BiznetBiznet

By Biznet Bilişim A.Ş.

OilRig [Mart 2019]

Referanslar:
https://misterch0c.blogspot.com/2019/04/apt34-oilrig-leak.html?spref=tw
https://www.nyotron.com/wp-content/uploads/2018/03/Nyotron-OilRig-Malware-Report-March-2018C.pdf

Uyarı:
Alınacak tüm aksiyonlar ve kısıtlamalar kurum özelinde dikkatle uygulanmalı ve olası etkileri için ön inceleme yapılmalıdır.

Not:
Bu yazı mevcut analizler referans alınarak alınabilecek öncelikli aksiyonları Türkçe olarak paylaşmak amacıya hazırlanmıştır.

OilRig farklı yöntemlerle aktivitelerini sürdürüyor. Geçmiş yöntemlerinden farklı olarak yeni veri kaçırma yöntemleri geliştirildiği görülmektedir. Aşağıda güncel saldırı izi, TTPs, IOCs ve ilk yapılabilecekler sunulmuştur.


Güncel saldırı izi hakkında ana akış aşağıdaki gibidir.
Adım 1: İç ağlara erişimi yetkisi olan üçüncü partiler üzerinden yerel ağa erişim
Adım 2: RAT(Remote Access Trojan) ve Kalıcılık
Adım 3: Yetki Yükseltme (Mimikatz ve EternalBlue)
Adım 4: Yerel bilgi toplama, zafiyet ve servis arama
Adım 5: Letaral hareket, elde edilen hesaplarla yeni hostları ele geçirme
Adım 6: Kritik sunucu ve istemcilerden bilgi kaçırma
Kullanılan dağıtım noktaları
Dropbox
Degoo
Files fm
File ac
Özel liste için IOC listesi incelenmelidir.
İlgili sunucularda;

Öncelikle IoC listesi incelenerek zararlı aktive izi sürülmelidir. Ek olarak;


1-Geçmişe yönelik aşağıdaki domain’e erişimler kontrol edilmelidir.
IOC listesi aşağıda dikkatinize sunulmuştur.

2- PowerShell devre dışı bırakılabilir.
IOC listesinde yer alan PS ve path/folder’lar kontrol edilmelidir.

3- VB scipts devre dışı bırakılabilir.

4- IOC’de verilen liste, path ve uygulamalar kontrol edilmelidir.

5- Powershell zararlısı YARA Kuralı
https://github.com/Neo23x0/signature-base/blob/master/yara/apt_oilrig.yar#L247
Ticari AV’lerin imzası gün içerisinde eklenmeye başlamıştır. AV’ler güncellenmelidir.

6- Scheduled task’lar kontrol edilmeli

7- Sunucular üzinde InternetExplorer kaldırılabilir, WMI kullanımında kısıtlamaya gidilebilir.

8- Webshell kontrol
İlgili listeye ek olarak anormal istek gerçekleştirilen tüm aspx dosyaları kontrol edilmelidir.

Extented IoC List
Ekte/Aşağıda dikkatinize sunulmuştur.


By Murat Aydemir

NMAP Kullanılarak EKS/SCADA Sistemlerinde Aktif Tarama/Bilgi Toplama

Endüstriyel Kontrol Sistemleri(EKS) ve Supervisory Control and Data Acquisition (SCADA) sistemleri, elektrik iletim/üretim ve dağıtım işletmelerinde, enerji ve nükleer santrallerde, kimyasal fabrikalarda, rafinerilerde, su ve arıtma işletmelerinde ve daha büyük endüstriyel komplekslerde bulunan kritik altyapıların bir parçasıdır. Endüstriyel işletmelerin artan verimlilik talepleri, tüm dünyayı etkisi altına alan dijitalleşme trendi ve belkide en önemlisi; IT-OT yakınsamasının kontrolsüz bir şekilde artması Kritik Altyapılar için yeni atak yüzeyleri oluştururken, izleme (monitoring) teknolojilerinin gelişmesi ve OT bileşenler arasındaki bağlantıyı(connectivity) iyileştirmeyi amaçlayan yeni nesil ağ teknolojileri, EKS ve Kritik Altyapıları “özelleşmiş OT ağı saldırıları” olarak isimlendirilen yeni atak vektörlerinin hedefi haline getirmeye başladı.

EKS güvenliği alanında yapılan çalışmalar incelendiğinde, endüstriyel organizasyonlarda bulunan izole edilmiş şebeke ve yapıların bir parçası olduğu düşünülen OT ağ ve sistemlerinin, İnternet’e doğrudan veya dolaylı bir şekilde bağlı ve uzaktan erişilebilir olduğu görülmektedir. İstatistiki analiz sonuçlarına göre; bu şekilde internete doğrudan erişimi bulunan kritik altyapıların sayısının sürekli olarak arttığı görülmektedir. Siber güvenlik uzmanlarının EKS’ ler üzerine yaptığı analizler; bu alanda kullanılan birçok protokol ve ürünün evrensel güvenlik gerekliliklerini sağlamadığı ve bunun sonucu olarak siber saldırılara karşı savunmasız olduğunu işaret etmektedir.

Nmap; EKS-OT ağların için sızma testleri yapılırken, aktif bilgi toplama(active information gathering) aşamalarında kullanılan open source bir araçlardan bir tanesidir. Nmap bilinenin aksine sadece port taraması yapmakla kalmaz, desteklediği Nmap Script Engine(NSE) paketleriyle birlikte işletim sistemi bilgisi, kullanıcı listeleme(user enumeration), framework ve versiyon bilgisi gibi çok çeşitli özelleşmiş amaçlar içinde kullanılabilmektedir.

Biznet Bilişim EKS ekibi olarak yaptığımız saha çalışmalarında, “geleneksel IT güvenlik araçlarının OT ortamlarında nasıl kullanılabileceği” sıkça karşılaştığımız sorulardan bir tanesiydi. Bu sebepten dolayı “NMAP Kullanılarak EKS/SCADA Sistemlerinde Aktif Tarama/Bilgi Toplama” isimli bu yazıyı kaleme aldık

By Can Demirel

Biznet Bilişim EKS Siber Güvenlik Konferansı 1 Kasım 2018, Ankara Bilkent Otel

Biznet Bilişim tarafından Türkiye’de ilk defa düzenelenecek olan Endüstriyel Kontrol Sistemleri Siber Güvenlik Konferansı için kayıtlar başladı! 1 Kasım’da Ankara Bilkent Otel’de gerçekleştirilecek olan konferansta yurt dışı ve yurt içinden alanında uzman konuşmacı ve panelistler yer alıyor.

Konferansa ilişkin tüm detaylar ve kayıt için web sayfamızı ziyaret edebilirsiniz.

 

By Can Demirel

Geovap Reliance SCADA Cross Site Scripting (XSS) Güvenlik Açığı

CVE: CVE-2017-16721

CVSS: 6.1 CVSS:3.0 (AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)

Risk: Yüksek

Ürün: Geovap RELIANCE SCADA

Etkilenen Sürümler: 4.7.3 ve öncesi

Yama Tarihi: 30 Kasım 2017

Raporlayan: Can Demirel

Problem Detayları: Reliance SCADA uygulaması kritik altyapıların izlenmesi ve yönetilmesinde kullanılmaktadır.  Reliance uygulaması üzerinde Cross Site Scripting (XSS) problemi tespit edilmiştir. XSS problemleri uygulamaya bağlanan kullanıcılara ait oturum bilgilerini çalmak, phising saldırıları gerçekleştirmek gibi amaçlar ile kötüye kullanılabilirler.

Çözüm/Öneri: Belirtilen problemler 4.7.3 Update 3 güncellemesi ile giderilmiştir.

Referanslar: https://ics-cert.us-cert.gov/advisories/ICSA-17-334-02

By Biznet Bilişim A.Ş.

BizBize Güvenlik Toplantıları – Endüstriyel Kontrol Sistemlerinde Bilgi Güvenliği – 16 Kasım 2017 İstanbul

16 Kasım 2017

Hilton İstanbul Kozyatağı

Endüstriyel Kontrol Sistemleri, enerji ve doğalgaz altyapıları, su şebekeleri, sağlık sistemleri, ulaşım kontrol sistemleri, savunma sanayi altyapıları, nükleer tesisler ve üretim tesisleri gibi kritik altypıların hepsinde kullanılmakta ve “güvenlik” kavramı bu sistemlerin tasarım ve işletiminde göz önünde bulundurulması gereken önemli bir kavram olarak karşımıza çıkmaktadır.

Biznet Bilişim ve SecurityMatters olarak sizi, Endüstriyel Kontrol Sistemleri Güvenliği hakkında bilgi paylaşımında bulanacağımız Bizbize Güvenlik etkinliğimize davet ediyoruz.

Kayıt ve Detaylar için lütfen tıklayın.

1 2 3