Subscribe to DeepL Pro to translate larger documents.

Visit www.DeepL.com/pro for more information.

Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker

Etik Hackerlığa Giriş

Taktikler, Teknikler ve Prosedürler (TTP'ler)

Taktikler, Teknikler ve Prosedürler (TTP'ler) terimi, belirli tehdit aktörleri veya tehdit aktörleri gruplarıyla ilişkili
faaliyet ve yöntem kalıplarını ifade eder

eyo es

"Taktikler", bir saldırganın "Teknikler", bir saldırgan "Prosedürler", tehdit

saldırıyı başından sonuna tarafından saldırı sırasında ara aktörlerinin bir saldırı başlatmak
kadar gerçekleştirme şeklini sonuçlara ulaşmak için için izledikleri organizasyonel
tanımlayan yönergelerdir kullanılan teknik yöntemlerdir yaklaşımlardır

Bu kılavuz, ilk istismar, ayrıcalık
yükseltme ve yanal hareket
gerçekleştirmek ve sisteme
kalıcı erişim ve diğer amaçlar
için önlemler almak ü z e r e
bilgi toplamaya yönelik çeşitli
taktiklerden oluşur
Bu teknikler arasında ilk Eylem sayısı genellikle
prosedürün hedeflerine ve tehdit
istismar, komuta ve kontrol
aktörü grubuna bağlı olarak
kanallarının kurulması ve
sürdürülmesi, hedef altyapıya değişir
erişim, veri sızıntısının izlerinin
kapatılması ve diğerleri yer
almaktadır

Taktikler, Teknikler ve Prosedürler {TTPs)

"Taktikler, teknikler ve prosedürler" terimleri, belirli tehdit aktörleri veya tehdit aktörleri
gruplarıyla ilişkili faaliyet ve yöntem kalıplarını ifade eder. TTP'ler tehditlerin analiz
edilmesinde ve tehdit aktörlerinin profilinin çıkarılmasında yardımcı olur ve bir kuruluşun
güvenlik altyapısını güçlendirmek için de kullanılabilir. "Taktikler" kelimesi, bir saldırganın
saldırısını başından sonuna kadar gerçekleştirme şeklini tanımlayan bir kılavuz olarak
tanımlanır. "Teknik" kelimesi, bir saldırganın saldırısı sırasında ara sonuçlara ulaşmak için
kullandığı teknik yöntemler olarak tanımlanır. Son olarak, "prosedürler" kelimesi, tehdit
aktörlerinin saldırılarını başlatmak için izledikleri organizasyonel yaklaşım olarak
tanımlanmaktadır. Tehdit aktörlerini anlamak ve onlara karşı savunma yapmak için, düşmanlar
tarafından kullanılan TTP'leri anlamak önemlidir. Bir saldırganın taktiklerini anlamak, gelişen
tehditleri erken aşamalarda tahmin etmeye ve tespit etmeye yardımcı olur. Saldırganlar
tarafından kullanılan tekniklerin anlaşılması, güvenlik açıklarının belirlenmesine ve savunma
önlemlerinin önceden uygulanmasına yardımcı olur. Son olarak, saldırganlar tarafından
kullanılan prosedürlerin analiz edilmesi, saldırganın hedef kuruluşun altyapısında ne aradığının
belirlenmesine yardımcı olur.
Kuruluşlar, ağlarını tehdit aktörlerine ve yaklaşan saldırılara karşı korumak için TTP'leri
anlamalıdır. TTP'ler kurumların saldırıları ilk aşamada durdurmasını sağlayarak ağı büyük
zararlara karşı korur.
• Taktikler
Taktikler, tehdit aktörünün bir saldırının farklı aşamaları sırasında çalışma şeklini
tanımlar. İlk istismar için bilgi toplamak, ayrıcalık yükseltme ve yanal hareket
gerçekleştirmek ve sisteme kalıcı erişim için önlemler dağıtmak için kullanılan çeşitli
taktiklerden oluşur. Genel olarak APT grupları belirli bir dizi değişmez taktiğe
Modül 01 Sayfa 22 Etik Korsanlık ve Karşı Önlemler Telif Hakkı tarafından
Tüm Hakları Saklıdır. Çoğaltılması Kesinlikle Yasaktır.
§§-Konsey
Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker
Etik Hackerlığa Giriş

bağlıdır, ancak bazı durumlarda farklı koşullara uyum sağlar ve taktiklerini değiştirirler

Technet24
Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker
Etik Hackerlığa Giriş

saldırılarını gerçekleştirme şekilleri. Bu nedenle, saldırı kampanyasını tespit etmenin ve

ilişkilendirmenin zorluğu, saldırıyı gerçekleştirmek için kullanılan taktiklere bağlıdır.
Bir kuruluş, tehdit aktörlerinin profilini kullandıkları taktiklere göre çıkarabilir; bu, bir
hedef hakkında bilgi toplama yollarından, ilk tehlikeye atma için izledikleri
yöntemlerden ve hedef ağa girmeye çalışırken kullandıkları giriş noktalarının sayısından
oluşur.
Örneğin, bilgi edinmek için bazı tehdit aktörleri yalnızca internette bulunan bilgilere
güvenirken, diğerleri sosyal mühendislik yapabilir veya ara kuruluşlardaki bağlantıları
kullanabilir. Hedef kuruluşun çalışanlarının e-posta adresleri gibi bilgiler toplandıktan
sonra, tehdit aktörleri ya tek tek ya da grup olarak hedefe yaklaşmayı seçerler. Ayrıca,
saldırganların tasarladığı yük, saldırının başından sonuna kadar sabit kalabilir ya da
hedeflenen kişiye göre değişebilir. Dolayısıyla tehdit aktörlerini daha iyi anlayabilmek
için saldırının ilk aşamalarında kullanılan taktiklerin doğru analiz edilmesi
gerekmektedir.
APT gruplarını analiz etmenin bir diğer yöntemi de saldırılarını gerçekleştirmek için
kullandıkları altyapı ve araçları incelemektir. Örneğin, saldırgan tarafından kontrol edilen
sunucular üzerinde bir komuta ve kontrol kanalı kurulduğunu düşünün. Bu C&C
sunucuları belirli bir coğrafi konumda bulunabilir ya da İnternet'e yayılmış olabilir ve
statik olabilir ya da dinamik olarak değişebilir. Saldırıyı gerçekleştirmek için kullanılan
araçları analiz etmek de önemlidir. Bu, çeşitli APT grupları tarafından kullanılan
istismarların ve araçların analiz edilmesini içerir. Böyle bir senaryoda, sofistike bir tehdit
aktörü, uyarlanmış araçlar ve gizleme yöntemleri kullanarak birçok sıfırıncı gün güvenlik
açığından faydalanabilir. Ancak, daha az sofistike tehdit aktörleri genellikle herkesçe
bilinen güvenlik açıklarına ve açık kaynaklı araçlara bağlı olduğundan bu zor olabilir. Bu
tür taktiklerin belirlenmesi, APT gruplarının profilinin çıkarılmasına ve önceden savunma
önlemleri alınmasına yardımcı olur.
Bazı durumlarda, bir saldırının son aşamalarında kullanılan taktiklerin anlaşılması,
tehdit aktörünün profilinin çıkarılmasına yardımcı olur. Ayrıca, izleri örtmek için
kullanılan yöntemler, hedef kuruluşun saldırı kampanyalarını anlamasına yardımcı
olur. Saldırganlar tarafından kullanılan taktiklerin analiz edilmesi, bir APT yaşam
döngüsünün farklı aşamalarını anlayarak bir başlangıç profili oluşturmaya yardımcı
olur. Bu profil, saldırganlar tarafından kullanılan teknik ve prosedürlerin daha fazla
analiz edilmesine yardımcı olur. Bir saldırgan kullandığı TTP'leri sürekli olarak
değiştirebilir, bu nedenle APT grupları tarafından kullanılan taktiklerin sürekli olarak
gözden geçirilmesi ve güncellenmesi önemlidir.
• Teknikler
Bir saldırıyı başarılı bir şekilde başlatmak için, tehdit aktörleri saldırının yürütülmesi
sırasında çeşitli teknikler kullanır. Bu teknikler arasında ilk istismar, komuta ve kontrol
kanallarının kurulması ve sürdürülmesi, hedef altyapıya erişim ve veri sızıntısı
izlerinin kapatılması yer alır. Tehdit aktörünün bir saldırı gerçekleştirmek için
izlediği teknikler farklılık gösterebilir, ancak çoğunlukla benzerdir ve profil oluşturmak
için kullanılabilir. Bu nedenle, bir saldırının farklı aşamalarında kullanılan teknikleri
anlamak, tehdit gruplarını etkili bir şekilde analiz etmek için çok önemlidir. tarafından
Modül 01 Sayfa 24 Etik Korsanlık ve Karşı Önlemler Telif Hakkı
Tüm Hakları Saklıdır. Çoğaltılması Kesinlikle Yasaktır.
§§-Konsey
Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker
Etik Hackerlığa Giriş

Modül 01 Sayfa 23 Etik Korsanlık ve Karşı Önlemler Telif Hakkı by§g-Council

Tüm Hakları Saklıdır. Çoğaltılması Kesinlikle Yasaktır.

Technet24
Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker
Etik Hackerlığa Giriş

Teknikler ayrıca tehdit yaşam döngüsünün her aşamasında analiz edilebilir. Bu

nedenle, başlangıç aşamasındaki teknikler temel olarak bilgi toplama ve ilk istismar için
kullanılan araçları tanımlar. Bu aşamada kullanılan tekniklerin mutlaka teknik bir yönü
olması gerekmez. Örneğin, sosyal mühendislikte, teknik olmayan bazı yazılım araçları
bilgi toplamanın etkili bir yolu olarak kullanılır. Bir saldırgan, hedef kuruluş çalışanlarının
e-posta adreslerini kamuya açık kaynaklar aracılığıyla elde etmek için bu tür araçları
kullanabilir.
Aynı şekilde, ilk istismarı gerçekleştirmek için tamamen insan tabanlı sosyal
mühendislik kullanılabilir. Örneğin, kurbanın hedef kuruluşun iç ağına erişmek için
oturum açma kimlik bilgilerini ifşa etmesi için bir telefon görüşmesi yoluyla kandırıldığı
bir senaryoyu düşünün. Bu teknikler bir saldırının ilk aşamasında hedef hakkında bilgi
toplamak ve ilk savunma hattını kırmak için kullanılır.
Bir saldırının orta aşamalarında kullanılan teknikler, çoğunlukla güvenliği ihlal edilmiş
sistemlerde başlangıçta ayrıcalıkları artırmak veya hedef kuruluşun ağı içinde yanal
hareketler gerçekleştirmek için teknik araçlara dayanır. Saldırının bu aşamasında
saldırganlar çeşitli istismarlar kullanır veya hedef sistemdeki yapılandırma açıklarını
kötüye kullanır. Ayrıca ağdaki diğer sistemlere erişim sağlamak için ağ tasarımı
kusurlarından da faydalanabilirler. Tüm bu durumlarda, istismarlar ya da araçlar
topluluğu saldırganın başarılı bir saldırı gerçekleştirmesini sağlar. Bu senaryoda
"teknik" terimi, bir saldırı kampanyası sırasında ara sonuçlar elde etmek için kullanılan
araçlar ve bunların kullanılma şeklidir.
Bir saldırının son aşamasındaki tekniklerin hem teknik hem de teknik olmayan yönleri
olabilir. Böyle bir senaryoda, veri çalmak için kullanılan teknikler genellikle ağ teknolojisi
ve şifrelemeye dayanır. Örneğin, tehdit aktörü çaldığı dosyaları şifreler, kurulan komuta
ve kontrol kanalı üzerinden aktarır ve kendi sistemine kopyalar. Saldırıyı başarıyla
gerçekleştirdikten ve dosyaları aktardıktan sonra, saldırgan izlerini örtmek için
tamamen teknik bazı teknikler izler. Tespit edilmekten kaçınmak amacıyla günlük
dosyalarını temizlemek için otomatik yazılım araçları kullanırlar.
Bir saldırının tüm aşamalarında kullanılan teknikleri bir araya getirdikten sonra, kurum
bu bilgileri tehdit aktörlerinin profilini çıkarmak için kullanabilir. Tehdit aktörleri
arasında doğru bir ilişkilendirme yapabilmek için kurumun düşmanlarının kullandığı
tüm teknikleri gözlemlemesi gerekir.
• Prosedürler
"Prosedürler" bir saldırı yaşam döngüsünün farklı adımlarını gerçekleştirmek için tehdit
aktörleri tarafından gerçekleştirilen bir dizi eylemi içerir. Eylemlerin sayısı genellikle
prosedürün hedeflerine ve APT grubuna bağlı olarak değişir. Gelişmiş bir tehdit aktörü,
aynı ara sonuca ulaşmak için normal bir prosedürden daha fazla eylemden oluşan
gelişmiş prosedürler kullanır. Bu, esas olarak bir saldırının başarı oranını artırmak ve
güvenlik mekanizmaları tarafından tespit edilme olasılığını azaltmak için yapılır.
Örneğin, temel bir bilgi toplama prosedüründe, bir aktör hedef kuruluş hakkında bilgi
toplar; kilit hedefleri, çalışanları belirler; bilgi toplar

Modül 01 Sayfa 26 Etik Korsanlık ve Karşı Önlemler Telif Hakkı tarafından

Tüm Hakları Saklıdır. Çoğaltılması Kesinlikle Yasaktır.
§§-Konsey
Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker
Etik Hackerlığa Giriş

iletişim bilgileri, savunmasız sistemleri ve hedef ağa potansiyel giriş noktalarını belirler
ve toplanan tüm bilgileri belgeler. Düşmanın diğer eylemleri kullanılan taktiklere
bağlıdır. Bu eylemler, sosyal ağ siteleri aracılığıyla hedef bireyler hakkında derinlemesine
ve güncel bilgi toplamak için kapsamlı araştırma ve tekrarlanan bilgi toplamayı içerir. Bu
bilgiler, tehdit aktörlerine, hedef sistemlerdeki sıfırıncı gün açıklarını tespit etmek için
güvenlik kontrollerini izleme ve diğer görevleri yerine getirme konusunda yardımcı
olabilir. Örneğin, daha ayrıntılı bir prosedür kullanan bir tehdit aktörü kötü amaçlı
yazılım yükünü çalıştırır. Yürütme sırasında, kötü amaçlı kod kendi şifresini çözer,
güvenlik izleme kontrollerini atlatır, kalıcılığı dağıtır ve kurban sistemle iletişim kurmak
için bir komut ve kontrol kanalı kurar. Bu tür bir prosedür, farklı tehdit aktörlerinin aynı
özelliği uygulayabildiği kötü amaçlı yazılımlar için yaygındır ve bu nedenle adli
soruşturmalarda yararlıdır.
Bir saldırı sırasında belirli tehdit aktörleri tarafından izlenen prosedürlerin anlaşılması ve
doğru analizi, kuruluşların tehdit aktörlerinin profilini çıkarmasına yardımcı olur. Bir
saldırının ilk aşamasında, örneğin bilgi toplama sırasında, bir APT grubunun prosedürünü
gözlemlemek zordur. Ancak, bir saldırının sonraki aşamaları, saldırganın izlediği
prosedürleri anlamak için kullanılabilecek izler bırakabilir.
fldversa:ry Davranışsal Tanımlama
Düşman davranışsal tanımlama, bir düşmanın bir kuruluşun ağına sızmak için saldırılar
başlatmak için izlediği ortak yöntem veya tekniklerin tanımlanmasını içerir. Güvenlik
uzmanlarına yaklaşan tehditler ve istismarlar hakkında fikir verir. Ağ güvenliği altyapısını
planlamalarına ve çeşitli siber saldırılara karşı önlem olarak bir dizi güvenlik prosedürünü
uyarlamalarına yardımcı olur.
Aşağıda, güvenlik cihazlarının tespit yeteneklerini geliştirmek için kullanılabilecek bazı düşman
davranışları verilmiştir:
• Dahili Keşif
Düşman hedef ağın içine girdiğinde, iç keşif yapmak için çeşitli teknikler ve yöntemler
izler. Bu, sistemlerin, ana bilgisayarların, süreçlerin numaralandırılmasını, yerel kullanıcı
bağlamı ve sistem yapılandırması, ana bilgisayar adı, IP adresleri, aktif uzak sistemler
ve hedef sistemlerde çalışan programlar gibi bilgileri bulmak için çeşitli komutların
yürütülmesini içerir. Güvenlik uzmanları, Batch komut dosyalarında ve PowerShell'de
yürütülen olağandışı komutları kontrol ederek ve paket yakalama araçlarını kullanarak
bir düşmanın faaliyetlerini izleyebilir.
• PowerShell Kullanımı
PowerShell, bir düşman tarafından veri sızıntısını otomatikleştirmek ve daha fazla
saldırı başlatmak için bir araç olarak kullanılabilir. Ağda PowerShell'in kötüye
kullanımını belirlemek için güvenlik uzmanları PowerShell'in transkript günlüklerini
veya Windows Olay günlüklerini kontrol edebilir. Kullanıcı aracısı dizesi ve IP adresleri
de veri sızdırmaya çalışan kötü niyetli ana bilgisayarları tanımlamak için kullanılabilir.

Modül 01 Sayfa 25 Etik Korsanlık ve Karşı Önlemler Telif Hakkı by§g-Council

Tüm Hakları Saklıdır. Çoğaltılması Kesinlikle Yasaktır.

Technet24
Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker
Etik Hackerlığa Giriş

• Belirtilmemiş Vekalet Faaliyetleri

Bir saldırgan aynı ana bilgisayarı işaret eden birden fazla etki alanı oluşturabilir ve
yapılandırabilir, böylece bir saldırganın tespit edilmekten kaçınmak için etki alanları
arasında hızla geçiş yapmasına olanak tanır. Güvenlik uzmanları, bu etki alanları
tarafından oluşturulan veri akışlarını kontrol ederek belirtilmemiş etki alanlarını
bulabilir. Güvenlik uzmanları bu veri akışını kullanarak, indirilen kötü amaçlı dosyaları
ve etki alanlarına bağlı olarak dış ağ ile istenmeyen iletişimi de bulabilir.
• Komut Satırı Arayüzünün Kullanımı
Hedef sisteme erişim sağlayan bir saldırgan, hedef sistemle etkileşime geçmek,
dosyalara göz atmak, dosya içeriğini okumak, dosya içeriğini değiştirmek, yeni
hesaplar oluşturmak, uzak sisteme bağlanmak ve kötü amaçlı kod indirip yüklemek
için komut satırı arayüzünü kullanabilir. Güvenlik uzmanları, süreç kimliği, rastgele
harf ve sayılar içeren süreçler ve İnternet'ten indirilen kötü amaçlı dosyalar için
günlükleri kontrol ederek bir saldırganın bu davranışını tespit edebilir.
• HTTP Kullanıcı Aracısı
HTTP tabanlı iletişimde sunucu, kullanıcı aracısı alanını kullanarak bağlı HTTP istemcisini
tanımlar. Bir saldırgan, ele geçirilen sistemle iletişim kurmak ve daha fazla saldırı
gerçekleştirmek için HTTP kullanıcı aracısı alanının içeriğini değiştirir. Bu nedenle,
güvenlik uzmanları kullanıcı aracısı alanının içeriğini kontrol ederek bu saldırıyı ilk
aşamada tespit edebilir.
• Komuta ve Kontrol Sunucusu
Saldırganlar, şifrelenmiş bir oturum aracılığıyla güvenliği ihlal edilmiş sistemlerle
uzaktan iletişim kurmak için komuta ve kontrol sunucularını kullanır. Düşman bu
şifreli kanalı kullanarak veri çalabilir, verileri silebilir ve başka saldırılar başlatabilir.
Güvenlik uzmanları, giden bağlantı girişimleri, istenmeyen açık bağlantı noktaları ve
diğer anormallikler için ağ trafiğini izleyerek bir komut ve kontrol sunucusunun varlığını
belirleyerek güvenliği ihlal edilmiş ana bilgisayarları veya ağları tespit edebilir.
• DNS Tünelleme Kullanımı
Saldırganlar, ağda kullanılan yaygın protokoller tarafından taşınan meşru trafikte kötü
niyetli trafiği gizlemek için DNS tünellemesini kullanır. Bir saldırgan DNS tünellemesini
kullanarak komuta ve kontrol sunucusuyla iletişim kurabilir, güvenlik kontrollerini
atlayabilir ve veri sızıntısı gerçekleştirebilir. Güvenlik uzmanları kötü niyetli DNS
isteklerini, DNS yükünü, belirtilmemiş etki alanlarını ve DNS isteklerinin hedefini analiz
ederek DNS tünellemesini tespit edebilir.
• Web Kabuğu Kullanımı
Bir saldırgan, bir web sitesi içinde bir kabuk oluşturarak web sunucusunu manipüle
etmek için bir web kabuğu kullanır; bir saldırganın bir sunucunun işlevlerine uzaktan
erişim sağlamasına olanak tanır. Bir web kabuğu kullanarak, bir düşman veri sızıntısı,
dosya aktarımları ve dosya yüklemeleri gibi çeşitli görevleri yerine getirir. Güvenlik
uzmanları, bir web sitesinde çalışan web kabuğunu

Modül 01 Sayfa 28 Etik Korsanlık ve Karşı Önlemler Telif Hakkı tarafından

Tüm Hakları Saklıdır. Çoğaltılması Kesinlikle Yasaktır.
§§-Konsey
Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker
Etik Hackerlığa Giriş

Sunucu erişimini, hata günlüklerini, kodlamayı gösteren şüpheli dizeleri, kullanıcı

aracısı dizelerini ve diğer yöntemleri analiz ederek ağ.
• Veri Evreleme
Bir hedefin ağına başarılı bir şekilde girdikten sonra, düşman mümkün olduğunca çok
veri toplamak ve birleştirmek için veri hazırlama tekniklerini kullanır. Bir düşman
tarafından toplanan veri türleri arasında çalışanlar ve müşteriler hakkındaki hassas
veriler, bir kuruluşun iş taktikleri, finansal bilgiler ve ağ altyapısı bilgileri yer alır.
Düşman bir kez topladıktan sonra verileri dışarı sızdırabilir ya da yok edebilir. Güvenlik
uzmanları, kötü niyetli dosya aktarımları için ağ trafiğini, dosya bütünlüğü izlemeyi ve
olay günlüklerini izleyerek veri hazırlamayı tespit edebilir.
Uzlaşma Göstergeleri (IoGs)
Siber tehditler, hedef kuruluşun güvenlik açıklarına göre uyarlanan yeni TTP'lerle sürekli olarak
gelişmektedir. Güvenlik uzmanları, gelişen siber tehditleri etkili ve verimli bir şekilde tespit
etmek ve bunlara yanıt vermek için IoC'leri sürekli olarak izlemelidir. Uzlaşma Göstergeleri, bir
kuruluşun ağında veya işletim sisteminde bulunan ve kuruluşun altyapısında potansiyel bir izinsiz
giriş veya kötü niyetli faaliyete işaret eden ipuçları, eserler ve adli veri parçalarıdır.
Bununla birlikte, IoC'ler istihbarat değildir; daha ziyade, IoC'ler istihbarat sürecinde veri
noktaları olarak hizmet eden tehditler hakkında iyi bir bilgi kaynağı olarak hareket eder.
IoC'lerden elde edilen eyleme geçirilebilir tehdit istihbaratı, kuruluşların olay ele alma
stratejilerini geliştirmelerine yardımcı olur. Siber güvenlik uzmanları, kuruluşa yönelik çeşitli
güvenlik ihlallerini tespit etmek ve önlemek amacıyla loC'leri izlemek için çeşitli otomatik
araçlar kullanır. IoC'lerin izlenmesi, güvenlik ekiplerinin daha fazla saldırıyı engellemek amacıyla
şüpheli trafiği tespit etmek ve engellemek için kuruluşun güvenlik kontrollerini ve
politikalarını geliştirmesine de yardımcı olur. IoC'lerle ilişkili tehditlerin üstesinden gelmek için
STIX ve TAXII gibi bazı kuruluşlar, saldırılarla ilgili yoğunlaştırılmış verileri içeren standart
raporlar geliştirmiş ve olay müdahalesinden yararlanmak için bunları başkalarıyla paylaşmıştır.
IoC bir atomik gösterge, hesaplanmış gösterge veya davranışsal göstergedir. Bir ağın
altyapısındaki çeşitli güvenlik kuruluşlarından toplanan şüpheli veya kötü niyetli faaliyetlere
ilişkin bilgilerdir. Atomik göstergeler, daha küçük parçalara ayrılamayan ve bir izinsiz giriş
bağlamında anlamı değişmeyen göstergelerdir. Atomik göstergelere örnek olarak IP adresleri
ve e-posta adresleri verilebilir. Hesaplanmış göstergeler bir güvenlik olayından çıkarılan
verilerden elde edilir. Hesaplanmış göstergelere örnek olarak hash değerleri ve düzenli ifadeler
verilebilir. Davranışsal göstergeler, bazı mantık temelinde bir araya getirilen hem atomik hem
de hesaplanmış göstergelerin gruplandırılması anlamına gelir.
7 Kompozisyona İlişkin Endüstri Kategorileri
Siber güvenlik uzmanları, çoğunlukla Uzlaşma Göstergeleri (IoC'ler) olarak adlandırılan çeşitli
olası tehdit aktörleri ve siber tehditlerle ilgili taktikleri hakkında doğru bilgiye sahip olmalıdır.
IoC'lerin bu şekilde anlaşılması, güvenlik uzmanlarının kuruma giren tehditleri hızlı bir şekilde
tespit etmesine ve kurumu gelişen tehditlerden korumasına yardımcı olur.

Modül 01 Sayfa 27 Etik Korsanlık ve Karşı Önlemler Telif Hakkı by§g-Council

Tüm Hakları Saklıdır. Çoğaltılması Kesinlikle Yasaktır.

Technet24
Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker
Etik Hackerlığa Giriş

Bu amaçla IoC'ler dört kategoriye ayrılmıştır:

• E-posta Göstergeleri
Saldırganlar hedef kurum ya da kişiye kötü niyetli veri göndermek için genellikle e-
posta hizmetlerini tercih etmektedir. Bu tür sosyal mühendislik ürünü e-postalar,
kullanım kolaylığı ve nispeten anonim olmaları nedeniyle tercih edilmektedir. E-posta
göstergelerine örnek olarak gönderenin e-posta adresi, e-posta konusu ve ekler ya da
bağlantılar verilebilir.
• Ağ Göstergeleri
Ağ göstergeleri komuta ve kontrol, kötü amaçlı yazılım teslimi ve işletim sistemi, tarayıcı
türü ve diğer bilgisayara özel bilgilerle ilgili ayrıntıları tanımlamak için kullanışlıdır. Ağ
göstergelerine örnek olarak URL'ler, alan adları ve IP adresleri verilebilir.
• Ana Bilgisayar Tabanlı Göstergeler
Ana bilgisayar tabanlı göstergeler, kurumsal ağ içinde virüs bulaşmış sistemin analizi
yapılarak bulunur. Ana bilgisayar tabanlı göstergelere örnek olarak dosya adları, dosya
karmaları, kayıt defteri anahtarları, DLL'ler ve muteks verilebilir.
• Davranışsal Göstergeler
Genel olarak, tipik IoC'ler kötü niyetli IP adresleri, virüs imzaları, MDS karması ve alan
adları gibi izinsiz giriş belirtilerini tanımlamak için kullanışlıdır. Davranışsal IoC'ler,
belleğe kod ekleme veya bir uygulamanın komut dosyalarını çalıştırma gibi kötü niyetli
faaliyetlerle ilgili belirli davranışları tanımlamak için kullanılır. İyi tanımlanmış
davranışlar, mevcut ve gelecekteki tüm kötü niyetli faaliyetleri engellemek için geniş
koruma sağlar. Bu göstergeler, meşru sistem hizmetlerinin anormal veya beklenmedik
faaliyetler için ne zaman kullanıldığını tespit etmek için kullanışlıdır. Davranışsal
göstergelere örnek olarak PowerShell komut dosyasını çalıştıran belge ve uzaktan komut
çalıştırma verilebilir.
Aşağıda bazı temel Uzlaşma Göstergeleri (IoC'ler) listelenmiştir:
• Olağandışı giden ağ trafiği
• Ayrıcalıklı bir kullanıcı hesabı aracılığıyla olağandışı etkinlik
• Coğrafi anomaliler
• Çoklu oturum açma hataları
• Artan veritabanı okuma hacmi
• Büyük HTML yanıt boyutu
• Aynı dosya için birden fazla istek
• Uyumsuz bağlantı noktası-uygulama trafiği
• Şüpheli kayıt defteri veya sistem dosyası değişiklikleri
• Olağandışı DNS istekleri

Modül 01 Sayfa 30 Etik Korsanlık ve Karşı Önlemler Telif Hakkı tarafından

Tüm Hakları Saklıdır. Çoğaltılması Kesinlikle Yasaktır.
§§-Konsey
Etik Korsanlık ve Karşı Önlemler Sınav 312-50 Sertifikalı Etik Hacker
Etik Hackerlığa Giriş

• Beklenmedik sistem yamaları

Technet24