16 Eylül 2020 Çarşamba

TEHDİT İSTİHBARATI GÜNLÜKLERİ - 2

Tehdit istihbaratında çalışıyorsanız sık sık haberleri, hacker forumlarını, yeni zafiyetleri ve dünya çapında gerçekleşen önemli siber saldırıları takip etmeniz gerekiyor. Bunlar bir yana, her yiğidin yoğurt yiyişi başka. Ben teknik olarak kendini geliştirmenin yanı sıra dünyaya ve geleceğe dair bir vizyona sahip olmanın tehdit istihbaratında çalışan biri için büyük bir fark oluşturduğuna inanıyorum. Bu doğrultuda vizyonumu genişletmek için de küçük bir rutinim var. Her sabah, istisnasız bir saatlik bir süreyi düzenli takip ettiğim haber sayfalarını ve blogların yazılarını okuyarak geçiriyorum. Bu bana siber güvenlik sektörünün nereye doğru evrildiğine ve dünya siyasetinin nereye doğru evrildiğine dair küçük ipuçları veriyor. Bunun dünya çapında gerçekleşen siber saldırıların ve algı yönetimi çalışmalarının arkasındaki nedenlere dair başka fikirler verdiği de oluyor. Bu tür bir disiplin oturtmak meyvelerini on, belki yirmi yıl sonra verecektir.

Dünyaya dair konular bir yana, önemli zararlı yazılımların zaman zaman çok başarılı analizleri paylaşılıyor. Bu analizleri mutlaka okumaya ve kendi tespit ettiğim zararlıları analiz etmeye özen gösteriyorum. Bu teknik olarak güncel kalmamda yardımcı oluyor. Ancak her şey bir yana, düzenli okuma yapmak belki de en önemlisi. Rapor değil, kitap okumaktan söz ediyorum. Peki ne tür şeyler okumalı? Bu tamamen kişinin kendine kalmış. Ben daha tamamlamamış olsam da, dostum Sylvain'in okuma listesinden çok keyif alıyorum.

Sylvain'in OSINT ve Physical Intrusion üzerine okuma listesini burada bulabilirsiniz.

Okumak demişken, dil bilmek tabii ki çok önemli. Bugünlerde tehdit istihbaratı analistlerinde aranan en büyük özelliklerden biri Rusça, Çince, Arapça gibi dilleri biliyor olmaları. İngilizce tabii ki olmazsa olmaz. Bu kimsenin şevkini kırmamalı. Google Translate bugüne kadar birçok dilde blog yazısını anlamamda ve yorumlamamda gayet yeterli oldu. Ancak dil öğrenmek gibi bir fırsatınız (zaman, maddiyat, yetenek) varsa, mutlaka kullanın derim.

Hacker forumlarının ve tehdit aktörlerinin düzenli takibi tabii ki işin önemli bir parçası. Bu süreçlerin bir kısmı otomasyon ile takip edilse de (örneğin: crawler'lar) ilişkilendirme tamamen analistler tarafından yapılması gereken bir iş. Son iki yıldır takip ettiğim "T.C. Cimer" veya "Cimer Duyuru" ibarelerini sık kullanan grubun oltalama kampanyalarına göz atarken, bir süredir devam eden, benzer ama farklı bir oltalama kampanyası ile karşılaştım.
Aşağıdaki sayfaya hızlıca bir göz atalım:

Kredi kartı numarası, TC kimlik numarası, son kullanma tarihi ve CVV kodunun istendiği, E-devleti andıran bir sayfa. Burada TC kimlik numarasının istenmesi biraz ilginç. İsim ve soy isim bilgileri istenmiyor. Aklıma ilk gelen senaryo, saldırganların 2013 yılında sızdırılan Mernis veri tabanını kullanarak, 90 öncesi doğumlu T.C. vatandaşlarının isim ve soy isim bilgilerini TC kimlik numarası üzerinden sorgulatacak olmaları.

Sayfayı biraz inceleyince Let's Encrypt üzerinden bir SSL sertifikası tanımlandığını görebiliyoruz.

Kaynak koda bakarsak, sms ile gönderilen doğrulama kodunu çalma vb. işlemlere yönelik çeşitli fonksiyonlar görüyoruz.



Buradaki PHP uzantılı dosyaları teker teker ziyaret ettiğimde, aşağıdakine benzer bir görüntü mevcut.


Hatta SMS hatalı gönderilirse (bunun kontrolünün back-end tarafında nasıl yapıldığına dair bir bilgimiz yok) bunun için de bir sayfa var.


Ancak daha dikkat çekici öğeler mevcut.


Buradan hızlı çıkarımlarda bulunmak çok doğru olmayacaktır. FATAL lakabı, oltalama panelini geliştiren kişiye de ait olabilir, oltalama kampanyasını yürüten tehdit aktörü de olabilir. Bu bulgu şimdilik dursun. Öncelikle kampanyanın ne kadar büyük olduğuna dair bir fikir elde edinmek adına aynı IP üzerinde kaç alan adı kayıtlı buna bir bakmanın doğru olacağını düşündüm. Bing IP search ile farklı bir alan adı bulmak mümkün oldu.


Bir plesk giriş sayfasına yönlendirildik. Bu alan adı artık tarayıcılar ve güvenlik ürünleri tarafından yakalanmaya başladığı için kaldırılmış olabilir.


Aynı IP adresine çözümlenen diğer alan adlarına baktığımız zaman bunların bir kısmının aktif olmadığını ancak hala aynı IP adresine çözümlendiğini görebiliyoruz.


Örneğin, daha önceden kullanılan ancak şimdi aktif olmayan bir alan adı ziyaret edildiğinde aşağıdaki görüntü ile karşılaşıyoruz. 


Bunu DNS kayıtlarının güncellenmesinin zaman almasına bağlayabiliriz ancak çoğu hosting provider TTL değerini değiştirmeye izin veriyor. Tehdit aktörü bu durumu tamamen atlamış da olabilir.

Oltalama kampanyasının daha önceden de tespit edildiğine dair bulgular mevcut.

Kaynak: MalwareHunterTeam (@malwrhunterteam) / Twitter

Bir Twitter paylaşımı da, benzer bir kampanyanın Azarbaycan vatandaşlarını hedef aldığına işaret ediyor.


Hızlıca bir iki alan adına whois kaydı atınca whois protection kullanıldığını görüyoruz. Tehdit aktörü aracı bir firmayı kullanarak kendi adres ve e-posta gibi bilgilerini gizliyor. Ancak bu tür durumlarda siber suçluların sık sık hata yaptığını görüyoruz. Bütün kayıtlara tek tek bakmakta fayda var.


Buradan elle tutulabilir bir bulgu elde edemedik. Aktör dikkatlı davranmış gibi gözüküyor.

Bu noktada merakımdan ötürü sayfaya gelen giden isteklere kısaca bir baktım.


IP adresimin karşıya gönderilmesi çok normal. Aslen HTTP loglarından da bakılabilir ancak uygulama büyük ihtimalle bizden aldığı verileri formatlı bir şekilde kaydediyor. Büyük çapta bir kampanya için bu mantıklı. Bu noktada aktörün lakabını panelin birden fazla yerine yazdığını görebiliriz.

Elimizde bir ICQ adresi ve lakap var.



Tehdit aktörü hakkında bir takım araştırmalar sonucunda Stack Overflow üzerinde sorulmuş (ve silinmiş), bir soru görüyoruz.

Kaynak: https://quabr.com/62186391/mysql-sql-injection-delete-get-text

Stack Overflow üzerinde okuduğum kadarıyla, Stack Overflow silinen soruları 60 gün kadar daha aktif tutuyor ancak arama sonuçlarında göstermiyor. Ancak linke sahipseniz veya sorunun sahibi sizseniz, içeriği görebiliyorsunuz. İçeriği göremediğimize göre soru silineli 60 günden fazla olmuş olmalı. Ancak sorunun bir zamanlar var olduğunu kanıtlamanın basit bir yolu var. Stack Overflow üzerinde aşağıdaki URL adresini ziyaret ediyoruz.

https://stackoverflow.com/questions/62186391/

Sayfa bizi otomatik olarak aşağıdaki URL adresine yönlendiriyor.


Artık bunun silinen bir sonuç olduğuna eminiz. Soruyu soran hesap "emre bey" ismini kullanmış. 


Profiline aşağıdan ulaşılabilir:

https://stackoverflow.com/users/13676974/emre-bey?tab=profile


"emre bey" profili bize daha fazla bulgu vermiyor. Ancak Hacker forumları arasında yapılan küçük bir arama, oltalama panelinin fatal lakaplı aktör tarafından geliştirildiğini ve ICQ üzerinden pazarlandığını gösteriyor. 


IoC Listesi

Oltalama kampanyası ile ilişkili IoC'ler aşağıdadır.

Alan adları:

  • egov-cumhurbasvuruyapmak.com

  • mtr-facebook-me.com

  • egov-cumhuribasvuruyaptr.com

  • egov-cumhuribasvuruyap.com

  • egov-basvurumerkezi.com

  • www.egov-cumhuribasvuruyaptr.com

  • egov-cumhuribasvuruyap.com

  • www.egov-cumhuribasvuruyap.com

  • www.egov-basvurumerkezi.com

  • instagramhelp-me.com

  • mfacebook-me.com

  • egov-emekcilerburdaa.com

  • mfacebook-m.com

  • www.egov-ortakbanka.com

  • www.egov-emekcilerburdaa.com

  • www.egov-cumhuriyetcilik.com

  • www.egov-basvurularyapilir.com

  • www.egov-ihabasvur.com

  • www.egov-ecumhuriyet.com

  • www.egov-e-cimer.com

  • instagramhelp-me.com

  • www.egov-e-cumhuriyett.com

  • instagramhelp-me.com

  • www.egov-e-cumhuriyet.com

  • www.egov-1000tl.com

  • tr-f-facebook.com

  • egov-ciimerr.com

  • www.egov-ccimer.com

  • egov-trbasvuruyapiniz.com

  • egov-trbasvuruyapiniz.com

  • egovbasvuru-turkiyecumhuri.com

  • www.instagramhelp-me.com

  • egov-trbasvuruyapiniz.com

  • www.egov-cimmeerr.com

  • www.egov-cimeraidat.com

  • www.egov-cimerrturk.com

  • www.egov-cimerturk.com

  • egov-cimerturk.com

  • tr-devletkapisi.com

  • tr-devlettenmujde.com

  • e-gov-az.com


IP Adresi

  • 65.52.121.212