CyberFlow Logo CyberFlow BLOG
Soc L2 Ir Playbooks

Oltalama (Phishing) Playbook'u: Etkili Analiz ve Zenginleştirme Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L2 Ir Playbooks

Oltalama saldırılarına karşı etkili bir playbook oluşturmanın yollarını keşfedin. E-posta analizi ve veri zenginleştirme teknikleri ile güvenliğinizi artırın.

Oltalama (Phishing) Playbook'u: Etkili Analiz ve Zenginleştirme Yöntemleri

Oltalama saldırılarının önüne geçmek için bir playbook oluşturmak şart. Bu yazıda, e-posta analizi, URL zenginleştirme ve diğer temel adımları ele alıyoruz. Siber güvenliğinizi artırmanın yollarını öğrenin.

Giriş ve Konumlandırma

Oltalama (phishing), siber suçluların hedefledikleri bireylerden veya organizasyonlardan hassas bilgileri çalmak için kullandıkları bir teknik ve giderek daha yaygın hale gelen bir tehdit türüdür. Bu tehdit, genellikle sahte e-postalarla veya sahte web siteleri aracılığıyla gerçekleştirilir. Dolayısıyla, siber güvenlik uzmanları ve organizasyonların bu tür saldırılara karşı etkili bir şekilde savunma yapabilmeleri için oltalama ile ilgili derinlemesine bilgi sahibi olmaları gerekmektedir.

Oltalama Saldırılarının Önemi

Siber güvenlik açısından oltalama, hem bireysel hem de kurumsal düzeyde ciddi sonuçlar doğuran bir tehdittir. Oltalama saldırıları sonucu, kullanıcıların kişisel veya finansal bilgileri çalınabilir ve bu da dolandırıcılık, kimlik hırsızlığı ve diğer siber suçların yolunu açar. Özellikle büyük ölçekli organizasyonlar için, bir oltalama saldırısı sadece bilgi kaybına neden olmakla kalmaz, aynı zamanda itibar kaybı, mali zararlar ve yasal sorunlar da doğurabilir. Bu nedenle, her kurumun siber güvenlik politikası içinde oltalama önleme stratejilerine yer vermesi zaruridir.

Pentest ve Savunma Bağlamında Oltalama

Pentest (penetrasyon testi) sürecinde, oltalama simülasyonları genellikle kullanıcılara yönelik potansiyel zafiyetlerin belirlenmesi amacıyla gerçekleştirilir. Bu tür testler, çalışanların oltalama saldırılarına karşı nasıl tepki verdiklerini değerlendirirken, aynı zamanda kurumsal güvenlik politikalarının ne kadar etkili olduğunu da ölçer. Organize edilmiş (özellikle sosyal mühendislik temelli) saldırılara karşı etkin bir koruma sağlamak için kullanıcıların bu tür tehditler hakkında bilinçlendirilmesi kritik önem taşır.

Bir oltalama playbook’u, bir kurumu bu tür saldırılara karşı savunmak amacıyla oluşturulan eylem planını tanımlar. Oltalama playbook’ları, şüpheli e-postaların veya bağlantıların analiz edilmesi, otomatik veri ayıklama, URL ve ekli dosya analizi, kullanıcı onayı süreçleri, engelleme aksiyonları ve güncelleme süreçlerini içerebilir. Bu süreçlerin doğru ve etkili bir şekilde gerçekleştirilmesi, siber güvenlik uzmanlarının oltalama saldırılarını daha iyi analiz etmelerine ve bu saldırılara uygun karşıt tedbirler geliştirmelerine olanak tanır.

Hazırlık ve Bilgi

Bu içerik, oltalama oyun kitabının kapsamını ve uygulamalarını anlamak isteyen teknik uzmanlar için tasarlanmıştır. Amacımız, okuyuculara oltalama ile ilgili etkili analiz ve zenginleştirme yöntemlerini sunarak bu tehditlerin üstesinden gelmeye yardımcı olmaktır. Oltalama saldırılarının nasıl gerçekleştirildiği hakkında teknik bilgi edinmek, bir organizasyonun bilgi güvenliği stratejilerini güçlendirmede kritik bir adım olacaktır.

Kod analizi ve siber tehditlerle başa çıkma teknikleri hakkında daha fazla bilgi edinmek için aşağıda belirtilen çeşitli kavramlar ve yöntemler incelenecektir. Bu kavramlar, oltalama önleme yeterliliklerinin artırılması açısından kritik öneme sahiptir:

# Oltalama Önleme Teknikleri
1. SPF (Sender Policy Framework): E-postayı gönderen sunucunun, o domain adına gönderim yapma yetkisi olup olmadığını kontrol eder.
2. DKIM (DomainKeys Identified Mail): E-postaya eklenen dijital imza sayesinde içeriğin yolda değiştirilmediğini ve kaynağını doğrular.
3. DMARC: SPF ve DKIM sonuçlarına göre e-postanın kabul edilip edilmeyeceğine karar veren politika.

Sonuç olarak, oltalama saldırıları sürekli gelişen bir tehdit biçimidir ve bu nedenle etkili bir oltalama playbook’unun hazırlanması, sürekli güncellenmesi ve uygulanması kritik öneme sahiptir. Böylelikle organizasyonlar, bu tür siber tehditlerle daha etkili bir şekilde mücadele edebilir ve güvenlik açıklarını minimuma indirebilir.

Teknik Analiz ve Uygulama

Phishing Playbook'un Amacı

Oltalama (phishing) saldırıları, siber güvenlik için önemli bir tehdit oluşturmaktadır. Kurumların, çalışanlarına gelen şüpheli e-postaların analiz edilerek zararlı bağlantıların ve dosyaların otomatik olarak temizlenmesi sürecine yönelik oluşturulan playbook'lar, bu tehditlere karşı etkili bir savunma mekanizması sağlar. Playbook’un amacı, potansiyel saldırıları hızlıca tespit etmek ve azaltmaktır. Bu nedenle, sistematik bir yaklaşım benimsemek oldukça kritik öneme sahiptir.

E-posta Başlık (Header) Analizi

Şüpheli bir e-posta aldığınızda, e-posta başlıkları önemli bilgiler sunar. Gönderen adresini ve iletinin kaynağını doğrulamak için bazı temel güvenlik kontrollerini gerçekleştirmek gereklidir. Örneğin, SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) ve DMARC (Domain-based Message Authentication, Reporting, and Conformance) kontrolleri bu aşamada önem taşır.

Bu doğrulamaları yapmak için aşağıdaki Python kodunu kullanabilirsiniz:

import re

def validate_email_headers(headers):
    spf_record = re.search(r'SPF[^\n]*: (.+)', headers)
    dkim_record = re.search(r'DKIM[^\n]*: (.+)', headers)
    dmarc_record = re.search(r'DMARC[^\n]*: (.+)', headers)

    return {
        'spf_valid': spf_record is not None,
        'dkim_valid': dkim_record is not None,
        'dmarc_valid': dmarc_record is not None,
    }

email_headers = """Received:...
SPF: pass
DKIM: pass
DMARC: pass
"""

validation_results = validate_email_headers(email_headers)
print(validation_results)

Bu kod, e-posta başlıklarını kontrol ederek, e-posta kaynağının doğruluğunu belirlemenizi sağlar.

Otomatik Veri Ayıklama

Otomatik veri ayıklama, e-posta içindeki önemli göstergelerin hızlı bir şekilde toplanmasını sağlar. SOAR (Security Orchestration Automation and Response) platformları, e-postalardaki URL’leri, IP adreslerini ve eklileri regex kullanarak otomatik olarak ayrıştırabilir. Aşağıdaki örnek, bir e-posta içeriğinden URL ayıklamak için kullanılabilir:

import re

def extract_urls(email_body):
    url_pattern = r'https?://[^\s]+'
    return re.findall(url_pattern, email_body)

email_body = "Visit our website at https://example.com for more info."
urls = extract_urls(email_body)
print(urls)

Bu kod, e-posta gövdesindeki URL'leri otomatik olarak ayıklamakta kullanılabilir.

URL Zenginleştirme

Zenginleştirme, e-posta içindeki şüpheli bağlantıların incelenmesini sağlamak için kritik bir adımdır. Analistten önce bir sandbox ortamında açılan bu URL'ler, potansiyel zararlara dair ekran görüntüleri ile raporlanır. URL'lerin analizini yapmak için urlscan.io gibi hizmetlerden faydalanmak mümkündür. Aşağıdaki komut, bir URL’yi analiz etmek için nasıl kullanılabileceğine dair bir örnek sunmaktadır.

curl -X POST "https://urlscan.io/api/scans/" \
-H "Content-Type: application/json" \
-d '{"url": "https://example.com"}'

Bu komut, belirtilen URL’yi urlscan.io üzerinden tarar ve analiz sonuçlarını döndürür.

Ekli Dosya (Attachment) Analizi

E-posta eklerinin güvenliği, siber saldırılar açısından önemli bir değerlendirme alanıdır. Statik ve dinamik analiz yöntemleriyle bu dosyaların zararlı olup olmadığını tespit etmek mümkün hale gelir. Statik analiz, dosyanın hash değerini (SHA-256) sorgulayarak gerçekleştirilebilirken, dinamik analiz izole bir sanal makinede dosyanın şüpheli davranışlarını (C2 bağlantısı, kayıt defteri değişikliği) izleyerek yapılır.

Örneğin, aşağıdaki gibi bir Python kodu ile dosyanın SHA-256 hash'ini hesaplayabilirsiniz:

import hashlib

def calculate_sha256(filepath):
    hash_sha256 = hashlib.sha256()
    with open(filepath, 'rb') as f:
        for byte_block in iter(lambda: f.read(4096), b""):
            hash_sha256.update(byte_block)
    return hash_sha256.hexdigest()

file_path = "path/to/your/file.exe"
print(calculate_sha256(file_path))

Bu kod, belirtilen dosyanın SHA-256 hash değerini hesaplayarak daha fazla analiz için kullanılabilir hale getirir.

Kullanıcı Onayı (User Confirmation)

Analiz sonucunda, kullanıcılardan şüpheli e-postaların doğruluğunu onaylamaları istenir. SOAR sistemleri, kullanıcılara otomatik bir mesaj göndererek bu onayı almaya çalışır. Bu aşamada insan faktörü, olayların zamanında tespit edilmesi açısından kritik öneme sahiptir.

Müdahale: E-posta Silme (Purge)

Zararlı olduğu kesinleşen bir e-postanın, yalnızca bildiren kişiden değil tüm kurum çalışanlarının posta kutularından silinmesi işlemi ‘purge’ (temizleme) olarak adlandırılır. Bu işlem, kurumsal güvenliği artırmak için son derece önemli bir adımdır ve güvenlik ekipleri tarafından sıkı bir şekilde uygulanmalıdır.

def purge_email(email_id):
    # Purgelenecek e-postanın ID'sini kullanarak silme işlemi
    print(f"Email {email_id} has been purged from all mailboxes.")

Engelleme Aksiyonları

Analiz sonrası, e-postayı gönderenin domain adresi veya IP adresi için engelleme aksiyonları alınabilir. Email Gateway Block ve Firewall / Proxy Block gibi yöntemler, yeni oltalama girişimlerini etkili bir şekilde engelleyebilir. Bu engellemelerin doğru şekilde uygulanması, ileriye dönük siber saldırı riskini azaltır.

Vaka Kapatma ve Geri Bildirim

Tüm analiz ve müdahale süreçlerinden sonra, olayın kapanması için kullanıcılara bilgi verilmesi gerekir. Bu bildirim, sürecin şeffaflığını artırır ve aynı zamanda kullanıcıların bilinçlenmesini sağlar.

Sürekli İyileştirme

Gelişen tehditler karşısında playbook’ların güncellenmesi gereklidir. Savunma mühendisliği bakımı bu sürecin en önemli parçalarından biridir. Regex kurallarının ve zenginleştirme kaynaklarının sürekli olarak güncellenmesi sağlanmalıdır.

Bu süreçler birlikte, etkili bir oltalama önleme stratejisi oluştururken, analistlerin yetkinliğini artırmaktadır. Oltalama saldırılarına karşı sürekli bir tetikte olma durumu, iyi yapılandırılmış bir playbook ile mümkün hale gelir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Oltalama (phishing) saldırıları, siber güvenlik alanında önemli bir tehdit oluşturmaktadır. Bu saldırılar, kötü niyetli aktörlerin kullanıcıları, güvenlik kontrollerini aşarak, hassas bilgilerini paylaşmaya ikna etmeyi amaçladığı dolandırıcılık yöntemleridir. Dolayısıyla, bu saldırılara karşı etkili bir savunma oluşturmak için risk değerlendirmesi yapmak kritik bir öneme sahiptir.

Elde Edilen Bulguların Yorumlanması

Siber güvenlik analistleri, bir oltalama e-postası ile ilgili bulguları değerlendirirken şu unsurları dikkate almalıdır:

  1. E-posta Başlık Analizi: E-postanın kaynağını doğrulamak için SPF, DKIM ve DMARC gibi yöntemler kritik rol oynamaktadır. Bu yöntemler kullanılarak, e-posta göndericisinin kimliği ve iletimin güvenilirliği hakkında bilgi sahibi olunabilir. Örneğin, SPF kaydı olmayan bir gönderici, potansiyel bir oltalama teşebbüsü gösterebilir.
SPF: exclude:malicious.com
DKIM: fail
DMARC: reject

  1. Zayıf Güvenlik Önlemleri: Yanlış yapılandırma, oltalama saldırılarının başarılı olma olasılığını artırır. Örneğin, DMARC politikası yoksa veya zayıf bir şekilde yapılandırılmışsa, dolandırıcılar kolaylıkla sahte e-postalar gönderebilir.

  2. Zararlı Bağlantılar ve Ekler: E-posta içinde yer alan bağlantılar (URLs) ve ekli dosyalar (attachments) risk analizi açısından kritik öneme sahiptir. Kullanıcıların şüpheli bağlantılara tıklama ihtimalini azaltmak için, otomatik veri ayıklama ve analiz yöntemleri kullanılabilir.

Yanlış Yapılandırma ve Zayıflıkların Etkisi

Yanlış yapılandırmaların ve sistem zayıflıklarının etkisi, oltalama saldırılarının başarılı olma oranını doğrudan etkiler.

  • Zayıf Parolalar: Kullanıcıların zayıf parolalar kullanması, oltalama saldırılarında kimlik avına yol açabilir. Kimlik bilgileri çalındığında, kötü niyetli aktörler sistemlere erişim sağlayabilir.

  • Yetersiz Eğitim: Çalışanların siber güvenlik bilinci eksikliği, phishing e-postalarına karşı daha savunmasız hale gelmelerine sebep olur. Eğitim programları, kullanıcıları oltalama teknikleri hakkında bilinçlendirmekte önemli bir rol oynamaktadır.

Sızan Verilerin Analizi

Oltalama saldırıları sonucunda sızan verilerin analizi, risk yönetimi açısından önemlidir. Elde edilen kullanıcı bilgileri, e-posta içerikleri ve bağlantı eğilimleri, saldırının boyutunu anlamak için değerlendirilebilir.

  • Topoloji Tespiti: Saldırganların hangi yollarla bilgiye eriştiği ve hangi sistemleri hedef aldığı analize dahil edilmelidir. Bu sayede, korunması gereken kritik noktalar belirlenebilir.

  • Servis Tespiti: E-posta içindeki bağlantılar ve ekler üzerinden yapılan analizler, kullanıcıların hangi hizmetlere karşı daha fazla risk altında olduğunu ortaya koyabilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik analistleri, oltalama saldırılarına karşı etkili bir savunma mekanizması oluşturmak için şu önlemleri almalıdır:

  1. Güvenlik Protokolleri: SPF, DKIM ve DMARC gibi güvenlik protokollerinin etkin bir şekilde kullanılması, e-posta sahteciliğinin önlenmesinde etkili bir yöntemdir.

  2. Zararlı İçerik Filtreleme: E-posta kapıları, şüpheli bağlantıları ve ekleri otomatik olarak analiz edebilecek sistemlerle entegre edilmelidir.

  3. Kullanıcı Eğitimleri: Çalışanlara yönelik düzenli aralıklarla siber güvenlik eğitimleri verilmesi, oltalama saldırılarına karşı farkındalığı artırır.

  4. İzleme ve Cevap Mekanizmaları: Oltalama saldırılarına maruz kalan sistemlerin anlık izlenmesi ve otomatik uyarı mekanizmalarının uygulanması, anında müdahale fırsatlarını artırır.

Sonuç Özeti

Oltalama saldırıları, siber güvenlik alanında ciddi tehditler barındırmaktadır. Elde edilen bulguların detaylı bir şekilde analiz edilmesi, yanlış yapılandırmaların etkilerinin ortaya konulması ve sürekli güncellenen savunma stratejileri, kuruluşun siber güvenlik duruşunu güçlendirecektir. Hem teknik anlamda alınacak önlemler hem de kullanıcı bilinci artırma çalışmaları, oltalama saldırılarına karşı etkili bir savunma oluşturmanın temellerini atmaktadır.