Bilgi güvenliği birden fazla alt dalın ve alanın olduğu çok faktörlü bir alan olarak sürekli güncellenen bir bölüm. Siber güvenlik adı altında “Penetration Test” “Red Team Simulation” “Cyber Thread Intelligence” gibi özellikle sahada aktif bir şekilde rol oynayan bu alanlar aynı zamanda sürekli olarak güncellenen ve yeni etki faktörleri çıkaran alanlar olarak karşımıza çıkıyor. Bu yazıda IOC, IAO ve Acı piramidi konularına değineceğiz.

Indicators of Compromise (IoC): Örnekleri, Yaşam Döngüsü ve Güvenliğe Etkisi

Türkçeye “Güvenlik İhlali Göstergeleri (Indicator of Compromise)” olarak çevirebileceğimiz IOC kavramı; bir kuruluşun ağını veya uç noktasını ihlal etmiş olabileceğine dair bir kanıttır. Özellikle APT grupları veya ransomware saldırıları sonucunda ortaya çıkan IOC kavramı; bir kurumu hedef almış kötü amaçlı yazılımların, ağ hareketlerinin veya yetkisiz erişimlerin çıktı sonucu olarak ifade edebiliriz. Bu veriler yalnızca olası bir tehdidi belirtmekle kalmaz, kötü amaçlı yazılım, sızdırılmış bilgiler veya veri sızdırma gibi bir saldırının zaten gerçekleştiğini de işaret eder. Gerçekleştirilen başarılı bir saldırı sonucunda SOC Analistleri; olay günlüklerinde, XDR yazılımlarında ve SIEM yazılımlarında kurumu hedef almış ve zarar vermiş olan IOC’leri arar. Bir saldırı sırasında ekip, tehdidi ortadan kaldırmak ve hasarı azaltmak için IOC’leri kullanır. Kurtarmadan sonra IOC’ler, bir kuruluşun ne olduğunu daha iyi anlamasına yardımcı olur, böylece kuruluşun güvenlik ekibi güvenliği güçlendirebilir ve benzer bir olayın riskini azaltabilir.

Ancak buradan şu anlaşılmamalıdır; IOC kavramı sadece bir veri ihlali veya saldırı sonucunda tespit edilen bir değer değildir. Siber güvenliğin savunma tarafı mevcut ransomware’ler hakkında bilgi toplayarak sistemlerini gelecek olan saldırılardan korumaya çalışırlar. Bunun için de “Tehdit İstihbaratını” kullanarak mevcut XDR veya SIEM yazılımlarına ilgili değerleri girerler.

Örnek vermek gerekirse yukarıdaki değerler “ShadowRansom” APT grubuna ait saldırılarda kullandıkları dosya adı ve hash değerleri. Kurum içerisinde çalışan bir analist yukarıdaki değerleri kurum içerisinde bulunan SIEM yazılımına girerek ağ üzerinde bu değerlere ait herhangi bir veri gördüğü zaman sistemin alert vermesine ve dosyaların geçişine/çalıştırılmasına izin vermemektedir. Bu IOC kavramları sayesinde kurum/kuruluşlar sürekli olarak güncel IOC değerleri ile sistemlerini koruma altına almaktadırlar.

IOC kavramı sadece dosya hash bilgileri veya isimleri ile sınırlı kalmayıp aşağıdaki gibi örnekleri çoğaltılabilir. Bu örnek “SilverFish” grubuna ait tespit edilmiş “Indicators of Compromise (IOC)” değerlerini göstermektedir.

SilverFish grubuna ait zararlı yazılımların kontrol edildiği ve kurbanların sistemleri, verileri hakkında hackerların kullandığı “Komuta Kontrol (Command & Control)” sunucularının IP bilgileri;

Kullanılan zararlı yazılımların hash bilgileri;

C2 sunucularının kullandığı proxy adresleri;

TDS (Traffic Distribution Systems) IP listesi

Post Exploitation Server IP adresleri

External tarafında kullanılan dosya bilgileri

gibi bilgiler ile “IOC Samples” diye adlandırılan bilgiler kullanılarak APT gruplarının kullandığı TTP’ler (Taktik Teknik Prosadür — Tactics, Techniques, and Procedures) bilgileri elde ederek kurum içersindeki anormal hareketler tespit edilebilir ve engellenebilmektedir.

TTP konusu ise kısaca şu şekilde bahsedilebilir[2];

Farklı Kavramlar Benzer Amaçlar: IOC ve IOA

Saldırı göstergeleri (Indicator of Attack — IOA) olarak çevirebileceğimiz IOA; saldırıda kullanılan kötü amaçlı yazılım veya istismardan bağımsız olarak, saldırganın başarmaya çalıştığı şeyin amacını tespit etmeye odaklanan bir kavram olarak ortaya çıkmıştır. Tıpkı AV imzaları gibi, IOC tabanlı bir tespit yaklaşımı da kötü amaçlı yazılım içermeyen izinsiz girişlerden ve 0-day exploit’lerden kaynaklanan artan tehditleri tespit edemez. Bunun sonucunda yardımımıza IOA’lar yetişmektedir.

IOA; gerçekleştirilen saldırıların hangi amaçla yapıldığının tespit edilmesi amaçlanmaktadır. IOA, bir rakibin başarılı olmak için gerçekleştirmesi gereken bir dizi eylemi temsil eder. Örnek olması açısından aşağıdaki örneği verebiliriz;

Başarılı bir şekilde gerçekleştirilen Phishing saldırısı sonrasında saldırgan, sessizce başka bir işlemi yürütecek, bellekte veya diskte saklanacak ve sistem yeniden başlatıldığında kalıcılığı koruyacaktır. Bir sonraki adım, bir komuta kontrol sunucusu ile temasa geçerek görevlilerine daha fazla talimat beklediğini bildirmektir.

IOA’lar bu adımların uygulanması, düşmanın niyeti ve elde etmeye çalıştığı sonuçlarla ilgilenir. IOA’lar hedeflerine ulaşmak için kullandığı spesifik notalara odaklanmamaktadır.

IOC ve IOA kavramının arasındaki farkı şöyle özetleyebiliriz;

IOC’ler, IOA kavramına benzer, ancak biraz farklıdırlar. IoA’lar bir eylemin veya olayın tehdit oluşturma olasılığına odaklanır.

Örneğin, bir IOA, tehdit grubunun hedef web sitesine DDOS saldırısı başlatma olasılığının yüksek olduğunu gösterir. Bu durumda, bir IOC birinin sisteme veya ağa erişim sağladığını ve büyük miktarda veri aktardığını gösterebilir.

Güvenlik ekipleri saldırgan davranışını belirlemek için sıklıkla hem IoA’ları hem de IoC’leri kullanır. Başka bir örnek olarak, bir IoC alışılmadık derecede yüksek ağ trafiğini belirlerken, IoA yüksek ağ trafiğinin yaklaşan bir DDoS saldırısını gösterebileceği tahminidir. Her iki gösterge de ağlardaki ve sistemlerdeki olası tehditler ve güvenlik açıkları hakkında önemli adımlar sağlamaya yardımcı olur.

Bir Pramit Meselesi: Pyramid of Pain

Günümüzde kuruluşlar her zamankinden daha fazla siber tehditle karşı karşıyadır ve her zamankinden daha büyük saldırı yüzeylerine sahiptir. Bu zorluklar göz önüne alındığında şirketlerin bir adım önde olması ve tehditleri nasıl önleyecekleri, tespit edecekleri ve azaltacakları konusunda akıllı kararlar almaları gerekiyor.

Bu nedenle güvenlik uzmanları, işletmelerin siber güvenlik yeteneklerini güçlendirmelerine yardımcı olmak için Acı Piramidi gibi kavramsal modeller geliştirdiler. Bu noktada, bahse konu izlerin (IOC (Incident of Compromise) ne şekilde sınıflandırılabileceği ve önem dereceleri 2013 yılında David J Bianco tarafından oldukça güzel sınıflandırılmış. Yazının tamamına bu linkten erişebilirsiniz;

Gösterge Türleri

Piramidi oluşturan gösterge türlerini basitçe tanımlayarak başlayalım:

1. Hash Değerleri (Hash Values): Belirli şüpheli veya kötü amaçlı dosyalara karşılık gelen SHA1, MD5 veya diğer hash değerlerini temsil eder. Genellikle belirli kötü amaçlı yazılım örneklerine veya izinsiz girişte yer alan dosyalara benzersiz referanslar sağlamak için kullanılır.

   
   

2. IP Adresleri (IP Addresses) : Kötü kullanımı amaçlayan IP adreslerinin listelendiği yerdir. Yukarıda belirttiğimiz IP adresleri bu noktada devreye girmektedir.

   
   

3. Alan Adları (Domain Names): Bu, bir alan adının kendisi (örneğin, “evil.net”) veya hatta bir alt veya alt alt alan adı (örneğin, “this.is.sooooo.evil.net”) olabilir.

   
   

4. Ağ Yapıları (Network/Host Artifacts): Ağınızdaki düşman etkinliklerinin neden olduğu gözlemlenebilir öğeler. Teknik açıdan konuşursak, düşmanın etkileşimi sonucu ağınız üzerinden akan her bayt bir yapıt olabilir, ancak pratikte bu, kötü niyetli etkinlikleri meşru kullanıcıların etkinliklerinden ayırma eğiliminde olabilecek etkinlik parçaları anlamına gelir. Tipik örnekler URI kalıpları, ağ protokollerine gömülü C2 bilgileri vb. olabilir.

   
   

5. Ana Bilgisayar Yapıları(Host Artifacts) : Bir veya daha fazla ana makinenizdeki düşmanca faaliyetlerin neden olduğu gözlemlenebilir öğeleri temsil eder. Kötü niyetli aktivilerin normal aktivitelerden (false positive durumu) olanlardan ayırma eğiliminde olan şeylere odaklanıyoruz. Bunlar, belirli kötü amaçlı yazılım parçaları tarafından oluşturulduğu bilinen kayıt defteri anahtarları değerleri (Regedit Keys Value) veya, belirli yerlere bırakılan dosyalar, dizinler, belirli adlar veya kötü amaçlı yazılımlar vs. gibi sistem üzerinde normal dosyalardan ayırt edici farklı olan hemen hemen her şey olabilir.

   
   

6. Araçlar (Tools): Saldırganların görevini gerçekleştirmek için kullandığı yazılımlara denir. Çoğunlukla bunlar, saldırganın amacına hizmet eden yazılımlardır. Erişim sonrası kötü amaçlı dosyalar/dizinler oluşturmak üzere tasarlanmış yardımcı programlar, C2 oluşturmak için kullanılan arka kapıları veya sistemi ele geçirme sonrasında kullanmak isteyebilecekleri diğer ana bilgisayar tabanlı yardımcı programları içerir.

   
   

7. Taktikler, Teknikler ve Prosedürler (TTP’ler) : Son olarak zirvede TTP’ler var. Bu düzeyde tespit edip yanıt verdiğinizde, onların araçlarına karşı değil , doğrudan düşman davranışlarına karşı faaliyet gösteriyorsunuz. Örneğin sistem üzerinde gerçekleştirilen “Pass the Hash” saldırıları veya saldırganlar tarafından yeni eklenen bir kullanıcı hesabının yetkili bir domain grubuna geçirilmesi bu duruma örnek gösterilebilir. Düşmanın, keşiften veri sızdırmaya kadar ve aradaki her adımda işlemlerini yerine getirdiği kısımdır. Piramidin alt katmanlarından üst katmanlarına doğru çıkıldıkça saldırı vektörlerinin sistemde bıraktığı izleri tespit etmek de zorlaşmaktadır.

Sonuç Olarak;

Saldırı tarafında her ne kadar çok fazla seçenek bulunsa da işin savunma tarafı da kendi hatlarını genişletiyor. Bunun sonucunda ortaya “Siber Tehdit İstihbaratı” kavramı adı altında birden fazla alt dal çıkıyor. Kurum ve kuruluşların sahip olduğu siber güvenlik alanları/departmanları; bu alanı birden fazla disiplinin bir arada çalıştığı bir ekosistem gibi düşünerek bu noktada doğru kararlar ile ilerlemenin kurumun güvenliği için fayda sağlayacaktır.

Referanslar;

• https://github.com/prodaft/malware-ioc/tree/master

• https://www.kaspersky.com.tr/resource-center/definitions/threat-intelligence

• https://www.cloudflare.com/learning/security/what-are-indicators-of-compromise/

• https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html