Professional Documents
Culture Documents
Havelsan Siber Guvenlik Bulteni Temmuz 2020
Havelsan Siber Guvenlik Bulteni Temmuz 2020
GÜVENLİK
BÜLTENİ
TEMMUZ 2020
www.havelsan.com.tr
DLL Hijacking in
Windows 10
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
DLL Hijacking in Windows 10
DLL Hijacking (dinamik link kütüphanesi ele geçirme) kullanılarak, İngiltere merkezli bir
güvenlik araştırmacısı, System32 klasöründe bulunan yaklaşık 300 çalıştırılabilir dosyanın
saldırıya açık olduğunu tespit etmiştir.
DLL ele geçirme, bir saldırgan meşru bir Windows çalıştırılabilir dosyanın rasgele bir DLL
yüklemesine neden olduğunda oluşmaktadır. Basit bir VBScript(Visual Basic Script),
kullanıcıların yönetici ayrıcalıkları kazanmasına ve UAC’yi (kullanıcı hesabı denetimini)
tamamen Windows 10’da atlamasına izin vermek için yeterli olmaktadır. DLL Hijacking
saldırıları; keyfi kod çalıştırma, ayrıcalık yükseltme ve hedef sistemde kalıcılık gibi yetenekler
sağlayarak sistemi saldırıya açık hale getirmektedir.
Referanslar
https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows
https://twitter.com/Wietze/status/1274981031536398336
Facebook Şifrelerini Çalan
25 Uygulama
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
Facebook Şifrelerini Çalan 25 Uygulama
Adım sayar, fotoğraf düzenleme, video düzenleme, duvar kağıdı, el feneri, dosya yöneticileri
ve mobil oyunlar gibi meşru uygulamaları taklit eden kötü amaçlı uygulamalar, Facebook
kullanıcılarının giriş bilgilerinin çalınmasına neden olan aynı kötü amaçlı kodu paylaşmaktadır.
Bu uygulamalar, kullanıcılara bilgilerinin çalındığını düşündürmeyecek şekilde sorunsuz
çalışmaktadır. Uygulamaya giriş yapmaya çalışırken, uygulama sahte bir Facebook giriş ekranı
açarak kullanıcılar kimlik bilgilerini girdikçe, bilgileri Facebook sunucularında doğrulamak
yerine doğrudan uygulamanın sunucularına iletmektedir.Uygulamaların çoğu 2019 yılında
oluşturulmuş gibi görünmekte olup indirme sayısı 10.000 ile 500.000 arasında değişmektedir.
Bu durum, uygulamaların birçok Facebook kullanıcısının kimlik bilgilerini toplayabilecek
zamanı olduğu anlamına gelmektedir. Google, yılbaşından beri platformundan adware
(reklam yazılımı) veya güvenli olmayan uygulamaları kaldırmaktadır fakat, kötü amaçlı
uygulamalar kaldırmadan önce 2,34 milyondan fazla kez indirilmiştir. Bu saldırı, kitlelere
yönelik bir kimlik avı saldırısı niteliğindedir.
25 uygulamanın tam listesi, adları ve paket kimliği aşağıda listelenmiştir. Google, kötü
amaçlı uygulamaları Google Store’dan kaldırdığında, ayrıca bir kullanıcının cihazlarındaki
uygulamaları da devre dışı bırakıp resmi Play Store uygulamasıyla birlikte verilen Play Protect
hizmeti aracılığıyla kullanıcıları bilgilendirmektedir.
Created
Application Name Package Installs
Date
• Android
Referanslar
https://bitdefender.com.tr/facebook-sifrenizi-calan-25-uygulamaya-dikkat/
StrongPity Watering Hole
Türkiye ve Suriye Saldırısı
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
StrongPity Watering Hole Türkiye ve Suriye Saldırısı
StrongPity hacker grubunun bilinen ilk saldırılarından Ekim 2016’da İtalya ve Belçika’ya yapılan
saldırılarda da “watering hole” taktiği uygulanmış olup Türkiye ve Suriye’ye yapılan bu saldırılarla
aynı yöntemi izlemektedir. WhatsApp, CCleaner, Recuva ve TeamViewer gibi yazılımları
yüklemeye çalışan kullanıcıların bilgisayarlarına kolayca giriş yapılarak bulaştığı bilgisayardaki
dosyaları toplayıp dışarı göndermektedir. Ayrıca Promethium adıyla bilinen grup, bir dizi
popüler yardımcı yazılım programı sunan birçok sahte web sitesi işletmektedir. Bu sitelerde
sunulan araçlar; arşivlerin trojanlaştırılmış sürümleri, dosya kurtarma uygulamaları, uzaktan
bağlantı uygulamaları, güvenlik yazılımı olarak en bilinenlerden 7-zip, WinRAR arşivleyici,
McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp, Piriform CCleaner, CleverFiles
Disk Drill, DAEMON Tools Lite, Glary Utilities ve RAR Password Unlocker uygulamalarıdır.
IOC’ler
Domain/URL;
IMPHASH (Import Hashing);
• 7e5ef0f67c9691533818d048499b5083
• 8abe3681c11e209ff85599f5e699bd77
• b996e2c3977a7044670484c0428d059e
• 40972f3608f18dcf148832b47c7524d6
• 5fa2da673f6659ad061ecc63793cb430
• 90570395bfeb43df5c7a271296b7c409
• b8a776afbe9999cb74349d365654ecec
• 8263eabf0c88e0ff484d4b184535386e
• 19aab448aea5b08b156c7070cd50e863
• 511f4e5cf1e4bf26001be1cad53c9833
• 5f832e44f10de876e667dbfbcb653ef9
• 3e412aae37cfc3cdd7732c914db43671
MD5;
• e43d847aeda31ddd94fec050f4e887a9
• 4f6d3ef07f3cbeb61d038f339440c32c
• dd0cdbf78966a41e064daf490f95ceaa
• 0a3c01ccd948ec12d75cb591ab320887
• c5c5a751c63ef4cdd6bfd34780068f00
• b7677e42852e9b8a3857476fda540224
• 73faf13cbf33e00d730a6b9a00cb277e
• 900d937455c62807fb4b0b0000142d37
• 2d0f3620bbea500e7cfab2f28fb10e9b
• 05e373b594b9995dbc876fba21e1a082
• d4057c628387f461b15ec7ad78de6ca1
• faa1ba96a35259af5cdaf48ea76ad984
• 06752c080a5c00baf971243be65a49b8
• 476e0ed5ba666132ef574f47d7d6b511
• 32a2b332fed353408e2d3b13af6ebfba
• 6dc0a580fad115a741ff6779ffbf3569
• be6f2a03dfddbaf1166854730961d13c
• 08d971f5f4707ae6ea56ed2f243c38b7
• 5f8dd1a37ad2b36b178777d6bbf8a35b
• fa90508007b94a4dbfeb8b48d5443ec8
• f36e67109ae368c9db109d0a41b5817c
• f344da38958dbc730ddebc10660cd451
• e80d8a0c35133f7485d8e87ade903919
• e436e849d9496ef3f651c1904786c78f
• df0045bd4168893922480f7ccb29860a
• d7ec065cc3f563928504f80692578d2f
• be8a344487bcfea66de8e0f0f14d869e
• a5ae6e0d74052d4f889f2538fdd7cb9b
• 2041cc8de9dab93b44434d7f748c63ad
SHA1;
• 63ba0b08a52e881ff82862853e45bd572853093c
• 908342c749f8c5970e5c6a57be16057ac69a31c6
• 526e1892c2e72ac6b431975da3f8fc989c9ce751
• 6025590495f99bdd12afe9227ec6dcb6b7a68ebe
• d7cfa28a32c2949f091d7193991f394010f1ecd8
• f328c56c052b6ce1e742d4135df03b8c2e780646
• 43a147b085c305f0cce9fe9a332e645e3cce8de1
• 6ba2eea1ff76f8efda8555b7597a629f54b6b276
• 5900eaec5c34a96bbddcb4fb52c5eb852aa4340c
• 9626caac889c062f55b43475484870d5e6751cee
• 368fcaaad87f28e2ab2552dc47b701f3b49b02c0
• 9302b21b03b452007fab6f62adc0d703edc0f81f
• 33c77f4e017fce4fc25809433b58dce27e2f8bfc
• 6a8d2aa39dcf9dd90dd2c4fa11e1bc3a485fff91
• 4540f094d76c5165c7edc0a4c9479cd69888ba2c
• e554db589ba7ec2dc33218949922ac65a07f1e42
• f8009ef802a28c2e21bce76b31094ed4a16e70d6
• e17b5e71d26b2518871c73e8b1459e85fb922814
• a0437a2c8c50b8748ca3344c38bc80279779add7
• 76fc68607a608018277afa74ee09d5053623ff36
• 87a38a8c357f549b695541d603de30073035043d
• 8b33b11991e1e94b7a1b03d6fb20541c012be0e3
• 9f2d9d2131eff6220abaf97e2acd1bbb5c66f4e0
• eb4e1e24712d9d1f495f7464ff162d2c0aace91a
• 0f22427a5229a89ea2ce134cf6e42d6bfe782aa9
• 76826cc65a8c9f72ddeb9b850a5701b185a5de29
• 17e8293634723da61b2ce78a028097476e51ff00
• 7047ed9ae510377f4625db256e52af02694ef153
SHA256;
• 79f02a935266a6a8322dec44c7007f7a148d4327f99b3251cba23625de5d5d5e
• 55e83292bd9a1f843639bfb98648a40b931a9829d62e6b23904034c417ffa430
• 2b62a469fa9737dabc52840a741a7d71c86c74bd6909c30cb481e2d66e0df75e
• 6f0b9fdc7edf43a9d1262263320e623a7e2b349f54185491262fe5184413222f
• b1916e7de11e87fa45c222d0532955e781f6695ae0ee15775894d3b3aa72ba98
• 11849a6fcb76267676532422db4e9bf4f5c8c525fea0d950f844736bedb8b53e
• 2c3b3c085b3992ab105bbc4696391f4f81374c54bb8966e53d2b2de8b7648681
• 92ff23ab81cc20c4916441547745f336cf612c21a049cdcbb01f11d83a40979e
• d77901484e91445d8d11b82ff487b9e56b48930fe3086e5858ea754e9f490c1f
• 2ee74ceaa5964cf223aefb3cf4e0c25ea96c7d4bc0eba48439716e763d2f3837
• 91e20fb663b1809279666fb1e7ef7bd8da42ae51e0c05b51515ba851e2a991ac
• c2c333a5f46eb5894f05f3323ab8aea87b3c2e9ba0221c28dcf46b0842592ac6
• 5b5b0a0ff8e5bdf11657e0134a638a818e31af9517e5feffea247eaa2660ee23
• 521c43c7c01eeb68b2bbb3daaad376d3902a264820e016bb5dd6738e842f331c
• 33eb8f1175416cfbe7aa1490232f5af0ff92b981609634033af0598ce16e4a68
• 821c643002e1eed1a5bc7cb3d15be6df5f7a4b9cb4c938d0008827a3cc29b0b0
• 462e85023952d23b74d697911653604b40497424e7a6fe505366addae6c375f7
• 57da6fa244402a7fe5d4f8f8abf2acbc08db3817faee93dd8ccdc8a2a3554245
• 0ef8d249a2e8cb096b69c7f2cae46a073681bd43fcabc9c50eb5df454c71baea
• 2d3151aaa1467d92a783e76dbfe65adb6d7d5d896d9daeb16e97dd106521654f
• c43ea98bf86791d6f05c21edde4e26eaad2e52fbd7f396bbe9079b41b8fcebfe
• 18c0b5d81afcd601aaf30871c6c3ee0d2f0328bb2381a8a0e34bb60e9862b4cb
• 5ac23fc5e6ab0543da88f1b92327a7b3a644d1eebac8ed4d80d45a8d5d07b994
• 2f98ac11c78ad1b4c5c5c10a88857baf7af43acb9162e8077709db9d563bcf02
Referanslar
https://labs.bitdefender.com/2020/06/strongpity-apt-revealing-trojanized-tools-working-
hours-and-infrastructure/
https://www.bitdefender.com/files/News/CaseStudies/study/353/Bitdefender-Whitepaper-
StrongPity-APT.pdf
https://bitdefender.com.tr/strongpity-hacker-grubu-turkiye-ve-suriyeye-saldiriyor/
https://blog.talosintelligence.com/2020/06/promethium-extends-with-strongpity3.html
https://www.kaspersky.com/about/press-releases/2016_strong-pitys-summer-watering-holes-
trap-a-thousand-users-in-search-of-encryption
Twitter Hacklenmesi
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
Twitter Hacklenmesi
15 Temmuz Çarşamba günü, belirli Twitter çalışanlarına yönelik sosyal mühendislik saldırısıyla
çok sayıda yüksek takipçiye sahip Twitter hesabı hacklenerek bu hesaplardan cryptocurrency
scams(kripto para dolandırıcılığı) tekniği olan ve belirtilen bitcoin cüzdanının adresine
yapılan ödemelerin miktarının iki katına çıkarılıp geri ödeneceği iddiasıyla sanal para birimi
Bitcoin istenmiştir.Saldırganlar, az sayıda çalışanı başarıyla manipüle edip çalışanların kimlik
bilgilerini Twitter’ın dahili sistemlerine erişmek için kullanmışlardır.Saldırganların,Twitter
hesaplarına sızmak için yalnızca Twitter Dahili Destek ekipleri tarafından kullanılabilen araçlara
eriştikleri bilinmektedir.Twitter tarafından yapılan açıklamaya göre şuana kadar 130 hesabın
ele geçirildiği bildirilmiştir.Bu hesapların da 45’inde saldırganların şifre sıfırlama,hesaba giriş
yapabilme ve tweet gönderebilme yetkilerinin olduğu gözlemlenmiştir.Ayrıca en az 8 hesabın
da direct mesajlar dahil önemli kişisel bilgilerinin de “Your Twitter Data(Twitter Verileriniz)” adlı
araç üzerinden ele geçirilmiş olabileceği açıklanmıştır.Twitter tarafından yapılan incelemelere
göre, saldırganların bazı kullanıcı adlarını satmaya çalıştıkları da düşünülmektedir.
Barack Obama, Joe Biden, Jeff Bezos, Bill Gates, Wiz Khalifa, Warren Buffett, Mike Bloomberg,
Kim Kardashian, Kanye West, Elon Musk ve daha fazla kişinin ve Apple,Uber gibi dev firmaların
resmi Twitter hesapları ele geçirilmiş ve bu hesaplar üzerinden kripto para birimi olan bitcoin
istenilerek “Adresime gönderilen tüm Bitcoin ödelemerini iki katına çıkarıyorum” paylaşımları
yapılmıştır. Saldırıların ana hedefinin hesap sahipleri değil, bu hesapları takip eden milyonlarca
kişi olduğu tespit edilmiştir. Saldırının başarılı olduğu ise paylaşımdaki linke tıklayan kişilerin
şu ana kadar 110 bin dolar göndermesi olarak gösterilmektedir. Bill Gates ve Elon Musk’ın ele
geçirilen Twitter hesaplarından bitcoin adresi ile birlikte “yalnızca 30 dakika içerisinde 1000
dolar gönderilmesi karşılığında 2000 dolar geri gönderileceği” ve “Musk’ın Covid-19 nedeniyle
kendini cömert hissettiği ve önümüzdeki bir saat içerisinde hesabına gönderilen bitcoinleri
ikiye katlayacağı” paylaşımları yapılmıştır.
Etki Alanı
• Twitter kullanıcıları
• Twitter ve Facebook gibi sosyal medya hesaplarından gelen bitcoin tekliflerine (teklifler
gerçek olamayacak kadar iyiyse özellikle) güvenmeyiniz.
• Güvenilir olmayan ve bilinmeyen bağlantıları tıklamayınız.
Referanslar
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.
html
https://exchange.xforce.ibmcloud.com/collection/High-Profile-Twitter-Users-Hacked-362cdd
ee33b79e472a81616922e20002
https://blog.checkpoint.com/2020/07/16/twitter-platform-compromise/
Cisco Talos, Firefox Güvenlik
Açığı Teknik Ayrıntılarının
Açıklaması
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
Cisco Talos, Firefox Güvenlik Açığı Teknik Ayrıntılarının Açıklaması
• Mozilla Firefox Nightly Sürüm 78.0a1 x64 ve Firefox Sürüm 76.0.2x64’ün URL
mPath(multipath) işlevselliği ile ilgili bir güvenlik açığı olan CVE-202012418 güvenlik
açığıyla ilgili teknik ayrıntılar verilmiştir.
• Mozilla, Firefox 78’in piyasaya sürülmesiyle birlikte diğer güvenlik açıklarıyla beraber bu
sorunu düzeltmiştir.
Ek Bilgiler
Etkilenen Sistemler
Referanslar
https://blog.talosintelligence.com/2020/07/vuln-spotlightfirefox-information-leak-july-2020.html
https://talosintelligence.com/vulnerability_reports/TALOS2020-1088
Google Playde
Yeni Joker Varyantı
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
Google Playde Yeni Joker Varyantı
Check Point araştırmacıları kısa süre önce Google Play’de Joker casus yazılımlarının yeni bir
varyantını keşfetmiştir. Görünüşte meşru uygulamalarda saklanan Joker’in bu güncellenmiş
sürümünün, kullanıcının bilgi veya rızası olmadan premium hizmetlere abone olan cihaza
kötü amaçlı yazılım indirebildiği gözlemlenmiştir. Joker kötü amaçlı yazılımı, izinleri olmadan
ücretli aboneliklere abone olarak kullanıcılarından para çalmaktadır. Kullanıcının bilgisi
olmadan reklamlarla etkileşimini gizleyerek ödemeleri doğrulamak için kurbanın OTP(tek
seferlik parola) içeren SMS mesajlarını çalmaktadır. Bu, etkilenen kullanıcıların ücretli bir
abonelik hizmetine kaydolduğunu ve kredi kartı ekstreleri belirten bir mesaj veya bildirim
almadıkça paralarının hesaplarından düşüldüğünü bilmeyecekleri anlamına gelmektedir.
Android için en tehlikeli kötü amaçlı yazılım türlerinden biri olan Joker, Google Play’deki
güvenlik engellerini aşmasını sağlayan kodundaki küçük değişikliklerin bir sonucu olarak
Google’ın resmi uygulama pazarına girmeye devam etmektedir. Uygulama, kullanıcıların
bilgisi veya rızası olmadan premium hizmetlere abone olma yeteneğini gerçekleştirmek için
iki ana bileşen kullanmaktadır. Bunlardan ilki, orijinal uygulamanın bir parçası olan Bildirim
Dinleyici Hizmetidir, diğeri ise kaydı gerçekleştirmek için C&C sunucusundan yüklenen
dinamik bir dex (dalvik çalıştırılabilir dosyaları başlatıcı) dosyasıdır. Joker Malware’nin parmak
izini en aza indirgemek için Windows PC’lerde kötü amaçlı yazılım geliştiricileri tarafından
iyi bilinen bir teknik olan dinamik olarak yüklenmiş dex dosyasını gizleyerek yükleme
tekniği kullanılmaktadır. Bu yeni varyant, uygulama içindeki kötü amaçlı dex dosyasını, kodu
çözülmeye ve yüklenmeye hazır biçimdeki Base64 kodlu dizeler olarak gizlemektedir.
Joker kötü amaçlı yazılımından dolayı Play Store’dan kaldırılan uygulamalar aşağıdakileri
içermektedir:
• com.imagecompress. android
• com.relax.relaxation.androidsms
• com.cheery.message.sendsms
• com.peason.lovinglovemessage
• com.contact.withme.texts
• com.hmvoice.friendsms
• com.file.recovefiles
• com.LPlocker.lockapps
• com.remindme.alram
• com.training.memorygame
Etki Alanı
• Android
IOC’ler
sha256;
• db43287d1a5ed249c4376ff6eb4a5ae65c63ceade7100229555aebf4a13cebf7
com.imagecompress.android
• d54dd3ccfc4f0ed5fa6f3449f8ddc37a5eff2a176590e627f9be92933da32926
com.contact.withme.texts
• 5ada05f5c6bbabb5474338084565893afa624e0115f494e1c91f48111cbe99f3
com.hmvoice.friendsms
• 2a12084a4195239e67e783888003a6433631359498a6b08941d695c65c05ecc4
com.relax.relaxation.androidsms
• 96f269fa0d70fdb338f0f6cabf9748f6182b44eb1342c7dca2d4de85472bf789
com.cheery.message.sendsms
• 0d9a5dc012078ef41ae9112554cefbc4d88133f1e40a4c4d52decf41b54fc830
com.cheery.message.sendsms
• 2dba603773fee05232a9d21cbf6690c97172496f3bde2b456d687d920b160404
com.peason.lovinglovemessage
• 46a5fb5d44e126bc9758a57e9c80e013cac31b3b57d98eae66e898a264251f47
com.file.recovefiles
• f6c37577afa37d085fb68fe365e1076363821d241fe48be1a27ae5edd2a35c4d
com.LPlocker.lockapps
• 044514ed2aeb7c0f90e7a9daf60c1562dc21114f29276136036d878ce8f652ca
com.remindme.alram
• f90acfa650db3e859a2862033ea1536e2d7a9ff5020b18b19f2b5dfd8dd323b3
com.training.memorygame
Referanslar
https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick/
https://exchange.xforce.ibmcloud.com/collection/Joker-Malware-Variant-Found-in-Google-
Play-ba4faaa26c13edc61b59636c376458a4
Cisco Talos, Chrome
Güvenlik Açığı Açıklaması
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
Cisco Talos, Chrome Güvenlik Açığı Açıklaması
Google Chrome’un önemli bir bileşeni olan ve temel olarak çeşitli JavaScript komut dosyalarını
işlemekten sorumlu olan V8 motoru, veri işlerken önce veri türünü belirleyip daha sonra
hedeflenen işlemi gerçekleştirmektedir. Ancak bazı araştırmacılar V8 motorunun bazen
veri türünü yanlış tanımlayabildiğini bulmuşlardır. Bir saldırgan hedeflenen veriyi üretip
gizlediğinde, V8 motorunu kandırabilmektedir ve ilgili verileri işlerken V8 motoru bir bellek
mantığı hatasıyla karşılaştığında çökmektedir. Bu noktada, saldırgan kullanıcının güvenliğini
tehdit etmek için rastgele kod yürütebilmektedir.
Bu, Google’ın yüksek riskli bir güvenlik açığı olarak değerlendirdiği güvenlik açığıdır.
Referanslar
https://blog.talosintelligence.com/2020/07/vuln-spotlightchrome-pdfium-corruption-
july-2020.html
https://talosintelligence.com/vulnerability_reports/TALOS2020-1044
SIGRed Windows
DNS Server Zafiyeti
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
SIGRed Windows DNS Server Zafiyeti
Microsoft, yakın zamanda Windows Server 2003 ve 2019’a kadar olan işletim sistemlerini
etkileyen kritik güvenlik zafiyetine ilişkin açıklama yapmıştır. CVSS önem derecesi 10.0
olan bu zafiyet için CVE-2020-1350 kodu kullanılmıştır. CVSS 10.0 ile en yüksek skor alan
zafiyetlerden birisi olması nedeni ile hızlıca kapatılması önerilmektedir. Hedef sistemlerde
kimlik doğrulaması gerekmeyen ve uzaktan kod çalıştırılmasına (RCE) neden olan zafiyetin
sunucular üzerinde “Domain Admin” ayrıcalığı kazanması mümkün olmaktadır ve bir kurumun
tüm teknoloji altyapısı siber tehdit aktörleri tarafından ele geçirilebilmektedir.
SigRed adı verilen kritik zafiyet için saldırgan, Windows DNS sunucusunu hedef alarak
zararlı DNS sorguları gönderebilmekte ve sistemde rastgele kod çalıştırarak ağ trafiğini
yakalayabilmektedir. Check Point araştırmacıları tarafından tespit edilen kritik zafiyetlere
ilişkin hedef sistemlerde DNS yanıtlarının arabellek taşmasına (buffer-overflow) neden olduğu
açıklanmıştır. Eğer saldırgan, 64 KB boyutundan daha büyük bir paket gönderirse yığın tabanlı
bir arabellek taşmasını (heap-based buffer overflow) tetikleyerek sunucunun kontolünü ele
geçirebilmektedir. Herhangi bir insan etkileşimi olmadan (oltalama saldırısı gibi) zafiyetin
başarılı bir şekilde sömürülmesi mümkündür. Ayrıca SigRed, Internet Explorer ve Chromium
tabanlı olmayan Microsoft Edge tarayıcıları aracılığıyla da uzaktan tetiklenebilmekte ve bir
saldırganın Windows’u kötüye kullanmasına izin vermektedir. Diğer bir anlatımla, bu zafiyet,
ilgili yama açığı bulunan sunuculara, kötü niyetli kişilerin değiştirilmiş paketler göndermesi ve
Local sistem hesabı üzerinden Domain Admin yetkisine ulaşarak sistemin ele geçirilmesidir.
• SIGRed riskini azaltmak amacıyla, izin verilen en büyük TCP tabanlı DNS yanıt paketinin
boyutunu kısıtlamak için aşağıdaki kayıt defteri değişikliğini yapınız. Maksimum
uzunluğunu 0xFF00 olarak ayarlamanız önerilir. Daha sonra, registry üzerinden kontrol
etmeyi ve DNS Server servisini yeniden başlatınız.
Ek Bilgiler
Etkilenen Sistemler
Referanslar
https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-
17-year-old-bug-in-windows-dns-servers/
https://support.microsoft.com/en-us/help/4569509/windows-dns-server-remote-code-
execution-vulnerability
https://gbhackers.com/windows-dns-server/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
https://research.checkpoint.com/2020/resolving-your-way-into-domain-admin:-exploiting-a-
17-year-old-bug-in-windows-dns-servers/
Takvim Davetiyeleri İçeren
Kimlik Avı Sahteciliği
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
Takvim Davetiyeleri İçeren Kimlik Avı Sahteciliği
Birden çok kurumsal e-posta ortamını hedefleyen bu kimlik avı kampanyası, bazıları
görünüşte güvenliği ihlal edilmiş hesaplardan olmak üzere “İleti Merkezinden Sahtekarlık
Tespiti” gibi finansal hizmetlerle ilgili tipik konu satırlarını kullanan e-postalar göndermektedir.
E-postalar alıcıların banka hesabıyla ilgili şüpheli etkinlik bildirir niteliktedir. Cofense Kimlik
Avı Savunma Merkezi, e-postalarda, alıcının açması istenen bir takvim davet dosyası (.ics)
olduğunu bildirmektedir. Davet, bir Sharepoint.com’daki sayfaya bağlantı içermektedir.Bu
sayfada herhangi bir yeri tıklamak, kullanıcıyı Google tarafından barındırılan gerçek kimlik
avı sayfasına yönlendirmektedir.Wells Fargo temalı sayfa,giriş yapmak için kullanıcıların hesap
ayrıntılarını girebilecekleri alanlar sağlayarak kullanıcıların kimlik bilgilerini elde etmektedir.
IOC’ler
• hXXps://mko37372112my[.]sharepoint[.]com/:b:/g/personal/
admin_mko37372112_onmicrosoft_com/ERto2NK
Xu6NKm1rXAVz0DcMB431N0n1QoqmcqDRXnf
• hXXps://storage[.]googleapis[.]com/awells-putlogs-308643420/index[.]html
Ek Bilgiler
Etkilenen Sistemler
Referanslar
https://cofense.com/youre-invited-phishing-links-inside-ics-calendar-attachments/
https://www.spglobal.com/marketintelligence/en/news-insights/podcasts/street-talk-episode-6
Microsoft Win10 Server
Güvenlik Güncelleştirmeleri
Selen KAYAN
ADAY MÜHENDİS
KURUMSAL HİZMETLER VE EĞİTİM TKM. LİD.
www.havelsan.com.tr
Microsoft Win10 Server Güvenlik Güncelleştirmeleri
Microsoft, Windows Codec Kütüphanesindeki uzaktan kod yürütme hatalarını (RCE bug)
düzeltmek için iki acil durum güvenlik güncelleştirmesini çıkarmıştır.
• CVE-2020-1425, istismar edilirse bir saldırganın rasgele kod yürütmesine izin veren
açıklıktır.
• CVE-2020-1457, kötü niyetli birisinin kullanıcının sisteminden daha fazla ödün verecek
bilgileri almasına izin vermek için kullanılabilen açıklıktır.
Etki Alanı
• Windows İşletim Sistemleri
Ek Bilgiler
İlgili İşletim Sistem ve Versiyonları
• Windows 10, Windows Server 2019
Referanslar
https://threatpost.com/microsoft-releases-emergency-securityupdates-for-windows-10-server/157055/
https://www.us-cert.gov/ncas/current-activity/2020/07/01/microsoftreleases-security-
updates-windows-10-windows-server
https://www.forbes.com/sites/daveywinder/2020/07/01/one-largeimage-could-compromise-windows-
10-emergency-security-updateconfirmed-crtitical-microsoft-vulnerability/#42a3d9793e3f
Endüstriyel Ortamlarda
Siber Güvenlik
www.havelsan.com.tr
Endüstriyel Ortamlarda Siber Güvenlik
Son beş yıldır, kritik altyapıyı içeren Operasyonel Teknoloji (OT) sistemleri giderek daha fazla
siber saldırılara maruz kalmaktadır. Endüstriyel tesislerde ve üretim ortamlarında kullanılan
kontrol ve telemetri sistemleri Ethernet veya Wi-Fi gibi geleneksel kurumsal BT ağlarına
bağlanmaktadır. Bu arada, cihaz üreticileri Windows, Linux, Android ve VxWorks gibi yaygın
işletim sistemlerinin üzerine OT cihazları ve kontrol sistemleri inşa etmektedirler.
Başka bir örnek de, dünyanın en büyük alüminyum üreticilerinden biri olan Norsk Hydro’nun
eritme tesislerindeki dijital sistemlerin, LockerGoga fidye yazılımı ile firmaya saldırıldıktan
sonra kapatılmasıdır. Norsk Hydro’nun olay nedeniyle 40 milyon dolardan fazla zarara uğradığı
bildirildi ve alüminyum fiyatları üç ayın en yüksek seviyesine çıktı.
Bu yeni tehditleri azaltmak için, kuruluşların bu ortamları güvence altına almak için iki ana
zorluğu anlamaları ve hem endüstriyel hem de BT ortamlarında bağlı cihazları güvence altına
almak ve yönetmek için güvenlik stratejilerini geliştirmeleri gerektiğini öngörüyoruz.
OT cihazları siber saldırganlar için daha erişilebilir hale gelirken, saldırılara karşı da daha
savunmasız hale geliyor. Güvenlik açıklarını açıklayan çok sayıda üreticiyi listeleyen ICS-
CERT’nin tavsiye sayfasına dayanarak, genel güvenlik açığı tavsiyeleri yıldan yıla artmaya
devam etmektedir. 2018’de 2017’ye göre % 25 artışla 204 tavsiye vardı. 2018’de rapor edilen
ICS ile ilgili güvenlik açıklarının yarısından fazlası şiddet seviyesi açısından yüksek puan aldı. Bu
güvenlik açıkları saha cihazlarında, insan-makine arayüz (HMI) sistemlerinde ve mühendislik
iş istasyonu yazılımlarında bulunmaktadır.
2019’da “Urgent11” olarak adlandırılan ve Wind River tarafından VxWorks dahil olmak üzere
yedi ortak gerçek zamanlı işletim sistemini (GİS) etkileyen 11 sıfır-gün güvenlik açığı bulundu.
Milli Muharip Uçak projesi dâhil çok sayıda devasa ölçekli komuta kontrol projesinde GİS
odaklı mimariler olduğunu unutmamamız gerekir.
Aracısız (Agentless)
SCADA sistemleri, PLC’ler, RTU’lar, HMI’ler ve mühendislik iş istasyonları gibi çoğu OT kurumsal
IoT cihazı güvenlik aracılarını barındıramaz; bu nedenle bir güvenlik stratejisi bu aracılara
güvenmeden çalışabilmelidir.
Pasif
Ağ taramaları veya sorgulamaları kullanan bir güvenlik stratejisi, tesis işlemleri gibi önemli
endüstriyel kontrol işlemlerini etkileyebilecek OT cihazlarını bozabilir ve hatta çökertebilir.
Güçlü bir sistem sadece pasif teknolojileri kullanarak çalışabilmelidir.
Kapsamlı Güvenlik Kontrolleri
Bir OT ortamındaki riskleri azaltmak için tasarlanmış bir güvenlik stratejisi, BT cihazları için
tasarlananlarla aynı sonuçlara sahip olmalıdır. Bu sonuçlar, NIST Siber Güvenlik Çerçevesi
(Cyber Security Framework) veya İnternet Güvenliği Kritik Güvenlik Kontrol (Criticial Security
Controls) Merkezi gibi güvenlik çerçevelerinde listelenmiştir. BT dünyasında, bu genellikle
birkaç farklı güvenlik aracının kullanılmasını gerektirir. OT ortamı için, gerekli güvenlik
kontrollerinin mümkün olduğunca az araç kullanılarak kapsamlı bir şekilde uygulanması arzu
edilmelidir.
Kapsamlı bir güvenlik stratejisi, kuruluştaki tüm yönetilen, yönetilmeyen veya endüstriyel
IoT cihazlarını (üretim tabanından yönetici süitine) kapsayacaktır, çünkü birbirine bağlı bir
ortamda, BT’yi kendisiyle birlikte güvenli hale getirmedikçe OT’yi güvence altına alamayız.
Güvenlik platformu, HVAC sistemleri, IP güvenlik kameraları, yangın alarm sistemleri, bina
erişim yönetim sistemleri, anahtarlar, güvenlik duvarları, kablosuz erişim noktaları gibi işletme
için ortak olan diğer cihazlarla birlikte her türlü endüstriyel kontrol sistemi markası için ayrı
ayrı ele alınmalıdır.
Strateji, Ethernet, Wi-Fi, Bluetooth, BLE ve muhtemelen Zigbee gibi diğer kablosuz protokoller
dâhil olmak üzere bir siber saldırıda kullanılabilecek tüm iletişim yollarını doğrudan
izleyebilmelidir. Kablosuz kapsama alanı önemlidir, çünkü saldırganlar OT’nin güvenliğini
bozmadan herhangi bir kullanıcı etkileşimi olmadan BlueBorne, KRACK ve Broadpwn gibi
güvenlik açıklarından yararlanabilirler.
OT cihazlarını giderek artan bir siber saldırı ve güvenlik açıkları listesinden korumak birçok
zorluğu beraberinde getirir, ancak doğru araçlarla desteklenen doğru odaklamayla sonuç
elde edilebilir. Açık olan, sanayi ve üretim kuruluşlarının OT cihazlarının geleneksel olmayan
yollarla kullanılmasını sağlamak için geleneksel yöntemlerin kullanılamayacağıdır. Bu temel
cihazlar kurumsal ağlara dâhil edilmeye devam ettikçe, bunların istismar edilmesini önlemek
ve nihayetinde değerli süreçleri bozulma riskiyle karşı karşıya bırakmamak için yeni bir
yaklaşım kullanılmalıdır.
www.havelsan.com.tr