Windows’ta Tehdit Oluşturabilecek Dosya Türleri

Windows’ta Tehdit Oluşturabilecek Dosya Türleri

   Ekim 21, 2021       Muhammed AYGÜN

---

 

 

Windows’ta Tehdit Oluşturabilecek Dosya Türleri

Siber saldırganlar hedeflemiş olduğu bir kurumun veya bir kişinin sistemini ele geçirmek veya zarar vermek amacıyla bir siber saldır gerçekleştirebilir. Bir sisteme saldırmak için saldırganların kullanmış olduğu yöntemlerden biride; saldırıda bulanacağı sistemi ele geçirmek adına gerekli malware (kötü amaçlı) dosyalarını yüklemektir. Saldırganlar bu dosyaları genellikle, bir e-posta yolu ile gönderebilir, bir usb bellek içerisinde tak çalıştır komutuyla bulaştırabilir, web sitesinden indirilen bir uygulama içerisine entegre edebilir gibi çeşitli senaryolarla bu zararlı dosyaları, phishing ya da spear phishing yöntemlerini kullanarak birazda işin içine sosyal mühendislik tekniklerini katarak saldırı aşamasını başlatır. Saldırganlar hedeflediği kişinin dosyalara tıklaması için cezbedici olması gerektiğini bilir kimi zaman bu iyi bir iş teklifi, tanınmış bir şirketin logosuyla yollanan bir hediye kartı, cinsellik, sözleşme, fatura vergi bildirimleri ve yönetim ekibinden geliyormuş gibi mesajları olabilmektedir. Bu mailler kişiyi cezbedecek, cazip teklifler sunarak zararlı dosyayı indirip, tıklamasını kolaylaştırır.   Sisteme yüklenen zararlı dosyalar, uygulamalar sistem için önemli bir risk oluşturmaktadır. Bir çok saldırının ilk aşaması yalnızca kodu çalıştırmanın bir yolunu bulması gerekir. Dosya hedef sisteme yüklendikten sonra saldırının ilk adımı atmasına yardımcı olur. Bu ilk adımlar genellikle, sistemin tamamen ele geçirilmesi, veri tabanı çökertmesi, saldırgana arka kapı oluşturması gibi nedenlere sahip olabilir.

Saldırganların hedeflemiş oldukları hedefin genellikle bu dosyayı tıklayıp açması ile saldırganlar ilk amacına ulaşmaktadır. Kullanıcının bu durumlarda dosyanın açılmasının güvenli olup olmadığına karar verirken hangi dosya uzantılarının potansiyel olarak tehlikeli olduğunu bilmek önemlidir. Şüpheli bir dosya ile karşılaştığınız zaman ekstra özen göstermelisiniz.

Bu yazımda siber saldırganların en çok kullanmış olduğu dosya türleri, bu dosya türlerin neden kullanıldığı hakkında temel bilgiler vereceğim. Malware analizi (Malware forensics) kısmı biraz uzun olduğunda bu yazımda analiz kısmında bahsetmeyeceğim. Malware Forensics alanında yani dosyaların analizi hakkında https://www.muhammedaygun.com/2020/07/malware-analizine-giris-ve-kullanlan.html 

https://www.muhammedaygun.com/2020/08/emotet-malware-n-incelenmesi-ve-yara.html

https://www.muhammedaygun.com/2020/08/wannacry-nedir-ve-wannacry-yara-kuralnn.html

https://www.muhammedaygun.com/2020/08/flare-vm-kurulumu.html

bu blog yazılarıma bakabilirsiniz.

Analiz hakkında bilmemiz gereken; bu tür dosyaların analiz edilirken iki türlü durumu göz önünde bulundurmalıyız. Birincisi dosyanın meta bilgileri yani dosya yolu ve dosya adı, dosya uzantısı gibi veriler. İkincisi ise dosya boyutu ve içeriği ile ilgili bilgiler. Bu tür bilgilere sahip olunduktan sonra bir zararlı yazılımın amaçları hakkında ön bir bilgi edinebiliriz. Ek olarak CTI kaynaklarına gerekirse şüphelendiğiniz dosyayı yükleyin veya hash taraması gerçekleştirin.  

Dosya Uzantıları Neden Tehlikeli Olabilir?

Windows dosya adlarını nokta ile iki kısma ayırmıştır noktanın sağ tarafı dosya uzantısı genellikle 3 veya 4 karakterden oluşmaktadır, sol tarafı ise bizim dosyaya verdiğimiz adlardan veya default oluşan isimlerden oluşur. Microsoft Windows, dosya uzantılarını bilgisayarın hangi uygulamayı kullanarak çalıştıracağını veya oluşturduğunu görmek için kullanır. Örneğin .docx Microsoft Word tarafından oluşturduğunu ve Microsoft Word’ün açabildiğini bu sayede bilir. Dosya uzantısı manuel bir şekilde değiştirilirse dosyanın formatı değişmez.

Bu dosya uzantıları kod içerebildikleri veya isteğe bağlı komutlar yürütebildikleri için potansiyel olarak son kullanıcıya tehlike yaratabilir. Bir exe dosyası her şeyi yapabilen bir program olduğundan potansiyel olarak tehlikelidir. .jpeg veya .mp3 dosyaları gibi medya dosyaları, kod içermedikleri için exe dosyaları kadar tehlikeli değildir. Kötü amaçlarla oluşturulmuş bir medya dosyasını bir görüntüleyici uygulamasındaki bir güvenlik açığından yararlanabileceği bazı durumlar olmuştur, ancak bu sorunlar nadirdir ve hızlı bir şekilde yamalanır.

Dosya uzantılarını bilmemiz genellikle dosyanın ne için kullanıldığını potansiyel tehlikesini anlamız için gereklidir. Microsoft Windows tarafından kullanılan ve tehlike oluşturabilecek dosya uzantıları şu şekildedir;  

Program Dosyaların Uzantıları:

.exe: Executable File Format, çalıştırılabilir dosya formatıdır. Windows üzerinde çalışan uygulamaların çoğu .exe dosyasıdır. Exe dosyaları bazen tek başına bir program olurken bazen de bir programın başlangıcı olabilmektedir. Exe dosyaları ya komut satırı yardımıyla ya da çift tıklayarak çalıştırılabilir. Exe dosyalarını editlemek için; Rource hacker, Akala EXE Locki ExeScope, ExeWrapper veya ResEdit Tools araçlarından herhangi biri kullanılabilir.

.pif: MS-DOS programları için bir program bilgi dosyasıdır. .pif dosyalarının yürütülebilir kod içermesi çoğu zaman görülmez fakat Windows’da çalıştırılabilir kod içeriyorsa PIF’ler exe dosyalarıyla aynı şekilde çalışabilir. Windows, shellExecute işleviyle pif dosyalarını analiz eder ve bunları yürütülebilir programlar olarak çalıştırabilir. Bu nedenle zararlı komut dosyalarını iletmek için pif dosyasını saldırganlar kullanılabilir.

.msi: Bir Microsoft Windows yükleyici dosyasıdır. Bu dosyalar sayesinde bilgisayara uygulamalar yüklenir.

.msp: Bir Microsoft Windows yükleyici yama dosyasıdır. msi dosyalarıyla dağıtılan uygulamaları yamalamak için kullanılır.

.scr: scr dosyası, vektör grafik veya metin animasyonları görüntülemek, slayt gösterileri, animasyon veya videoları oynatmak için kullanılan Windows için bir ekran koruyucu (screensaver) dosyasıdır ve bir bilgisayar özelleştirilmiş bir süre boyunca etkin olmadığından ses efektleri içerebilir. Windows ekran koruyucuları çalıştırılabilir kod içerebilir.

.hta: bir HTML uygulaması, tarayıcıdalar çalışan HTML uygulamaların aksine. HTA dosyaları korumalı alan olmadan güvenilir uygulamalar olarak çalıştırılır.

.cpl: Bir Denetim masası (Control Panel) dosyasıdır. Windows Denetim masasında bulunan bütün yardımcı programlar cpl dosyalarıdır.

.drv: dosyaları genellikle Windows ortamlarında aygıt sürücüleri (driver) için kullanılır. Bir driver ile daha üst düzey bilgisayar programlarının bir aygıta etkileşime girmesine izin veren bir bilgisayar programıdır. Bir driver tipik olarak donanımın bağlı olduğu bilgisayar veri yolu veya iletişim alt sistemi aracılığıyla aygıtla iletişim kurmaj için çalıştırılabilir kod içermektedir.

.msc: Microsft yönetim konsolu (Mirosoft Managment Console) dosyasıdır. Grup ilkesi düzenleyicisi ve disk yönetimi aracı gibi uygulamalar .msc dosyalarıdır.

.jar: jar dosyaları çalıştırılabilir java kodu içerir. Eğer javaruntime var ise jar dosyaları programlar gibi çalıştırılır.

.application: Microsftun CliskOne teknolojisiyle dağıtılan bir uygulama yükleyicisidr.

.gadget: Windows masaüstü gadget teknolojisini kullanmak için bir gadget dosyasıdır.

 

Scripts Dosya Uzantıları:

.bat: Bir toplu iş dosyasıdır. Açtığınızda bilgisayar çalıştırılacak komutların bir toplu listesini içerir.

.cmd: Bir toplu komut çalıştırma dosyasıdır. Bat dosyalarına benzerdir.

.vb, .vbs: Bir VBSScript (Virtual Basic) script dosyasıdır. Bir VBScrpit dosyasına benzer ancak çalıştırırsanız dosyanın gerçekte ne yapacağını söylemek kolay değildir. Bu script dosyasında kötü amaçlı komutlar burada kendilerini gizlemek için ideal bir biçimde kullanmaktadır.

.js: bir JavaScrpit dosyası. js dosyaları normalde web sayfaları tarafından kullanılır ve web tarayıcılarında çalıştığında güvenlidir. Ancak Windows JS dosyalarını korumalı alan olmadan tarayıcı dışında çalıştırır.

.jse: şifreli bir Javascrpit dosyasıdır.

.ws, .wsf: Bir Windows Komut dosyası. JScript veya VBscrpit kodunu kullanana Windows için çalıştırılabilir komut dosyaları içerir.

.wsc, .wsh: Windows Komut dosyası bileşeni ve Windows komut dosyasını ana bilgisayarı kontrol dosyaları, Windows komut dosyalarıyla birlikte kullanılır.

.ps1, ps1xml, ps2, ps2xml, .psc1, .psc2: Bir Windows PowerShell scrpiti, dosyada belirtilen sırada PowerShell komutlarını çalıştırır. Powershell Scripts (*.ps1), Powershell Modules (*.psm1), Powershell Data Files (*.psd1), Powershell Session Configuration Files (*.pssc), Powershell Role Capability Files (*.psrc), Powershell Xml Files (*.psxml, *.cdxml)

.msh, msh1, msh2, mshxml, msh1xml, msh2xml: Bir monad komut dosyasıdır. monad daha sonra Powershell olarak yeniden Microsft tarafından adlandırıldı. Microsoft Kabuk Komut Dosyası Biçimi dosyalarıyla ilişkilendirilen bir dosya uzantısıdır. msh dosyaları, Windows çalıştıran cihazlar için mevcut olan yazılım uygulamaları tarafından desteklenir.

.asp .aspx: asp Microsft tarafından geliştirilen ve yayınlanan sunucu taraflı bir scrpit dosyasıdır. asp Active Server Pages anlamına gelir. Aspx; asp.NET tarafından tasarlanan bir sayfanın dosya uzantısıdır. Asp .net sunucu taraflı bir web uygulama frameworktür. .aspx Active Server Pages Extended anlamına gelir. Dinamik web sayfaları üretmek için web geliştirme yapılması amacıyla tasarlanmıştır.

.xml: Extensible Markum Language, çeşitli uygulamalardan gelen verileri internet üzerinde depolamak ve aktarmak için kullanılan dosyalardır. İnternet, veri alışverişinin hızlı ve pratik şekilde gerçekleşmesi için kullanılmaktadır.

.jsp, .jspx: jsp Java Server Pages, HTML kodları içerisine java komutlarını kolay bir şekilde yerleştirmek için kullanılan JAVA EE API kütüphanesidir. Jspx, jsp sayfalarını oluşturmak için kullanılan bir XML biçimidir. Jspx farklı dosyalarda kodun görünüm katmanından ayrılmasını zorlar. Jspx sayesinde java kodu xml kodu jsp’de aynı dosyaya yazılır.

.chm: Sıkıştırılmış derlenmiş html dosyalarından oluşan bir dosyadır.

.php: php kaynak koduna sahip dosyalardır. php dosyaları interaktif fonksiyonları dinamik web sayfaları olarak uygulanmaktadır. Web forum verisini toplamak, sunucuda dosya yönetmek, veritabanlarını düzenlemek gibi çeşitli sunucu taraflı fonksiyonları gerçekleştir

 

 

Kısayol Dosya Uzantılar (Shotcuts)

.scf: Bir scf dosyası, bir dizinde yukarı veya aşağı hareket etme veya Desktop gösterme gibi bir eylemi gerçekleştirmek için kullanılan bir Windows Gezgini komutudur. Windows gezgini (Windows Explorer), komut dosyası zararı olabilecek komutları Windows explorer’a iletebilir Windows Explorer komut dosyası olduğundan, Windows Explorer bilgisayarınız için tehlikeli olan komutları çalıştırmak için kullanılabilir.

.lnk: Bilgisayarda programın bağlantısıdır, bir bağlantı dosyası dosyaları sormadan silmek gibi tehlikeli şeyleri yapmayı sağlayan komut satırları içerebilir.

.inf: AutoRun tarafından kullanılan bir metin dosyasıdır. Çalıştırılırsa bu dosya potansiyel olarak birlikte geldiği tehlikeli uygulamaları başlatabilir veya Windows’ta bulunan programlara tehlikeli seçenekler iletebilir.

 

Oficce dosya Uzantıları (Office Makroları)

.doc, .xls, .ppt: Microsoft Word, Excel ve PowerPoint belgeleri. Bunlar kötü amaçlı makro kodu içerebilir.

.docm, .dotm, .xlsm, .xltm, xlam, .pptm, .potm, ppam, .ppsm, .sldm: Office 2007’de sunulan yeni dosya uzantıları, dosya uzantısının sonundaki “m” dosya uzantısının belge makro içerir. Örneğin bir .docx dosyası makro içermezken .docm dosyası makro içerebilir.

Diğer Dosya Uzantıları (Other)

.reg: Windows regsitry dosyasıdır. .reg dosyaları çalıştırılırsa regstry tarafına key ekleyip kaldırabilir. Kötü amaçlı bir .reg dosyası önemli bilgileri kayıt defterinizde kaldırabilir değiştirebilir ve kötü amaçlı veriler ekleyebilir.

.pdf : PDF dosyalarında JavaScript dosyaları oluşturmak ve çalıştırmak için kullanılabilir. Ayrıca saldırganlar kötü amaçlı bağlantıları pdf içerisinde saklayabilmekteler.

 .zip ve .rar: zip ve rar uzantılı dosyalar veri sıkıştırılması için kullanılan standart bir formata oluşturulmuş arşiv dosyalarıdır.

.dll: (Dynamic Link Library): DLL dosyaların görevi çalışan programların ortaklaşa yapmış olduğu işlemleri tek bir dosya içinde yapmak, program çalışma esnasında gerekli olan fonksiyonları kendi içerisinde bulunmaz ise bunu dll dosyasında aramaktadır. Bu şekilde programlar tek bir dosya üzerinde çalışarak programın hız kazanmasını ve çeşitli kaynaktan tasarruf etmesini sağlar.

.dat: Bir çok uygulama data veya kaynak dosyaları için dat dosyasını kullanır. Veri dosyaları doğrudan bir uygulamada açılmaz, genellikle yalnızca dahili amaçlar için DATA içerirler. Aynı dosya uzantısını paylaşan farklı biçimler. Dat dosyasının doğru çalışması için gerekli olan .dll dosya uzantısı tarafından kullanılır.

 

 

Bu tehdit oluşturabilecek dosyalardan korunmak için;

·       Bilinmeyen adreslerden gelen şüpheli e-postaları açmayın. Belirli bir konuya sahip bir iletinin genel kutunuza neden geldiğini bilmiyorsanız muhtemelen buna ihtiyacınız yoktur.

·       Güvenmediğiniz web sitelerinden program indirmemeye özen gösterin.

·       İş nedeniyle bilinmeyen kullanıcılarla iletişime geçmek durumunda kalırsanız ekli dosyanın adresini ve adını dikkatlice kontrol edin, şüpheli veya garip bir şey fark ederseniz açmayın.

·       E-posta ile gelen belgelerin makrolarının çalışmasına gerek olmadıkça izin vermeyin. (Office dosya ayalarında yapılabilir.)

·       Crackli program kullanmayın.

 

 

 

 

Kaynaklar:

https://www.researchgate.net/figure/Top-10-malicious-file-extensions_fig3_264004054

https://thegeekpage.com/unblock-a-file-blocked-by-windows-10/

https://success.trendmicro.com/solution/1101849-common-file-types-used-by-malware-as-email-attachment

https://fileinfo.com/help/dangerous_windows_file_types

https://www.kaspersky.com/blog/top4-dangerous-attachments-2019/27147/

https://start.paloaltonetworks.com/five-dangerous-file-types.html

https://opencrdownloadfile.net/dangerous-extensions.html

 

 

 

 

 

 

 

Windows 101

Windows dosya uzantıları

Windows Forensics

Adli Bilişim

 

 

Read More

Incident Response Plan

Incident Response Plan

   Temmuz 14, 2021       Muhammed AYGÜN

---

 

Incident Response Plan

 

Günümüzde neredeyse her gün karşılaşmış olduğumuz siber saldırıların yıkıcı etkisi her geçen gün artmaktadır, bu siber saldırılara karşı meydan okumak, müdahale adımlarını belirlemek ve nasıl bir yol izlemek gerektiğini bilmek saldırıdan en az hasarla kurtulma konusunda önemli bir yere sahiptir.

Bilişim sistemlerinde güvenliği ihlal edilmiş, veri hırsızlı veya siber saldırıyla karşılaşılması durumunda yapılması gereken adımların belirlenmesine, olayın türünü belirlenmesinden başlayarak tespit edilip gerekli önemler ve aksiyonlar alınmasına kadar takip edilen süreç Olay müdahalesi olarak tanımlanır. Olay müdahale süreçleri Incident Response Plan olarak bilinir. Incident response, bir siber güvenlik olay sürecini yönetmeye yönelik bir yaklaşımdır. Bu yaklaşımdaki amaç karşılaşılan vakayı etkili bir şekilde yönetmek ve farklı olaylara karşı aksiyon alınması gereken adımları belirlemektedir. Olay müdahalesi sayesinde sistemdeki zarar minimuma indirilmesi ve işleyiş olduğu gibi devam eder. Farklı vakalar ile karşılaşılabileceği için sadece bir olay müdahalesi sürecine bağlı kalmak doğru olmaz. Bunun nedeni ise bir malware ile içeriden erişim hakkı olan ya da networksel saldırılara için farklı senaryolar takip edilmelidir. Kısacası Siber olay yaşandığında sistematik ilerlemek için bir siber olay müdahale planına ihtiyaç vardır.

Incident Response planları NIST ve SANS tarafında belirlenen belirli bir standarta oturtulmuştur. Bu standart başlıklar altında saldırılara ilişkin playbook’ların hazırlanması önerilmektedir.  .

 

NIST ve SANS Incident Response bileşenleri yan yana karşılaştırdığımız zaman bileşenlerin hemen hemen aynı olduğunu ancak ifade ve gruplamaların farklılık olduğunu söyleyebiliriz. En önemli fark NIST’in sınırlama, yok etme ve kurtarmanın benzer olduğuna savunduğu 3.adımı birleştirdiğini görebiliriz yani NIST’e göre ortandan kaldırmaya başlamadan önce tüm tehditleri içermeyi beklememeliyiz. Bazıları bu tür karşılaştırmayı sürekli olarak tartışmaktadır ancak bu bir tercih meselesi ve kuruluşun kaynaklarına bağlıdır.

 

SANS Incident Response

SANS Enstitüsüne göre etkili bir Incident Response Plan göre 6 adımdan oluşmaktadır. 6 adımın her adımı bir önceki adım üzerine kurulduğu için sırala takip edilmelidir.

1-     Preparation (Hazırlık)

2-     Identification (Tanımlama)

3-     Scope (Kapsam)

4-     Eradication (Eradikasyon)

5-     Recovery (İyileştirme)

6-     Lessons Learned Alınan dersler)

 

 

Preparation

Olay müdahalesinin en önemli aşamasıdır. Kuruluş bir saldırı durumunda ne kadar iyi yanıt verebileceğini belirlediği aşamadır. Bu aşama olmadığı zaman diğer aşamalara geçmek zor ve zaman gerektirmektedir. Kuruluşun bir olayı ele alabilmesini sağlamak için birkaç temel unsurun uygulanması gerekir.

1.      Policy yani politika belirlenmeli, bir kuruluş içinde yazılı bir dizi ilke, kural veya uygulama sağlar. Vaka oluştuğunda rehberli sunan önemli bir eylemdir.

2.      Response planı/stratejisi: Müdahale planın tek bir iş istasyonunun başarısız olması gibi küçük olaydan sunucunun çökmesi orta bir riske veya bir departmandan veri çalınması gibi yüksek riskli konulara kadar organizasyonel etkiye dayalı olarak olayların önceliklendirilmesini içermesi gerekir. Olaya müdahale edecek ekibin envanter hakkında bilgi sahibi olmalıdır, Cihazlar, işletim sistemleri, yama sürümleri ve kritik durum gibi bilgilerin olduğu belge bulunmalıdır.

3.      İletişim, olaya müdahale edecek ekibin kiminle, ne zaman ve neden iletişim kuracağını bilmesini saplamak için önemlidir. İletişim hazırlığı sayesinde doğru kişiler hızlı bir şekilde ulaşıp hızlı müdahaleler sağlanacaktır. Güvenli iletişim ortamı kurum networkünden bağımsız iletişim kanalı oluşturulmalıdır.  

4.      Erişim kontrolü, olaya müdahale edecek ekibin uygun izinlere sahip olması gerekir. Olaya müdahale edecek ekibin görev ve sorumlulukları belirlenir.

5.      Toollar, yazılım ve donanım olaya müdahale edecek ekibe yardımcı olacaktır. Hazırlık aşamasında, merkezi noktandan yönetim oluşturulması gerekmektedir yani bir monitoring tool kullanılmalıdır bu monitoring tool sayesinde elde edilen eventları (alarm log kayıtları vs.) tek bir noktadan incelenmesi zaman tasarrufu açısından önemlidir bilgisayarın parça sökmesine yarayacak tornavida setine kadar bulunmalıdır.

 

Identification

Bir vakanın meydana gelip gelmediğini tespit etmek ve belirlemekle ilgilidir. Bu kararı vermek için Muhtemel bir şüpheli olay için olayla ilgili ön bilgiler toplanmalıdır izinsiz giriş tespit sistemler, network trafiği, log dosyaları, memory imajı, artifackler log dosyalarını, monitoring araçlarını, hata mesajlarını ve firewall logları toplanmalıdır. Hızlı bir şekilde olayın belirlenmesi maliyetleri ve zararlı azaltmak için olayın tespit edildiği süreçtir. Ardından durum değerlendirmesi yapılmalıdır.  Olaya müdahalesinde bulunacak ekibin olayı ve kapsamını belirlemek için gereken veriler toplanmalıdır,

 

Scope

Vaka değerlendirmesi soncunda tehdit tespit edildiğinde kuruluşa olan zararlı sınırlamalı ve önlemelidir. Sınırlamanın asıl amacı hasarı kontrol etmek ve daha fazla yayılmasını engellemektir. Bir vakanın zararlını azaltma ve saldırganın erişimlerinin kesilmesini sağlamak için birkaç gerekli adım vardır;

1-     Kısa süreli sınırlama; Bu hasarı olabildiğince çabuk sınırlamayı amcalar. Güvenliği ihlal edilen makinenin izole edilmesi

2-     Sistem yedekleme; Forensics teknikleri uygulanılarak kanıtları korumak ve sistemin nasıl ele geçirildiğini anlamak için gerekli triyajları almak

3-     Uzun süreli sınırlama:  Temiz sistemin yeniden kurulması, saldırgan tarafından ele geçirilen ve oluşturulan hesapların sıfırlanıp silinmesi, kalıcılık mekanizmaların temizlenmesi, ip engellemesi gibi önemlerin alınması.

4-     Olayın karakterize edilmesi gerekmektedir, örneğin sisteme malware bulaşması, veri sızıntısı olmuş olması gibi durumlar belirlenmelidir.

 

Eradication

Root cause belirlenmeli ardından saldırganın tüm kalıcılıklar sistemden atılmalıdır. Savunmayı geliştirilmesi işletim sistemleri kullanılan uygulamalar, network alanlardaki savunma eksikleri belirlenmeli ve nasıl iyileştirme yapılacağı konusunda çalışmalar yapılmalıdır. Güvenlik olayından etkilen sistemlerin kaldırılmasın ve geri yüklenmesi Güvenlik açığı taraması, ağalar ve sistemler üzerinde olası saldırı noktaları tespit edilmeli ve zafiyet taramaları yapılarak düzeltilmelidir Bu aşamada, Kuruluş ayrıca, yeniden bulaşma riskini önlemek için kötü amaçlı içeriğin etkilenen sistemlerden kaldırıldığından ve sistemlerin tamamen temizlendiğinden emin olmalıdır. Etkilenen sistemlerin daha sonraki saldırılara açık olmadığından emin olunması için ikincil bir takip gerektirebilir.

 

Recovery

Bu aşama, kuruluşların etkilenen sistemleri dikkatli bir şekilde üretim ortamına geri getirmelerine yardımcı olur ve başka bir olayın meydana gelmemesini sağlar. Kötü amaçlı yazılımlardan yeniden etkilenmemeleri veya güvenliği ihlal edilmemeleri için sistemler üretime geri dönerken test edilmeli, izlenmeli ve doğrulanmalıdır. Buradaki önemli kararlar şunları içerir:    

1-     Olay müdahalesi ekibinin tavsiyeleri uygulanmaları işlemleri geri yüklendiği saat ve tarih kesinleşmeli.

2-     Güvenliği ihlal edilmiş sistemlerin temiz ve tamamen işlevsel olduğunu test edilir ve doğrulanır.

3-     Anormal davranışların izlenmesi gereken süre

4-     Sistem davranışını test etmek, izlemek ve doğrulamak için kullanılan araçlar.

 

 

Lessons Learned

Kuruluşların olay yanıtlarını gözden geçirmek ve yaklaşımlarını gelecekteki saldırılara uyarlamalarını önem taşımaktadır. Olay sırasında tamamlanmayan tüm belgelerin gelecekteki olaylara fayda sağlayabilecek ek bilgilerle birlikte eklenmesi gerekir. Olay müdahalesinin son ve etkili adımıdır gelecekte ki bir vaka yaşanması engellemesini sağlar. Kurumun eksik kısımların raporlandığı, sürece ilişkin öneriler yer aldığı kısımdır.  Raporun kapması gereken başlıklar;

1-     Vakanın ilk ne zaman, nasıl ve kim tarafından tespit edildiği

2-     Vakanın temel nedeni

3-     Sorunun nasıl kontrol altına alındığı ve ortadan kaldırıldığı

4-     Kurtarma süreci boyunca gerçekleştirilen eylemler

5-     Olay müdahalesi ekibinin etkili olduğu alanlar ve iyileştirilmesi gereken alanlar

6-     Nasıl iyileştirilmesi gereken öneriler

 

 

NIST Incident Response

National Institute of Standards and Technology yani diğer adıyla NIST, Amerika Birleşik Devletleri Ticaret Bakanlığı tarafından işletilen ve birçok teknoloji sektörü için standartlar ve tavsiyeler sağlayan bir kurumdur.

SP 800-61olarak bilinen Bilgisayar güvenliği Olay yönetimi Kılavuzun da (Computer Security Incident Handling Guide) Siber güvenlik olay yönetimi ve Müdahale (Cybersecurity Incident Management and Response) ile ilgili tavsiyelerini detaylandırmaktadır. Kılavuz bir siber güvenlik olayı müdahale planının nasıl oluşturulması gerektiği ve olağanüstü durumlarda hangi adımları içermesi gerektiği konusunda talimat vermektedir. NIST IR adımlar 4 ana temelden oluşur;

1-     Preparation,

2-     Detection/analysis

3-     Containment/eradication, and recovery

4-     Preparation

 

 

 

Preparation,

Hiçbir kuruluş bir anda bildirilen vakayı etkili bir şekilde başlatamaz. Vakaya hem müdahale etmek hem de önlemek için bir plan hazırlığı olmalıdır. Bunun alt başlıklarına bakacak olursak;

1-     Olay müdahale ekibini belirleyin

Tüm ekibin hızlı ve eksiksiz hareket etmek için herkesin sorumluluklarını belirlemesi gerekir. Üyeler olarak yönetim, teknik, hukuk ve iletişim disiplinlerinde kişiler bulunmalıdır. Bir olayda etkilenen tüm departmanlar döngüde olmalı ve herkesin olay esnasında bir karara dahil olması gerekmektedir.

2-     Planın belirli periyotlarla güncellenmesi gerekemektedir

3-     Uygun altyapı ve araçları edinme ve bakımının yapılması: Olayları tespit etme ve soruşturmanın yanı sıra kanıt toplama ve koruma yeteneklerine sahip olun. Ortamınızda bir saldırganın olup olmadığını belirlemek için, uç noktalarınıza tam görünürlük sağlayan ve olay verilerini toplayan uç nokta güvenlik teknolojisine sahip olmanız çok önemlidir.

4-     Güncel tehdit istihbarat yeteneklerine sahip olun. Tehdit istihbaratı sayesinde bir kuruluşun yanıt vermeye hazır olması gereken tehdit türlerini anlamasına yardımcı olur.

 

 

 

Detection and Analysis

IR ikinci aşaması bir olayın meydana gelip gelmediğini meydana gelen olayın risk derecesi ve türünü belirlemektir. NIST bu genel aşamadaki beş adımı özetlemektedir;

1-     Bir olayın kesin işareti (precursors and indicators): Olay meydana gelmek üzere olduğuna veya zaten meydana geldiğine dair özel sinyalledir.

2-     Keşfedilen işaretleri analiz edin. Bir kez tanımlandığında IR ekibi bir öncünün veya göstergesinin bir saldırı parçası olup olmadığını veya false-postivie olup olmadığını belirlemelidir.

3-     Incident dokümanları: Oluşan vaka gerçek bir vaka olduğu kanıtlanırsa BT ekibi olayla ilgili tüm gerçekleri belgelemeye başlamalı ve süreç boyunca gerçekleştirilen tüm eylemleri kaydetmeye devam etmelidir.

4-     Incident prioritization: IR sürecinde en kritik karar noktası olarak belirler. IR ekibi olaylara gelene ilk hizmet esnasında göre öncelik veremez. Bunun yerine olayların işlevselliğine etkilenen bilgilerin gizliğini ve olayın kurtarılabilirliği üzerinde etkisine göre skorlama yaparak müdahale etmeli.

5-     Incident notification: Bir olay analiz edildikten ve önceliklendirildikten sonra IR ekibi uygun departmanları bilgilendirmelidir. Kapsamlı bir IR planı belirli bir raporlama gerekliliklerini zaten içermelidir.

 

Containment, Eradication, Recovery

Sınırlama aşamasının amacı bir olayın etkilerini daha fazla hasara yol açmadan önce durdurmaktır. Bir olay kontrol altına alındığında IR ekibi sonraki adımlarını uyarlamak için gerekli zamanı alabilir. Bunlar olayın temel nedeni ele almak ve sistemleri normal çalışmaya döndürmek için gerekli her türlü önlemi almayı içermelidir.

Aşağıdaki kriterlere dayalı olarak kapsam, eradikasyon ve kurtarma staratejileri geliştirilebilir;

-          Etkilenen varlıkların kritikliği

-          Olayın türü ve ciddiyeti

-          Kanıtları koruma ihtiyacı

-          Etkilenen sistemlerin kritik iş süreçleri için önemi

-          Stratejiyi uygulamak için gereken kaynaklar

 

 

 

Post – Incident Activity

Yaşanan her olay öğrenmek ve gelişmek için bir fırsat olmalıdır. Siber saldırganlar sürekli olarak gelişiyor ve farklı teknik ve taktikleri uyguluyor yakalamak ve önlem almak için bizlere fırsat sunmakta. Önemli olaydan sonra bütün taraflar içeren öğrenilen dersler toplantısı yapılmalı ve bütün güvenliği iyileştirmek adına çalışmalar yapılmalıdır. Toplantı ve rapor sırasında gözden geçirilmesi gerekenler;

-          Ne oldu ve ne zaman oldu

-          IR ekibi performansı nasıldı

-          Belgelenmiş prosödürler izlendi mi

-          Prosedürler yeterli mi ,yeterli değilse hangi bilgiler eklenmeli

-          Farklı neler yapılabilirdir

-          Gelecekte aynı veya benzer olayları önlemek için ne yapılabilir

-          Gelecekte hangi IOC değerleri aranabilir.

-          Gelecekte benzer olayları önlemenin yollarını öğrendik mi?

 

 

 

 

Kaynaklar:

https://www.sans.org/white-papers/641/

https://www.exabeam.com/incident-response/incident-response-plan/

https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf

https://www.crowdstrike.com/cybersecurity-101/incident-response/incident-response-steps/

https://www.cynet.com/incident-response/nist-incident-response/

 

 

 

Read More