Blue olarak 10 Kasım'a özel bir çalışma gerçekleştirmek istedik.
Gartner, IDC ve SentinelOne 'a göre global ve bölgesel pazar payının çoğunu kaplayan Microsoft EDR çözümü tek başına yeterli değildir. Güvenlik seviyesini en yukarı taşıyabilmek için bunları CTI ve PoC ler ile desteklemek zorundayız. Bu konu global çapta büyük bir yer kaplayan (genellikle top 3) ve EDR camiasında iyi bir konumda olan Defender'ın bypassını ele almaktadır.
Sistem komutları EDR' da hunt etmek ve logları yakalamak üzere çalıştırıldı.
Bu çalıştırılan sistem komutları (ipconfig, whoami) Defender EDR' ın timeline (logların real-time aktığı alan) alanında görüyoruz ve resim 1 ile eşleşiyor.
Edrsilencer ve silentbutdeadly olarak iki PoC'imiz var. İkisi de EDR'ı telemetri olarak körleştiriyor ve bypass ediyor (fakat daha kapsamlı olduğu için biz 2. yi ele alacağız buradaki resim 1.ye ait, compile kodunu da birlikte verdik).
Direkt olarak microsoft compiler ile compile ediyoruz.
Alttaki 5 resim için PoC .exesi çalıştırıldıktan sonra mevcut endpointteki yüklü EDR'ı bulur ve bypass eder burada Defender için (mssense ve msmpeng) gerekli processleri ve pidleri bulur ve outputta çıktı verir.
Timeline içerisinde yapılan her aktivite gecikmeli olarak (EDR için gecikme bir problemdir fakat edrların doğası gereği near-realtime yani gerçek zamana en yakın sürede veriler timeline aktarılır) gelir fakat buradaki gecikme maximum 1 dakikadır. Poc çalıştıktan sonra ise saat 8.55 olmasına rağmen en son gelen loglar silentbutdeadly.exe nin çalıştığıdır ve 8.27 dir. Burası PoC'nin başarılı olduğu yerdir
Aşağıdaki 2 resim için timeline içerisine bakıldığında whoami ve ipconfig için loglar yalnızca ilk çalıştırıldığında gelen loglar (edr bypass olduğu için telemtri verileri gelmemekte).
Makinede log fazlalığı olması amacıyla operasyonlarına devam eden Sinobi ve Akira ransomware gruplarının ransom binaryleri çalıştırılmıştır, ekran görüntülerinde de herbirine ait text dosyaları görülmektedir.
Aşağıdaki iki resim ise en güncel kurbanları.
Burada 9.31 olmasına rağmen en sonki log 8.27 aradaki 64 dakikalık bir veri boşluğu var. (ransomware şifreleme hızı bu sitedeki 100 gb verinin lockbit 2.0 tarafından bile 4 dakika 28 saniyede şifrelendiğini belirtelim)
2022 yılında yapılan Ransomware araştırmasına göre, 100 GB'lık veri LockBit 2.0 için bile (en eski versiyonu, şu anda 5.0 için intel yapıyoruz) 4.28 dakika, bu durumu değerlendirmeyi sizlere bırakıyoruz.
Makineyi restart ediyoruz (şifreleme Ransomware tarafından bitirilsin ve PoC kapatılsın).
Makine yukarıdaki resimdeki gibi açıldığında sign olmasak bile ajan managera verileri göndermeye başlıyor, aşağıdaki resimde ise timeline içinde verilerin geldiğini görebilmekteyiz.
Çalıştırılan ransomwarelar için özel kurallar geliştirildi fakat PoC sonlandırıldıktan/körelme bittikten sonra, loglar gelmeye başladıktan sonra alarmlar hit etmiştir. Aşağıda ise bu geliştirilen kurallara dair hit eden alarmları görebilirsiniz.
Gartner, IDC ve SentinelOne 'a göre global ve bölgesel pazar payının çoğunu kaplayan Microsoft EDR çözümü tek başına yeterli değildir. Güvenlik seviyesini en yukarı taşıyabilmek için bunları CTI ve PoC ler ile desteklemek zorundayız. Bu konu global çapta büyük bir yer kaplayan (genellikle top 3) ve EDR camiasında iyi bir konumda olan Defender'ın bypassını ele almaktadır.
Sistem komutları EDR' da hunt etmek ve logları yakalamak üzere çalıştırıldı.
Bu çalıştırılan sistem komutları (ipconfig, whoami) Defender EDR' ın timeline (logların real-time aktığı alan) alanında görüyoruz ve resim 1 ile eşleşiyor.
Edrsilencer ve silentbutdeadly olarak iki PoC'imiz var. İkisi de EDR'ı telemetri olarak körleştiriyor ve bypass ediyor (fakat daha kapsamlı olduğu için biz 2. yi ele alacağız buradaki resim 1.ye ait, compile kodunu da birlikte verdik).
Direkt olarak microsoft compiler ile compile ediyoruz.
Alttaki 5 resim için PoC .exesi çalıştırıldıktan sonra mevcut endpointteki yüklü EDR'ı bulur ve bypass eder burada Defender için (mssense ve msmpeng) gerekli processleri ve pidleri bulur ve outputta çıktı verir.
Timeline içerisinde yapılan her aktivite gecikmeli olarak (EDR için gecikme bir problemdir fakat edrların doğası gereği near-realtime yani gerçek zamana en yakın sürede veriler timeline aktarılır) gelir fakat buradaki gecikme maximum 1 dakikadır. Poc çalıştıktan sonra ise saat 8.55 olmasına rağmen en son gelen loglar silentbutdeadly.exe nin çalıştığıdır ve 8.27 dir. Burası PoC'nin başarılı olduğu yerdir
Aşağıdaki 2 resim için timeline içerisine bakıldığında whoami ve ipconfig için loglar yalnızca ilk çalıştırıldığında gelen loglar (edr bypass olduğu için telemtri verileri gelmemekte).
Makinede log fazlalığı olması amacıyla operasyonlarına devam eden Sinobi ve Akira ransomware gruplarının ransom binaryleri çalıştırılmıştır, ekran görüntülerinde de herbirine ait text dosyaları görülmektedir.
Aşağıdaki iki resim ise en güncel kurbanları.
Burada 9.31 olmasına rağmen en sonki log 8.27 aradaki 64 dakikalık bir veri boşluğu var. (ransomware şifreleme hızı bu sitedeki 100 gb verinin lockbit 2.0 tarafından bile 4 dakika 28 saniyede şifrelendiğini belirtelim)
2022 yılında yapılan Ransomware araştırmasına göre, 100 GB'lık veri LockBit 2.0 için bile (en eski versiyonu, şu anda 5.0 için intel yapıyoruz) 4.28 dakika, bu durumu değerlendirmeyi sizlere bırakıyoruz.
Makineyi restart ediyoruz (şifreleme Ransomware tarafından bitirilsin ve PoC kapatılsın).
Makine yukarıdaki resimdeki gibi açıldığında sign olmasak bile ajan managera verileri göndermeye başlıyor, aşağıdaki resimde ise timeline içinde verilerin geldiğini görebilmekteyiz.
Çalıştırılan ransomwarelar için özel kurallar geliştirildi fakat PoC sonlandırıldıktan/körelme bittikten sonra, loglar gelmeye başladıktan sonra alarmlar hit etmiştir. Aşağıda ise bu geliştirilen kurallara dair hit eden alarmları görebilirsiniz.
Sürekli gelişmekte olan teknolojiler ve yazılımlarla birlikte zararlı grupların etki alanları ve izlediği yollar, taktikler de değişmektedir. Bu değişen yolları ve tatktikleri izlemenin en iyi yolu güçlü bir CTI (Siber Tehdit İstihbaratı) çalışmasından geçer. CTI, zararlı grupların IoC lerini ve TTP lerini izlememizi sağlayan ve onları gerçek zamanlı takip edip yaptıklarından yola çıkarak yapabilecekleri şeyler için bizlerin zararlılara karşı önlem almamızı sağlar. Bu da bir karar alıcı olarak olası zararlı senaryolarında minimum düzeyde hasar alınmasını sağlar. CTI, tehdit aktörlerini tamamen durdurmak için tek başına yeterli değildir ancak savunma hattının en önemli unsurlarının başında gelir. İyi bir CTI ekibi sadece Blue tarafta ekibine yardımcı olmaz aynı zamanda Red Team tarafında da efektif çalışmalar sergiler ve Purple Team'in temellerini oluşturur.PoC (Kavram Kanıtı) ile CTI arasındaki kavram ise şu şekilde işler: CTI ile edindiğimiz istihbarat bilgilerini hem doğrulamak hem de pratiğe döküp alınan aksiyonlar sonucunda bulduğumuz izlere kurallar geliştirdiğimiz senaryolara PoC deriz. Bu da PoC yaptığımız herhangi bir tehdit
