Tehdit Ortamında Yol Almak

 

Tehdit Ortamında Yol Almak

İstemci Tarafı Saldırılarını Anlamak

İstemci tarafı saldırıları, bir kullanıcının cihazında çalışan uygulamalardaki güvenlik açıklarını istismar eden önemli bir siber güvenlik tehdididir. Bu saldırılar yetkisiz erişime, veri hırsızlığına ve diğer kötü amaçlı faaliyetlere yol açabilir. Bu eğitim, istemci tarafı saldırılarının türlerini, mekanizmalarını ve önleyici tedbirleri kapsayacaktır.

İstemci Tarafı Saldırılarının Türleri

1. Siteler Arası Komut Dosyası Çalıştırma (XSS) :
   • Açıklama : Saldırganlar, kullanıcılar tarafından görüntülenen web sayfalarına kötü amaçlı komut dosyaları enjekte eder. Bu, oturum açma kimlik bilgileri gibi veri hırsızlığına yol açabilir.
   • Önleme : Yetkisiz betikleri engellemek için giriş doğrulamasını ve İçerik Güvenlik Politikasını (CSP) uygulayın.
2. Siteler Arası İstek Sahteciliği (CSRF) :
   • Açıklama : Kullanıcılar, bir web sitesine yetkisiz istekler göndermeye kandırılır ve bu da para transferleri gibi hassas eylemlerin tehlikeye atılmasına neden olabilir.
   • Önleme : İstekler için benzersiz belirteçler kullanın ve isteklerin kaynağını doğrulayın.
3. Drive-By İndirmeleri :
   • Açıklama : Tehlikeye atılmış web sitelerini ziyaret ederken, kullanıcının bilgisi olmadan kötü amaçlı yazılım indirilir.
   • Önleme : Yazılımınızı güncel tutun ve şüpheli bağlantılardan kaçının.
4. Kimlik Avı :
   • Açıklama : Saldırganlar hassas bilgileri çalmak için güvenilir kuruluşları taklit eder.
   • Önleme : Kullanıcıları kimlik avı girişimlerini tanımaları ve hassas verileri girmeden önce URL'leri doğrulamaları konusunda eğitin.
5. Tıklama korsanlığı :
   • Açıklama : Kullanıcılar, algıladıklarından farklı bir şeye tıklamaya kandırılır ve bu da çoğu zaman istenmeyen eylemlere yol açar.
   • Önleme : Sitenizin iframe'lere gömülmesini önlemek için çerçeve kırma tekniklerini kullanın.

İstemci Tarafı Saldırılarının Mekanizmaları

İstemci tarafı saldırıları genellikle kullanıcı etkileşimine dayanır. Saldırganlar, kullanıcıları kötü amaçlı bağlantılara tıklamaya veya zararlı dosyaları indirmeye teşvik etmek için sosyal mühendislik taktikleri kullanabilir. Yaygın yöntemler şunları içerir:

• Kötü amaçlı e-posta ekleri
• Enfekte reklamlar
• Tehlikeye atılmış üçüncü taraf betikleri

Bu yöntemler, kullanıcıların aşina oldukları uygulamalara ve web sitelerine olan güvenini suistimal ediyor ve bu da kuruluşların sağlam güvenlik önlemleri uygulamasını önemli hale getiriyor.

Önleyici Tedbirler

İstemci tarafındaki saldırı riskini azaltmak için aşağıdaki stratejileri göz önünde bulundurun:

• Kullanıcı Farkındalık Eğitimi : Çalışanları kimlik avı girişimlerini ve şüpheli bağlantıları tanıma konusunda eğitin. Düzenli eğitim oturumları başarılı saldırıların olasılığını önemli ölçüde azaltabilir.
• Düzenli Yazılım Güncellemeleri : Tüm istemci tarafı uygulamalarının en son güvenlik yamalarıyla güncel olduğundan emin olun.
• Gelişmiş Güvenlik Çözümleri : Yüksek riskli ortamlarda gerçek zamanlı izleme ve tehdit tespiti için Uç Nokta Algılama ve Müdahale (EDR) sistemlerini uygulayın.
• Güvenli Kodlama Uygulamaları : Geliştiriciler, XSS ve CSRF güvenlik açıklarını önlemek için uygun giriş doğrulaması ve temizleme dahil olmak üzere güvenli kodlama için en iyi uygulamaları takip etmelidir.
• HTTPS Kullanımı : Kullanıcıları, iletim sırasında veri kesintisine karşı korumak için yalnızca güvenli web sitelerine (HTTPS kullananlara) hassas bilgiler girmeye teşvik edin.

Hedef Keşfi Eğitimi

Hedef keşfi, karar vermeyi bilgilendirmek için potansiyel hedefler hakkında bilgi toplamaya odaklanan istihbarat ve güvenlik operasyonlarının kritik bir bileşenidir. Bu eğitim, teknikler, metodolojiler ve en iyi uygulamalar dahil olmak üzere hedef keşfinin temellerini kapsayacaktır.

Hedef Keşif Eğitiminin Amaçları

1. Hedef Keşfini Anlamak :
   • Hedef keşfinin ne olduğunu ve güvenlik ve istihbarat operasyonlarındaki önemini tanımlayın.
   • Farklı keşif türlerini (örneğin yakın hedef keşfi, gelişmiş hedef keşfi) tartışın.
2. Planlama ve Hazırlık :
   • Keşif yapmadan önce kapsamlı planlamanın önemini vurgulayın.
   • Operasyonel planlama, risk yönetimi ve gözlem noktalarının (GK) kurulması gibi konuları ele alın.
3. Teknikler ve Metodolojiler :
   • Etkili keşif için çeşitli teknikleri tanıtın:Gizli Gözlem
4. Operasyonel Uygulama :
   • Keşif görevlerinin taktiksel hareketler, iletişim protokolleri ve uzlaşmaya yönelik eylemler dahil olmak üzere icra aşamasını tartışın.
   • Hem kırsal hem de kentsel ortamlarda uyum sağlamanın önemini vurgulayın.
5. Ameliyat Sonrası Analiz :
   • Toplanan verilerin nasıl analiz edileceğini ve rapor hazırlanacağını öğretin.
   • Gelecekteki operasyonları iyileştirmek için bilgilendirme toplantısının önemini tartışın.

Ders İçeriği Genel Bakışı

1. Hedef Keşfine Giriş

• Tanım ve önemi
• Keşif türleri (örneğin yakın ve ileri)

2. Planlama ve Risk Yönetimi

• Operasyonel planlamanın esasları
• Risk değerlendirme teknikleri

3. Etkili Keşif Teknikleri

• Gizli gözlem stratejileri
• İstihbarat toplama için temel fotoğrafçılık bilgileri
• Faaliyet belirtilerinin belirlenmesi (zemin işaretleri, işaretler)

4. Taktiksel Hareket ve İletişim

• OP'ler için rota seçimi
• Operasyonlar sırasında iletişim protokolleri

5. Uzlaşma Eylemleri

• Tespit edilmesi halinde izlenecek prosedürler
• Tahliye stratejileri

6. Görev Sonrası Analiz

• Veri analizi teknikleri
• Raporlama biçimleri ve gereksinimleri

Pratik Alıştırmalar

Eğitim, öğrenmeyi pekiştirmek için uygulamalı egzersizleri içerecektir:

• Saha Tatbikatları : Kontrollü ortamlarda sahte keşif görevleri yürütülmesi.
• Senaryo Tabanlı Eğitim : Simüle edilmiş operasyonel zorluklara yanıt verme.
• Grup Tartışmaları : Gerçek dünya operasyonlarından vaka çalışmalarının analizi.

Microsoft Office Güvenlik Açıklarını Kullanma Eğitimi

Bu eğitim oturumu, Microsoft Office'teki güvenlik açıkları hakkında bir anlayış sağlamayı, son zamanlardaki istismarlara ve saldırganlar tarafından nasıl yararlanılabileceğine odaklanmayı amaçlamaktadır. Katılımcılar belirli güvenlik açıkları, bunların etkileri ve azaltma stratejileri hakkında bilgi edineceklerdir.

Amaçlar

1. Güvenlik Açıklarını Anlamak :
   • Microsoft Office'te neyin güvenlik açığı oluşturduğunu tanımlayın.
   • Yamalar ve güvenlik uyarıları konusunda güncel kalmanın önemini tartışın.
2. Son Güvenlik Açıklarına Genel Bakış :
   • CVE-2024-38200 ve CVE-2024-21413 gibi önemli güvenlik açıklarını inceleyin.
   • Bu zafiyetlerin nasıl istismar edilebileceğini analiz edin.
3. Sömürü Teknikleri :
   • Saldırganların Microsoft Office güvenlik açıklarını istismar etmek için kullandıkları yaygın yöntemleri keşfedin.
   • Sömürüyü kolaylaştıran sosyal mühendislik taktiklerini tartışın.
4. Azaltma Stratejileri :
   • Sistemleri bu güvenlik açıklarına karşı korumak için en iyi uygulamaları ana hatlarıyla açıklayın.
   • Kullanıcı eğitiminin ve güvenlik politikalarının önemini tartışın.

Son Güvenlik Açıklarına Genel Bakış

1. CVE-2024-38200

• Açıklama : Office 2016, 2019 ve Microsoft 365 Uygulamaları da dahil olmak üzere Microsoft Office'in çeşitli sürümlerini etkileyen kritik bir kimlik sahteciliği güvenlik açığı.
• Etkisi : Özel olarak hazırlanmış dosyalar veya web tabanlı saldırılar yoluyla hassas bilgilerin (NTLM karmaları) yetkisiz ifşasına izin verir.
• Azaltma :
  • NTLM trafik kısıtlamalarını yapılandırın.
  • Korunan Kullanıcılar Güvenlik Grubuna kullanıcı ekleyin.
  • TCP 445 portundaki giden NTLM trafiğini engelle.

2. CVE-2024-21413

• Açıklama : Saldırganların Office belgelerindeki güvenlik protokollerini atlatmasına olanak tanıyan ve potansiyel olarak uzaktan kod yürütmeye (RCE) ve NTLM kimlik bilgilerinin ifşa edilmesine yol açan bir ayrıcalık yükseltme güvenlik açığı.
• Etkisi : Saldırganlar, yerleşik korumaları atlatarak köprü metni yapılarını manipüle eden kötü amaçlı e-posta bağlantıları aracılığıyla bu kusurdan yararlanabilir.
• Azaltma : Bu güvenlik açığına karşı korunmak için Microsoft tarafından yayınlanan resmi yamaların derhal uygulanması hayati önem taşımaktadır.

Sömürü Teknikleri

Sosyal Mühendislik

• Saldırganlar genellikle kullanıcıları kötü amaçlı bağlantılara tıklamaya veya virüslü belgeleri açmaya teşvik etmek için kimlik avı e-postaları kullanır. Bu taktiklerin ardındaki psikolojiyi anlamak, önleme için önemlidir.

Dosya Manipülasyonu

• Güvenlik açıklarından faydalanmak genellikle meşru görünen kötü amaçlı dosyaların oluşturulmasını içerir. Bu, Office uygulamalarında açıldığında istismarları tetikleyen makrolar veya gömülü bağlantılar kullanmayı içerir.

Ağ Saldırıları

• Saldırganlar, güvenlik açıklarını uzaktan istismar etmek için ağ yapılandırmalarını kullanabilirler; bu da sağlam güvenlik duvarı ayarları ve trafik izleme gerekliliğini vurgular.

Azaltma Stratejileri

1. Düzenli Güncellemeler : Tüm Microsoft Office uygulamalarının en son güvenlik yamalarıyla derhal güncellendiğinden emin olun.
2. Kullanıcı Eğitimi : Kullanıcıları kimlik avı girişimlerini tanıma ve şüpheli ekleri veya bağlantıları açmamanın önemi konusunda eğitmek için eğitim oturumları düzenleyin.
3. Güvenlik Politikaları : Office uygulamalarında varsayılan olarak makroları devre dışı bırakmak da dahil olmak üzere, e-posta ekleri ve harici bağlantılarla ilgili sıkı güvenlik politikaları uygulayın.
4. Ağ Güvenlik Önlemleri :
   • Gereksiz giden trafiği engellemek için güvenlik duvarlarını yapılandırın.
   • NTLM kimlik doğrulama girişimleriyle ilgili olağan dışı etkinlikler için ağ trafiğini izleyin.
5. Olay Müdahale Planı : Olası istismarları ele alma prosedürlerini, raporlama mekanizmalarını ve kurtarma stratejilerini içeren bir olay müdahale planı geliştirin.

Windows Kütüphane Dosyalarının Kötüye Kullanımına İlişkin Eğitim

Bu eğitim oturumu, özellikle dosya türü ve Dinamik Bağlantı Kitaplıkları (DLL'ler) olmak üzere Windows kitaplık dosyalarıyla ilgili güvenlik açıklarını anlama ve bunlardan yararlanmaya odaklanır . Katılımcılar, bu güvenlik açıklarının mekanizmaları, saldırganların bunları nasıl kullandıkları ve azaltma stratejileri hakkında bilgi edinecekler..library-ms

Amaçlar

1. Windows Kitaplık Dosyalarını Anlamak :
   • Windows işletim sisteminde dosyaların ne olduğunu ve rollerini tanımlayın ..library-ms
   • Kütüphane açıklama dosyalarının yapısını ve içerik toplamadaki işlevlerini açıklayın.
2. Güvenlik Açıklarının Belirlenmesi :
   • Dosyalar ve DLL ön yüklemesiyle ilişkili belirli güvenlik açıklarını tartışın ..library-ms
   • Bu güvenlik açıklarından yararlanan son istismar örneklerini inceleyin.
3. Sömürü Teknikleri :
   • Saldırganların bu güvenlik açıklarını istismar etmek için kullandıkları yöntemleri keşfedin.
   • Başarılı saldırıların vaka çalışmalarını analiz edin.
4. Azaltma Stratejileri :
   • Bu tür istismarlara karşı sistemleri güvence altına almak için en iyi uygulamaları ana hatlarıyla açıklayın.
   • Kullanıcı eğitiminin ve güvenlik politikalarının önemini tartışın.

Windows Kitaplık Dosyalarını Anlama

Dosyalar Nelerdir .library-ms?

• .library-msdosyalar, Windows 7'de tanıtılan ve yerel ve uzak depolamadaki öğeleri Windows Gezgini'nde tek bir görünümde toplayan XML tabanlı kitaplık açıklama dosyalarıdır. Erişildiğinde zorunlu kimlik doğrulamayı tetikleyebilir ve kimlik bilgisi karmaları da dahil olmak üzere hassas bilgileri ifşa edebilirler.

DLL Ön Yükleme Güvenlik Açıkları

• DLL ön yükleme saldırıları, bir uygulama tam bir yol belirtmeden bir DLL yüklediğinde gerçekleşir ve bu da saldırganın uygulamanın aradığı bir dizine kötü amaçlı bir DLL yerleştirmesine olanak tanır. Bu, uygulamayı çalıştıran kullanıcının ayrıcalıklarıyla keyfi kod yürütülmesine yol açabilir.

Güvenlik Açıklarını Belirleme

Son Güvenlik Açıkları

• CVE-2024-38200 : Microsoft Office'te, kullanıcılar özel olarak hazırlanmış dosyalarla etkileşime girdiğinde hassas bilgilerin yetkisiz bir şekilde ifşa edilmesine yol açabilen bir sahtecilik güvenlik açığı. Bu güvenlik açığı, uzak paylaşımlardan erişildiğinde dosyalarla ilişkili riskleri vurgular. library-ms.
• DLL Ön Yükleme : Saldırganlar, DLL'leri güvenli olmayan bir şekilde yükleyen uygulamaları istismar edebilir ve bu da uygulamayı çalıştıran kullanıcının bağlamında kötü amaçlı kod yürütmelerine olanak tanır. Bu, uygulama yükseltilmiş ayrıcalıklarla çalışıyorsa özellikle tehlikelidir.

Sömürü Teknikleri

1. .library-msKötü Amaçlı Dosyalar Oluşturma :
   • Saldırganlar, saldırgan tarafından kontrol edilen bir sunucuya işaret eden bir dosya oluşturabilir . Bir kullanıcı bu dosyaya eriştiğinde, NTLM kimlik doğrulaması tetiklenir ve bu da potansiyel olarak kimlik bilgisi karmalarını açığa çıkarır. library-ms.
   • Kötü amaçlı bir dosya için örnek XML yapısı : .library-ms

     xml
     <?xml version="1.0" encoding="UTF-8"?>
     <libraryDescription>
       <searchConnectorDescriptionList>
         <searchConnectorDescription publisher="Microsoft" product="Windows">
           <description>@shell32.dll,-34577</description>
           <simpleLocation>
             <url>knownfolder:{FDD39AD0-238F-46AF-ADB4-6C85480369C7}</url>
           </simpleLocation>
         </searchConnectorDescription>
       </searchConnectorDescriptionList>
     </libraryDescription>
     

2. DLL Yan Yükleme :
   • Saldırganlar, güvenilir uygulamaların kütüphaneleri aradığı dizinlere yerleştirerek kötü amaçlı DLL'leri yan yükleyebilir. Bu genellikle alarm vermeden bu DLL'leri yüklemek için veya gibi meşru uygulamalar kullanılarak yapılır  Rundll32   Regsvr32.
3. Ağ Paylaşımı Sömürüsü :
   • Saldırganlar, bir ağ paylaşımında kötü amaçlı bir dosya barındırarak , bu paylaşıma erişen kullanıcıları istismar edebilir ve bu da NTLM kimlik doğrulaması yoluyla kimlik bilgilerinin ifşa edilmesine yol açabilir. library-ms.

Azaltma Stratejileri

1. Düzenli Güncellemeler : Bilinen güvenlik açıklarını gidermek için tüm sistemlerinizin Microsoft'un en son güvenlik yamalarıyla güncellendiğinden emin olun.
2. NTLM Trafiğini Kısıtla : Kimlik bilgilerinin ifşa olma riskini azaltmak için ağ güvenliği ayarlarını, giden NTLM trafiğini uzak sunuculara sınırlayacak şekilde yapılandırın
   5
   .
3. Kullanıcı Eğitimi : Kullanıcılara kimlik avı girişimlerini tanıma ve şüpheli bağlantı veya dosyalardan kaçınma konusunda eğitim oturumları düzenleyin.
4. Güvenlik Politikaları : Potansiyel olarak kötü amaçlı dosyalara maruz kalmayı sınırlamak için ağ paylaşımlarında dosya paylaşımı ve erişim kontrolleri konusunda katı politikalar uygulayın.
5. İzleme ve Yanıt : Olağandışı erişim kalıpları veya şüpheli DLL'leri yükleme girişimleri için izleme oluşturarak olası tehditlere hızlı yanıt verin.

Çözüm

İstemci tarafı saldırılarını, hedef keşif tekniklerini, Microsoft Office güvenlik açıklarının istismarını ve Windows kitaplık dosyalarının kötüye kullanımını anlamak, siber güvenliği sürdürmek için olmazsa olmazdır. Sağlam eğitim programları ve azaltma stratejileri uygulayarak, kuruluşlar personelini tehditleri tanıma ve etkili bir şekilde yanıt verme konusunda güçlendirebilir. Güvenlik uygulamalarıyla ilgili düzenli güncellemeler, bu gelişen tehditlere karşı dayanıklılığı daha da artıracaktır.