ݺߣ

ݺߣShare a Scribd company logo

KoçSistem SOC Güvenlik Bülteni, Ağustos 2016

Serkan Özden
Serkan Özden

KoçSistem SOC ekibi tarafından hazırlanan aylık güvenlik bültenidir.

1 of 8
Download to read offline
CiscoHostedSecurityServices İşOrtaklığı NO.11•Ağustos2016 Editör:ÖzgeÇELİK KoçSistemSecurityOperationCenter www.kocsistem.com.tr TemmuzAyında KayıtlaraGeçenAtaklar GüvenlikİzlemeveYönetim (SecurityOperationsCenter) TEMMUZAYINAAİT 3.PARTİUYGULAMALAR GÜVENLİĞİMİZEKARŞI BİRTEHDİTMİ? KRİTİKAÇIKLAR BACKDOOR
Akıllıtelefonlar,tabletlervediğermobilcihazlar kesinlikle yaşamımızı daha kolay ve daha eğlenceliyaptığıbirgerçektir.Uygulamalar,akıllı cihazlarımızıdahakullanışlıveüretkenhalege- tirmektedir.İndirdiğimizuygulamalar,herbir mobilcihazısadecesahibininisteyeceğişekilde tümüyle eşsiz birbilgive eğlence kaynağı yapmayapmaktadır.Akıllıtelefonlarıvetabletleribu kadarinovatifkılan,uygulamalarınücretsizve ucuz olduğu kadar üretken olmasıyla cihazlarımızıkişiselleştirebilmemizdir. Maalesef,uygulamalarınbukadarharikaolması onlarıaynızamandabiro kadardatehlikeli yapabilmektedir.Çoğutüketiciiçin,uygulamalar ikiyerden indirilmektedir:iPhone ve iPad kullanıcılarıiçin Apple’ın uygulamamağazası olanAppStoreveyaAndroidişletim sisteminin kullanıldığıcihazlariçinGooglePlayStore. Ancak, Android kullanıcılarının Apple kullanıcılarının halihazırda pek yüzleşmediği gizlitehlikebeklemektedir,bu tehlike3.parti uygulamamağazalarıolarakadlandırılmaktadır. Apple,cihazlarınıngarantisinisonlandıranjail- breakişlemiyapılmadıkçadışarıdanherhangibir web sitesinden içerik indirilmesine izin ver- memektedir. Diğer yandan, herhangi biri Android cihazlarda çalışabilecekuygulamaları birwebsitekuraraksatabilmektedir,Amazon’un uygulama mağazası gibi diğer uygulama mağazalarından bazılarıtanınmıştır.Dünyanın heryerinde Android uygulamalarısunan bazı şüpheliwebsitelerbulunmaktadırvebuweb sisiteleroldukçagüvensizolabilmektedir. Denizcan Uysal SOC Analisti
Backdoor,TürkçesiyleArkaKapı,birsistemeizin- sizgirişyapmayavesistemüzerindekikaynakları istenilenşekildekullanmayanedenolankötü amaçlıbiryazılımtürüdür. Başlangıçta birçok sistemci ve programcı tarafından sadece gerektiğinde kullanılan Backdoor’lar,sistemlergenişledikçe ve daha karmaşık birhalalmaya başladıkça tehlikeli güvenlikaçığıkonumunageldiler.Bunedenle artıkBackdoorfarklıbiranlam kazanarakteh- likelibirterim oldu.Çoğuvirüsünbirbilgisayar vveyasistemebulaştığındadenediğibuyöntem- le,genelliklebazıportlarıaçarakvirüsyayıncısı veyabaşkakötüamaçlıbiryazılımiçinçokrahat erişimimkanısağlamaktadır. Backdoor farklı şekillerde gerçekleştirilebilir. Örneğinbirwebsunucusunasızmakiçinport üzerindenbiryöntem kullanılırkenbirbilgisayar sisteminielegeçirmekiçin crackvb.yazılım hilesikullanılabilmektedir. Hackerların sanal ajan olarak kullandıkları Backdoor’lar,programlarıniçineyerleştirilerek bulaştığıbilgisayarınveyasisteminkullanıcısının haberiolmadansessizceçalışıpbilgilerihacker- laraaktarabilmekte,büyükgüvenliktehditlerine yolaçabilmektevesizibirsibersaldırıyaortak halegetirebilmektedir. EnsıkkarşılaşılanBackdooryöntemiise,hedef sistemdebirportuaçıktutmaktır.Bilinenenünlü Backdoor'laraörnekolarakNetbus,OptixPro, Subseven,BackOrifice,ZbotveZeuSverilebilir. Backdoorlardan kurtulmak ve korunmak için antivirüs yazılımları haricinde bir araç kullanılmaz.Antivirüsyazılımlarıdiğerzararlı yazılımlarıyazılımlarıtemizlemektenekadarbaşarılıise arkakapılariçindebirokadarbaşarılıolabilmek- tedir “WikiBackdoor”https://goo.gl/ZtmN76
“IBM XForce”http://www-03.ibm.com/security/xforce/ 13Temmuz2016 Amerika’da birsüre önce başlatılan popüler mobilgerçeklikoyunununsunucularıbirDDoS saldırısıilekesintiyeuğramıştır. 18Temmuz2016 AmerikaAmerika’dabirSQLigüvenlikaçığı,popülerbir Linux distribütörünün resmi forumundan kullanıcıtablolarınınsızdırılmasınanedenoldu. Toplamda2milyonubulane-postaveIPadresi sızdırıldı. 20Temmuz2016 KanadaKanada’dagerçekleşenolaydabirDrupalSQL exploit,popülerbirçevrimiçioyununşifrelerini vee-mailadreslerinieldeetmekiçin kötüye kullanıldı. 22Temmuz2016 KKorelibire-ticaretportalındanphishingsaldırısı sonucuisim,adresvetelefonnumaralarıçalındı. Saldırganlar $2.6 (USD) Bitcoin değerinde 10.300.000sayıdaveriyigerivermekiçinfidye istediler. 24Temmuz2016 WikiLeaks,WikiLeaks, Amerika’da bir siyasi partiden çalınmışhassase-postaadresleriniyayınladıve halkaaçıkbirwebsiteüzerindenafişeetti. 25Temmuz2016 ÇinÇin’depopülerbirmobiloyunvBulletinforttu- mundan kullanıcıverilerişifreler,IP adresleri, sosyalmedyakimlikdoğrulamabilgilerivee- postaadresleriniiçeren1.597.717veriçalındı. 3Temmuz2016 Kuzey Carolina Üniversitesi'nde,birçalışanın e-postahesabınayapılanbirphishingsaldırısı, isim,adresvesosyalgüvenliknumaralarıdahil 38.000 öğrenci verisinin kaybına neden olmuştur. 44Temmuz2016 Amerika’dapopülerbirsohbetuygulamasının forumu,birvBulletingüvenlikaçığınedeniyle ihlaledilmişve toplamda3.827.238 sayıdaki kullanıcıadları,e-postalar ve diğer veriler sızdırılmıştı. 7Temmuz2016 PPolonyalıbirtelekom şirketinden14GB’lıkveri, birforumaaktarıldı.Sızdırılanveriler,müşteri bilgilerini,IP adreslerini,oturum çerezlerive diğerhassasbilgileriiçeriyordu. 8Temmuz2016 BirBirMichigansağlıkağı,3.partimedikalkayıt sistemininde22.000verininsızdırıldığıpotansi- yelbirveriihlaliolduğunumüşterilerinebildirdi. Amerika’dayaygınolarakkullanılanveriölçüm- leriSaaSplatformu,müşteriverilerinibarındıran üretim sunucularıetkileyen yetkisiz etkinliği keşfettiğini açıkladı. Önlem olarak, tüm kullanıcınaşifrelerinisıfırlamayıvemüşterilerin bulutkimlikbilgilerinideğiştirmesinitavsiyeetti. 10Temmuz2016 Amerika’da birMüslüman partnersitesinden 2,035,020e-postaveşifrelersızdırıldı.
CVE-2016-3610 SummaSummary:UnspecifiedvulnerabilityinOracle JavaSE8u92andJavaSEEmbedded8u91allows remoteattackerstoaffectconfidentiality,integ- rity,and availability via vectors related to Libraries, a different vulnerability than CVE-2016-3598. Published:7/21/20166:14:43AM CVSSSeverity:v3-9.6CRITICAL v2-9.3HIGH Özet:OracleJavaSE8u92veJavaSEEmbedded 8u91sürümlerindekütüphanelerleilgiligizliliğin bütünlüğünvekullanılabilirliğinuzaksaldırgan tarafındanetkilendiğibirzafiyetortayaçıkmıştır. Detaylıbilgiiçin:Detaylıbilgiiçin: http://www.oracle.com/technetwork/security- advisory/cpujul2016-2881720.html CVE-2016-4177 SummaSummary:AdobeFlashPlayerbefore18.0.0.366 and19.xthrough22.xbefore22.0.0.209onWin- dowsand OSX and before11.2.202.632on Linuxallowsattackerstoexecutearbitrarycode orcauseadenialofservice(stackmemorycor- ruption)viaunspecifiedvectors,adifferentvul- nerabilitythanCVE-2016-4176. Published:7/12/20169:59:46PM CVSSSeverity:v3-9.8CRITICALv2-10.0HIGH ÖzetÖzet:WindowsveLinuxplatformlarındaAdobe FlashPlayer'ınbazısürümlerisaldırganınisteğe bağlıhazırladığıkodlarıçalıştırmasınayadahiz- metin kullanıamaz hale gelmesine imkan sağlamaktadır. Adobe Security Bulletin’de yapılanupdatelerleilgilibilgibulunmaktadır. Detaylıbilgiiçin: https://helpx.adobe.com/security/products/flas h-player/apsb16-25.html BUNUBİLİYORMUYDUNUZ? Matrix3filmindeki"kahin"karakteribiryapayzekayazılımıyken,kendisinegiderkenkullanılankapılar isegerçektebirerBackdoor'du. “NationalVulnerabilityDatabase”https://goo.gl/ZtmN76
GüvenlikİzlemeveYönetim (SecurityOperationsCenter) GüGüvenlikteknolojivetehditlerininçeşitlendiği günümüzdünyasındagerçekseviyedegüvenlik iyikurgulanmışbirgüvenlikizlemealtyapısıile mümkün hale gelmiştir.KoçSistem Güvenlik izleme ve yönetim hizmetimizle, güvenlik cihazlarınınperformansvetrafikizlemesinden tüm sistemlerden toplanan logların güvenlik bakışbakışaçısıylakoreleedilmesive7×24izlenmesi sağlanmaktadır.Tamamıylamühendiskadrosun- danveyerelinsankaynağındanoluşanbuekiple vardiyalıdüzendeyapılanolayyönetimisaye- sinde,güvenlik cihazlarıyla adreslenemeyen güvenliktehditleritespitvemüdahaleedilebilir halegelmektedir. Yukarıdakiistatistiklerde de görüldüğü gibi Türkiye’ninsibersaldırıriskininyüksekolduğu düşünüldüğünde,kurumsalgüvenlikdöngüsü “İzle-TestEt-Geliştir-GüvenliKıl”mantığıylave- rilen hizmetimiz,7x24 güvenlik cihazlarının ürettiğilogvealarmlarınizlenmesivebeklen- medikaktivitelerleilgilidurumlarınınincelenip önleyiciönleyici faaliyetlerde bulunulması ilkesini taşımaktadır.
İleriseviyeverilenhizmetteisestandartseviyeye ekolarak,dahagenişkapsamlıolacakşekilde globaldeIBM ilebirlikte,korelasyonlarsonucu üreyen çağrıların incelenmesi ve gerekli aksiyonlarınalınmasısağlanır.Bukapsamdatüm alarmlaraktifbirekiptarafındansürekli(7x24) olarakizlenir. SOChizmetitemel(L1),standart(L2)veileri(L3) seviyeolmaküzereüçtipteverilebilmektedir. TemelseviyeSOChizmeti,müşteriningenelan- lamdatüm güvenlikcihazlarınınSNMPtabanlı olarak7x24izlenmesiyoluylasağlanmaktadır. SOC StandartSeviye Hizmeti,SIEM sistemi temelindeyürütülmektedir.Müşteriileanlaşma sağlanansağlanangüvenlikcihazlarıiçinSIEM sisteminde yazılankorelasyonlarlaüreyençağrılariçinilk seviyevakaincelemesiveaksiyonalımısağlanır.
CiscoHostedSecurityServicesİşOrtaklığı GüvenlikYönetilenHizmetlerservislerimizlebu seneiçerisindeIBM veFortinet’ten aldığımız ödüllersonrasıCiscotarafındadaTürkiye’ninilk “BulutGüvenlikÇözümleriİşOrtağı”ünvanını kazandık. TTürkiye’debualandailkolmak,sektördefarklı birdeğeroluşturmaktadır.BudeğeriCiscoile yapılacak ortak bir lansmanda duyurmayı planlıyoruz. Müşterilerimizedahagenişkapsamdavedaha iyihizmetverebilmekiçinçalışmalarımızdevam ediyor.

More Related Content

KoçSistem SOC Güvenlik Bülteni, Ağustos 2016

  • 2. Akıllıtelefonlar,tabletlervediğermobilcihazlar kesinlikle yaşamımızı daha kolay ve daha eğlenceliyaptığıbirgerçektir.Uygulamalar,akıllı cihazlarımızıdahakullanışlıveüretkenhalege- tirmektedir.İndirdiğimizuygulamalar,herbir mobilcihazısadecesahibininisteyeceğişekilde tümüyle eşsiz birbilgive eğlence kaynağı yapmayapmaktadır.Akıllıtelefonlarıvetabletleribu kadarinovatifkılan,uygulamalarınücretsizve ucuz olduğu kadar üretken olmasıyla cihazlarımızıkişiselleştirebilmemizdir. Maalesef,uygulamalarınbukadarharikaolması onlarıaynızamandabiro kadardatehlikeli yapabilmektedir.Çoğutüketiciiçin,uygulamalar ikiyerden indirilmektedir:iPhone ve iPad kullanıcılarıiçin Apple’ın uygulamamağazası olanAppStoreveyaAndroidişletim sisteminin kullanıldığıcihazlariçinGooglePlayStore. Ancak, Android kullanıcılarının Apple kullanıcılarının halihazırda pek yüzleşmediği gizlitehlikebeklemektedir,bu tehlike3.parti uygulamamağazalarıolarakadlandırılmaktadır. Apple,cihazlarınıngarantisinisonlandıranjail- breakişlemiyapılmadıkçadışarıdanherhangibir web sitesinden içerik indirilmesine izin ver- memektedir. Diğer yandan, herhangi biri Android cihazlarda çalışabilecekuygulamaları birwebsitekuraraksatabilmektedir,Amazon’un uygulama mağazası gibi diğer uygulama mağazalarından bazılarıtanınmıştır.Dünyanın heryerinde Android uygulamalarısunan bazı şüpheliwebsitelerbulunmaktadırvebuweb sisiteleroldukçagüvensizolabilmektedir. Denizcan Uysal SOC Analisti
  • 3. Backdoor,TürkçesiyleArkaKapı,birsistemeizin- sizgirişyapmayavesistemüzerindekikaynakları istenilenşekildekullanmayanedenolankötü amaçlıbiryazılımtürüdür. Başlangıçta birçok sistemci ve programcı tarafından sadece gerektiğinde kullanılan Backdoor’lar,sistemlergenişledikçe ve daha karmaşık birhalalmaya başladıkça tehlikeli güvenlikaçığıkonumunageldiler.Bunedenle artıkBackdoorfarklıbiranlam kazanarakteh- likelibirterim oldu.Çoğuvirüsünbirbilgisayar vveyasistemebulaştığındadenediğibuyöntem- le,genelliklebazıportlarıaçarakvirüsyayıncısı veyabaşkakötüamaçlıbiryazılımiçinçokrahat erişimimkanısağlamaktadır. Backdoor farklı şekillerde gerçekleştirilebilir. Örneğinbirwebsunucusunasızmakiçinport üzerindenbiryöntem kullanılırkenbirbilgisayar sisteminielegeçirmekiçin crackvb.yazılım hilesikullanılabilmektedir. Hackerların sanal ajan olarak kullandıkları Backdoor’lar,programlarıniçineyerleştirilerek bulaştığıbilgisayarınveyasisteminkullanıcısının haberiolmadansessizceçalışıpbilgilerihacker- laraaktarabilmekte,büyükgüvenliktehditlerine yolaçabilmektevesizibirsibersaldırıyaortak halegetirebilmektedir. EnsıkkarşılaşılanBackdooryöntemiise,hedef sistemdebirportuaçıktutmaktır.Bilinenenünlü Backdoor'laraörnekolarakNetbus,OptixPro, Subseven,BackOrifice,ZbotveZeuSverilebilir. Backdoorlardan kurtulmak ve korunmak için antivirüs yazılımları haricinde bir araç kullanılmaz.Antivirüsyazılımlarıdiğerzararlı yazılımlarıyazılımlarıtemizlemektenekadarbaşarılıise arkakapılariçindebirokadarbaşarılıolabilmek- tedir “WikiBackdoor”https://goo.gl/ZtmN76
  • 4. “IBM XForce”http://www-03.ibm.com/security/xforce/ 13Temmuz2016 Amerika’da birsüre önce başlatılan popüler mobilgerçeklikoyunununsunucularıbirDDoS saldırısıilekesintiyeuğramıştır. 18Temmuz2016 AmerikaAmerika’dabirSQLigüvenlikaçığı,popülerbir Linux distribütörünün resmi forumundan kullanıcıtablolarınınsızdırılmasınanedenoldu. Toplamda2milyonubulane-postaveIPadresi sızdırıldı. 20Temmuz2016 KanadaKanada’dagerçekleşenolaydabirDrupalSQL exploit,popülerbirçevrimiçioyununşifrelerini vee-mailadreslerinieldeetmekiçin kötüye kullanıldı. 22Temmuz2016 KKorelibire-ticaretportalındanphishingsaldırısı sonucuisim,adresvetelefonnumaralarıçalındı. Saldırganlar $2.6 (USD) Bitcoin değerinde 10.300.000sayıdaveriyigerivermekiçinfidye istediler. 24Temmuz2016 WikiLeaks,WikiLeaks, Amerika’da bir siyasi partiden çalınmışhassase-postaadresleriniyayınladıve halkaaçıkbirwebsiteüzerindenafişeetti. 25Temmuz2016 ÇinÇin’depopülerbirmobiloyunvBulletinforttu- mundan kullanıcıverilerişifreler,IP adresleri, sosyalmedyakimlikdoğrulamabilgilerivee- postaadresleriniiçeren1.597.717veriçalındı. 3Temmuz2016 Kuzey Carolina Üniversitesi'nde,birçalışanın e-postahesabınayapılanbirphishingsaldırısı, isim,adresvesosyalgüvenliknumaralarıdahil 38.000 öğrenci verisinin kaybına neden olmuştur. 44Temmuz2016 Amerika’dapopülerbirsohbetuygulamasının forumu,birvBulletingüvenlikaçığınedeniyle ihlaledilmişve toplamda3.827.238 sayıdaki kullanıcıadları,e-postalar ve diğer veriler sızdırılmıştı. 7Temmuz2016 PPolonyalıbirtelekom şirketinden14GB’lıkveri, birforumaaktarıldı.Sızdırılanveriler,müşteri bilgilerini,IP adreslerini,oturum çerezlerive diğerhassasbilgileriiçeriyordu. 8Temmuz2016 BirBirMichigansağlıkağı,3.partimedikalkayıt sistemininde22.000verininsızdırıldığıpotansi- yelbirveriihlaliolduğunumüşterilerinebildirdi. Amerika’dayaygınolarakkullanılanveriölçüm- leriSaaSplatformu,müşteriverilerinibarındıran üretim sunucularıetkileyen yetkisiz etkinliği keşfettiğini açıkladı. Önlem olarak, tüm kullanıcınaşifrelerinisıfırlamayıvemüşterilerin bulutkimlikbilgilerinideğiştirmesinitavsiyeetti. 10Temmuz2016 Amerika’da birMüslüman partnersitesinden 2,035,020e-postaveşifrelersızdırıldı.
  • 5. CVE-2016-3610 SummaSummary:UnspecifiedvulnerabilityinOracle JavaSE8u92andJavaSEEmbedded8u91allows remoteattackerstoaffectconfidentiality,integ- rity,and availability via vectors related to Libraries, a different vulnerability than CVE-2016-3598. Published:7/21/20166:14:43AM CVSSSeverity:v3-9.6CRITICAL v2-9.3HIGH Özet:OracleJavaSE8u92veJavaSEEmbedded 8u91sürümlerindekütüphanelerleilgiligizliliğin bütünlüğünvekullanılabilirliğinuzaksaldırgan tarafındanetkilendiğibirzafiyetortayaçıkmıştır. Detaylıbilgiiçin:Detaylıbilgiiçin: http://www.oracle.com/technetwork/security- advisory/cpujul2016-2881720.html CVE-2016-4177 SummaSummary:AdobeFlashPlayerbefore18.0.0.366 and19.xthrough22.xbefore22.0.0.209onWin- dowsand OSX and before11.2.202.632on Linuxallowsattackerstoexecutearbitrarycode orcauseadenialofservice(stackmemorycor- ruption)viaunspecifiedvectors,adifferentvul- nerabilitythanCVE-2016-4176. Published:7/12/20169:59:46PM CVSSSeverity:v3-9.8CRITICALv2-10.0HIGH ÖzetÖzet:WindowsveLinuxplatformlarındaAdobe FlashPlayer'ınbazısürümlerisaldırganınisteğe bağlıhazırladığıkodlarıçalıştırmasınayadahiz- metin kullanıamaz hale gelmesine imkan sağlamaktadır. Adobe Security Bulletin’de yapılanupdatelerleilgilibilgibulunmaktadır. Detaylıbilgiiçin: https://helpx.adobe.com/security/products/flas h-player/apsb16-25.html BUNUBİLİYORMUYDUNUZ? Matrix3filmindeki"kahin"karakteribiryapayzekayazılımıyken,kendisinegiderkenkullanılankapılar isegerçektebirerBackdoor'du. “NationalVulnerabilityDatabase”https://goo.gl/ZtmN76
  • 6. GüvenlikİzlemeveYönetim (SecurityOperationsCenter) GüGüvenlikteknolojivetehditlerininçeşitlendiği günümüzdünyasındagerçekseviyedegüvenlik iyikurgulanmışbirgüvenlikizlemealtyapısıile mümkün hale gelmiştir.KoçSistem Güvenlik izleme ve yönetim hizmetimizle, güvenlik cihazlarınınperformansvetrafikizlemesinden tüm sistemlerden toplanan logların güvenlik bakışbakışaçısıylakoreleedilmesive7×24izlenmesi sağlanmaktadır.Tamamıylamühendiskadrosun- danveyerelinsankaynağındanoluşanbuekiple vardiyalıdüzendeyapılanolayyönetimisaye- sinde,güvenlik cihazlarıyla adreslenemeyen güvenliktehditleritespitvemüdahaleedilebilir halegelmektedir. Yukarıdakiistatistiklerde de görüldüğü gibi Türkiye’ninsibersaldırıriskininyüksekolduğu düşünüldüğünde,kurumsalgüvenlikdöngüsü “İzle-TestEt-Geliştir-GüvenliKıl”mantığıylave- rilen hizmetimiz,7x24 güvenlik cihazlarının ürettiğilogvealarmlarınizlenmesivebeklen- medikaktivitelerleilgilidurumlarınınincelenip önleyiciönleyici faaliyetlerde bulunulması ilkesini taşımaktadır.
  • 7. İleriseviyeverilenhizmetteisestandartseviyeye ekolarak,dahagenişkapsamlıolacakşekilde globaldeIBM ilebirlikte,korelasyonlarsonucu üreyen çağrıların incelenmesi ve gerekli aksiyonlarınalınmasısağlanır.Bukapsamdatüm alarmlaraktifbirekiptarafındansürekli(7x24) olarakizlenir. SOChizmetitemel(L1),standart(L2)veileri(L3) seviyeolmaküzereüçtipteverilebilmektedir. TemelseviyeSOChizmeti,müşteriningenelan- lamdatüm güvenlikcihazlarınınSNMPtabanlı olarak7x24izlenmesiyoluylasağlanmaktadır. SOC StandartSeviye Hizmeti,SIEM sistemi temelindeyürütülmektedir.Müşteriileanlaşma sağlanansağlanangüvenlikcihazlarıiçinSIEM sisteminde yazılankorelasyonlarlaüreyençağrılariçinilk seviyevakaincelemesiveaksiyonalımısağlanır.