Window ağlarda saldırganların yatay hareketleri ve bunların tespiti konusunda düzenlediğimiz webinarda kullanılan sunumdur.
Amacımız saldırı ve savunma tarafının bakış açılarını bir arada sunmaktı.
Siber saldırıların tespitinde ve olay müdahalesinde Windows sistemlerin logları bize önemli bilgiler verir. Sistemin ilk ele geçirildiği andan başlayarak siber saldırganların yerel ağda yayılmasına kadar pek çok adıma bu loglar üremektedir.
Webinarda aşağıdaki konuları ele aldık:
1- Siber Ölüm Zinciri: Siber saldırıların 7+1 adımı
2- Yatay hareket (lateral movement): Siber saldırganların yerel ağdaki davranışları
3- Fidye yazılımlardaki rolü: Fidye yazılımların yerel ağda yayılmak için kullandığı teknikler
4- Yaşanılan senaryolardan örnekler
5- Yatay hareket için kullanılan araçlar: Siber saldırganlar tarafından kullanılan araçlar
6- Windows Event Logs: Yatay hareketleri tespit etmek için kullanılabilecek loglar
7- LogonTracer Aracı: Log analizini kolaylaştıracak ücretsiz bir araç
8- Olay tespiti ve müdahalesinde Microsoft Advanced Threat Analytics (ATA) aracı kullanımı
9- Yatay hareket tespiti için öneriler
================
Sorularınız için sparta@sparta.com.tr
2. Sparta Bilişim
• 2013 Yılında kuruldu
• Sadece siber güvenlik alanında hizmetler veriyor
• Türkiye genelinde 300’den fazla kuruluşa hizmet veriyor
www.sparta.com.tr
3. Hizmetlerimiz
•Sızma testi
• Ağ sızma testleri
• Web uygulama sızma testleri
• Mobil uygulama sızma testleri
• Kablosuz ağ sızma testleri
• Hizmet dışı bırakma (DoS/DDoS) testleri
• Sosyal mühendislik testleri
• Fiziksel sızma testleri
www.sparta.com.tr
• Danışmanlık
• ISO 27001
• KVKK
• Periyodik ziyaretler
• SOME danışmanlığı
• İş sürekliliği
• Eğitimler
• Sızma testi
• SOME
• Siber güvenlik
• Siber istihbarat
• CISSP
4. Bugün Neler Konuşacağız?
• Siber saldırganların yerel ağda yaptıkları
• Bıraktıkları izler
• Kullanılabilecek araçlar
www.sparta.com.tr
12. • Ben Kimim ?
• Siber Ölüm Zincir(leri)
Ajanda
• Lateral Movement (Yatay Hareket)
• Yatay Hareketin Fidye Yazılımlardaki Rolü
• Yaşanmış Olaylar
• Windows Event Logs – Security
• Saldırı Araçları
• Tespit Araçları
• Öneriler
Sparta Bilişim - 2020
13. Siber Ölüm Zinciri
Sparta Bilişim - 2020
• Siber saldırı faaliyetlerinin belirlenmesi ve önlenmesi içi geliştirilmiştir.
• Intelligence Driven Defence(1) modelinin bir parçasıdır.
• Düşmanların hedeflerine ulaşmak için neleri tamamlamaları gerektiğini
tanımlar.
• Lockheed Martin tarafından geliştirilmiştir.
• 7 adımdan oluşur;
(1) https://www.lockheedmartin.com/en-us/capabilities/cyber/intelligence-driven-defense.html
18. Lateral Movement (Yatay Hareket)
Sparta Bilişim - 2020
• Saldırganın ilk erişimi aldıktan sonra, hassas verileri ve diğer
yüksek değerli varlıkları aramak amacıyla ağda daha derine inmek
için kullanılan tekniktir.
• Günümüz APT’ lerini geçmişteki basit siber saldırılardan ayıran
önemli bir taktiktir.
28. • Ben Kimim ?
• Siber Ölüm Zincir(leri)
Ajanda
• Lateral Movement (Yatay Hareket)
• Yatay Hareketin Fidye Yazılımlardaki Rolü
• Yaşanmış Olaylar
• Windows Event Logs – Security
• Saldırı Araçları
• Tespit Araçları
• Öneriler
Sparta Bilişim - 2020
29. Windows Event Logs
Sparta Bilişim - 2020
Uygulama: Sürücüler ve yerleşik ara birim öğeleri gibi Windows sistem
bileşenleri ile ilgili olayları kaydeder.
Sistem: Sistemde yüklü programlarla ilgili olayları kaydeder.
Güvenlik: Oturum açma girişimleri ve kaynak erişimi gibi güvenlikle ilgili
olayları kaydeder.
32. Windows Event Logs - Security
Sparta Bilişim - 2020
Event
ID
Description
4624 An account was successfully logged on
4625 An account failed to log on
4634 An account was logged off
4648 A logon was attempted using explicit credentials
4672 Special privileges assigned to new logon
4776 The domain controller attempted to validate the credentials for
an account
4778 A session was reconnected to a Window Station
4770 A Kerberos service ticket was renewed
4793 The Password Policy Checking API was called
Event
ID
Description
4704 A user right was assigned
4720 A user account was created
4722 A user account was enabled
4725 A user account was disabled
4726 A user account was deleted
4728 A member was added to a security-enabled global
group
4731 A security-enabled local group was created
4732 A member was added to a security-enabled local group
4733 A member was removed from a security-enabled local
group
4765 SID History was added to an account
4734 A security-enabled local group was deleted
4735 A security-enabled local group was changed
4740 A user account was locked out
4748 A security-disabled local group was deleted
4756 Member Added to Universal Group
4767 A user account was unlocked
4781 The name of an account was changedhttps://www.ultimatewindowssecurity.com/securitylog/encyclopedia/
34. Windows Event Logs - Security
Sparta Bilişim - 2020
Logon
type
Logon title Description
2 Interactive A user logged on to this computer.
3 Network A user or computer logged on to this computer from the network.
4 Batch Batch logon type is used by batch servers, where processes may be
executing on behalf of a user without their direct intervention.
5 Service A service was started by the Service Control Manager.
7 Unlock This workstation was unlocked.
8 NetworkCleartext A user logged on to this computer from the network. The user's password
was passed to the authentication package in its unhashed form. The built-
in authentication packages all hash credentials before sending them
across the network. The credentials do not traverse the network in
plaintext (also called cleartext).
9 NewCredentials A caller cloned its current token and specified new credentials for
outbound connections. The new logon session has the same local
identity, but uses different credentials for other network connections.
10 RemoteInteractive A user logged on to this computer remotely using Terminal Services or
Remote Desktop.
11 CachedInteractive A user logged on to this computer with network credentials that were
stored locally on the computer. The domain controller was not contacted
to verify the credentials.
35. Windows Event Logs - Security
Sparta Bilişim - 2020
Ben bir vaka ile karşı karşıya
geldiğimde kendime hemen şu 13
soruyu sorarım:
‘Kaçta, hangi, ne ile, niçin, nolmuş,
kimi, nerede, nasıl, ne zaman,
kimden, neyi, ne belli, neye, kim?’
36. • Ben Kimim ?
• Siber Ölüm Zincir(leri)
Ajanda
• Lateral Movement (Yatay Hareket)
• Yatay Hareketin Fidye Yazılımlardaki Rolü
• Yaşanmış Olaylar
• Windows Event Logs – Security
• Saldırı Araçları
• Tespit Araçları
• Öneriler
Sparta Bilişim - 2020
38. Tespit Araçları
Sparta Bilişim - 2020
• Microsoft Advanced Threat Analytics (ATA) – 12 Ocak 2021
Azure Advanced Threat Protection (Azure ATP)
• https://azure.microsoft.com/en-us/features/azure-advanced-threat-protection/
39. • Ben Kimim ?
• Siber Ölüm Zincir(leri)
Ajanda
• Lateral Movement (Yatay Hareket)
• Yatay Hareketin Fidye Yazılımlardaki Rolü
• Yaşanmış Olaylar
• Windows Event Logs – Security
• Saldırı Araçları
• Tespit Araçları
• Öneriler
Sparta Bilişim - 2020
40. Öneriler
Sparta Bilişim - 2020
SMB imzası Etkin ve Gerekli
Lokal Admin kullanıcılarını kısıtlayın
Domain Admin kullanıcılarını limitleyin
Parola kuralı uygulayın
Az 14 karakter
Karmaşık parola
Maksimum yanlış giriş ile hesap kitle
Servis hesapların yetkilerini limitleyin