablolama güvenliği A.11.2.2
Madde 10.1.1  Dokümante edilmiş işletim prosedürleri A.12.3.1
Madde 10.1.4  Geliştirme,  test ve işletim olanaklarının ayrımı A.12.1.4
Madde 10.4.1  Kötü niyetli koda karşı kontroller A.12.2.1
Madde 10.4.2  Mobil koda karşı kontroller A.12.2.1
Madde 10.10.1  Denetim kaydetme A.12.4.1
Madde 10.10.6  Saat senkronizasyonu A.12.4.4
Madde 11.1.1  Erişim kontrolü politikası A.9.1.1
Madde 11.3.1  Parola kullanımı A.9.3.1
Madde 11.4.5  Ağlarda ayrım A.13.1.3
Madde 11.5.2  Kullanıcı kimlik tanımlama ve doğrulama A.9.2.1
Madde 11.5.5  Oturum zaman aşımı A.9.4.2
Madde 12.1.1  Güvenlik gereksinimleri analizi ve belirtimi A.14.1.1
Madde 12.4.1  Operasyonel yazılımın kontrolü A.12.5.1
Madde 14.1.1  Bilgi güvenliğini iş sürekliliği yönetim prosesine dahil etme A.17.1.2
Madde 15.1.1  Uygulanabilir yasaları tanımlanma A.18.1.1

 

ISO 27019:2013 standardına ISO 27002:2005’e ek yeni maddeler eklendiğini görüyoruz. 4 ana ve 11 alt başlıklarla birlikte 15 yeni maddeye ilişkin liste aşağıdaki gibidir.

ISO 27019:2013 Açıklama
Madde 9.1.7  Kontrol odaları güvenliği (Securing control centers)
Madde 9.1.8  Teçhizat odalarının güvenliği (Securing equipment rooms)
Madde 9.1.9  Uç işletmelerin güvenliği (Securing peripheral sites)
Madde 9.3  Üçüncü taraf lokasyonlarda güvenlik (Security in premises of 3rd parties)
Madde 9.3.1  Tesis bünyesinde bulunmayan teçhizat (Equipment sited on the premises of other energy utility organizations)
Madde 9.3.2  Müşteri lokasyonundaki teçhizat (Equipment sited on customer’s premises)
Madde 9.3.3  Bağlantılı kontrol ve iletişim sistemleri (Interconnected control and communication systems)
Madde 10.6.3  Kontrol sistemi verilerinin güvenliği (Securing process control data communication)
Madde 10.11  Güncel olmayan sistemler (Legacy systems)
Madde 10.11.1  Güncel olmayan sistemlerin iyileştirilmesi (Treatment of legacy systems)
Madde 10.12  Emniyet fonksiyonları (Safety functions)
Madde 10.12.1  Emniyet fonksiyonlarının erişebilirliği ve bütünlüğü (Integrity and availability of safety functions)
Madde 11.4.8  Kontrol sistemlerinin mantıksal harici bağlantıları (Logical coupling of external process control systems)
Madde 14.2  Gerekli acil iletişim servisleri (Essential emergency services)
Madde 14.2.1  Acil iletişim (Emergency communication)