CyberFlow Logo CyberFlow BLOG
Soc L1 Tehdit Vektorleri Phishing Analizi

MITRE ATT&CK ile Phishing Analizinin Derinliklerine İnmek

✍️ Ahmet BİRKAN 📂 Soc L1 Tehdit Vektorleri Phishing Analizi

MITRE ATT&CK çerçevesi ile phishing tehditlerini nasıl haritalandırabilirsiniz? Bu yazıda, saldırı taktiklerini ele alıyoruz.

MITRE ATT&CK ile Phishing Analizinin Derinliklerine İnmek

Bu blog yazısında, MITRE ATT&CK çerçevesini kullanarak phishing tehditlerini nasıl haritalandıracağınıza dair kapsamlı bir kılavuz bulacaksınız. Saldırganların kullandığı taktikler ve teknikler hakkında bilgi edinin.

Giriş ve Konumlandırma

MITRE ATT&CK Kavramı

Siber güvenlik alanında, saldırganların tekniklerini sistematik bir şekilde sınıflandıran MITRE ATT&CK framework, her bir saldırı tekniğinin belirli taktikler ve hedefler etrafında organize edilmesini sağlar. Bu çerçeve, hem red ekipleri tarafından gerçekleştirilen pentestlerde hem de SOC (Security Operations Center) ekipleri tarafından tehdit analizi için kritik bir kaynak olarak kullanılmaktadır. Phishing (oltalama) saldırıları, bu çerçevenin "Initial Access" (İlk Erişim) taktiği altında genellikle sınıflandırılır ve detaylandırılır. Phishing, hedef kullanıcıların kimlik bilgilerini, kişisel verilerini veya diğer hassas bilgilerini ele geçirmeyi amaçlayan bir sosyal mühendislik saldırısıdır.

Standart Tehdit Haritalama

Phishing saldırılarının MITRE ATT&CK içinde haritalanması, araştırmacılara ve güvenlik uzmanlarına saldırıların yapılandırılmasını ve etkilerinin daha iyi anlaşılmasını sağlar. Standart bir tehdit haritalama aracılığıyla siber güvenlik uzmanları, belirli bir saldırı türünün hangi teknikleri ve taktikleri kapsadığını belirleyerek daha etkili savunma stratejileri geliştirebilirler. Bu bağlamda, MITRE ATT&CK, güvenlik analistlerinin yerel tehdit ortamını anlamalarını ve proaktif savunma önlemleri almalarını kolaylaştırır.

Örnek:

Phishing saldırısı, 'Initial Access' taktiği altında değerlendirildiğinde, hedef sistemlere erişim sağlamak amacıyla kullanıcıların kimlik bilgilerini çalma amacı gütmektedir.

Phishing ATT&CK Taktikleri

Phishing saldırılarının MITRE ATT&CK içinde nasıl konumlandığı ve hangi taktiklerin bu saldırılarda kullanıldığı, bu konuya dikkat çekmek açısından önemlidir. Saldırganlar genellikle "Credential Access" (Kimlik bilgisi erişimi) taktiğini izleyerek hedef sistemlere sızmaya çalışır. Güvenlik ekipleri, bu taktikleri bilerek olayları daha iyi analiz edebilir ve etkin müdahale yöntemleri geliştirebilir. Bu bağlamda, phishing saldırılarında yaygın olarak kullanılan teknikler arasında sahte web sitesi oluşturma, e-posta dolandırıcılığı, ve zararlı yazılımlar yer alır.

Örnek:

Sahte bir bankacılık e-postası, kullanıcıları bankanın gerçek web sitesine benzeyen bir sayfaya yönlendirebilir ve kullanıcıların kimlik bilgilerini ele geçirmek için tasarlanmış olabilir.

Çok Katmanlı Tehdit Analizi

Phishing saldırılarının etkilerini değerlendirmek için çok katmanlı bir analiz yaklaşımına ihtiyaç vardır. Bu çerçevede, MITRE ATT&CK'ın sağladığı taktikler ve teknikler, saldırıların çok boyutlu doğasını anlamak için kullanılabilir. Bu, hem saldırıların önlenmesi hem de saldırı sonrası müdahale süreçlerinin optimize edilmesi açısından önem taşır. Saldırıların kapsamlı bir şekilde haritalanması, aynı zamanda güvenlik duvarları, anti-virüs çözümleri ve kullanıcı eğitim programları gibi savunma katmanlarının etkinliğini değerlendirmek için de kritik bir öneme sahiptir.

Örnek:

Bir phishing saldırısının ardından gerçekleştirilen olay yanıtı, kullanıcıların şifrelerini değiştirmesi ve olası güvenlik açıklarının giderilmesi için bir dizi adım içermektedir.

SOC Perspektifinde MITRE ATT&CK Kullanımı

Siber güvenlik olaylarına müdahale eden SOC ekipleri, MITRE ATT&CK framework’ünü kullanarak tehdit davranışlarını standart terminoloji ile incelemek adına önemli bir avantaj elde ederler. Bu yaklaşım, ekiplerin kurumsal savunma stratejilerini güçlendirmelerine, olay müdahale süreçlerini hızlandırmalarına ve güvenlik açıklarını belirlemelerine olanak tanır. MITRE tabanlı analizler, siber olaylara dair daha iyi bir görünürlük sağlarken, aynı zamanda tehditlerin davranışsal kalıplarını da açığa çıkarır.

Bu bağlamda, MITRE ATT&CK'ın etkili bir biçimde uygulanması, yalnızca olayların hızlı bir şekilde analiz edilmesine değil, aynı zamanda uzun vadeli güvenlik stratejilerinin belirlenmesine de katkı sağlar.

Sonuç olarak, MITRE ATT&CK ile phishing analizi, günümüz siber güvenlik ortamında hayati bir önem taşımaktadır. Hem akademik hem de pratik açıdan, bu yapılandırılmış yaklaşım, saldırganların yöntemlerini anlamak ve bunlara karşı etkili savunma önlemleri geliştirmek için temel bir kaynak sunmaktadır.

Teknik Analiz ve Uygulama

MITRE ATT&CK Kavramı

MITRE ATT&CK, saldırganların tekniklerini standartlaştırılmış bir şekilde sınıflandıran ve güvenlik takımları tarafından analiz edilen bir çerçevedir. Bu yapı, siber tehditleri daha iyi anlamak ve karşı koymak için önemli bir araç sunar. Sistematik bir şekilde saldırıların aşamalarını ve taktiklerini tanımlayarak güvenlik ekiplerine bu tehditlere karşı koyma yollarını bulmalarında yardımcı olur. Her bir taktik, spesifik saldırı yöntemleriyle ilişkilendirilebilir ve bu da tehdit analizi proaktif bir yaklaşım gerektirdiği anlamına gelir.

Standart Tehdit Haritalama

Hedef kurumlarda, MITRE ATT&CK çerçevesinin kullanılması, tehdit davranışını standart terminoloji ile analiz etme olanağı sağlar. Bu, takımların işbirliği yaparken ortak bir dil kullanmalarını ve bu sayede tehditleri daha etkin bir şekilde değerlendirmelerini sağlar. Bu bağlamda, saldırgan tekniklerini sınıflandırmak ve bu tekniklerin etkilerini değerlendirmek kritik öneme sahiptir. Bu sayede ekipler, olaylara yanıt verme kapasitesini artırabilir ve daha etkili savunma stratejileri geliştirebilir.

Phishing ATT&CK Taktikleri

Phishing saldırıları, çoğunlukla MITRE ATT&CK çerçevesinde "Initial Access" (ilk erişim) kategorisi altında değerlendirilir. Bu tür saldırılar, hedefin daha fazla erişim kazanmak amacıyla kullanıcı kimlik bilgilerini ele geçirmeye çalışan teknikleri içerir. Ekipler, bu tekniklerin nerelerde etkili olduğunu anlamak için bir dizi taktik ve teknik cümleleri analiz etmelidir.

mitre attack phishing

Bu komut, MITRE ATT&CK çerçevesindeki phishing saldırılarını haritalamak için kullanılabilir. Hedef alınan taktikler arasında ilk erişim, kimlik bilgisi çalma ve savunmadan kaçınma gibi önemli teknikler bulunmaktadır.

Initial Access

Phishing saldırıları, genellikle, kullanıcıların bilgilerini çalmaya yönelik yöntemler içerir. İlk erişim kazanımı, saldırganların sistemlere girmesi için uyguladıkları kritik bir adımdır. Bu adımda elde edilen bilgiler, daha kompleks saldırıların gerçekleştirilmesine olanak tanır. Kullanıcıların yetkilerini ele geçiren bir saldırgan, farklı teknikler kullanarak daha geniş bir erişim elde edebilir.

Çok Katmanlı Tehdit Analizi

Phishing saldırılarını anlamanın önemli bir yolu, çok katmanlı bir tehdit analizi yapmaktır. Bu yaklaşım, saldırganların kullandığı taktikleri, teknikleri ve prosedürleri detaylı bir şekilde incelemeyi içerir. Her bir saldırı, genellikle birden fazla MITRE taktiği ile ilişkilendirilebilir. Örneğin, bir phishing kampanyası sırasında hem kimlik bilgisi çalma hem de savunmadan kaçınma teknikleri kullanılabilir.

# Çok katmanlı tehdit analizi için basit bir Python örneği
def analyze_phishing(campaign):
    techniques = []
    if campaign.has_credentials_stolen:
        techniques.append("Credential Access")
    if campaign.has_evasion_techniques:
        techniques.append("Defense Evasion")
    return techniques

# Kullanım
campaign = {'has_credentials_stolen': True, 'has_evasion_techniques': True}
print(analyze_phishing(campaign))

Technique

MITRE ATT&CK içindeki spesifik saldırı yöntemlerine "technique" denir. Bu terim, belirli bir hedefe yönelik kullanılan yöntemleri tanımlar ve güvenlik ekiplerinin saldırıları daha iyi anlamalarına yardımcı olur. Örneğin, credential access ve defense evasion gibi teknikler, çoğu phishing saldırısında gözlemlenebilir.

MITRE SOC Kullanımı

Bir SOC (Security Operations Center) ekibi, MITRE tabanlı phishing analizinde çeşitli avantajlar elde edebilir. Bu avantajlar arasında, saldırı davranışlarını anlamak için standart bir dil kullanma yeteneği ve savunma boşluklarını belirleme kabiliyeti bulunmaktadır. Örneğin, bir SOC ekibi, phishing saldırılarında kimlik bilgisi çalma taktiğini belirleyerek bu tür saldırılara karşı önlemlerini güçlendirebilir.

// Örnek bir döküm için
- Initial Access: Phishing yoluyla sistem giriş
- Credential Access: Kimlik bilgisi çalma
- Defense Evasion: Saldırı izlerini örtme

Credential Access ve Savunma Önceliği

Phishing saldırılarında, en kritik hedeflerden biri kullanıcıların kimlik bilgisidir. MITRE çerçevesinde, bu durum "Credential Access" olarak tanımlanır. SOC ekipleri için kimlik bilgisi çalma, karşı konulması gereken önemli bir tehdit oluşturmaktadır. Ekiplerin, bu tür davranışları önceden belirlemek ve gerekli savunma stratejilerini oluşturmak için çalışma yapması gereklidir.

Sonuç olarak, MITRE ATT&CK çerçevesinin kullanımı, phishing analizini daha etkili hale getirirken, siber güvenlik ekiplerine derinlemesine bir anlayış kazandırır. Bu, onları daha yetkin kılar; böylece karşılaşılan tehditlere karşı daha etkili savunma yöntemleri geliştirebilirler.

Risk, Yorumlama ve Savunma

Risk Analizi

Phishing saldırılarının analizi, siber güvenlik açısından kritik öneme sahiptir. Bu tür saldırılar, genellikle "Initial Access" (İlk Erişim) taktiği altında değerlendirilir. Bu aşamada, siber saldırganlar hedef organizasyonun sistemlerine ulaşmak için kimlik bilgilerini çalmak veya kötü amaçlı yazılımlar aracılığıyla giriş yapmaya çalışabilirler. Bu bağlamda, elde edilen bulguları yorumlamak ve tespit edilen tehditleri anlamlandırmak, etkili bir savunma stratejisi geliştirmek için elzemdir.

Yanlış yapılandırmalar ve sistem zafiyetleri, phishing saldırılarının etkisini artırabilir. Örneğin, güvenlik ve erişim yönetimi konusunda yetersiz yapılandırmalar, kullanıcıların kimlik bilgilerini koruma mekanizmalarını zayıflatabilir. Bu durum, saldırganların hedef sistemlere erişim sağlamasını kolaylaştırır. Dolayısıyla, güvenlik mimarisinin sık sık gözden geçirilmesi gerekmektedir.

Yorumlama

Phishing saldırılarının analizine yönelik yapılan çalışmalar, genellikle iki önemli alan üzerine odaklanır: sızan veri türleri ve ağ topolojisi. Sızan verileri analiz etmek, hangi kullanıcıların hedef alındığını ve hangi bilgilerin çalındığını anlamamıza yardımcı olur. Ayrıca, bu tür analizler çoğu zaman kullanıcı davranışlarındaki değişikliklerin tespit edilmesine de olanak tanır. Örneğin, kullanıcıların şüpheli bağlantılara ya da e-posta eklerine tıklama oranları, potansiyel bir saldırının varlığı hakkında fikir verebilir.

Ağ topolojisine ilişkin analizler ise, phishing saldırılarının hangi bileşenler üzerinden gerçekleştirildiğini belirlemeye yönelik çalışmalardır. Örneğin, bir organizasyonun iç yapısında zayıf bir noktanın ortaya çıkarılması, o noktadan yola çıkarak daha geniş bir saldırı zincirinin oluşturulmasına sebep olabilir.

Savunma Yaklaşımları

Phishing ile mücadelede, çeşitli savunma önlemleri ve hardening (ağ ve sistem güvenliğini artırma) yöntemleri uygulanmalıdır. Bu yöntemler arasında aşağıdakiler yer alır:

  1. Eğitim ve Farkındalık: Kullanıcıları phishing saldırılarına karşı eğitmek, insan faktörünü minimize eder. Çalışanlara düzenli phishing simülasyonları ile bilinçlendirme sağlanmalıdır.

  2. İçerik Filtreleme: E-postalarda saldırganların sıklıkla kullandığı şüpheli bağlantılar ve dosyaları filtrelemek için içerik filtreleme sistemleri kullanılmalıdır.

  3. Çok Faktörlü Kimlik Doğrulama (MFA): Kullanıcıların kimlik doğrulama süreçlerine ek faktörler eklemek, kimlik bilgilerine yapılan erişim başarısını önemli ölçüde azaltır.

  4. Güvenlik Güncellemeleri ve Yapılandırmalar: Yazılımlar ve sistemler, düzenli olarak güncellenmeli ve güvenlik standartlarına uygun şekilde yapılandırılmalıdır.

  5. Özel Güvenlik Çözümleri: Saldırı tespiti ve önleme sistemleri (IDS/IPS) gibi teknik çözümler, anormal davranışları tespit etmede ve önlemekte kritik rol oynar.

# Örnek shell komutu: Şüpheli ağ bağlantılarını görüntüleme
netstat -an | grep ESTABLISHED

Bu komut, mevcut ağ bağlantılarının gözlemlenmesine yardımcı olur ve potansiyel olarak kötü amaçlı bir bağlantıyı tespit etmek için kullanılabilir.

Sonuç

Phishing saldırılarının analizi, sadece mevcut tehditleri anlamakla kalmaz, aynı zamanda organizasyonel güvenlik stratejilerini optimize etmeye de yardımcı olur. MITRE ATT&CK framework kullanarak gerçekleştirilen bu analizler, tehditlerin haritalanmasına ve savunma önlemlerinin belirlenmesine olanak tanır. Risk değerlendirme süreci sonucunda ortaya çıkan bulguların derinlemesine yorumlanması, zafiyetlerin belirlenmesine ve sistemlerin güçlendirilmesine yönelik stratejilerin geliştirilmesine katkıda bulunur. Bu sayede, siber güvenlik duruşu güçlenir ve organizasyonel güvenlik seviyeleri yükseltilir.