Tehdit istihbaratında çalışıyorsanız sık sık haberleri, hacker forumlarını, yeni zafiyetleri ve dünya çapında gerçekleşen önemli siber saldırıları takip etmeniz gerekiyor. Bunlar bir yana, her yiğidin yoğurt yiyişi başka. Ben teknik olarak kendini geliştirmenin yanı sıra dünyaya ve geleceğe dair bir vizyona sahip olmanın tehdit istihbaratında çalışan biri için büyük bir fark oluşturduğuna inanıyorum. Bu doğrultuda vizyonumu genişletmek için de küçük bir rutinim var. Her sabah, istisnasız bir saatlik bir süreyi düzenli takip ettiğim haber sayfalarını ve blogların yazılarını okuyarak geçiriyorum. Bu bana siber güvenlik sektörünün nereye doğru evrildiğine ve dünya siyasetinin nereye doğru evrildiğine dair küçük ipuçları veriyor. Bunun dünya çapında gerçekleşen siber saldırıların ve algı yönetimi çalışmalarının arkasındaki nedenlere dair başka fikirler verdiği de oluyor. Bu tür bir disiplin oturtmak meyvelerini on, belki yirmi yıl sonra verecektir.
Dünyaya dair konular bir yana, önemli zararlı yazılımların zaman zaman çok başarılı analizleri paylaşılıyor. Bu analizleri mutlaka okumaya ve kendi tespit ettiğim zararlıları analiz etmeye özen gösteriyorum. Bu teknik olarak güncel kalmamda yardımcı oluyor. Ancak her şey bir yana, düzenli okuma yapmak belki de en önemlisi. Rapor değil, kitap okumaktan söz ediyorum. Peki ne tür şeyler okumalı? Bu tamamen kişinin kendine kalmış. Ben daha tamamlamamış olsam da, dostum Sylvain'in okuma listesinden çok keyif alıyorum.
Sylvain'in OSINT ve Physical Intrusion üzerine okuma listesini burada bulabilirsiniz.
Okumak demişken, dil bilmek tabii ki çok önemli. Bugünlerde tehdit istihbaratı analistlerinde aranan en büyük özelliklerden biri Rusça, Çince, Arapça gibi dilleri biliyor olmaları. İngilizce tabii ki olmazsa olmaz. Bu kimsenin şevkini kırmamalı. Google Translate bugüne kadar birçok dilde blog yazısını anlamamda ve yorumlamamda gayet yeterli oldu. Ancak dil öğrenmek gibi bir fırsatınız (zaman, maddiyat, yetenek) varsa, mutlaka kullanın derim.
Hacker forumlarının ve tehdit aktörlerinin düzenli
takibi tabii ki işin önemli bir parçası. Bu süreçlerin bir kısmı otomasyon ile
takip edilse de (örneğin: crawler'lar) ilişkilendirme tamamen analistler
tarafından yapılması gereken bir iş. Son iki yıldır takip ettiğim "T.C.
Cimer" veya "Cimer Duyuru" ibarelerini sık kullanan grubun
oltalama kampanyalarına göz atarken, bir süredir devam eden, benzer ama farklı
bir oltalama kampanyası ile karşılaştım.
Aşağıdaki sayfaya hızlıca bir göz atalım:
Kredi kartı numarası, TC kimlik numarası, son kullanma tarihi ve CVV kodunun istendiği, E-devleti andıran bir sayfa. Burada TC kimlik numarasının istenmesi biraz ilginç. İsim ve soy isim bilgileri istenmiyor. Aklıma ilk gelen senaryo, saldırganların 2013 yılında sızdırılan Mernis veri tabanını kullanarak, 90 öncesi doğumlu T.C. vatandaşlarının isim ve soy isim bilgilerini TC kimlik numarası üzerinden sorgulatacak olmaları.
Sayfayı biraz inceleyince Let's Encrypt üzerinden bir SSL sertifikası tanımlandığını görebiliyoruz.
Kaynak koda bakarsak, sms ile gönderilen doğrulama
kodunu çalma vb. işlemlere yönelik çeşitli fonksiyonlar görüyoruz.
Buradaki PHP uzantılı dosyaları teker teker ziyaret ettiğimde, aşağıdakine benzer bir görüntü mevcut.
Hatta SMS hatalı gönderilirse (bunun kontrolünün
back-end tarafında nasıl yapıldığına dair bir bilgimiz yok) bunun için de bir
sayfa var.
Ancak daha dikkat çekici öğeler mevcut.
Buradan hızlı çıkarımlarda bulunmak çok doğru
olmayacaktır. FATAL lakabı, oltalama panelini geliştiren kişiye de ait
olabilir, oltalama kampanyasını yürüten tehdit aktörü de olabilir. Bu bulgu
şimdilik dursun. Öncelikle kampanyanın ne kadar büyük olduğuna dair bir fikir
elde edinmek adına aynı IP üzerinde kaç alan adı kayıtlı buna bir bakmanın
doğru olacağını düşündüm. Bing IP search ile farklı bir alan adı bulmak mümkün
oldu.
Bir plesk giriş sayfasına yönlendirildik. Bu alan adı
artık tarayıcılar ve güvenlik ürünleri tarafından yakalanmaya başladığı için
kaldırılmış olabilir.
Aynı IP adresine çözümlenen diğer alan adlarına
baktığımız zaman bunların bir kısmının aktif olmadığını ancak hala aynı IP
adresine çözümlendiğini görebiliyoruz.
Örneğin, daha önceden kullanılan ancak şimdi aktif
olmayan bir alan adı ziyaret edildiğinde aşağıdaki görüntü ile karşılaşıyoruz.
Bunu DNS kayıtlarının güncellenmesinin zaman almasına
bağlayabiliriz ancak çoğu hosting provider TTL değerini değiştirmeye izin
veriyor. Tehdit aktörü bu durumu tamamen atlamış da olabilir.
Oltalama kampanyasının daha önceden de tespit edildiğine dair bulgular mevcut.
Kaynak: MalwareHunterTeam (@malwrhunterteam) / Twitter
Bir Twitter paylaşımı da, benzer bir kampanyanın
Azarbaycan vatandaşlarını hedef aldığına işaret ediyor.
Hızlıca bir iki alan adına whois kaydı atınca whois
protection kullanıldığını görüyoruz. Tehdit aktörü aracı bir firmayı kullanarak
kendi adres ve e-posta gibi bilgilerini gizliyor. Ancak bu tür durumlarda siber
suçluların sık sık hata yaptığını görüyoruz. Bütün kayıtlara tek tek bakmakta
fayda var.
Buradan elle tutulabilir bir bulgu elde edemedik. Aktör dikkatlı davranmış gibi gözüküyor.
Bu noktada merakımdan ötürü sayfaya gelen giden isteklere kısaca bir baktım.
IP adresimin karşıya gönderilmesi çok normal. Aslen
HTTP loglarından da bakılabilir ancak uygulama büyük ihtimalle bizden aldığı
verileri formatlı bir şekilde kaydediyor. Büyük çapta bir kampanya için bu
mantıklı. Bu noktada aktörün lakabını panelin birden fazla yerine yazdığını
görebiliriz.
Elimizde bir ICQ adresi ve lakap var.
Tehdit aktörü hakkında bir takım araştırmalar
sonucunda Stack Overflow üzerinde sorulmuş (ve silinmiş), bir soru görüyoruz.
Kaynak: https://quabr.com/62186391/mysql-sql-injection-delete-get-text
Stack Overflow üzerinde okuduğum kadarıyla, Stack
Overflow silinen soruları 60 gün kadar daha aktif tutuyor ancak arama
sonuçlarında göstermiyor. Ancak linke sahipseniz veya sorunun sahibi sizseniz,
içeriği görebiliyorsunuz. İçeriği göremediğimize göre soru silineli 60 günden
fazla olmuş olmalı. Ancak sorunun bir zamanlar var olduğunu kanıtlamanın basit
bir yolu var. Stack Overflow üzerinde aşağıdaki URL adresini ziyaret ediyoruz.
https://stackoverflow.com/questions/62186391/
Sayfa bizi otomatik olarak aşağıdaki URL adresine
yönlendiriyor.
Artık bunun silinen bir sonuç olduğuna eminiz. Soruyu
soran hesap "emre bey" ismini kullanmış.
Profiline aşağıdan ulaşılabilir:
https://stackoverflow.com/users/13676974/emre-bey?tab=profile
"emre bey" profili bize daha fazla bulgu vermiyor. Ancak Hacker forumları arasında yapılan küçük bir arama, oltalama panelinin fatal lakaplı aktör tarafından geliştirildiğini ve ICQ üzerinden pazarlandığını gösteriyor.
IoC Listesi
Alan adları:
egov-cumhurbasvuruyapmak.com
mtr-facebook-me.com
egov-cumhuribasvuruyaptr.com
egov-cumhuribasvuruyap.com
egov-basvurumerkezi.com
www.egov-cumhuribasvuruyaptr.com
egov-cumhuribasvuruyap.com
www.egov-cumhuribasvuruyap.com
www.egov-basvurumerkezi.com
instagramhelp-me.com
mfacebook-me.com
egov-emekcilerburdaa.com
mfacebook-m.com
www.egov-ortakbanka.com
www.egov-emekcilerburdaa.com
www.egov-cumhuriyetcilik.com
www.egov-basvurularyapilir.com
www.egov-ihabasvur.com
www.egov-ecumhuriyet.com
www.egov-e-cimer.com
instagramhelp-me.com
www.egov-e-cumhuriyett.com
instagramhelp-me.com
www.egov-e-cumhuriyet.com
www.egov-1000tl.com
tr-f-facebook.com
egov-ciimerr.com
www.egov-ccimer.com
egov-trbasvuruyapiniz.com
egov-trbasvuruyapiniz.com
egovbasvuru-turkiyecumhuri.com
www.instagramhelp-me.com
egov-trbasvuruyapiniz.com
www.egov-cimmeerr.com
www.egov-cimeraidat.com
www.egov-cimerrturk.com
www.egov-cimerturk.com
egov-cimerturk.com
tr-devletkapisi.com
tr-devlettenmujde.com
- e-gov-az.com
- 65.52.121.212