Professional Documents
Culture Documents
GÜVENLİK
BÜLTENİ
MAYIS 2020
www.havelsan.com.tr
COVID-19
Döneminde Siber Farkındalık
www.havelsan.com.tr
COVID-19 Döneminde Siber Farkındalık
Siber suçlular, paniğin hüküm sürdüğü ve Internet kullanıcılarının COVID-19 hakkında bilgi
alma ihtiyacı içerisinde olduğu dünya düzeninin masumlara saldırmak için ideal olduğunu
düşünüyor.
Siber Suçlular…
…verilerin gerçek sahiplerine belirli bir ücret karşılığı geri verildiği fidye yazılım saldırıları gibi
saldırılar ile büyük hasarlara yol açan veri hırsızlığı yapmayı amaçlayacaklar.
…çevrim içi sosyal etkileşim teknikleri ve iyi kurgulanmış güvenlik zafiyeti oluşturma senaryoları
ile kullanıcıların giriş kimlik bilgilerini paylaşmalarına ikna edecek ve bu kimlik bilgileri ile
yasadışı birtakım faaliyetlerde bulunacaklar.
…Dünya Sağlık Örgütü gibi önemli kuruluşların web sitelerini taklit ederek kullanıcı bilgileri
hırsızlığı yapacak ve dahası sözde aşı kampanyası gibi süreçlere kripto para ile bağış toplayacak.
…insanlara sevdikleri ve aile bireyleri hakkında bir takım kurgusal mesajlar atacak ve onların
iyi niyetlerini suiistimal ederek kötü emellerine alet edecekler. Bu kurgudaki en etkili silahları
olan yarattıkları korku ve endişe duygusu insanların isteklerini yerine getirmesini sağlayacak.
• Fidye yazılım saldırısına maruz kalınması durumunda saldırganın talep ettiği ücreti
ödemeyiniz. Zira ödediğiniz durumda bile verinizin elinize sağlam bir şekilde geçeceğinin
garantisi yoktur.
www.havelsan.com.tr
COVID-19 Temalı Saldırılar
Kimlik bilgisi toplama veya fidye amaçlı Covid temalı spam / phishing kampanyalarının son
zamanlarda etkinliğini artırdığı görülmektedir. COVID-19 teması, e-posta spam’ı, kötü amaçlı
yazılım ve fidye yazılımı dahil olmak üzere çeşitli kampanyalarda kullanılmaktadır. Saldırı
stratejilerinde mevcut olaylardan bahsetmek, sosyal olarak sıcak konuların veya popüler
kişilikleri tekrar tekrar kullanmak tehdit aktörleri için yeni bir şey değildir. APT grupları da,
ulusal önceliklere uygun toplu kişisel bilgi, fikri mülkiyet ve istihbarat toplamak için bu tarz
saldırıları kullanabilmektedirler.
“Güncellenmiş COVID İzleme Ayrıntıları”, “COVID-19 için Güncellenmiş DSÖ Önerileri” vb.
konular başta olmak üzere kurbanları COVID tabanlı ayrıntılara yönlendiren e-posta’lar
aracılığı ile uzaktan çalışmaya geçiş süreci ve bunun sonucunda ortaya çıkan yeni güvenlik
açıklarını kullanan saldırganların kötü amaçlı yazılım kampanyalarında kullandıkları yazılım
ve tekniklerden bazıları şu şekildedir:
• Lokibot
• Ajan Tesla (MITRE S0331)
• AZORult (MITRE S0344)
• Adwind
• CVE-2017-11882
COVID-19 Cyber Threat Coalition adındaki gönüllü bir grubun güncellediği listede, sağlık
hizmetleri, hükümet ve kurumsal kuruluşlara yönelik saldırılarla ilişkili olduğu veya Coronavirus
“temalı” dolandırıcılık, kimlik avı saldırıları ve kötü amaçlı yazılımlarla ilişkili olduğu bilinen
URL’leri veya alan adlarını içeren iki blok listesi oluşturdu. Coronavirus temalı dolandırıcılık,
kimlik avı saldırıları ve kötü amaçlı yazılım tehditleriyle ilişkili bilinen URL’lerin sayısının şu
an için 13,863 ve bu saldırılarda kullanılan alan adlarının ise 12,258 olduğu görülmüştür. Bu
listelere birinci ve ikinci referans aracılığı ile ulaşılabilmektedir.
Etki Alanı
APT aktörleri, hem ulusal hem de uluslararası COVID-19 yanıtlarında yer alan kuruluşları
aktif olarak hedef almaktadır. Bu kuruluşlar arasında sağlık kurumları, ilaç şirketleri,
akademi, tıbbi araştırma kuruluşları ve yerel yönetimler bulunmaktadır.
Önerilen Güvenlik Önlemleri
Sistemlerinde Anti malware özelliği olan Endpoint Detection and Response (EDR)
vb. gibi son kullanıcının korunması için çeşitli güvenlik sistemlerin kullanılması
önerilmektedir.
Referanslar
https://blocklist.cyberthreatcoalition.org/vetted/url.txt
https://blocklist.cyberthreatcoalition.org/vetted/domain.txt
https://www.bleepingcomputer.com/news/security/cyber-volunteers-release-
blocklists-for-26-000-covid-19-threats/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/covid-19-malware-makes-
hay-during-a-pandemic/
https://labs.sentinelone.com/threat-intel-update-cyber-attacks-leveraging-the-covid-
19-coronavirus-pandemic/
PAN-OS’u Etkileyen
Açıklık
www.havelsan.com.tr
PAN-OS’u Etkileyen Açıklık
Etki Alanı
Ayrıca söz konusu açıklık, Panorama ve yönetilen cihazlar arasındaki iletişim için
özelleştirilmiş sertifika ile kimlik doğrulamasıyla yapılandırılmamış olan Panorama’ları
etkileyebilmektedir.
Açıklığın giderilmesi amacıyla yayımlanan PAN-OS 7.1.26, PAN-OS 8.1.12, PAN-OS 9.0.6
ve sonraki tüm PAN-OS sürümlerine yazılımın güncellenmesi önerilmektedir.
Ayrıca, açıklığın bulunduğu PAN-OS 8.0 versiyonunun 31 Ekim 2019 itibarıyla kullanım
ömrünün sonuna geldiği ve artık Ürün Güvenliği Güvencesi’nin sona erdiğinden
gerekli yükseltmelerin bir an önce yapılması gerekmektedir.
Referanslar
https://security.paloaltonetworks.com/CVE-2020-2018
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-2018
VMware vROps Yazılımında
Bulunan Kritik Açıklıklar
www.havelsan.com.tr
VMware vROps Yazılımında Bulunan Kritik Açıklıklar
Yapılan incelemelerde, bu açıklıkların vROps 7.5 ile sunulan Application Remote Collector
(ARC) özelliğinde kullanılan “Salt” uygulamasında olduğu tespit edilmiştir. Bu açıklıklardan,
kimlik doğrulama bypass’a yol açan açıklığın CVSSv3 derecelendirilmesine göre en yüksek
değerlendirme olan 10 ile derecelendirildiği, directory traversal’a yol açan açıklığın ise 7,5 ile
derecelendirildiği görülmektedir.
Saldırganların, CVE-2020-11651 (Kimlik Doğrulama Bypass) ile ARC üzerindeki 4505 veya 4506
numaralı portlar kullanılarak ARC ve ARC’nin bir ajanının kurulu olduğu sanal makinelerin
kontrolünü ele geçirebilecekleri değerlendirilmektedir. Ayrıca, CVE-2020-11652 (Directory
Traversal) açıklığı ile de saldırganlar, ARC’deki 4505 veya 4506 numaralı portları kullanarak
ARC dosya sisteminin tümüne erişim sağlayabildikleri görülmektedir.
Etki Alanı
Güvenlik açıklarının vROps’da bulunan Application Remote Collector 7.5, 8.0, 8.0.1, 8.1
versiyonlarını kullanan kurumları etkilediği görülmektedir.
Referanslar
https://www.vmware.com/security/advisories/VMSA-2020-0009.html
https://www.securityweek.com/vmware-patch-recent-salt-vulnerabilities-vrops
https://kb.vmware.com/s/article/79031
Citrix Yazılımında Bulunan
Kritik Açıklıklar
www.havelsan.com.tr
Citrix Yazılımında Bulunan Kritik Açıklıklar
ShareFile, içerik iş birliği, dosya paylaşımı ve senkronizasyon için bir sisteme ihtiyaç duyan
işletmelere yönelik bir hizmettir. Veriler şirket içi veya bulut depolama bölgelerinden
edinilebilir ve bir StorageZones Controller aracılığıyla kullanıcıya güvenli bir şekilde aktarılır.
Shodan’da Citrix ShareFile depolama sunucuları için yapılan aramada 2.800’e yakın zafiyet
içeren versiyona sahip sunucu olduğu görülmektedir.
Etki Alanı
ShareFile StorageZones Controller 5.9.0, 5.8.0, 5.7.0, 5.6.0 ve 5.5.0. ana versiyonlarını
kullanan kurumları etkilemektedir.
Referans
https://www.bleepingcomputer.com/news/security/critical-citrix-sharefile-bugs-could-give-
access-to-private-files/
Eleethub Bitcoin
Madenciliği Botnet’i
www.havelsan.com.tr
Eleethub Bitcoin Madenciliği Botnet’i
Zararlı yazılım, kurban cihaza indirilen komut dosyalarını çalıştırdıktan sonra Komuta
ve Kontrol (C2) sunucusundan komut beklemeye başlar. Perl programlama dili, geniş
uyumluluğu nedeniyle kötü amaçlı yazılımlarda popüler olması sebebiyle, bu botnet sadece
Unix tabanlı sistemleri değil, aynı zamanda Linux alt sistemi kullanan Windows 10 sistemlerini
de etkileyebilmektedir.
Saldırganlar, virüslü cihazdaki madencilik işlemlerini gizlemek için “libprocesshider.so” adlı bir
kütüphane ve algılanmayı önlemek için özel hazırlanmış bir rootkit kullanır. Ayrıca Eleethub
botnet’inin, en büyük Internet Relay Chat(IRC) ağlarından biri olan UnderNet ile bağlantılara
sahip olduğu tespit edilmiştir. Madencilik operasyonu bir rootkit ile gizlenmektedir. Yapılan
incelemelerde, zararlı yazılımın, /bin/ps’i hazırlanmış yeni bir sürümle değiştirdiği ayrıca; “xmrig”
ve “emech” adı verilen diğer bitcoin madenciliği yazılımlarının sistemde halihazırda bulunup
bulunmadığını da denetlediği görülmüştür. Rootkit, tüm ilgili dosyaları C2 sunucusundan
hedef sisteme indirip, yüklendikten sonra, kötü amaçlı script’leri çalıştırmakta ve bir IRC
sunucusuna bağlantı isteği yollamaktadır.
IoC:
• eleethub[.]com
• irc.eleethub[.]com
• ghost.eleethub[.]com
• 62.210.119[.]142
• 82.76.255[.]62
• 7ed8fc4ad8014da327278b6afc26a2b4d4c8326a681be2d2b33fb2386eade3c6
• dbef55cc0e62e690f9afedfdbcfebd04c31c1dcc456f89a44acd516e187e8ef6
• d9001aa2d7456db3e77b676f5d265b4300aaef2d34c47399975a4f1a8f0412e4
• 14c351d76c4e1866bca30d65e0538d94df19b0b3927437bda653b7a73bd36358
• 6d1fe6ab3cd04ca5d1ab790339ee2b6577553bc042af3b7587ece0c195267c9b
Etki Alanı
Eleethub zararlı yazılımı sadece Unix tabanlı sistemleri değil, aynı zamanda Linux alt
sistemi kullanan Windows 10 sistemlerini de etkileyebilmektedir.
Önerilen Güvenlik Önlemleri
Sistemlerinde Anti malware özelliği olan Endpoint Detection and Response (EDR)
vb. gibi son kullanıcının korunması için çeşitli güvenlik sistemlerin kullanılması
önerilmektedir.
Referans
https://unit42.paloaltonetworks.com/los-zetas-from-eleethub-botnet/
SAP Yazılımlarında Bulunan
Kritik Açıklıklar
www.havelsan.com.tr
SAP Yazılımlarında Bulunan Kritik Açıklıklar
Çok yüksek olarak değerlendirilen açıklıklardan bir tanesi dışındaki tümü uzaktan
çalıştırılabilen, kullanıcı etkileşimi gerektirmeyen açıklıklar olduğu değerlendirilmektedir.
Tespit edilen kritik açıklıkların en önemlisi CVE-2020-6262 kodlu ve 10 üzerinden 9,9’luk
derecelendirmeye sahip olan Service Data Download’da tespit edilen bir kod enjeksiyon
güvenlik açığıdır. Bu açıklığın SAP Application Server ABAP’ın birden fazla sürümünü etkilediği
görülmektedir.
SAP Business istemcisi ile birlikte gelen Chromium tarayıcısı için de 9,8 derecelendirilmesi ile
bir güvenlik açıklığı tespit edilmiştir.
Bunun yanında, SAP Business Objects Business Intelligence Platform’da ise (CR .Net SDK
WebForm Viewer) CVE-2020-6219 olarak tanımlanan ve 9,1 kritiklik derecesine sahip bir
güvenlik güncelleştirmesi de tespit edilmiştir.
Çok yüksek olarak derecelendirilen kritik açıklıklardan sonuncusu ise, SAP ASE’nin grafik
yönetim aracı Cockpit’te CVE-2020-6252 olarak kodlanan ve bilgi ifşasına sebep olabilecek
9,0 kritiklik derecesine sahip güvenlik açıklığı olduğu görülmektedir.
Etki Alanı
Referans
https://www.bleepingcomputer.com/news/security/sap-may-2020-security-patch-day-
delivers-critical-updates/
Cisco Güvenlik Cihazlarında
Bulunan Kritik Açıklıklar
www.havelsan.com.tr
Cisco Güvenlik Cihazlarında Bulunan Kritik Açıklıklar
ASA ve FTD yazılımlarını kapsayan güvenlik açıklıklarından en yüksek CVSS puanı 9,1 olan hata,
CVE-2020-3187 olarak koduna sahip güvenlik açığıdır. Saldırgan, directory traversal karakter
dizilerini içeren hazırlanmış bir HTTP isteği göndererek, saldırganın sistemdeki dosyaları
görüntülemesine veya silmesine izin vererek bu açıklıktan yararlanabilir.
CVE-2020-3125 kodlu kimlik doğrulama bypass açıklığı, VPN veya yerel aygıt erişimi için
yapılandırılmış Kerberos kimlik doğrulaması aktif olan ASA cihazlarını etkiler.
CVE-2020-3195 kodlu izlenen bellek sızıntısı açıklığı, ASA ve FTD’nin, bir saldırganın etkilenen
bir aygıta özel hazırlanmış bazı Open Shortest Path First (OSPF) paketlerini yanlış işlemesi
nedeniyle ortaya çıkar. Saldırgan daha sonra yeniden başlatılıncaya kadar bir cihazın belleğini
kullanabilir ve hizmet reddi saldırısını tetikleyebilir.
Etki Alanı
Referans
https://tools.cisco.com/security/center/
mpublicationListingDetails.x?docType=CiscoSecurityAdvisory
Kuzey Kore Menşeli
Hidden Cobra
Zararlı Yazılımı
Kamil Olcay ÖZKAYA
SİBER GÜVENLİK MÜHENDİSİ
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
Kuzey Kore Menşeli Hidden Cobra Zararlı Yazılımı
Taintedscribe, güvenliği ihlal edilmiş bir sistemde saldırganın komutlarını çalıştırabilen bir
zararlı yazılımdır. Yapılan incelemelerde, oturum kimlik doğrulaması ve ağ şifrelemesi için
FakeTLS’in Linear Feedback Shift Register algoritmasını kullandığı görülmektedir.
Pebbledash ise, dosyaları indirme, yükleme, silme ve yürütme yeteneğine sahip bir zararlı
yazılımdır. Zararlı yazılımın, Windows CLI erişimini sağladığı, süreçler oluşturduğu ve
sonlandırdığı görülmektedir. Zararlı yazılımın, oturum kimlik doğrulaması için FakeTLS ve ağ
şifrelemesi için RC4 kullandığı değerlendirilmektedir.
IoC:
• D8AF45210BF931BC5B03215ED30FB731E067E91F25EDA02A404BD55169E3E3C3
• 7985AF0A87780D27DC52C4F73C38DE44E5AD477CB78B2E8E89708168FBC4A882
• E98991CDD9DDD30ADF490673C67A4F8241993F26810DA09B52D8748C6160A292
• 4838F85499E3C68415010D4F19E83E2C9E3F2302290138ABE79C380754F97324
• E76B3FD3E906AC23218B1FBD66FD29C3945EE209A29E9462BBC46B07D1645DE2
• 1FAAA939087C3479441D9F9C83A80AC7EC9B929E626CB34A7417BE9FF0316FF7
• 3FF4EBAE6C255D4AE6B747A77F2821F2B619825C7789C7EE5338DA5ECB375395
• C2F150DBE9A8EFB72DC46416CA29ACDBAE6FD4A2AF16B27F153EAABD4772A2A1
• 1678327C5F36074CF5F18D1A92C2D9FEA9BFAE6C245EAAD01640FD75AF4D6C11
• C0EE19D7545F98FCD15725A3D9F0DBD0F35B2091E1C5B9CF4744F16E81A030C5
• 9E4BD9676BB3460BE68BA4559A824940A393BDE7613850EDA9196259E453B9F3
• EEE38C632C62CA95B5C66F8D39A18E23B9175845560AF84B6A2F69B7F9B6EC1C
• F6E1A146543D2903146698DA5698B2A214201720C0BE756C6E8D2A2F27DCFAFF
• 37BB27F4EB40B8947E184AFDDBA019001C12F97588E7F596AB6BC07F7C152602
• E6FC788B5FF7436DA4450191A003966A68E2A1913C83F1D3AEC78C65F3BA85CA
• 284BC471647F951C79E3E333B2B19AA37F84CC39B55441A82E2A5F7319131FAC
• A1CDB784100906D0AC895297C5A0959AB21A9FB39C687BAF176324EE84095472
• B4BF6322C67A23553D5A9AF6FCD9510EB613FFAC963A21E32A9CED83132A09BA
• 134B082B418129FFA390FBEE1568BD9510C54BFDD0E6B1F36BC7B8F867E56283
• 0A763DA26A67CB2B09A3AE6E1AC07828065EB980E452CE7D3354347976038E7E
Etki Alanı
Referanslar
https://threatpost.com/feds-publish-malware-analysis-of-hidden-cobra/155686/
https://securityaffairs.co/wordpress/103127/apt/uscybercom-north-korea-malware-samples.html
https://www.us-cert.gov/ncas/analysis-reports/ar20-133a
https://www.us-cert.gov/ncas/analysis-reports/ar20-133b
https://www.us-cert.gov/ncas/analysis-reports/ar20-133c
Siber Güvenlik Alanında
Yeni Teknolojiler ve Ürünler
www.havelsan.com.tr
Siber Güvenlik Alanında Yeni Teknolojiler ve Ürünler
Her sene düzenlenen ve siber güvenlik alanındaki en son ürün ve teknolojilerin tanıtıldığı
RSA konferansı 24-28 Şubat tarihleri arasında Amerika Birleşik Devletleri’nin San Francisco
şehrinde gerçekleştirildi. Siber güvenlik alanında dünya pazarında önemli ölçüde pay sahibi
olan firmaların lansmanını gerçekleştirdiği yeni teknolojiler arasında, API güvenliği platformları,
yapay zekâ temelli, kullanıcı ve varlık davranışı analizi yapabilen uç nokta güvenlik çözümleri,
bulut bilişim teknolojileri üzerine odaklanmış veri kaybı önleme araçları, tamamen yönetimli
hizmetin sağlandığı güvenlik çözüm paketleri, IoT cihazları ve endüstriyel kontrol sistemleri
güvenliği çözümleri ve mobil iletişim güvenliği çözümleri dikkat çekmektedir. Öne çıkan bir
diğer gelişme ise, güvenlik düzenleme, otomasyon ve yanıt (SOAR) araçları sağlayan firma
sayısındaki artış. Bunda en çok payı olan faktörün siber güvenlik bilgi ve yetkinliğine sahip
personel ve/veya bu alana ayrılmış bütçesi kısıtlı firmaların süreçlerini mümkün olduğunca
personelden bağımsız ve düşük maliyetlerle yürütme istekleri olduğunu düşünüyoruz. Ayrıca
bu faktörden bağımsız olarak, genel manada hali hazırda kurulu sistemlere SOAR çözümleri
entegrasyonu yapılmasının fiziksel ve dijital güvenlik süreçlerinin verimliliğini artırdığı gerçeği
de yadsınamaz. Ancak kullanıcıların belirledikleri hedeflere ulaşmak için doğru çözümü
seçmeleri de bu hususta büyük önem taşımaktadır. Konuya dair Gartner’da verilen genel
tavsiyelere bakıldığında alarm yığını sebebiyle oluşan gürültüyü minimize edebilen, üretilen
alarmlar arasında bir korelasyon bularak bağlam oluşturabilen ve hızlı aksiyonların alınmasını
sağlayan çözümlerin seçilmesinin esas olduğunu görüyoruz.
www.havelsan.com.tr