SİBER

GÜVENLİK
BÜLTENİ
TEMMUZ 2020

SİBER GÜVENLİK DİREKTÖRLÜĞÜ

www.havelsan.com.tr
 DLL Hijacking in
Windows 10

Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
DLL Hijacking in Windows 10

Zafiyet Genel Bilgi

DLL Hijacking (dinamik link kütüphanesi ele geçirme) kullanılarak, İngiltere merkezli bir
güvenlik araştırmacısı, System32 klasöründe bulunan yaklaşık 300 çalıştırılabilir dosyanın
saldırıya açık olduğunu tespit etmiştir.

DLL ele geçirme, bir saldırgan meşru bir Windows çalıştırılabilir dosyanın rasgele bir DLL
yüklemesine neden olduğunda oluşmaktadır. Basit bir VBScript(Visual Basic Script),
kullanıcıların yönetici ayrıcalıkları kazanmasına ve UAC’yi (kullanıcı hesabı denetimini)
tamamen Windows 10’da atlamasına izin vermek için yeterli olmaktadır. DLL Hijacking
saldırıları; keyfi kod çalıştırma, ayrıcalık yükseltme ve hedef sistemde kalıcılık gibi yetenekler
sağlayarak sistemi saldırıya açık hale getirmektedir.

Önerilen Güvenlik Önlemleri

• Geçerli güncellemeleri uygulayın.

Referanslar
https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows
https://twitter.com/Wietze/status/1274981031536398336
Facebook Şifrelerini Çalan
25 Uygulama

Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Facebook Şifrelerini Çalan 25 Uygulama

Zafiyet Genel Bilgi

Google, Facebook giriş bilgilerini çalan 25 uygulamayı tespit ettiğini açıklamıştır. Facebook
giriş bilgileri ve şifrelerini çalan 25 uygulama, Google’ın resmi uygulama mağazası olan Play
Store’dan kaldırılmıştır. Uygulamaların 2019 yılından beri kullanıcıların şifresini çaldığı ortaya
çıkmıştır.

Adım sayar, fotoğraf düzenleme, video düzenleme, duvar kağıdı, el feneri, dosya yöneticileri
ve mobil oyunlar gibi meşru uygulamaları taklit eden kötü amaçlı uygulamalar, Facebook
kullanıcılarının giriş bilgilerinin çalınmasına neden olan aynı kötü amaçlı kodu paylaşmaktadır.
Bu uygulamalar, kullanıcılara bilgilerinin çalındığını düşündürmeyecek şekilde sorunsuz
çalışmaktadır. Uygulamaya giriş yapmaya çalışırken, uygulama sahte bir Facebook giriş ekranı
açarak kullanıcılar kimlik bilgilerini girdikçe, bilgileri Facebook sunucularında doğrulamak
yerine doğrudan uygulamanın sunucularına iletmektedir.Uygulamaların çoğu 2019 yılında
oluşturulmuş gibi görünmekte olup indirme sayısı 10.000 ile 500.000 arasında değişmektedir.
Bu durum, uygulamaların birçok Facebook kullanıcısının kimlik bilgilerini toplayabilecek
zamanı olduğu anlamına gelmektedir. Google, yılbaşından beri platformundan adware
(reklam yazılımı) veya güvenli olmayan uygulamaları kaldırmaktadır fakat, kötü amaçlı
uygulamalar kaldırmadan önce 2,34 milyondan fazla kez indirilmiştir. Bu saldırı, kitlelere
yönelik bir kimlik avı saldırısı niteliğindedir.

Facebook giriş bilgilerini çaldığı için Google Play’den kaldırılan uygulamalar:

• Super Wallpapers Flashlight

• Padenatef
• Wallpaper Level
• Contour level wallpaper
• Iplayer & iwallpaper
• Video maker
• Color Wallpapers
• Pedometer
• Powerful Flashlight
• Super Bright Flashlight
• Super Flashlight
• Solitaire
• Accurate scanning of QR code
• Classic card game
• Junk file cleaning
• Synthetic Z
• File Manager
• Composite Z
• Screenshot capture
• Daily Horoscope Wallpapers
• Wuxia Reader
 • Plus Weather
• Anime Live Wallpaper
• iHealth step counter
• Com.tyapp.fiction

25 uygulamanın tam listesi, adları ve paket kimliği aşağıda listelenmiştir. Google, kötü
amaçlı uygulamaları Google Store’dan kaldırdığında, ayrıca bir kullanıcının cihazlarındaki
uygulamaları da devre dışı bırakıp resmi Play Store uygulamasıyla birlikte verilen Play Protect
hizmeti aracılığıyla kullanıcıları bilgilendirmektedir.

Created
Application Name Package Installs
Date

Super Wallpapers Flashlight com.wallpaper.flashlight.compass 500.000 2019-07-23

Padenatef com.sun.newjbq.beijing.ten 500.000 2020-03-24

Wallpaper Level com.liapp.level 100.000 2019-04-22

Contour Level Wallpaper com.communication.walllevel 100.000 2019-04-28

iPlayer & iWallpaper com.ldl.videoedit.iwallpapers 100.000 2020-03-20

Video Maker com.androidapp.videosedit.v 100.000 2020-04-03

Color Wallpapers com.play.ljj.wallpapercomapps 100.000 2019-09-26

Pedometer com.baidu.news.pedometer 100.000 2020-01-18

Powerful Flashlight com.meituan.ybw.flash 100.000 2019-12-25

Super Bright Flashlight com.tqyapp.sb.flashlight 100.000 2019-01-18

Super Flashlight com.superapp.xincheng 100.000 2020-03-03

Solitaire Game com.game.tqsolitaire 100.000 2019-04-24

Accurate Scanning of QR Code com.tqyapp.qr 500.000 2019-02-20

Classic Card Game com.card.solitairenew 500.000 2019-05-09

Junk File Cleaning com.xdapp.cleaning 500.000 2019-03-22

Synthetic Z com.tqygame.synthetic 500.000 2019-04-06

File Manager com.smt.filemanager 500.000 2017-12-27

Composite Z com.game.hcz 500.000 2019-04-22

Screenshot Capture com.tianqiyang.lww.screenedit 100.000 2019-07-03

Daily Horoscope Wallpapers com.tianqiyang.lww.constellation 100.000 2019-07-12

Wuxia Reader com.wuxia.reader 100.000 2017-05-14

Plus Weather com.plus.android.weather 100.000 2018-07-18

Anime Live Wallpaper com.tqyapp.chuangtai 100 2019-01-10

iHealth Step Counter com.tiantian.lang.tencent N/A 2019-11-18

com.tqyapp.fiction com.tqyapp.fiction N/A 1970-01-01

Etki Alanı

• Android

Önerilen Güvenlik Önlemleri

• Bilinmeyen uygulamalara Facebook ya da Google giriş bilgilerinizi kullanarak giriş

yapmayınız.

• Listedeki zararlı yazılım içeren uygulamalardan yüklediyseniz, uygulamayı cihazınızdan

kaldırıp Facebook ve Google şifrelerinizi değiştiriniz.

Referanslar

https://bitdefender.com.tr/facebook-sifrenizi-calan-25-uygulamaya-dikkat/
StrongPity Watering Hole
Türkiye ve Suriye Saldırısı

Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
StrongPity Watering Hole Türkiye ve Suriye Saldırısı

Zafiyet Genel Bilgi

Bitdefender Antivirüs araştırmacıları yakın zamanda hacker grubu StrongPity’nin, Türkiye ve

Suriye’deki kullanıcıları hedef alarak Watering Hole (popüler web sitelerinin ele geçirilmesi
ve bu siteleri ziyaret eden kurbanların tarayıcı, işletim sistemi, flash ve java istemcilerinin
zafiyetlerinden yararlanılarak kurbanların istemcilerine sızılması) tekniğiyle zararlı yazılım
bulaştırarak bilgisayarda bulunan verileri Komuta Kontrol sunucusuna göndermeye
çalıştıklarını gözlemlemiştir. Mağdurları enfekte etmek için “watering hole” adı verilen taktikleri
kullanan ve adli soruşturmalara engel olmak için üç katmanlı bir C&C (komuta ve kontrol)
altyapısı uygulayan APT (ileri kalıcı tehdit ) grubu, arşivler, dosya kurtarma uygulamaları,
uzaktan bağlantı uygulamaları, yardımcı programlar ve hatta güvenlik yazılımlarını bile Truva
atı haline getirebilmektedir.

StrongPity hacker grubunun bilinen ilk saldırılarından Ekim 2016’da İtalya ve Belçika’ya yapılan
saldırılarda da “watering hole” taktiği uygulanmış olup Türkiye ve Suriye’ye yapılan bu saldırılarla
aynı yöntemi izlemektedir. WhatsApp,  CCleaner, Recuva ve  TeamViewer  gibi yazılımları
yüklemeye çalışan kullanıcıların bilgisayarlarına kolayca giriş yapılarak bulaştığı bilgisayardaki
dosyaları toplayıp dışarı göndermektedir. Ayrıca Promethium adıyla bilinen grup, bir dizi
popüler yardımcı yazılım programı sunan birçok sahte web sitesi işletmektedir. Bu sitelerde
sunulan araçlar; arşivlerin trojanlaştırılmış sürümleri, dosya kurtarma uygulamaları, uzaktan
bağlantı uygulamaları, güvenlik yazılımı olarak en bilinenlerden 7-zip, WinRAR arşivleyici,
McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp, Piriform CCleaner, CleverFiles
Disk Drill, DAEMON Tools Lite, Glary Utilities ve RAR Password Unlocker uygulamalarıdır.

Bitdefender araştırmacılarına göre sunulan Truva atı uygulamalarının çeşitliliği, mağdurların

çıkarları açısından geniş bir ağ oluşturmayı amaçlayan bir yöntem olmasına karşın saldırılarda
hedefleme bulunmaktadır. Araştırmacılara göre, önceden tanımlanmış IP listesinin
kullanılmasıyla mağdurların Türkiye ve Suriye’deki kullanıcılardan seçilerek hedef alındığı
belirtilmiştir. Analize göre, StrongPity sahne arkasında iki tür sunucu kullanmaktadır. Bunlardan
ilki,zararlı yazılım uygulamalarını indirmek için kurbanlara sunulan indirme sunucusu, diğeri
ise C&C sunucusudur. Eğer kurbanın IP adresi, yükleyicinin yapılandırma dosyasında bulunan
bir adresle eşleşirse, saldırganlar truva atı yapılan uygulamanın renkli bir sürümünü ya da yasal
sürümünü sunmaktadır ve kötü amaçlı yazılım (malware) yüklendikten sonra kalıcılık, C&C
iletişimi ve dosya arama ile ilgili bileşenler mağdurun makinesine yerleştirilerek belirli uzantılara
sahip dosyaları arayan bir dosya arama mekanizması çalıştırılmaktadır.Bulunan dosyalar geçici
bir .zip arşivine yerleştirilmektedir. Sonrasında gizli şifreli dosyalara bölünmektedir. Sonunda
ise herhangi bir izlemeyi önlemek için bu dosyalar C&C Sunucusuna gönderilmektedir ve
dışarı sızma izlerini de kapsayacak şekilde diskten silinmektedir.
Önerilen Güvenlik Önlemleri
• Güvenilmeyen kaynaklardan web uygulamaları yüklemeyiniz.

• Gerçek IP adresinizi gizlemek için VPN kullanınız.

• Aşağıdaki IOC listesinin bileşenlerini, destekleyen tüm güvenlik ürünlerinde engelleyiniz.

IOC’ler
Domain/URL;
IMPHASH (Import Hashing);

• 7e5ef0f67c9691533818d048499b5083
• 8abe3681c11e209ff85599f5e699bd77
• b996e2c3977a7044670484c0428d059e
• 40972f3608f18dcf148832b47c7524d6
• 5fa2da673f6659ad061ecc63793cb430
• 90570395bfeb43df5c7a271296b7c409
• b8a776afbe9999cb74349d365654ecec
• 8263eabf0c88e0ff484d4b184535386e
• 19aab448aea5b08b156c7070cd50e863
• 511f4e5cf1e4bf26001be1cad53c9833
• 5f832e44f10de876e667dbfbcb653ef9
• 3e412aae37cfc3cdd7732c914db43671

MD5;

• e43d847aeda31ddd94fec050f4e887a9
• 4f6d3ef07f3cbeb61d038f339440c32c
• dd0cdbf78966a41e064daf490f95ceaa
• 0a3c01ccd948ec12d75cb591ab320887
• c5c5a751c63ef4cdd6bfd34780068f00
• b7677e42852e9b8a3857476fda540224
• 73faf13cbf33e00d730a6b9a00cb277e
• 900d937455c62807fb4b0b0000142d37
• 2d0f3620bbea500e7cfab2f28fb10e9b
• 05e373b594b9995dbc876fba21e1a082
• d4057c628387f461b15ec7ad78de6ca1
• faa1ba96a35259af5cdaf48ea76ad984
• 06752c080a5c00baf971243be65a49b8
• 476e0ed5ba666132ef574f47d7d6b511
• 32a2b332fed353408e2d3b13af6ebfba
• 6dc0a580fad115a741ff6779ffbf3569
• be6f2a03dfddbaf1166854730961d13c
• 08d971f5f4707ae6ea56ed2f243c38b7
• 5f8dd1a37ad2b36b178777d6bbf8a35b
• fa90508007b94a4dbfeb8b48d5443ec8
• f36e67109ae368c9db109d0a41b5817c
• f344da38958dbc730ddebc10660cd451
 • e80d8a0c35133f7485d8e87ade903919
• e436e849d9496ef3f651c1904786c78f
• df0045bd4168893922480f7ccb29860a
• d7ec065cc3f563928504f80692578d2f
• be8a344487bcfea66de8e0f0f14d869e
• a5ae6e0d74052d4f889f2538fdd7cb9b
• 2041cc8de9dab93b44434d7f748c63ad

SHA1;

• 63ba0b08a52e881ff82862853e45bd572853093c
• 908342c749f8c5970e5c6a57be16057ac69a31c6
• 526e1892c2e72ac6b431975da3f8fc989c9ce751
• 6025590495f99bdd12afe9227ec6dcb6b7a68ebe
• d7cfa28a32c2949f091d7193991f394010f1ecd8
• f328c56c052b6ce1e742d4135df03b8c2e780646
• 43a147b085c305f0cce9fe9a332e645e3cce8de1
• 6ba2eea1ff76f8efda8555b7597a629f54b6b276
• 5900eaec5c34a96bbddcb4fb52c5eb852aa4340c
• 9626caac889c062f55b43475484870d5e6751cee
• 368fcaaad87f28e2ab2552dc47b701f3b49b02c0
• 9302b21b03b452007fab6f62adc0d703edc0f81f
• 33c77f4e017fce4fc25809433b58dce27e2f8bfc
• 6a8d2aa39dcf9dd90dd2c4fa11e1bc3a485fff91
• 4540f094d76c5165c7edc0a4c9479cd69888ba2c
• e554db589ba7ec2dc33218949922ac65a07f1e42
• f8009ef802a28c2e21bce76b31094ed4a16e70d6
• e17b5e71d26b2518871c73e8b1459e85fb922814
• a0437a2c8c50b8748ca3344c38bc80279779add7
• 76fc68607a608018277afa74ee09d5053623ff36
• 87a38a8c357f549b695541d603de30073035043d
• 8b33b11991e1e94b7a1b03d6fb20541c012be0e3
• 9f2d9d2131eff6220abaf97e2acd1bbb5c66f4e0
• eb4e1e24712d9d1f495f7464ff162d2c0aace91a
• 0f22427a5229a89ea2ce134cf6e42d6bfe782aa9
• 76826cc65a8c9f72ddeb9b850a5701b185a5de29
• 17e8293634723da61b2ce78a028097476e51ff00
• 7047ed9ae510377f4625db256e52af02694ef153
SHA256;

• 79f02a935266a6a8322dec44c7007f7a148d4327f99b3251cba23625de5d5d5e
• 55e83292bd9a1f843639bfb98648a40b931a9829d62e6b23904034c417ffa430
• 2b62a469fa9737dabc52840a741a7d71c86c74bd6909c30cb481e2d66e0df75e
• 6f0b9fdc7edf43a9d1262263320e623a7e2b349f54185491262fe5184413222f
• b1916e7de11e87fa45c222d0532955e781f6695ae0ee15775894d3b3aa72ba98
• 11849a6fcb76267676532422db4e9bf4f5c8c525fea0d950f844736bedb8b53e
• 2c3b3c085b3992ab105bbc4696391f4f81374c54bb8966e53d2b2de8b7648681
• 92ff23ab81cc20c4916441547745f336cf612c21a049cdcbb01f11d83a40979e
• d77901484e91445d8d11b82ff487b9e56b48930fe3086e5858ea754e9f490c1f
• 2ee74ceaa5964cf223aefb3cf4e0c25ea96c7d4bc0eba48439716e763d2f3837
• 91e20fb663b1809279666fb1e7ef7bd8da42ae51e0c05b51515ba851e2a991ac
• c2c333a5f46eb5894f05f3323ab8aea87b3c2e9ba0221c28dcf46b0842592ac6
• 5b5b0a0ff8e5bdf11657e0134a638a818e31af9517e5feffea247eaa2660ee23
• 521c43c7c01eeb68b2bbb3daaad376d3902a264820e016bb5dd6738e842f331c
• 33eb8f1175416cfbe7aa1490232f5af0ff92b981609634033af0598ce16e4a68
• 821c643002e1eed1a5bc7cb3d15be6df5f7a4b9cb4c938d0008827a3cc29b0b0
• 462e85023952d23b74d697911653604b40497424e7a6fe505366addae6c375f7
• 57da6fa244402a7fe5d4f8f8abf2acbc08db3817faee93dd8ccdc8a2a3554245
• 0ef8d249a2e8cb096b69c7f2cae46a073681bd43fcabc9c50eb5df454c71baea
• 2d3151aaa1467d92a783e76dbfe65adb6d7d5d896d9daeb16e97dd106521654f
• c43ea98bf86791d6f05c21edde4e26eaad2e52fbd7f396bbe9079b41b8fcebfe
• 18c0b5d81afcd601aaf30871c6c3ee0d2f0328bb2381a8a0e34bb60e9862b4cb
• 5ac23fc5e6ab0543da88f1b92327a7b3a644d1eebac8ed4d80d45a8d5d07b994
• 2f98ac11c78ad1b4c5c5c10a88857baf7af43acb9162e8077709db9d563bcf02

Referanslar

https://labs.bitdefender.com/2020/06/strongpity-apt-revealing-trojanized-tools-working-
hours-and-infrastructure/

https://www.bitdefender.com/files/News/CaseStudies/study/353/Bitdefender-Whitepaper-
StrongPity-APT.pdf

https://bitdefender.com.tr/strongpity-hacker-grubu-turkiye-ve-suriyeye-saldiriyor/

https://blog.talosintelligence.com/2020/06/promethium-extends-with-strongpity3.html

https://www.kaspersky.com/about/press-releases/2016_strong-pitys-summer-watering-holes-
trap-a-thousand-users-in-search-of-encryption
 Twitter Hacklenmesi

Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Twitter Hacklenmesi

Zafiyet Genel Bilgi

15 Temmuz Çarşamba günü, belirli Twitter çalışanlarına yönelik sosyal mühendislik saldırısıyla
çok sayıda yüksek takipçiye sahip Twitter hesabı hacklenerek bu hesaplardan cryptocurrency
scams(kripto para dolandırıcılığı) tekniği olan ve belirtilen bitcoin cüzdanının adresine
yapılan ödemelerin miktarının iki katına çıkarılıp geri ödeneceği iddiasıyla sanal para birimi
Bitcoin istenmiştir.Saldırganlar, az sayıda çalışanı başarıyla manipüle edip çalışanların kimlik
bilgilerini Twitter’ın dahili sistemlerine erişmek için kullanmışlardır.Saldırganların,Twitter
hesaplarına sızmak için yalnızca Twitter Dahili Destek ekipleri tarafından kullanılabilen araçlara
eriştikleri bilinmektedir.Twitter tarafından yapılan açıklamaya göre şuana kadar 130 hesabın
ele geçirildiği bildirilmiştir.Bu hesapların da 45’inde saldırganların şifre sıfırlama,hesaba giriş
yapabilme ve tweet gönderebilme yetkilerinin olduğu gözlemlenmiştir.Ayrıca en az 8 hesabın
da direct mesajlar dahil önemli kişisel bilgilerinin de “Your Twitter Data(Twitter Verileriniz)” adlı
araç üzerinden ele geçirilmiş olabileceği açıklanmıştır.Twitter tarafından yapılan incelemelere
göre, saldırganların bazı kullanıcı adlarını satmaya çalıştıkları da düşünülmektedir.

Barack Obama, Joe Biden, Jeff Bezos, Bill Gates, Wiz Khalifa, Warren Buffett, Mike Bloomberg,
Kim Kardashian, Kanye West, Elon Musk ve daha fazla kişinin ve Apple,Uber gibi dev firmaların
resmi Twitter hesapları ele geçirilmiş ve bu hesaplar üzerinden kripto para birimi olan bitcoin
istenilerek “Adresime gönderilen tüm Bitcoin ödelemerini iki katına çıkarıyorum” paylaşımları
yapılmıştır. Saldırıların ana hedefinin hesap sahipleri değil, bu hesapları takip eden milyonlarca
kişi olduğu tespit edilmiştir. Saldırının başarılı olduğu ise paylaşımdaki linke tıklayan kişilerin
şu ana kadar 110 bin dolar göndermesi olarak gösterilmektedir. Bill Gates ve Elon Musk’ın ele
geçirilen Twitter hesaplarından bitcoin adresi ile birlikte “yalnızca 30 dakika içerisinde 1000
dolar gönderilmesi karşılığında 2000 dolar geri gönderileceği” ve “Musk’ın Covid-19 nedeniyle
kendini cömert hissettiği ve önümüzdeki bir saat içerisinde hesabına gönderilen bitcoinleri
ikiye katlayacağı” paylaşımları yapılmıştır.
Etki Alanı
• Twitter kullanıcıları

Önerilen Güvenlik Önlemleri

• Twitter ve Facebook gibi sosyal medya hesaplarından gelen bitcoin tekliflerine (teklifler
gerçek olamayacak kadar iyiyse özellikle) güvenmeyiniz.
• Güvenilir olmayan ve bilinmeyen bağlantıları tıklamayınız.

Referanslar

https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.
html

https://exchange.xforce.ibmcloud.com/collection/High-Profile-Twitter-Users-Hacked-362cdd
ee33b79e472a81616922e20002

https://blog.checkpoint.com/2020/07/16/twitter-platform-compromise/
 Cisco Talos, Firefox Güvenlik
Açığı Teknik Ayrıntılarının
Açıklaması
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Cisco Talos, Firefox Güvenlik Açığı Teknik Ayrıntılarının Açıklaması

Zafiyet Genel Bilgi

Cisco Talos, Mozilla Firefox’ta bir güvenlik açığı keşfetmiştir ve yakın zamanda bu yamalı
güvenlik açığının teknik ayrıntılarını açıklamıştır. Güvenlik açığı URL nesne ile ilgilidir.Bir
saldırgan, kullanıcıyı özel hazırlanmış bir web sayfasını ziyaret etmesi için yönlendirip yani
oltalama yaparak bu hatayı kullanabilmektedir. Bu güvenlik açığının tetiklenmesi için bir
web sayfasının ziyaret edilmesi gerekmektedir. Eğer başarılı olursa, ASLR (adres alan düzeni
randomizasyonu)‘yi atlamak için sızan belleği kullanabilmektedir ve diğer güvenlik açıklarıyla
birlikte rasgele kod çalıştırma yeteneğini elde edebilmektedir.

• Mozilla Firefox Nightly Sürüm 78.0a1 x64 ve Firefox Sürüm 76.0.2x64’ün URL
mPath(multipath) işlevselliği ile ilgili bir güvenlik açığı olan CVE-202012418 güvenlik
açığıyla ilgili teknik ayrıntılar verilmiştir.

• Mozilla, Firefox 78’in piyasaya sürülmesiyle birlikte diğer güvenlik açıklarıyla beraber bu
sorunu düzeltmiştir.

Önerilen Güvenlik Önlemleri

• Ağ trafiğinde sömürü girişimlerini algılayacak SNORT (ağ sızma tespit/engelleme
sistemi) kurallarından 54265 ve 54266 uygulayınız.

• Etkilenen sürümler için güncel yamaları indiriniz.

Ek Bilgiler
Etkilenen Sistemler

• Mozilla Firefox Firefox Nightly Version 78.0a1 x64

• Mozilla Firefox Firefox Release Version 76.0.2 x64

İlgili İşletim Sistem ve Versiyonları

• iOS, Android, Windows, macOS, Linux

Referanslar

https://blog.talosintelligence.com/2020/07/vuln-spotlightfirefox-information-leak-july-2020.html
https://talosintelligence.com/vulnerability_reports/TALOS2020-1088
 Google Playde
Yeni Joker Varyantı

Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Google Playde Yeni Joker Varyantı

Zafiyet Genel Bilgi

Check Point araştırmacıları kısa süre önce Google Play’de Joker casus yazılımlarının yeni bir
varyantını keşfetmiştir. Görünüşte meşru uygulamalarda saklanan Joker’in bu güncellenmiş
sürümünün, kullanıcının bilgi veya rızası olmadan premium hizmetlere abone olan cihaza
kötü amaçlı yazılım indirebildiği gözlemlenmiştir. Joker kötü amaçlı yazılımı, izinleri olmadan
ücretli aboneliklere abone olarak kullanıcılarından para çalmaktadır. Kullanıcının bilgisi
olmadan reklamlarla etkileşimini gizleyerek ödemeleri doğrulamak için kurbanın OTP(tek
seferlik parola) içeren SMS mesajlarını çalmaktadır. Bu, etkilenen kullanıcıların ücretli bir
abonelik hizmetine kaydolduğunu ve kredi kartı ekstreleri belirten bir mesaj veya bildirim
almadıkça paralarının hesaplarından düşüldüğünü bilmeyecekleri anlamına gelmektedir.

Android için en tehlikeli kötü amaçlı yazılım türlerinden biri olan Joker, Google Play’deki
güvenlik engellerini aşmasını sağlayan kodundaki küçük değişikliklerin bir sonucu olarak
Google’ın resmi uygulama pazarına girmeye devam etmektedir. Uygulama, kullanıcıların
bilgisi veya rızası olmadan premium hizmetlere abone olma yeteneğini gerçekleştirmek için
iki ana bileşen kullanmaktadır. Bunlardan ilki, orijinal uygulamanın bir parçası olan Bildirim
Dinleyici Hizmetidir, diğeri ise kaydı gerçekleştirmek için C&C sunucusundan yüklenen
dinamik bir dex (dalvik çalıştırılabilir dosyaları başlatıcı) dosyasıdır. Joker Malware’nin parmak
izini en aza indirgemek için Windows PC’lerde kötü amaçlı yazılım geliştiricileri tarafından
iyi bilinen bir teknik olan dinamik olarak yüklenmiş dex dosyasını gizleyerek yükleme
tekniği kullanılmaktadır. Bu yeni varyant, uygulama içindeki kötü amaçlı dex dosyasını, kodu
çözülmeye ve yüklenmeye hazır biçimdeki Base64 kodlu dizeler olarak gizlemektedir.

Joker kötü amaçlı yazılımından dolayı Play Store’dan kaldırılan uygulamalar aşağıdakileri
içermektedir:

• com.imagecompress. android
• com.relax.relaxation.androidsms
• com.cheery.message.sendsms
• com.peason.lovinglovemessage
• com.contact.withme.texts
• com.hmvoice.friendsms
• com.file.recovefiles
• com.LPlocker.lockapps
• com.remindme.alram
• com.training.memorygame
Etki Alanı
• Android

Önerilen Güvenlik Önlemleri

• Etkilenen uygulamalar cihazınızda yüklü ise cihazınızdan kaldırınız.
• Herhangi bir aboneliğe kaydolup kaydolmadığınızı görmek için mobil ve kredi kartı
faturalarınızı kontrol ediniz.
• Aşağıdaki IOC listesinin bileşenlerini, destekleyen tüm güvenlik ürünlerinde engelleyiniz.

IOC’ler
sha256;

• db43287d1a5ed249c4376ff6eb4a5ae65c63ceade7100229555aebf4a13cebf7
com.imagecompress.android
• d54dd3ccfc4f0ed5fa6f3449f8ddc37a5eff2a176590e627f9be92933da32926
com.contact.withme.texts
• 5ada05f5c6bbabb5474338084565893afa624e0115f494e1c91f48111cbe99f3
com.hmvoice.friendsms
• 2a12084a4195239e67e783888003a6433631359498a6b08941d695c65c05ecc4
com.relax.relaxation.androidsms
• 96f269fa0d70fdb338f0f6cabf9748f6182b44eb1342c7dca2d4de85472bf789
com.cheery.message.sendsms
• 0d9a5dc012078ef41ae9112554cefbc4d88133f1e40a4c4d52decf41b54fc830
com.cheery.message.sendsms
• 2dba603773fee05232a9d21cbf6690c97172496f3bde2b456d687d920b160404
com.peason.lovinglovemessage
• 46a5fb5d44e126bc9758a57e9c80e013cac31b3b57d98eae66e898a264251f47
com.file.recovefiles
• f6c37577afa37d085fb68fe365e1076363821d241fe48be1a27ae5edd2a35c4d
com.LPlocker.lockapps
• 044514ed2aeb7c0f90e7a9daf60c1562dc21114f29276136036d878ce8f652ca
com.remindme.alram
• f90acfa650db3e859a2862033ea1536e2d7a9ff5020b18b19f2b5dfd8dd323b3
com.training.memorygame

Referanslar

https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick/
https://exchange.xforce.ibmcloud.com/collection/Joker-Malware-Variant-Found-in-Google-
Play-ba4faaa26c13edc61b59636c376458a4
 Cisco Talos, Chrome
Güvenlik Açığı Açıklaması

Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Cisco Talos, Chrome Güvenlik Açığı Açıklaması

Zafiyet Genel Bilgi

Cisco Talos yakın zamanda, Google Chrome’daki V8 JavaScript motorunu etkileyen

PDFium’da okunan ve yazılan sınırların ötesinde, uzaktaki bir saldırganın hazırlanmış bir PDF
dosyası aracılığıyla neden olduğu yığın bozulması güvenlik açığının (CVE2020-6458) teknik
ayrıntılarını açıklamıştır. Google Chrome’un içindeki PDFium (chrome tarayıcıda ve diğer
uygulamalarda kullanılan açık kaynaklı bir yazılım) olarak bilinen PDF oluşturucu, bir saldırgan
tarafından kullanılabilecek bir bellek bozulması güvenlik açığı içermektedir. Bu yazılım,
PDF’lerin içine gömülü Javascript kullanımını destekler niteliktedir ve diğer özel hazırlanmış
belgeler uygulamanın belleğini bozabilmektedir ve bir saldırganın tarayıcı içinde rastgele
kod çalıştırmasına izin vermektedir. Uygulama ile ilişkili ayrıcalıklara bağlı olarak, bir saldırgan
program yükleme, verileri görüntüleme, değiştirme, silme; veya tam kullanıcı haklarına sahip
yeni hesaplar oluşturabilme yeteneklerine sahip olmaktadır. Ayrıca bu güvenlik açığının
tetiklenmesi için kötü amaçlı bir web sayfasının veya belgenin açılması gerekmektedir.

Google Chrome’un önemli bir bileşeni olan ve temel olarak çeşitli JavaScript komut dosyalarını
işlemekten sorumlu olan V8 motoru, veri işlerken önce veri türünü belirleyip daha sonra
hedeflenen işlemi gerçekleştirmektedir. Ancak bazı araştırmacılar V8 motorunun bazen
veri türünü yanlış tanımlayabildiğini bulmuşlardır. Bir saldırgan hedeflenen veriyi üretip
gizlediğinde, V8 motorunu kandırabilmektedir ve ilgili verileri işlerken V8 motoru bir bellek
mantığı hatasıyla karşılaştığında çökmektedir. Bu noktada, saldırgan kullanıcının güvenliğini
tehdit etmek için rastgele kod yürütebilmektedir.

Bu, Google’ın yüksek riskli bir güvenlik açığı olarak değerlendirdiği güvenlik açığıdır.

Önerilen Güvenlik Önlemleri

• Başarılı bir saldırganın etkilerinin azaltılması için tüm yazılımı Least Privilege (en az
ayrıcalık) ile çalıştırınız.
• Güvenilir olmayan web sitelerini ziyaret etmeyiniz veya bilinmeyen, güvenilir olmayan
kaynaklar tarafından sağlanan bağlantıları izlemeyiniz.
• Güvenilir olmayan kaynaklardan gelen e-postalarda veya eklerde bulunan köprü metni
bağlantılarını açmayınız.
• En Az Ayrıcalık İlkesini tüm sistem ve hizmetlerde uygulayınız.
• Ağ trafiğinde sömürü girişimlerini algılayacak SNORT kurallarından 53599 ve 53600 ‘u
uygulayınız.
Ek Bilgiler
Etkilenen Sistemler

• Google Chrome 80.0.3987.158

İlgili İşletim Sistem ve Versiyonları

• iOS, Android, Windows, macOS, Linux

Referanslar

https://blog.talosintelligence.com/2020/07/vuln-spotlightchrome-pdfium-corruption-
july-2020.html

https://talosintelligence.com/vulnerability_reports/TALOS2020-1044
 SIGRed Windows
DNS Server Zafiyeti

Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
SIGRed Windows DNS Server Zafiyeti

Zafiyet Genel Bilgi

Microsoft, yakın zamanda Windows Server 2003 ve 2019’a kadar olan işletim sistemlerini
etkileyen kritik güvenlik zafiyetine ilişkin açıklama yapmıştır. CVSS önem derecesi 10.0
olan bu zafiyet için CVE-2020-1350 kodu kullanılmıştır. CVSS 10.0 ile en yüksek skor alan
zafiyetlerden birisi olması nedeni ile hızlıca kapatılması önerilmektedir. Hedef sistemlerde
kimlik doğrulaması gerekmeyen ve uzaktan kod çalıştırılmasına (RCE) neden olan zafiyetin
sunucular üzerinde “Domain Admin” ayrıcalığı kazanması mümkün olmaktadır ve bir kurumun
tüm teknoloji altyapısı siber tehdit aktörleri tarafından ele geçirilebilmektedir.

SigRed adı verilen kritik zafiyet için saldırgan, Windows DNS sunucusunu hedef alarak
zararlı DNS sorguları gönderebilmekte ve sistemde rastgele kod çalıştırarak ağ trafiğini
yakalayabilmektedir. Check Point araştırmacıları tarafından tespit edilen kritik zafiyetlere
ilişkin hedef sistemlerde DNS yanıtlarının arabellek taşmasına (buffer-overflow) neden olduğu
açıklanmıştır. Eğer saldırgan, 64 KB boyutundan daha büyük bir paket gönderirse yığın tabanlı
bir arabellek taşmasını (heap-based buffer overflow) tetikleyerek sunucunun kontolünü ele
geçirebilmektedir. Herhangi bir insan etkileşimi olmadan (oltalama saldırısı gibi) zafiyetin
başarılı bir şekilde sömürülmesi mümkündür. Ayrıca SigRed, Internet Explorer ve Chromium
tabanlı olmayan Microsoft Edge tarayıcıları aracılığıyla da uzaktan tetiklenebilmekte ve bir
saldırganın Windows’u kötüye kullanmasına izin vermektedir. Diğer bir anlatımla, bu zafiyet,
ilgili yama açığı bulunan sunuculara, kötü niyetli kişilerin değiştirilmiş paketler göndermesi ve
Local sistem hesabı üzerinden Domain Admin yetkisine ulaşarak sistemin ele geçirilmesidir.

Önerilen Güvenlik Önlemleri

• Etkilenen Windows DNS sunucularını güncelleştiriniz.
(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350).

• SIGRed riskini azaltmak amacıyla, izin verilen en büyük TCP tabanlı DNS yanıt paketinin
boyutunu kısıtlamak için aşağıdaki kayıt defteri değişikliğini yapınız. Maksimum
uzunluğunu 0xFF00 olarak ayarlamanız önerilir. Daha sonra, registry üzerinden kontrol
etmeyi ve DNS Server servisini yeniden başlatınız.
Ek Bilgiler
Etkilenen Sistemler

• Windows Server Sürümleri (2003-2019 arası tüm sürümler)

Referanslar

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-
17-year-old-bug-in-windows-dns-servers/

https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-
execution-vulnerability

https://gbhackers.com/windows-dns-server/

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350

https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-
17-year-old-bug-in-windows-dns-servers/
Takvim Davetiyeleri İçeren
Kimlik Avı Sahteciliği

Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Takvim Davetiyeleri İçeren Kimlik Avı Sahteciliği

Zafiyet Genel Bilgi

Cofense Kimlik Avı Savunma Merkezi, Proofpoint ve Microsoft tarafından korunan birden çok
kurumsal e-posta ortamında kimlik avı bağlantıları içeren .ics takvimi davet ekleri sağlayan
yeni bir kimlik avı kampanyası ortaya çıkarmıştır.

Birden çok kurumsal e-posta ortamını hedefleyen bu kimlik avı kampanyası, bazıları
görünüşte güvenliği ihlal edilmiş hesaplardan olmak üzere “İleti Merkezinden Sahtekarlık
Tespiti” gibi finansal hizmetlerle ilgili tipik konu satırlarını kullanan e-postalar göndermektedir.
E-postalar alıcıların banka hesabıyla ilgili şüpheli etkinlik bildirir niteliktedir. Cofense Kimlik
Avı Savunma Merkezi, e-postalarda, alıcının açması istenen bir takvim davet dosyası (.ics)
olduğunu bildirmektedir. Davet, bir Sharepoint.com’daki sayfaya bağlantı içermektedir.Bu
sayfada herhangi bir yeri tıklamak, kullanıcıyı Google tarafından barındırılan gerçek kimlik
avı sayfasına yönlendirmektedir.Wells Fargo temalı sayfa,giriş yapmak için kullanıcıların hesap
ayrıntılarını girebilecekleri alanlar sağlayarak kullanıcıların kimlik bilgilerini elde etmektedir.

Önerilen Güvenlik Önlemleri

• Antivirüs yazılımlarınızı güncel tutun.

IOC’ler
• hXXps://mko37372112my[.]sharepoint[.]com/:b:/g/personal/
admin_mko37372112_onmicrosoft_com/ERto2NK
Xu6NKm1rXAVz0DcMB431N0n1QoqmcqDRXnf
• hXXps://storage[.]googleapis[.]com/awells-putlogs-308643420/index[.]html

Ek Bilgiler
Etkilenen Sistemler

• Windows Server Sürümleri (2003-2019 arası tüm sürümler)

Referanslar

https://cofense.com/youre-invited-phishing-links-inside-ics-calendar-attachments/

https://www.spglobal.com/marketintelligence/en/news-insights/podcasts/street-talk-episode-6
 Microsoft Win10 Server
Güvenlik Güncelleştirmeleri

Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.

www.havelsan.com.tr
Microsoft Win10 Server Güvenlik Güncelleştirmeleri

Zafiyet Genel Bilgi

Microsoft Temmuz 2020’de Windows 10 Server için Acil Durum Güvenlik Güncelleştirmeleri
yayınlamıştır. Yamalar, bilgisayar korsanlarının multimedya dosyalarının oynatılmasını
kullanmasına izin veren Windows Codec’lerindeki (Codec bileşenleri dosya veya verideki
dijital sinyalleri kodlayan ve kodları çözen küçük dosyalar) iki ayrı RCE hatasını düzeltir.

Microsoft, Windows Codec Kütüphanesindeki uzaktan kod yürütme hatalarını (RCE bug)
düzeltmek için iki acil durum güvenlik güncelleştirmesini çıkarmıştır.

• CVE-2020-1425, istismar edilirse bir saldırganın rasgele kod yürütmesine izin veren
açıklıktır.

• CVE-2020-1457, kötü niyetli birisinin kullanıcının sisteminden daha fazla ödün verecek
bilgileri almasına izin vermek için kullanılabilen açıklıktır.

Bu güvenlik açıklıkları,uzaktaki bir saldırganın etkilenen sistemin kontrolünü ele geçirmesine

izin verebilir niteliktedir.CVE-2020-1425 Critical-Severity ve CVE-2020-1457 İmportant-
severity açıklıklarını ele alan güncellemeler, 1 Temmuz gecesi Windows Update mekanizması
aracılığıyla değil, Windows Mağazası Uygulaması aracılığıyla gönderilen bir Windows Codec
Kitaplığı güncelleştirmesi yoluyla müşteri sistemlerine dağıtılmıştır. Bu güncellemeler
Windows 10 ve Windows Server 2019’un çeşitli sürümlerini etkilemiştir.

Etki Alanı
• Windows İşletim Sistemleri

Önerilen Güvenlik Önlemleri

• Yayımlanan Güncellemenin Yapılması.

Ek Bilgiler
İlgili İşletim Sistem ve Versiyonları
• Windows 10, Windows Server 2019

Referanslar

https://threatpost.com/microsoft-releases-emergency-securityupdates-for-windows-10-server/157055/
https://www.us-cert.gov/ncas/current-activity/2020/07/01/microsoftreleases-security-
updates-windows-10-windows-server
https://www.forbes.com/sites/daveywinder/2020/07/01/one-largeimage-could-compromise-windows-
10-emergency-security-updateconfirmed-crtitical-microsoft-vulnerability/#42a3d9793e3f
Endüstriyel Ortamlarda
Siber Güvenlik

Abdullah Alphan ERTEN

KALKAN ÜRÜN YÖNETİCİSİ
SİBER GÜVENLİK DİREKTÖRLÜĞÜ

www.havelsan.com.tr
Endüstriyel Ortamlarda Siber Güvenlik

Zafiyet Genel Bilgi

Son beş yıldır, kritik altyapıyı içeren Operasyonel Teknoloji (OT) sistemleri giderek daha fazla
siber saldırılara maruz kalmaktadır. Endüstriyel tesislerde ve üretim ortamlarında kullanılan
kontrol ve telemetri sistemleri Ethernet veya Wi-Fi gibi geleneksel kurumsal BT ağlarına
bağlanmaktadır. Bu arada, cihaz üreticileri Windows, Linux, Android ve VxWorks gibi yaygın
işletim sistemlerinin üzerine OT cihazları ve kontrol sistemleri inşa etmektedirler.

Geleneksel tüketici merkezli bağlı cihazların endüstriyel ve üretim ortamlarına getirilmesi

için bu konuyu birleştirmek gerekir. Örneğin, şu sıralarda Ford, imalat işçilerinin pandemi
etkisini takiben fabrikalara nasıl geri dönebileceklerini düşünmeye başladığında, çalışanlar
birbirinden 1,5 metre daha yakın olduklarında vızıldayan giyilebilir cihazları kullanmak üzere
test etmektedir.

Kontrol sistemleri, kurumsal BT ağlarındaki cihazların güvenliğini tehlikeye atmak için

kullanılan saldırılara karşı savunmasız hale gelebilir. Endüstriyel kontrol sistemlerine (EKS)
ve operasyonel teknolojiler (OT) ortamlarına yapılan son saldırılar, bu tehditlerin hâlihazırda
“WannaCry ve NotPetya” kötü amaçlı yazılımlarının Merck gibi imalat şirketleri üzerinde büyük
etkileri olduğunu ve üretim kesintisi nedeniyle üç ay gibi bir süre zarfında milyonlarca dolarlık
zarara neden olduğunu göstermektedir. Bir diğer örnek, volümetrik WannaCry saldırısına
maruz kaldıktan sonra, dünyanın en büyük nakliye şirketlerinden biri olan Maersk şirketinin,
OT ağıyla iletişimi geçici olarak kaybetmesi ve tüm limanlarla çalışmasını kapatmış olmasıdır.

Başka bir örnek de, dünyanın en büyük alüminyum üreticilerinden biri olan Norsk Hydro’nun
eritme tesislerindeki dijital sistemlerin, LockerGoga fidye yazılımı ile firmaya saldırıldıktan
sonra kapatılmasıdır. Norsk Hydro’nun olay nedeniyle 40 milyon dolardan fazla zarara uğradığı
bildirildi ve alüminyum fiyatları üç ayın en yüksek seviyesine çıktı.

Bu yeni tehditleri azaltmak için, kuruluşların bu ortamları güvence altına almak için iki ana
zorluğu anlamaları ve hem endüstriyel hem de BT ortamlarında bağlı cihazları güvence altına
almak ve yönetmek için güvenlik stratejilerini geliştirmeleri gerektiğini öngörüyoruz.

Bağlı OT Cihazlarına Geleneksel Yöntemler Fayda Etmez

Üretim ve endüstriyel tesislerde artan eğilim, OT cihazlarını doğrudan işletme ağına

bağlamaktır. Ancak asıl zorluklardan biri, bu cihazların genellikle yerleşik güvenliği olmadığı
ve kurumsal güvenlik ekipleri tarafından kullanılan ajanlar gibi geleneksel güvenlik araçlarıyla
korunamayacağıdır. Bu cihazlar başlangıçta kurumsal ağa kurulacak şekilde tasarlanmamıştır,
ancak BT ve OT ağlarının yakınlaşması bunu gerçeğe dönüştürmüştür. Bu aygıtlar aracı yazılımı
çalıştıramadığından, güvenlik ekiplerinin aygıt davranışının anormal veya kötü amaçlı olup
olmadığına ve bir risk gösterebileceğine ilişkin bir görünürlüğü yoktur.

OT Cihazı Güvenlik Açıkları Artıyor

OT cihazları siber saldırganlar için daha erişilebilir hale gelirken, saldırılara karşı da daha
savunmasız hale geliyor. Güvenlik açıklarını açıklayan çok sayıda üreticiyi listeleyen ICS-
CERT’nin tavsiye sayfasına dayanarak, genel güvenlik açığı tavsiyeleri yıldan yıla artmaya
devam etmektedir. 2018’de 2017’ye göre % 25 artışla 204 tavsiye vardı. 2018’de rapor edilen
ICS ile ilgili güvenlik açıklarının yarısından fazlası şiddet seviyesi açısından yüksek puan aldı. Bu
güvenlik açıkları saha cihazlarında, insan-makine arayüz (HMI) sistemlerinde ve mühendislik
iş istasyonu yazılımlarında bulunmaktadır.

2019’da “Urgent11” olarak adlandırılan ve Wind River tarafından VxWorks dahil olmak üzere
yedi ortak gerçek zamanlı işletim sistemini (GİS) etkileyen 11 sıfır-gün güvenlik açığı bulundu.
Milli Muharip Uçak projesi dâhil çok sayıda devasa ölçekli komuta kontrol projesinde GİS
odaklı mimariler olduğunu unutmamamız gerekir.

Bu sistemler SCADA sistemleri, endüstriyel kontrolörler, güvenlik duvarları, yönlendiriciler,

uydu modemler, VoIP telefonlar, yazıcılar ve diğer birçok cihaz tarafından yaygın olarak
kullanılmaktadır. “Urgent11”, saldırganların uzaktan kritik öneme sahip endüstriyel cihazları
sömürmesine hatta devralmasına izin verebilir ve bu da temel işlemlerin maliyetli bir şekilde
kesintiye uğramasına neden olabilir.

OT Güvenliğine Farklı Bir Yaklaşım

Endüstriyel kuruluşlar OT ve BT ortamlarındaki tüm cihazlara özel olarak uyarlanmış bir

güvenlik stratejisine ihtiyaç duyarlar. Bu yaklaşımda, aşağıdaki öğelerle temel araçların ve
süreçlerin daha iyi korunabileceğine inanıyoruz;

Aracısız (Agentless)

SCADA sistemleri, PLC’ler, RTU’lar, HMI’ler ve mühendislik iş istasyonları gibi çoğu OT kurumsal
IoT cihazı güvenlik aracılarını barındıramaz; bu nedenle bir güvenlik stratejisi bu aracılara
güvenmeden çalışabilmelidir.
Pasif
Ağ taramaları veya sorgulamaları kullanan bir güvenlik stratejisi, tesis işlemleri gibi önemli
endüstriyel kontrol işlemlerini etkileyebilecek OT cihazlarını bozabilir ve hatta çökertebilir.
Güçlü bir sistem sadece pasif teknolojileri kullanarak çalışabilmelidir.
Kapsamlı Güvenlik Kontrolleri

Bir OT ortamındaki riskleri azaltmak için tasarlanmış bir güvenlik stratejisi, BT cihazları için
tasarlananlarla aynı sonuçlara sahip olmalıdır. Bu sonuçlar, NIST Siber Güvenlik Çerçevesi
(Cyber Security Framework) veya İnternet Güvenliği Kritik Güvenlik Kontrol (Criticial Security
Controls) Merkezi gibi güvenlik çerçevelerinde listelenmiştir. BT dünyasında, bu genellikle
birkaç farklı güvenlik aracının kullanılmasını gerektirir. OT ortamı için, gerekli güvenlik
kontrollerinin mümkün olduğunca az araç kullanılarak kapsamlı bir şekilde uygulanması arzu
edilmelidir.

Terzi Modeli Cihaz Kapsamı

Kapsamlı bir güvenlik stratejisi, kuruluştaki tüm yönetilen, yönetilmeyen veya endüstriyel
IoT cihazlarını (üretim tabanından yönetici süitine) kapsayacaktır, çünkü birbirine bağlı bir
ortamda, BT’yi kendisiyle birlikte güvenli hale getirmedikçe OT’yi güvence altına alamayız.
Güvenlik platformu, HVAC sistemleri, IP güvenlik kameraları, yangın alarm sistemleri, bina
erişim yönetim sistemleri, anahtarlar, güvenlik duvarları, kablosuz erişim noktaları gibi işletme
için ortak olan diğer cihazlarla birlikte her türlü endüstriyel kontrol sistemi markası için ayrı
ayrı ele alınmalıdır.

Terzi Modeli İletişim Kapsamı

Strateji, Ethernet, Wi-Fi, Bluetooth, BLE ve muhtemelen Zigbee gibi diğer kablosuz protokoller
dâhil olmak üzere bir siber saldırıda kullanılabilecek tüm iletişim yollarını doğrudan
izleyebilmelidir. Kablosuz kapsama alanı önemlidir, çünkü saldırganlar OT’nin güvenliğini
bozmadan herhangi bir kullanıcı etkileşimi olmadan BlueBorne, KRACK ve Broadpwn gibi
güvenlik açıklarından yararlanabilirler.

OT cihazlarını giderek artan bir siber saldırı ve güvenlik açıkları listesinden korumak birçok
zorluğu beraberinde getirir, ancak doğru araçlarla desteklenen doğru odaklamayla sonuç
elde edilebilir. Açık olan, sanayi ve üretim kuruluşlarının OT cihazlarının geleneksel olmayan
yollarla kullanılmasını sağlamak için geleneksel yöntemlerin kullanılamayacağıdır. Bu temel
cihazlar kurumsal ağlara dâhil edilmeye devam ettikçe, bunların istismar edilmesini önlemek
ve nihayetinde değerli süreçleri bozulma riskiyle karşı karşıya bırakmamak için yeni bir
yaklaşım kullanılmalıdır.
www.havelsan.com.tr