Makro Sonrası Döneme Uyum Sağlayan Tehdit Aktörlerin Yöntemleri
Hepinize selamlar, ben Mehmet Kadir CIRIK. Microsoft, Ekim 2021’de Office kullanıcıları için XL4 ve VBA makroları varsayılan olarak engellemeye başlayacağını, sırasıyla Şubat 2022’de başlatacağını duyurmuştu. Bu değişiklikler 2022 yılında etkinleştirilmeye başlandı. 2022 Temmuz ayında VBA makro engelleme uygulamasıyla ilgili bazı karmaşa yaşandı, ancak Microsoft bunun devam edeceğini duyurdu. Tehdit aktörleri, bu değişikliklere tepki olarak makro temelli tehditlerden uzaklaşmaya başladı. Araştırmacılar bu açıklamadan sonra Ekim 2021‘den bu yana kadar olan kampanya verilerine göre, tehdit aktörleri, kötü amaçlı yazılımı iletmek için doğrudan mesajlara eklenen makro etkinleştirilmiş belgelerden uzaklaştı ve giderek daha fazla ISO ve RAR ekleri ile Windows Kısayolu (LNK) dosyaları kullandı. Bir çok rapordan çıkardığım sonuçlara göre tehdit araştırmacıları tarafından manuel olarak analiz edilen ve içerikleri bağlamsallaştırılan kampanya tehditlerinin analizine göre, tehdit aktörlerinin makro etkinleştirilmiş eklerini kullanma oranı oldukça azaldı. Tehdit aktörleri, kullanıcılar Office uygulamalarında makroları etkinleştirdiğinde kötü niyetli içeriği otomatik olarak çalıştırmak için VBA makrolarını kullanır. XL4 makroları Excel uygulamasına…
“LOKI” ile Incident Response Süreçlerinde IOC Tespiti
Hepinize selamlar, Bu makalemde Open Source bir ürün olan IOC tarama toolu LOKI‘den ve kullanım amaçlarından bahsedeceğim. Umarım faydalı olur, şimdiden iyi okumalar. Tehdit istihbaratı ve olay müdahalesi süreçlerinde saldırganlar tarafından kullanılan araçların veya uygulamaların hash değerlerinin, domain adlarının, IP bilgilerinin kısacası ağ üzerindeki bıraktıkları izlerin takip edilmesi oldukça önemlidir. Gelişmiş saldırı tehditlerinin(APT), TTP (Tactics, Techniques and Procedures) kısmında işler oldukça zorlaşmaktadır. Saldırganların savunan kişiler tarafından tespit edilmek istememesinden dolayı işleri çok daha fazla karmaşıklaştırmaları ve zorlaştırmaları gerekmektedir. Bunun sonucunda ise savunma yapan kişilerin de bunları tespit etmesi oldukça zorlaşmaktadır. Sonuç olarak savunma yapan kişilerin, saldırı yapan kişilerden gerisinde kalması olasıdır. Bu durumda savunan kişilerin saldırganların kullandığı araçlar, yazılımlar ve dosyaların tespiti önem arz etmektedir. Yara kuralları ile belirli zararlı yazılımların tespit edilmesi mümkündür. İşte tam da bu noktada devreye makalemizin konusu olan LOKI aracı girmektedir. LOKI LOKI, ücretsiz ve basit bir IOC tarama aracıdır. Tam donanımlı bir APT tarayıcı…