Yazar: Lindsey O’Donnell-Welch, Ben Folland, Harlan Carvey, Huntress Labs.
Kısa Bir Genel Bakış
Günümüz siber tehditleri, kurumların güvenliğini her geçen gün daha da zorlaştırmaktadır. Bu durum, siber güvenlik analistlerinin, saldırıların nasıl gerçekleştiğini anlaması için daha iyi araçlar ve stratejiler geliştirmelerine ihtiyaç duyduğu anlamına gelir. Huntress Labs’ın yaptığı bir Qilin ransomware incelemesi, bu süreçteki zorlukları ve bilgi toplama tekniklerini gözler önüne seriyor.
Olayın Arka Planı
Huntress, 11 Ekim’de bir organizasyonun Qilin ransomware saldırısıyla karşılaştığını ve bu saldırının ardından yalnızca bir noktada Huntress ajanını yüklediğini keşfetti. Görünürlük kısıtlamaları yüzünden analistler, elinizdeki verilerin sınırlı olduğunu fark etti. Bu durumda, siber güvenlik uzmanlarının yaratıcılıklarını kullanarak birden fazla veri kaynağına başvurması gerekti.
Sınırlı Gösterimler ile Başladık
Analistler, yalnızca bir tane Huntress ajansı kurulu olan bir endpointten. Yani EDR (Endpoint Detection Response) veya SIEM (Security Information and Event Management) ile ilgili hiç bir bilgiye ulaşamadılar. Bunun sonucunda, sadece mevcut olan antivirus (MAV) uyarılarına dayanarak incelemeye başladılar. Bu uyarılar, saldırının izlerini bulmak açısından elzemdi.
İlk İzler: Fail Aktiviteler ve Veriler
Analistler, Windows Olay Kayıtları aracılığıyla 8 Ekim 2025’te bir kötü niyetli yazılımın yüklenmesine dair izler buldu. Elde edilen veriler, bir RedTeam’a ait ScreenConnect RMM örneğine ve bunun IP adresine erişim sağlandığını ortaya koydu. VirusTotal üzerindeki bu IP ile ilgili araştırmalar, potansiyel saldırganın niyetine dair daha fazla bilgi sağlamıştı.
Saldırının Kurbanı Olarak Bilgi Toplamak
Analistler, bir dizi dosyanın endpoint’e gönderildiğini tespit etti. Burada, yalnızca belirli dosyaların notları tutuldu. Bunu takip eden kayıtlar, saldırganın bir RDP oturumu boyunca IP adreslerine, alan adlarına ve kullanıcı adlarına erişim sağlamaya çalıştığını gösteriyordu. Ancak, bir PowerShell hata mesajı, çalıştırmanın başarısız olduğunu ortaya koydu.
Karmaşık Süreçler ve Başarısız Olduğu Adımlar
Saldırganın iki ek dosya ile denemeleri, bir dizi hata mesajıyla sonuçlandı. Windows Defender’ın devre dışı bırakılması, analistlerin dikkatini çekti. Olayın zamanlaması, dosyaların yüklenmesinin ardından hem uzaktan erişim hem de ransomware notlarının yaratılması ile uyumluydu.
Çoklu Veri Kaynaklarının Önemi
Analiz sürecinde, sadece bir noktaya odaklanmaktan ziyade, çoklu veri kaynaklarının kullanılması kritik öneme sahipti. Bu, analistleri olayın kapsamını daha iyi anlamalarına ve nasıl ilerlemeleri gerektiğine dair netlik sağlamalarına yardımcı oldu. Verileri doğrulamak ve her aşamada sağlam bir temel oluşturmak, olayın netliğini artırarak daha etkili müdahale seçenekleri sunuyordu.
Sonuç
Huntress Labs’ın Qilin ransomware vakası, siber güvenlik analizlerinin karmaşık doğasını ve çok yönlü yaklaşımın gerekliliğini bir kez daha gösteriyor. Gerçek zamanlı veri üzerinden analiz yapmak, sadece var olan bilgileri yorumlamak değil, aynı zamanda daha güvenli bir siber ortam oluşturmak için gerekli atılımları da beraberinde getiriyor. Yazının sonunda, analistlerin olaya dair tespitleri; bir kurbanın tepkisini anlama, müdahale planları oluşturma ve gelecekteki saldırılara karşı korunma için gerekli bilgileri sağlıyor.
