Okan KULUNALP

İŞ DENEYİMLERİM

İş Deneyimlerime göz atın
Nisan 2020 - Devam Ediyor

AKBANK

Cyber Security Analyst

CRYPTTECH

Presales Engineer

Haziran 2019 - Nisan 2020
Mart 2019 - Haziran 2019

Beyaz.Net

Network Security Engineer

ETKİNLİK & SERTİFİKA

En son proje çalışmalarımıza göz atın

YETENEKLER

Yeteneklerime göz atın
Linux79%
MYSQL/MSSQL57%
C/Java/ PYTHON65%
Forensic83%
Network76%
Cyber Security85%

REFERANSLAR

Çalıştıgım firmalardan bazıları

EĞİTİMLER

Eğitim ögrenim hayatım
2019

Fırat Üniversitesi

Adli Bilişim Mühendisliği

Ahmet Kabaklı Anadolu Öğretmen Lisesi

2014

BLOG

En son bloglarıma göz atın
  • 16 Aralık 2020, 06:50

        FireEye, merkezi Kaliforniya Milpitas'ta bulunan halka açık bir siber güvenlik şirketidir. Büyük siber saldırıların ...




        FireEye, merkezi Kaliforniya Milpitas'ta bulunan halka açık bir siber güvenlik şirketidir. Büyük siber saldırıların tespiti ve önlenmesinde yer almıştır. Siber güvenlik saldırılarını araştırmak, kötü amaçlı yazılımlara karşı korumak ve BT güvenlik risklerini analiz etmek için donanım, yazılım ve hizmetler sağlar.

    ABD'nin en büyük siber güvenlik şirketlerinden biri olan FireEye Salı günü yaptığı açıklamada, "birinci sınıf yeteneklere" sahip yabancı hükümet korsanlarının ağına girdiğini ve federal, eyalet dahil binlerce müşterisinin savunmasını test etmek için kullandığı araçları çaldığını söyledi.


    Özet

          Bu makalede, olayın etkisini anlamak için FireEye Red Team Ekibi tarafından kullanılan ve hacklenmesi ile bilgisayar korsanlarına kaptırılan 60 aracı ve kullanım analizlerini paylaşacağım. Çalınan araçların% 43'ü, bilinen saldırı tekniklerini kullanan halka açık araçlardır. Araçların %40'ı FireEye tarafından şirket içinde geliştirildiği söyleniyor. 

    FireEye bu araçlar hakkında yeterli ayrıntı paylaşmadığı için çalınan araçların %17'si tespit edilemiyor. İsimlerine göre, bu bilinmeyen araçların çoğunun aynı zamanda halka açık araçların biraz değiştirilmiş sürümleri olduğunu söyleyen araştırmacılar mevcut.
    FireEye ayrıca 16 güvenlik açığının istismarının da çalındığını duyurdu. Ancak bu istismarlar zaten iyi bilindikleri ve çoğu sistem yöneticisi tarafından izlenebilir olduğu için bu güvenlik açıkları ve kötüye kullanımlarının endişe verici olmadığı söylenebilir.


    Bu analizde;

    - FireEye'ın çalınan açık kaynak red team araçları nelerdir?
    - Bu araçların kullanım amaçları ve hedefleri nelerdir?
    - Bu araçlar ile olası saldırılarda önceden hangi güvenlik önelemleri alınmalıdır?
    - SolarWinds Orion Olayı ile bağlantısı Nedir ?
    Sorulanı yanıtlamış olacağız.

     

    Vaka’daki Şüpheliler


    FireEye, APT grupları ve ulus devlet tehdit aktörleri ile savaşan bir siber güvenlik şirketi olan Rus tehdit aktörleriyle sık sık ilişki kuruyor. Washington Post'a göre, APT29 (YTTRIUM, The Dukes, Cozy Bear ve CozyDuke olarak da bilinir) FireEye olayını gerçekleştirdi. Ancak, bunu kanıtlayacak hiçbir kanıt bulunmamaktadır.


    Konu ile ilgili FireEye yetkilileri ve Amerikan basını ise şu şekilde yorum yaptılar;
    "FireEye ihlali CEO Kevin Mandia bir blog yazısında açıkladı. Açıklamada, “red team araçlarının” muhtemelen “devlet destekli” operasyonunun sonucunda çalındığı belirtildi."
    "The New York Times ve The Washington Post, FBI‘ın soruşturmayı Rus uzmanlarına devrettiğini ve saldırının muhtemelen Rusya‘nın SVR Dış İstihbarat Servisi‘ne bağlı devlet destekli hackerlar olan APT29 veya Cozy Bear‘ın işi olduğunu bildirdi."

    Sızdırılan Red Team Araçları


    FireEye, çalınan red team araçlarının ne yaptığıyla ilgili ayrıntıları paylaşmadı. Ama 4 katagoriye ayıracak olursak ;


    - Açık Kaynak Projelerine Dayalı Araçlar: Bu red team araçları, açık kaynak araçların biraz değiştirilmiş sürümleridir.
    - Yerleşik Windows İkili Dosyalarına Dayalı Araçlar: Bu araçlar, LOLBIN'ler (Land Binaries Off The Land Binaries) olarak bilinen yerleşik Windows ikili dosyalarını kullanır.
    - FireEye'nin Red Team için Şirket İçi Geliştirilen Araçlar: Bu araçlar, FireEye'ın Red Team kullanımı için özel olarak geliştirilmiştir.
    - Analiz Edilecek Yeterli Veriye Sahip Olmayan Araçlar: Bu araçları analiz etmek için yeterli veri yok. FireEye tarafından aşağıdaki araçlar için yayınlanan Yara kuralları, aracın ProjectGuid'ine özeldir.

    Aşağıdaki grafik, çalınan red team araçlarının yukarıdaki kategorilere göre dağılımını göstermektedir.

     

     

     

     

     

     

     

    Çalınan İstismarlar

     

     

    Yukarıdaki tabloda FireEye’dan çalınan istismarlar hangi güvenlik açığından yararlandıkları ve etkilenen ürün ile ilgili ayrıntılar bulunmaktadır.

     

     

     

     

     


    Grafiği inceleyip analiz ettiğimizde ve grafik oluşturduğumuz zaman aşağıdaki gibi bir sonuca ulaşmış oluruz.
    Tabloyu ve grafiği tekrar incelediğimizde bu araçların özellikle Windows cihazlarda uzaktan kod çalıştırma ile ilgili olan istismarlar olduğunu anlayabiliriz.

     

    Biz Nasıl Önlem Almalıyız ? FireEye Ne Önlemler Aldı ?


    FireEye çalınan araç ve analizlerin APT grupları tarafından kullanılmasına karşı bir dizi önlem aldıklarını duyurdu. Bunları şöyle;


    * Çalınan Red Team araçlarımızın kullanımını tespit edebilecek veya engelleyebilecek karşı önlemler hazırladık.
    * Güvenlik ürünlerimize karşı önlemler uyguladık.
    * Bu karşı önlemleri, güvenlik araçlarını güncelleyebilmeleri için güvenlik topluluğundaki meslektaşlarımızla paylaşıyoruz.
    * Karşı önlemleri GitHub’ımızda herkese açık hale getiriyoruz .
    * Red Team araçlarına yönelik ek azaltma önlemlerini hem genel olarak hem de doğrudan güvenlik ortaklarımızla paylaşmaya ve geliştirmeye devam edeceğiz.


    Biz ise Blue Team tarafında aşağıdaki önlemleri almalıyız;


    Güvenlik Açıklarını Azaltma : Zafiyet tarama ve izleme araçlarını kullanarak sistemlerinizi yukarıda listelenen güvenlik açıklarına karşı değerlendirin. Henüz geçilmeyen tüm patchleri tamamlayın.
    Şüpheli Aktivitelerin Tespit Edilmesi: FireEye tarafından yayınlanan Yara kurallarını kullanarak sistemlerinizde Compromise Assessment denilen şüpheli aktivite tespitini yürütebilirsiniz. Yara kurallarını kullanmak için, açık kaynaklı bir Yara tarama aracı veya kurumsal ürün kullanabilir ve bunu sistemlerinizdeki uç noktalara dağıtabilir, ardından kuralları ekleyebilir ve sonuçları alabilirsiniz. Üstelik Yara kurallarında yer alan IoC'leri kullanabilir ve bunları SIEM ortamınızda arayabilirsiniz.
    IOC'leri Kullanın: Gelecekteki ilgili tehditleri önlemek ve tespit etmek için, bu raporda verilen IOC'leri EDR ve SIEM gibi güvenlik ürünlerinize ekleyebilirsiniz. Ancak, bu IoC'lerin rakipler tarafından kolayca değiştirilebileceğini de unutmayın.
    Snort Kurallarını Kullanın: Çoğu ağ güvenliği ürünü Snort kurallarını destekler. Güvenlik cihazlarınıza yayınlanmış Snort kurallarını ekleyebilirsiniz . Zaten Snort kullanıyorsanız, mevcut kuralların güncel olup olmadığını kontrol edebilirsiniz.
    Güvenlik Ürünlerinizi Güncelleyin: Güvenlik ürünü üreticileri, çalınan araçlara karşı önlemler içeren yeni imzalar ve kural kümeleri yayınlıyor. Güvenlik ürünlerinizi ve bunların kurallarını ve imza setlerini güncelleyin.

     

    Sızdırılan Açık Kaynaklı Projelere Dayalı Araçlar


    Bu red team araçları, açık kaynaklı araçların FireEye tarafından değiştirilerek veya tamamen aynı olarak kullanılan sürümleridir.


    1. ADPassHunt
    Active Directory kimlik bilgilerini arayan bir kimlik bilgisi hırsızlık aracıdır. Bu aracın YARA kuralında iki dikkate değer dize vardır. Bunlar:
    - Get-GPPPasswords
    - Get-GPPAutologons
    Get-GPPPassword, Grup İlkesi Tercihleri ​​(GPP) aracılığıyla gönderilen hesaplar için düz metin parolasını ve diğer bilgileri alabilen bir PowerShell betiğidir.
    Get-GPPAutologons, GPP üzerinden gönderilen Autologon girişlerinden parolaları alan başka bir PowerShell betiğidir.
    Bu komut dosyaları, PowerShell modüllerini ve komut dosyalarını birleştiren saldırgan bir güvenlik çerçevesi olan PowerSploit'te işlevler olarak kullanılır.
    2. Beacon
    Bu araç, CobaltStrike işaretine dayanmaktadır. Bir işaret, kalıcılık, yürütme, ayrıcalık yükseltme, kimlik bilgisi dökümü, yanal hareket ve HTTP, HTTPS, DNS, SMB ve TCP protokolleri üzerinden Komut ve Kontrol (C2) iletişimi gibi çeşitli hedefler için rakipler tarafından kullanılan bir CobaltStrike yüküdür. FireEye tarafından yayınlanan karşı önlemlere göre, Beacon aracı HTTP, HTTPS ve DNS işaretlerini kullanır. Beacon aracı, rasgele yükleri ve searchindexer.exe'yi yürütmek için msbuild.exe , Microsoft.Workflow.Compiler.exe ve regsvr32.exe gibi yerleşik Windows ikili dosyalarını kullanır.
    3. Beltalowda
    Beltalowda, açık kaynaklı bir yardımcı program olan SeatBelt'e dayanan bir red team aracıdır. SeatBelt, ana bilgisayar anketiyle ilgili hem saldırı hem de savunma güvenlik bakış açılarından çeşitli güvenlik odaklı "güvenlik kontrolleri" gerçekleştirir.
    4. Dtrim
    Dtrim, C # ile yazılmış açık kaynak .NET sömürü sonrası kitaplığı olan SharpSploit'in değiştirilmiş bir sürümüdür . SharpSploit, PowerSploit gibi PowerShell kullanım sonrası çerçevelerinin modüllerini ve Mimikatz gibi diğer araçları taşır.
    5. EWS-RT
    EWS-RT, Office365 ve üzeri dâhil Microsoft Exchange Sunucularında belirli numaralandırma ve kullanım görevlerini gerçekleştirmek için EWS (Exchange Web Hizmetleri) API'sinden yararlanan bir çift cmdlet olan açık kaynaklı bir PowerShell aracı olan RT-EWS 'e dayanmaktadır. Öncül sunucular.
    6. Fluffy
    Fluffy, ham Kerberos etkileşimi ve suistimalleri için açık kaynaklı bir C# araç seti olan Rubeus'un değiştirilmiş bir sürümüdür. Red teamler Rubeus'u Kerberoasting saldırıları ve Kerberos biletlerini çıkarmak için kullanıyor.
    7. G2JS
    G2JS ( GadgetToJScript ), JS, VBS ve VBA betiklerinden BinaryFormatter kullanılarak seri durumdan çıkarıldığında .NET montaj yüklemesini ve yürütmesini tetikleyebilen .NET serileştirilmiş araçlar oluşturmak için açık kaynaklı bir araçtır. G2JS, esas olarak red team katılımları sırasında Microsoft Windows Script Host (WSH) komut dosyalarının silahlanmasını otomatikleştirmek için oluşturuldu.
    8. ImpacketObf
    ImpacketObf ( ImpacketObfuscation ), karmaşıklaştırılmış Impacket yardımcı programlarının bir koleksiyonudur. Impacket, ağ protokolleriyle çalışmak için açık kaynaklı bir Python sınıfları koleksiyonudur.
    9. ImpacketOBF (SMBExec)
    Bu araç, Impacket’in smbexec.py aracına dayanmaktadır.
    10. ImpacketOBF (WMIExec)
    Bu araç, Impacket’in wmiexec .py aracına dayanmaktadır .
    11. InveighZero
    InveighZero, red teamlere ve penetrasyon testine yardımcı olmak için tasarlanmış açık kaynaklı bir spoofer ve ortadaki adam (MitM) saldırı aracıdır. LMNR, NBNS, mDNS, DNS ve DHCPv6 protokollerini yanıltabilir.
    12. KeeFarce
    KeeFarce, KeePass 2.x şifre veri tabanı bilgilerini bellekten çıkaran açık kaynaklı bir araçtır. Çalışan bir KeePass işlemi bağlamında kodu yürütmek için DLL enjeksiyonunu kullanır.
    13. NetAssemblyInject
    Bu araç, C # .NET derlemelerini rastgele Windows işlemlerine enjekte eder. Açık kaynaklı bir araç olan NET-Assembly-Inject-Remote'e dayanmaktadır.
    14. NoAmci
    NoAmci, AMSI (Windows Antimalware Tarama Arayüzü) algılamalarını atlamak için DInvoke'u AMSI.dll'ye yama yapmak için kullanan açık kaynaklı bir araçtır.
    15. PuppyHound
    PuppyHound, SharpHound adlı açık kaynaklı bir aracın değiştirilmiş bir sürümüdür. BloodHound Projesi için C # veri toplayıcısıdır.
    16. Rubeus
    Rubeus, ham Kerberos etkileşimi ve suistimalleri için açık kaynaklı bir C # araç setidir. red teamler, Rubeus'u Kerberoasting saldırıları ve Kerberos biletlerini çıkarmak için kullanıyor.
    17. SafetyKatz
    SafetyKatz, Mimikatz ve .NET PE Yükleyicinin kombinasyonudur . Bu bir mini döküm oluşturur LSASS'deki ve kimlik damping için Mimikatz özelleştirilmiş bir sürümünü yüklemek için PELoader kullanır.
    18. SharpUtils
    C # dilinde yazılmış red team araçlarının açık kaynaklı bir koleksiyonudur.
    19. SharpZeroLogon
    Zerologon güvenlik açığı için açık kaynaklı bir istismardır. ( CVE-2020-1472 )
    Kimlik doğrulamasını atlamak için Netlogon'daki kriptografik güvenlik açığından yararlanır.
    20. TitoSpecial
    TitoSpecial, kimlik bilgisi hırsızı olan açık kaynaklı bir araç olan AndrewSpecial'e dayanmaktadır. Kimlik bilgilerini LSASS belleğinden alır.
    21. TrimBishop
    Bu araç, açık kaynaklı bir araç olan Rural Bishop'a dayanmaktadır.


    FireEye Saldırılarıyla Bağlantılı SolarWinds Orion


    Dünya çapında 1,5 milyondan fazla aktif kullanıcısı olan SolarWinds, ağ ve sistem altyapı yönetimleri, sanallaştırma yönetimi, güvenlik yönetimi, veritabanı yönetimi gibi ürün yazılımı sağlamakta ve hizmetler vermektedir. SolarWinds, tipik ağlardaki hemen hemen her sistemi ve cihazı izleyebilir bu özelliği bir saldırgan perspektifinden oldukça öncem arz eder. Ortamınızda belirli düzeyde yönetici haklarına sahip herhangi bir sistem savunmasız duruma düşebilir.


    FireEye, yaptığı son açıklamada, yazılım güncelleme yoluyla dağıtılan küresel çapta yeni bir saldırı kampanyası belirlediklerini açıkladı. Kampanyanın arkasındaki aktörler UNC2452 olarak takip ediliyor. Belirlenen kampanyanın, yaygın olarak kullanılan BT altyapı yönetim yazılımı olan SolarWinds Orion ağ izleme ürününe yapılan güncellemeler yoluyla SUNBURST adı verilen zararlı yazılımı dağıttığı tespit edildi.
    Yapılan analizlere göre, bu kampanyanın bir parçası olarak gerçekleştirildiğine inanılan saldırılar bazı ortak unsurlar içeriyor:


    Kötü amaçlı SolarWinds güncellemesi: Bir saldırganın kurbanın ortamına uzaktan erişmesine izin veren Orion yazılımı için yasal yazılım güncellemelerine kötü amaçlı kod eklenebildiği,
    Light malware footprint: Tespit edilmekten kaçınırken görevi yerine getirmek için sınırlı kötü amaçlı yazılım kullanıldığı,
    Gizliliğin önceliklendirilmesi: Normal ağ etkinliğine uyum sağlamak için dikkatle hareket edildiği,
    Yüksek OPSEC: Sabırla keşif yapıldığı ve atfedilmesi zor araçlar kullanıldığı tespit edilmiştir.

     

    Kaynaklar

     

     

    https://github.com/fireeye/red_team_tool_countermeasures
    https://www.nytimes.com/2020/12/08/technology/fireeye-hacked-russians.html
    https://www.picussecurity.com/resource/blog/techniques-tactics-procedures-utilized-by-fireeye-red-team-tools?utm_content=148741723&utm_medium=social&utm_source=linkedin&hss_channel=lcp-3280240
    https://h4cktimes.com/siber-saldirilar-suclar/abd-hazine-bakanligi-ve-fireeye-saldirilariyla-baglantili-solarwinds-olay-analizi.html
    https://www.bleepingcomputer.com/
    https://attack.mitre.org/groups/G0016/


     

İLETİŞİM

Hizmetlerim hakkında daha detaylı bilgi almak için e-posta, telefon veya iletişim formumuz aracılığı ile rahatlıkla irtibat sağlayabilirsiniz.
WhatsApp