6. Case Study 3
6
CVE-2009-0556
“C:Documents and Settings[username]
Local Settingsfssm32.exe”
202.abc.xyz.7
- C:Program FilesInternet
- ExplorerIEUpd.exe
- IEXPLORE.hlp
Celebrity_makeup.ppt
7. Olayı Özetlemek Gerekirse
7
Karşımızdaki(ler) kim?
Motivasyonları nedir?
Benzer durumla karşılaştık mı?
Saldırılarını nasıl gerçekleştiriyorlar?
Kuruma etkisi ne oldu?
Saldırılar tekrarlanır mı?
8. Siber Tehdit İstihbaratı
8
Saklama :
• Tehdit Aktörleri
• TTP(s)
Üretim :
• Tehdit/Olay Analizleri
• Tersine Mühendislik
• Adli Bilişim Çalışmaları
Toplama :
• Açık Kaynak Servisleri
• Tehdit Avcıları
• Siber Suç Örgütleri
• Raporlar
İlişkilendirme :
• Tehditlerle Eşleştir
• Önceliklendir
9. Where to start?
9
• En Popüler Tehdit İstihbaratı Platformu (TIP) Almalıyız
• Feed’lerle Sistemlerimizi Besleyelim (SIEM’lerdeki gibi J)
• Yeni Raporlar/Görsel Ara Yüzler Hazırlayalım
• Acil Tehdit İstihbaratı Analisti İhtiyacımızı Karşılayalım
• Kullandığımız Analiz Modelini En İyisiyle Değiştirelim
• Kurumunuza Yönelik Tehdit Profilini Oluşturun
19. Diamond Model
19
Adversary
Infrastructure Capability
Victim
à Hacktivist
à CyberCriminal
à Insider Threat
à APT
à Tactics
à Techniques
à Procedures
à Tools
à Network Security
Solutions
à Assets
à Dynamic
à Static
à Compromised
à Owned
à Person
à Critical Infrastructure
à Customer Data
à Intellectual Property
20. Case Study 1 (Diamond Model)
20
Reconnaissance Weaponization Delivery Exploitation Installation
Actions on
Objectives
Command
& Control
PD
F
D
osyası
Tem
in
Ediliyor
D
osya
İçerisine
ZararlıŞifreleniyor
2
-KullanıcıEpostayı
U
laşıyor
1
–
O
ltalam
a
G
önderiliyor
3 – Eposta
Açılıyor
1-PDF
Açılıyor
Bilinmiyor
A
A
A A A
A A
I
I
I I
I I
I
C
C
C
C
C
C
C
V
V
V
VV
VV
2- CVE-2009-
0658 Zafiyeti
Kullanılıyor
Zararlılar Sisteme
Çıkartılıyor
C2
Haberleşm
e
Başlıyor
21. İstihbaratın Olaya Etkisi?
23
Tehdit Aktörlerinin Kullandığı Yöntemlerdeki Değişiklikler
Geçmişteki veya Gelecekteki Olayların İlişkilendirme
Göz Ardı Kalan Noktaların Ortaya Çıkartılması
IOC’leri Alarm Oluşturmak İçin Değil, Öncelik İçin Kullanabilme
Aksiyona Karar Verebilme
22. Olay Hikayeniz
24
Olay Zamanı
Olay Adı
Hedeflenen Kurum
Tehdit Aktörü
Kategoriler
Olay Detayları
02.05.2019 15:45:00
Oltalama Kampanyası
ABC Finansal Kuruluşu
XYZ Group
#Phishing #Backdoor #CyberCrime
Cyber Kill Chain - TTPs
23. Kaynaklar
25
• Intelligence-Driven Incident Response: Outwitting the Adversary
Rebekah Brown and Scott J Roberts
• Lockheed Martin Cyber Kill Chain
https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf
• MITRE ATT&CK Framework
https://attack.mitre.org/
• The Pyramid of Pain
http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
• The Diamond Model of Intrusion Analysis
Sergio Caltagirone, Andrew Pendergast, Christopher Betz