MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) Framework, siber saldırganların kullanabileceği taktikleri, teknikleri ve yöntemleri kategorize eden bir kaynaktır. Privilege Escalation (Ayrıcalık Yükseltme), bir saldırganın hedef sistemdeki ayrıcalıklarını artırarak daha fazla yetkiye sahip olmasını sağlayan bir saldırı taktiğidir. Bu makalede, MITRE ATT&CK Privilege Escalation hakkında daha fazla bilgi verilecek ve bazı örnek saldırılar incelenecektir.
T1055 Process Injection
Detects Process Injection through execution of MavInject, filtering out noisy/expected activity. SrcProcParentName filter narrows Cross Process items to HQ results.
(TgtProcName = "mavinject.exe" AND TgtProcCmdLine ContainsCIS "/injectrunning") AND (SrcProcName Not In ("AppVClient.exe") AND SrcProcParentName Not In ("smss.exe"))- Mavinject.exe: Bir enjeksiyon aracıdır. Diğer programlara kod enjekte etmek ve değiştirmek için kullanılır.
- AppVClient.exe: Microsoft Application Virtualization istemcisidir. Uygulamaları sanal ortamda çalıştırmak için kullanılır.
- Smss.exe: Windows sistem işlemi olup session management sorumluluğunu üstlenir. Kullanıcı oturumlarını ve işlem ağacını yönetir.
Bu programlardan mavinject.exe (enjeksiyon aracı) potansiyel olarak zararlı kabul edilir çünkü diğer programlara zararlı kod enjekte edebilir. O yüzden whitelistlenmemiş işlemler tarafından yürütüldüğünde tehlike işareti olarak alınır.
Diğerleri ise (AppVClient.exe ve smss.exe) Windows için normal ve güvenilir işlevler gerçekleştiren programlardır. Bu yüzden whitelistlenmiş sayılırlar ve özel durum olarak ele alınırlar.
Kısaca, mavinject.exe potansiyel tehlike kaynağı iken diğerleri güvenilir Windows programlarıdır. Kural bu ayrımı yaparak Mavinject’in güvenilir olmayan kaynaklardan yürütülmesini tespit etmeye çalışıyor.
Hedef işlemin adı (TgtProcName) mavinject.exe ise – Mavinject aracı çalıştırılıyor demektir.
Hedef işlemin komut satırı argümanları (TgtProcCmdLine) “/injectrunning” içeriyorsa – Mavinject bir programa enjekte etme modunda çalıştırılıyor.
Kaynak işlem (SrcProcName) AppVClient.exe veya smss.exe değilse (whitelistlenmemişse yani) – O zaman güvenilir olmayan bir işlem tarafından başlatılmış.
Yani bu kural, Mavinject aracının güvenilir kaynaklardan dışında yürütülmesini tespit etmeye yönelik.
Kısaca içindeki ifadeler şöyle:
- TgtProcName = Hedef işlemin adı
- TgtProcCmdLine = Hedef işlemin komut satırı
- SrcProcName = Kaynak işlemin adı
- SrcProcParentName = Kaynak işlemin üst işlemin adı
Kural temel olarak Mavinject aracının güvenilir olmayan bir şekilde yürütüldüğünü belirlemek için bu özellikleri (hedef işlem, komut satırı argümanı, kaynak işlem) kontrol ediyor.
Kuraldaki diğer terimler şunlardır:
TgtProcName (Hedef işlem adı): Enjekte edilecek işlemin adıdır. Bu durumda mavinject.exe dir.
TgtProcCmdLine (Hedef işlem komut satırı): Hedef işleme verilen komut satırı argümanlarıdır. Bu durumda “/injectrunning” argümanı verilmiştir ki bu da mavinject’in enjekte modunda çalıştığını gösterir.
SrcProcName (Kaynak işlem adı): Enjekte eden işlemin adıdır. Burada whitelistlenmemiş herhangi bir işlem olabilir çünkü ContainsCIS kullanılmıştır.
SrcProcParentName (Kaynak işlemin üst işlemi): Kaynak işemin üst işleminin/ana işlemin adıdır. Bu örnekte smss.exe dışında herhangi bir üst işlem olabilir.
T1053.002 AT Scheduled Task
Kalıcı Hale Gelme aktiviteleri, saldırganların zararlı yazılımlarının iletişimlerinin ve erişimlerinin kesintiye uğramasına sebep olacak olaylar için sistemlere erişimi sürdürmelerini sağlamak için kullanacakları genel bir taktiktir. İletişimin ve erişimin kesintiye uğratabilecek bazı olay örnekleri, sistemlerin kapatılması ve yeniden başlatılması, dosyaların silinmesi veya kimlik bilgilerindeki değişiklikleridir.
Saldırganlar, zararlı yazılımlarını Windows işletim sisteminin bir özelliği olan Zamanlanmış Görevler (Scheduled Task) üzerinden çalıştırılmasını sağlayabilir. Zamanlanmış Görevler Yanal Hareketin bir parçası olarak uzaktan da ayarlanabilir ve/veya belirli bir hesabın (SYSTEM gibi) haklarında çalıştırılabilir.
Detect interactive process execution scheduled by AT command.
TgtProcName = "at.exe" AND TgtProcCmdLine ContainsCIS "/interactive "Bu kural, at.exe komutunun “/interactive” seçeneğiyle kullanıldığını tespit etmeye yönelik. At komutu, Windows’ta zamanlanmış görevler oluşturmaya yarar.
Kural şu şekilde işliyor:
Hedef işlemin adı (TgtProcName) at.exe ise at komutu çalıştırılıyor demektir
Hedef işlemin komut satırı argümanları (TgtProcCmdLine) “/interactive” içeriyorsa bu, at komutunun etkileşimli şekilde çalıştırıldığını gösterir
Yani bu kural at.exe’nin etkileşimli olarak (interactive) yürütüldüğünü tespit etmeye çalışıyor.
At komutunun etkileşimli modda çalıştırılması bazı riskler yaratabilir çünkü kullanıcı etkileşimi gerektirir. Bu yüzden loglanması ve analiz edilmesi önemli olabilir.
Kuraldaki terimler şöyle:
- TgtProcName = Hedef işlemin adı (at bu durumda)
- TgtProcCmdLine = Hedef işlemin komut satırı (içinde “/interactive” var)
- ContainsCIS = Komut satırı argümanlarının içerdiği ifadeyi arar
T1546.008 Accessibility Features
Detections addition of a debugger process to executables using Image File Execution Options.
(RegistryKeyPath ContainsCIS "CurrentVersion\Image File Execution Options" AND RegistryKeyPath ContainsCIS ".exe\Debugger") AND (EventType = "Registry Value Create" OR EventType = "Registry Key Create")Bu kural, bir uygulama için hata ayıklayıcı ayarlarının kayıt defterine eklendiğini tespit etmeye yönelik.
İşe şöyle yürür:
Kayıt defteri yolu (RegistryKeyPath) “CurrentVersion\Image File Execution Options” ifadesini içeriyorsa bu, uygulama ayarları altındaki bir konum demektir.
Aynı kayıt defteri yolu “.exe\Debugger” ifadesini içeriyorsa bu da hata ayıklayıcı ile ilgili bir ayar.
Olay türü (EventType), kayıt defteri değeri oluşturma (Create) ya da anahtar oluşturma ise, bu da yeni bir hata ayıklayıcı ayarı eklendiği anlamına gelir.
Dolayısıyla bu kural, bir uygulama için yeni bir hata ayıklayıcı ayarının oluşturulduğunu tespit etmeye çalışıyor.
Kuraldaki terimler şöyle:
- RegistryKeyPath = Kayıt defteri yolu
- ContainsCIS = Yol ifadesini arar
- EventType = Olay türü
Kısacası, bir uygulama için yeni bir hata ayıklayıcı ayarının kayıt defterine eklendiğini tespit eden bir kuraldır.
T1546 Application Shimming
Detects application shimming through sdbinst or registry modification.
(SrcProcName = "sdbinst.exe" and ProcessCmd ContainsCIS ".sdb") OR ((RegistryKeyPath ContainsCIS "AppInit_DLLs" OR RegistryPath ContainsCIS "AppCompatFlags") AND (EventType = "Registry Value Create" OR EventType = "Registry Value Modified"))Bu kural, güvenlik için endişe verici olabilecek iki durumu tespit etmeye çalışıyor:
sdbinst.exe yürütülürken .sdb uzantılı bir dosya da yürütülüyorsa
AppInit_DLLs veya AppCompatFlags kayıt defteri yollarına yeni değerler eklenirse ya da var olan değerlerde değişiklik yapılırsa
Kural şöyle işliyor:
Eğer kaynak işlem (SrcProcName) sdbinst.exe ise ve komut satırı (.ProcessCmd) .sdb uzantılı bir dosya içeriyorsa, bu ilk risk senaryosu gerçekleşiyor demektir.
Eğer kayıt defteri yolu (RegistryKeyPath) AppInit_DLLs veya AppCompatFlags içeriyorsa ve olay türü (EventType) yeni değer eklendiğini ya da değiştirildiğini gösteriyorsa, bu da ikinci risk senaryosudur.
Özetle, sdbinst’in şüpheli uzantılı dosyalarla kullanılması ya da güvenlik için önemli kayıt defteri yollarına değişiklik yapılması, güvenlik riski oluşturabileceğinden loglanması ve incelenmesi önemli olabilir.
T1548.002 Bypass User Access Control
Detection of UAC bypass through tampering with Shell Open for .ms-settings or .msc file types. Beyond this Atomic test, and to further UAC bypass detection, the below query includes detection for CMSTPLUA COM interface abuse by GUID. See Security-in-bits for more info about CMSTPLUA COM abuse.
Noted issues with Sentinel Agent 4.3.2.86 detecting by registry key. All registry key paths were ControlSet001\Service\bam\State\UserSettings\GUID…
(SrcProcCmdLine ContainsCIS "ms-settings\shell\open\command" OR SrcProcCmdLine ContainsCIS "mscfile\shell\open\command") OR (TgtProcDisplayName = "COM Surrogate" AND TgtProcCmdLine ContainsCIS "{3E5FC7F9-9A51-4367-9063-A120244FBEC7}")Bu kural, sızıntı girişimlerini tespit etmeye yönelik. İki risk senaryosu tespit etmeye çalışıyor:
ms-settings veya mscfile şemaları kullanılıyorsa – Bu şemalar Windows ayarları veya konsolu açmak için kullanılabilen kötü amaçlı şemalardır.
COM Surrogate bir işlem tarafından başlatılıyor ve “{3E5FC7F9-9A51-4367-9063-A120244FBEC7}” UUID’si kullanılıyorsa – Bu da kötü amaçlı bir COM nesnesini yürütmeye çalışabilir.
Kural şöyle işliyor:
Kaynak işlem komut satırı (SrcProcCmdLine) ms-settings veya mscfile şemasını içeriyorsa, bu ilk risk senaryosudur.
Hedef işlem adı (TgtProcDisplayName) COM Surrogate ise ve komut satırı (TgtProcCmdLine) kötü amaçlı bir UUID içeriyorsa, bu da ikinci risk senaryosudur.
Özetle kural Windows ayarları veya konsoluna sızma girişimlerini ya da kötü amaçlı bir COM nesnesinin yürütülmesini tespit etmeye çalışıyor.
Kuraldaki terimler şu şekilde:
- SrcProcCmdLine = Kaynak işlem komut satırı
- TgtProcDisplayName = Hedef işlemin görünen adı
- TgtProcCmdLine = Hedef işlem komut satırı
- ContainsCIS = Komut satırında ifade arar
T1574.012 COR Profiler
Detection of unmanaged COR profiler hooking of .NET CLR through registry or process command.
(SrcProcCmdScript Contains "COR_" AND SrcProcCmdScript Contains "\Environment") OR RegistryKeyPath Contains "COR_PROFILER_PATH" OR SrcProcCmdScript Contains "$env:COR_".NET, Microsoft tarafından geliştirilen bir programlama ortamıdır.
.NET uygulamaları şu işlevlere sahiptir:
- Çok dilli destek: .NET, C#, VB, F# gibi pek çok dilde kod yazmayı destekler.
- Ortak bir çalışma zamanı (CLR – Common Language Runtime) kullanır: Uygulamaların çalışmasını ve yönetimini sağlar.
- Ortak bir sınıf kütüphanesi (BCL – Base Class Library) kullanır: Uygulamaların ortak özelliklerden yararlanmasını sağlar.
- Çok platform destekler: .NET uygulamaları Windows, Linux, macOS, Android, iOS gibi birçok platformda çalışabilir.
- .NET çerçevesi sayesinde geliştiriciler operatörel sistem ve makineye bağımlılığı azaltarak daha üst seviyede kod yazabilirler.
- Bu kural .NET uygulamalarında profiler ayarlarının değiştirildiğini tespit etmeye yönelik.
- .NET uygulamalarının performanslarını ölçmek ve hata ayıklamak için profiler kullanılır. Ancak profiler ayarlarının değiştirilmesi kötü amaçlı olabilir.
Kural şu şekilde işliyor:
Kaynak işlem komut betiği (SrcProcCmdScript) “COR_” ve “\Environment” ifadelerini içeriyorsa – Bu .NET environment değişkenlerini kullandığı anlamına gelir
Kayıt defteri yolu (RegistryKeyPath) “COR_PROFILER_PATH” içeriyorsa – .NET profiler’ının yolu belirtilmiş demektir
Kaynak işlem komut betiği “$env:COR_” içeriyorsa – .NET environment değişkenlerine erişildiğini gösterir.
Tüm bu durumlarda .NET profiler ayarlarının değiştirildiği anlaşılır. Bu da güvenlik riski yaratabilir, bu nedenle loglanması ve incelenmesi önemli olabilir.
Kısacası bu kural .NET profiler ayarlarının değiştirildiğini tespit etmeye yönelik.
T1546.001 Change Default File Association
Kalıcı Hale Gelme aktiviteleri, saldırganların zararlı yazılımlarının iletişimlerinin ve erişimlerinin kesintiye uğramasına sebep olacak olaylar için sistemlere erişimi sürdürmelerini sağlamak için kullanacakları genel bir taktiktir. İletişimin ve erişimin kesintiye uğratabilecek bazı olay örnekleri, sistemlerin kapatılması ve yeniden başlatılması, dosyaların silinmesi veya kimlik bilgilerindeki değişiklikleridir.
Saldırganlar, bir dosya türü ilişkilendirmesi tarafından tetiklenen kötü niyetli içeriği yürüterek kalıcılık sağlayabilir. Bir dosya açıldığında, dosyayı açmak için kullanılan varsayılan program (dosya ilişkilendirmesi veya işleyici olarak da adlandırılır) kontrol edilir. Dosya ilişkilendirme seçimleri Windows Kayıt Defterinde saklanır ve kullanıcılar, yöneticiler veya Kayıt erişimi olan programlar veya yerleşik assoc yardımcı programını kullanan yöneticiler tarafından düzenlenebilir. Uygulamalar, belirli bir uzantıya sahip bir dosya açıldığında rastgele bir programı çağırmak için belirli bir dosya uzantısı için dosya ilişkilendirmesini değiştirebilir.
Detection of file association changes. Detection by registry is noisy due to problem filtering on registry root, so install/uninstall apps create noise.
— File assoc change by registry
RegistryKeyPath In Contains Anycase ( "\shell\open\command" , "\shell\print\command" , "\shell\printto\command" ) AND EventType In ( "Registry Value Create" , "Registry Value Modified" )Bu kural, bir dosya uzantısının kayıt defterindeki ilişkilendirmesinin değiştirildiğini tespit etmeye yönelik.
Windows’ta dosyalar belirli uzantılara sahiptir ve bu uzantılar o dosyaları açmak, yazdırmak ya da işlemek için kullanılan programlarla ilişkilendirilir. Bu ilişkilendirme kayıt defterinde saklanır.
Bu kural şu şekilde işler:
Kayıt defteri yolu (RegistryKeyPath) “\shell\open\command“, “\shell\print\command” veya “\shell\printto\command” ifadelerini içeriyorsa – bu, bir dosya uzantısının ilişkilendirmesini temsil eder.
Olay türü (EventType) “Registry Value Create” (kayıt değeri oluşturma) veya “Registry Value Modified” (kayıt değeri değiştirme) ise – bu da dosya uzantısı ilişkilendirmesinin değiştirildiğini gösterir.
Özetle bu kural bir dosya uzantısı ilişkilendirmesinin kayıt defterinde değiştirildiğini tespit etmeye yönelik. Bu da kötü amaçlı olabileceğinden loglanması ve incelenmesi önemli olabilir.
Kısaca, bu kural potansiyel bir güvenlik riskini saptamaya çalışıyor.
— File assoc change by assoc command
TgtProcCmdLine ContainsCIS "assoc" and TgtProcCmdLine RegExp ".*=.*"Bu kural, assoc komutunun kullanıldığını ve bir dosya uzantısının ilişkilendirmesinin değiştirildiğini tespit etmeye yönelik.
Windows’ta assoc komutu, dosya uzantılarının ilişkilendirmelerini kayıt defterinde değiştirmek için kullanılır.
Bu kural şu şekilde çalışır:
Hedef işlem komut satırı (TgtProcCmdLine) “assoc” ifadesini içeriyorsa – assoc komutu kullanılıyor demektir.
Aynı komut satırı bir “.=.” düzenli ifade modeline uyuyorsa – yani “herhangi bir şey=herhangi bir şey” şeklindeyse, bu da bir dosya uzantısı ilişkilendirmesinin değiştirildiğini gösterir.
Çünkü assoc komutu şu şekilde kullanılır:
assoc .extension=application
Yani bu kural, assoc komutu kullanılarak bir dosya uzantısı ilişkilendirmesinin değiştirildiğini tespit etmeye çalışıyor. Bu da güvenlik riski oluşturabileceğinden loglanması ve incelenmesi önemli olabilir.
Kısacası, bir dosya ilişkilendirmesinin değiştirildiğini tespit eden bir kural.
T1574.001 DLL Search Order Hijacking
Detection of DLL search order hijack for AMSI bypass. Search order bypasses can target more than AMSI, so this can be expanded upon greatly by switching the ContainsCIS to In Contains Anycase(dll list).
(FileFullName ContainsCIS "amsi.dll" AND FileFullName Does Not ContainCIS "System32") AND EventType = "File Creation"Bu kural, Amsi.dll dosyasının sistema32 dışında bir konuma yerleştirilmeye çalışıldığını tespit etmeye yönelik.
Amsi.dll, Antimalware Scan Interface olarak bilinir. Windows koruma özelliklerinin bir parçasıdır ve kötü amaçlı kodları tespit etmek için kullanılır.
Bu kural ise şöyle çalışır:
- Eğer tam dosya adı (FileFullName) amsi.dll içeriyorsa – Amsi.dll dosyası söz konusudur.
- Ama dosya adı System32 dizinini içermiyorsa – Yani normal konumda değilse
ve olay türü dosya oluşturma (FileType Creation) ise – Amsi.dll farklı bir konuma yerleştirilmeye çalışılıyor demektir.
Normal şartlarda Amsi.dll, System32 dizininde bulunur. Böylece tüm uygulamalar tarafından erişilebilir olur. Ancak farklı bir konuma yerleştirilmesi Windows korumasını zayıflatabilir.
Bu yüzden bu kural, Amsi.dll’nin sistem dizinleri dışına yerleştirilmeye çalışıldığını tespit ederek kötü amaçlı bir faaliyet işareti olarak alınabilir.
T1574.002 DLL Side-Loading of Notepad++ GUP.exe
Detection for GUP.exe side-loading a dll, where executable has a display name of “WinGup for Notepad++” and has non-standard source process. Keep an eye on Cross Process events or add AND EventType = “Open Remote Process Handle” to the query to narrow down target (child) process.
TgtProcDisplayName ContainsCIS "WinGup" and SrcProcName Not In ("notepad++.exe","explorer.exe","lsass.exe","csrss.exe","svchost.exe","WerFault.exe")Bu kural, Wingup adlı bilinmeyen bir programa yönelik. Whitelistlenmemiş programlar tarafından başlatılırsa bir güvenlik riski olabileceğini düşünüyor.
İşe şöyle bakıyor:
- Hedef işlemin görünen adı (TgtProcDisplayName) “WinGup” içeriyorsa – bu bilinmeyen bir Wingup programı olduğunu gösteriyor
- Kaynak işlem adı (SrcProcName) listedeki güvenilir programlardan biri değilse (notepad++, explorer, lsass, csrss vb.) – bu Wingup programının whitelistlenmemiş bir program tarafından başlatıldığını gösterir.
Listelenen programlar (notepad++, explorer, lsass vb) Windows için normal ve güvenilir işlevlere sahip programlar. Yani whitelistlenmişler.
Dolayısıyla kural, Wingup adlı bilinmeyen bir programa sadece whitelistlenmiş programlar tarafından izin verilmesini istiyor. Aksi takdirde bir tehlike işareti olarak algılanıyor.
Özetle, kural whitelistlenmemiş programlar tarafından başlatılan yabancı bir programa karşı tedbir almaya çalışıyor.
Bu listedeki programlar Windows için normal ve güvenilir programlardır:
- notepad++.exe: Alternatif bir metin düzenleyicidir. Kullanıcılar tarafından yaygın olarak kullanılır.
- explorer.exe: Windows için çok önemlidir. Kullanıcı arayüzü ve dosya yöneticisini sağlar.
- lsass.exe: Windows güvenlik yetkilisi sürecidir. Kullanıcı hesapları ve oturumları yönetir.
- csrss.exe: Windows çekirdek hizmetleri sürecidir. Çekirdek iş parçacıkları ve iletişimi yönetir.
- svchost.exe: Servis hostu sürecidir. Çeşitli Windows servislerini barındırır.
- WerFault.exe: Windows Hata Raporlama sürecidir. Sistemin hatalarını ve hatasız kapanmalarını raporlar.
Bu programlar Windows’un normal çalışması için kritik öneme sahiptir. Güvenilir ve whitelistlenmiş olarak kabul edilirler.
Örnekteki kural, yalnızca bu tür güvenilir programlar tarafından başlatılan Wingup adlı bilinmeyen programa izin verilmesini ister.
Aksi takdirde kötü amaçlı olabileceği düşünülüyor.
Kısaca, bu programlar Windows için legitim/uygun programlardır ve whitelistlenmiş olarak kabul edilirler. Böylece sadece onlar tarafından başlatılan Wingup adlı uygulama güvenilir kabul edilebilir.
T1078.001 Enable Guest account with RDP and Admin
Detects enabling of Guest account, adding Guest account to groups, as well as changing of Deny/Allow of Terminal Server connections through Registry changes.
(SrcProcCmdLine ContainsCIS "net localgroup" AND SrcProcCmdLine ContainsCIS "guest /add") OR (SrcProcCmdLine ContainsCIS "net user" AND SrcProcCmdLine ContainsCIS "/active:yes") OR (RegistryKeyPath In Contains ("Terminal Server\AllowTSConnections","Terminal Server\DenyTSConnections") AND EventType In ("Registry Value Create","Registry Value Modified"))Bu kural, aşağıdaki güvenlik riski oluşturabilecek etkinlikleri tespit etmeye yönelik:
Yeni guest (misafir) kullanıcı eklenmesi
Mevcut kullanıcının etkin durumu değiştiriliyor
Uzak masaüstü bağlantıları için kayıt defteri ayarları değiştiriliyor
Kural şöyle işliyor:
- Kaynak işlem komut satırı (SrcProcCmdLine) “net localgroup” ve “guest /add” içeriyorsa,
- Yeni bir guest kullanıcı ekleniyor demektir
- Aynı komut satırı “net user” ve “/active:yes” içeriyorsa,
- Kullanıcının etkin durumu değiştiriliyor
- Kayıt defteri yolu (RegistryKeyPath) “Terminal Server\AllowTSConnections” veya “Terminal Server\DenyTSConnections” içeriyorsa
- Olay türü (EventType ) yeni kayıt değeri oluşturma veya var olanı değiştirme ise Uzak masaüstü ayarları değiştiriliyor demektir
Özetle, kural Windows kimlik ve erişim yönetimiyle ilgili güvenlik risklerini tespit etmeye çalışıyor.
T1546.012 Image File Execution Options Injection
Detection of Image File Execution Options tampering for persistence through Registry monitoring.
RegistryKeyPath In Contains Anycase ("CurrentVersion\Image File Execution Options","CurrentVersion\SilentProcessExit") AND RegistryKeyPath In Contains Anycase ("GlobalFlag","ReportingMode","MonitorProcess")Bu kural, belirli kayıt defteri yollarındaki belirli anahtarların değiştirildiğini tespit etmeye yönelik.
İki kayıt defteri yolu takip ediliyor:
CurrentVersion\Image File Execution Options
Bu, uygulamalar için özel ayarların saklandığı bir kayıt defteri konumudur. Bu ayarlar uygulamaların çalışmasını etkileyebilir.
CurrentVersion\SilentProcessExit
Bu da uygulamaların sessizce kapanmasını sağlayan ayarların konumu. Normalde uygulamalar kapandığında bir ileti gösterirler.
İzlenen anahtarlar ise:
- GlobalFlag
- ReportingMode
- MonitorProcess
Bu anahtarlar uygulama davranışını etkileyebilir.
Kuraldaki EventType bilgisi belirtilmemiş olsa da muhtemelen yeni anahtar veya anahtar değeri oluşturma veya mevcutların değiştirilmesi olayları takip ediliyordur.
Bütün bunlar uygulama davranışını değiştirebileceğinden potansiyel bir güvenlik riskini işaret edebilir. Bu nedenle loglanması ve incelenmesi önemli olabilir.
Özetle, kural belirli kayıt defteri yollarındaki belirli anahtarların değiştirildiğini tespit ederek potansiyel riskleri yakalamaya çalışıyor.
T1037.001 Logon Scripts (Windows)
Detects addition of logon scripts through command line or registry methods.
SrcProcCmdLine ContainsCIS "UserInitMprLogonScript" OR (RegistryKeyPath ContainsCIS "UserInitMprLogonScript" AND EventType = "Registry Value Create")Bu kural Userinit.exe programıyla ilgili. Userinit, Windows’ta kullanıcı oturumlarını başlatmak ve oturum başlatma betiklerini yürütmek için kullanılır.
Kural iki şeye odaklanıyor:
Kaynak işlem komut satırı (SrcProcCmdLine) “UserInitMprLogonScript” içeriyorsa
Bu, kullanıcı oturum başlatma betiğinin çalıştırıldığını gösterir
Kayıt defteri yolu (RegistryKeyPath) “UserInitMprLogonScript” içeriyor ve olay türü yeni kayıt değeri oluşturma ise
Bu da logon betiğinin yolunun kayıt defterine eklenmeye çalışıldığını gösterir.
Kullanıcıların oturum başlatma betikleri, genellikle oturumlarının kurulumunu özelleştirmek için kullanılır. Ancak kötü amaçlı kodlar da içerebilir.
Bu yüzden bu kural, userinit.exe ve oturum betikleriyle ilgili olayları loglamaya ve incelemeye çalışıyor. Potansiyel riskleri yakalamak için.
T1546.007 Netsh Helper DLL
“Helper” dll’lerin ağ komut kabuğu ile, komut argümanları veya kayıt defteri değişikliği yoluyla algılanması.
(TgtProcName = "netsh.exe" AND TgtProcCmdLine ContainsCIS "add helper") OR (RegistryPath ContainsCIS "SOFTWARE\Microsoft\NetSh" AND EventType = "Registry Value Create")Bu kural, netsh.exe yardımcı bileşenlerinin etkinleştirilmeye çalışıldığını tespit etmeye yönelik.
Netsh.exe, Windows ağ yapılandırma için kullanılan bir komut satırı aracıdır. Yardımcı bileşenleri eklemeye izin verir.
Bu kural iki şeye odaklanıyor:
- 1.Hedef işlem adı (TgtProcName) netsh.exe ise ve komut satırı (TgtProcCmdLine) “add helper” içeriyorsa
- Bu da netsh aracılığıyla bir yardımcı bileşenin etkinleştirilmeye çalışıldığını gösterir
- 2.Kayıt defteri yolu (RegistryPath) “SOFTWARE\Microsoft\NetSh” içeriyor ve olay türü yeni bir kayıt değeri oluşturma ise
- Bu da netsh yapılandırmasıyla ilgili bir değişikliği işaret eder.
Netsh aracılığıyla etkinleştirilen yardımcı bileşenler ağ erişimini genişletebilir ve potansiyel olarak güvenlik riski yaratabilir.
Bu nedenle bu kural, yardımcı bileşenlerin netsh aracılığıyla etkinleştirilmeye çalışıldığını tespit ederek potansiyel riskleri yakalamaya çalışıyor.
Dolayısıyla ağ güvenliğiyle ilgili olabilir.
T1134.004 Parent PID Spoofing
Detects parent PID spoofing through Cross Process indicators (SrcProcParentName limits scope heavily) as well as detecting the use of PPID-Spoof powershell script through Command Scripts indicators. Update the TgtProcName list to filter noise.
(TgtProcRelation = "not_in_storyline" AND EventType = "Open Remote Process Handle" AND SrcProcParentName In Contains Anycase ("userinit.exe","powershell.exe","cmd.exe") AND TgtProcName != "sihost.exe" And TgtProcIntegrityLevel != "LOW" AND TgtProcName Not In ("SystemSettings.exe")) OR (SrcProcCmdScript ContainsCIS "PPID-Spoof" AND SrcProcCmdScript ContainsCIS "hSpoofParent = [Kernel32]::OpenProcess")- TgtProcRelation = “not_in_storyline” , hedef sürecin kaynak sürecin bir çocuğu olmadığını gösterir.
- EventType = “Open Remote Process Handle”, hedef sürece bir tanıtıcının açıldığı anlamına gelir
- SrcProcParentName , userinit.exe, powershell.exe veya cmd.exe – bunlar saldırganlar için yaygın
- TgtProcName, sihost.exe (meşru bir süreç) değil
- TgtProcIntegrityLevel, LOW değil (daha yetkili bir süreç olduğunu gösterir)
- TgtProcName, SystemSettings.exe gibi “güvenli” bir süreç değil
Yani bu kısım, potansiyel olarak kötü niyetli bir ebeveyn süreci hedefleyen ve daha yetkili bir sürece yönelik “ağaç dışı” bir süreç tutucu açma olayı için bakıyor. Bu da süreç enjeksiyonunu gösterebilir.
(TgtProcRelation = "not_in_storyline" VE EventType = "Open Remote Process Handle" VE SrcProcParentName İçerisinde ("userinit.exe", "powershell.exe", "cmd.exe") VE TgtProcName != "sihost.exe" VE TgtProcIntegrityLevel != "LOW" VE TgtProcName İçerisinde Değil ("SystemSettings.exe")) VEYA (SrcProcCmdScript İçerisinde "PPID-Spoof" VE SrcProcCmdScript İçerisinde "hSpoofParent = [Kernel32]::OpenProcess")SrcProcCmdScript, “PPID-Spoof” ve “hSpoofParent = [Kernel32]::OpenProcess” içeriyor
Bu, ebeveyn süreç kimliğini sahtelemek için kullanılan OpenProcess API’sini kullanmanın bir yoludur, ki bu da süreç enjeksiyon tekniğidir.
Özetle, kural süreç enjeksiyon saldırılarının belirtilerini tespit etmeye çalışıyor:
“Ağaç dışı” süreç tutucu açılması
Ebeveyn süreci kimliğinin sahtelenmesi
Potansiyel olarak kötü niyetli ebeveyn süreçlerinden kaynaklanması
Daha yetkili süreçleri hedeflemesi
userinit.exe ve sihost.exe iki farklı Windows sürecidir:
userinit.exe: Kullanıcı oturumlarını başlatmak ve oturum başlatma betiklerini çalıştırmak için kullanılır. Windows’ta her kullanıcı oturumu başladığında userinit.exe çalıştırılır.
sihost.exe: SmartScreen Filtresi için kullanılan bir süreçtir. Kötü niyetli ve potansiyel olarak istenmeyen uygulamaları tespit etmeye çalışır.
Kural, userinit.exe’nin potansiyel olarak kötü niyetli bir ebeveyn süreç olarak kabul ederken sihost.exe’yi “güvenli” bir süreç olarak kabul ediyor. Çünkü:
userinit.exe, kullanıcı oturum betiklerini çalıştırdığından kötü niyetli kodların yürütülmesine izin verebilir.
sihost.exe ise SmartScreen filtresini yürütmek için kullanılır ve Windows’un kendisi tarafından korunur.
Yani kısacası:
userinit.exe, kullanıcı oturumlarını başlatmak ve oturum betiklerini çalıştırmak için kullanılır.
sihost.exe ise SmartScreen filtresini yürütmek için kullanılır ve kötü niyetli/istenmeyen uygulamaları tespit etmeye çalışır.
T1574.009 Unquoted Service Path for program.exe
Saldırganlar ele geçirdikleri sistemlerde yüksek haklarda olmak isterler. Yüksek haklarda olmanın birçok avantajı vardır. Yüksek haklardaki avantajları kullanabilmek için saldırganlar ele geçirdikleri sistemlerde yüksek hakları elde etmek için çeşitli yollara başvurabilirler.
Yanlış belirlenmiş servis yolu kullanılarak saldırganlar kullanıcı haklarından NT SYSTEM/AUTHORITY haklarına kadar yükselebilirler. Hak yükseltmenin başarılı olabilmesi için bir servisin çalıştırılabilir dosyasının yolunu belirtirken, dosya yolunda boşluk karakteri olması ve dosya yolunun “” içinde belirtilmemesi gerekmektedir. Örneğin C:\Program Files (x86)\Test\Web Companent\Application.exe yolundaki dosyayı çalıştıran bir servis olsun ve servis kayıtlarında bu yolun “” içine alınmadığı varsayılsın. Saldırgan zararlı yazılımını C dizininin altına Program.exe olarak kayıt edebilirse servis tekrar çalıştığında elde edilecek erişim hakları NT AUTHORITY/SYSTEM haklarında olacaktır. Bu yöntemin temel nedeni Windows işletim sisteminin “” içine alınmamış boşluklu servis dosyalarını arama yönteminden kaynaklıdır.
Arama şu şekilde gerçekleşecektir.
- 1. C:\Program.exe
- 2. C:\Program Files.exe
- 3. C:\Program Files (x86)\Test\Web.exe
- 4. C:\Program Files (x86)\Test\Web Component\Application.exe
Microsoft.Win32 kütüphanesine erişilerek Registry sınıfı kullanılarak sistemde ki servislerin dosya yolları kontrol edilmiştir.
Detects creation or modification of the file at C:\program.exe for exploiting unquoted services paths of Program Files folder.
(FileFullName = "C:\program.exe" AND EventType In ("File Creation","File Modification")) OR TgtProcImagePath = "C:\program.exe"Bu kural C:\program.exe diye kaydedilen bir dosyayı takip etmeye çalışıyor.
İki şeye odaklanıyor:
Dosya tam adı (FileFullName) C:\program.exe ise ve olay türü dosya oluşturma veya dosya değişikliği ise:
Bu dosyanın oluşturulmaya veya değiştirilmeye çalışıldığını gösterir. Hedef işlem görüntü yolu (TgtProcImagePath) C:\program.exe ise: Bu program.exe olarak kaydedilen dosyanın çalıştırılmaya çalışıldığını gösterir Program.exe adlı bir dosyanın kök dizinde (C:\ ) kaydedilmesi olağan dışı olabilir. Bu, potansiyel bir risk oluşturabilir. Bu yüzden bu kural, program.exe adlı kök dizinde kaydedilmiş bir dosyanın: Oluşturulma veya değiştirilme, veya Çalıştırılmaya çalışılmasını algılayarak olası riskleri yakalamaya çalışıyor.
T1546.013 Malicious Process Start Added to Powershell Profile
Detects the addition of process execution strings (TgtProcCmdLine In Contains Anycase (list))to the powershell profile, through CommandLine and CommandScript indicators.
(SrcProcCmdScript ContainsCIS "Add-Content $profile -Value" AND SrcProcCmdScript ContainsCIS "Start-Process") OR (TgtProcCmdLine ContainsCIS "Add-Content $profile" AND TgtProcCmdLine In Contains Anycase ("Start-Process","& ","cmd.exe /c"))Bu kural, profil betiklerine veya sisteme komutlar ekleyip ardından süreçler başlatan etkinlikleri tespit etmeye çalışıyor.
İki şeye odaklanıyor:
Kaynak işlem komut betiği (SrcProcCmdScript) “Add-Content $profile -Value” ve “Start-Process” içeriyorsa
Bu, profil betiğine bir komut ekleyip ardından bir süreç başlatmaya çalıştığını gösterir
Hedef işlem komut satırı (TgtProcCmdLine) “Add-Content $profile” içeriyor ve “Start-Process“, “& ” veya “cmd.exe /c” içeriyorsa
Bu da sisteme komut ekleyip ardından bir süreç başlatılmaya çalışıldığını gösterir.
Profil betikleri ve sisteme komutlar eklenmesi genellikle kullanıcılar tarafından özelleştirme amacıyla kullanılır. Ancak kötü amaçlı kodlar da içerebilir.
Bu yüzden bu kural, profillere veya sisteme komut ekleyip ardından bir süreç başlatan etkinlikleri tespit ederek potansiyel riskleri yakalamaya çalışıyor.
T1055.012 Process Hollowing
Detect Process Hollowing using the Start-Hollow powershell script, through CommandLine and CommandScript indicators.
The IndicatorCategory = “Injection” has a lot of noise, but in the future a combination of EventType = “Duplicate Process Handle” AND TgtProcRelation = “storyline_child” joined with some ChildProcCount or CrossProcCount > 0 may help filter the noise.
— Detect Start-Hollow.ps1 by command or content
(SrcProcCmdScript ContainsCIS "Start-Hollow" AND SrcProcCmdScript ContainsCIS "[Hollow]::NtQueryInformationProcess") OR TgtProcCmdLine ContainsCIS "Start-Hollow"Bu kural, Hollow techniği kullanılarak çalıştırılan işlemleri tespit etmek için kullanılır.
Hollow işlem tekniği, mevcut bir işlem içerisine kod enjekte ederek çalışan yeni bir işlem oluşturmaktır. Bu sayede, bu yeni işlemin varlığı diskte veya bellekte herhangi bir iz bırakmaz. Sadece çalışan işlemler listesinde görünür.
Bu kuralda kullanılan ContainsCIS, bir dizede belirtilen metin dizgesinin içerilip içerilmediğini kontrol eder.
Kuralın ilk bölümü, SrcProcCmdScript (kaynak işlem komut dosyası) içerisinde “Start-Hollow” ve “[Hollow]::NtQueryInformationProcess” metinlerinden herhangi birinin bulunması durumunda bu kuralı tetikler. Bu iki metin Hollow techniğinin belirtisidir.
İkinci bölüm ise hedef işlemin komut satırında (TgtProcCmdLine) “Start-Hollow” metninin geçip geçmediğine bakar.
T1546.002 Screensaver
Detects malicious changes to screensaver through Registry changes, filtering expected processes.
RegistryKeyPath ContainsCIS "Control Panel\Desktop\SCRNSAVE.EXE" AND (EventType In ("Registry Value Create","Registry Value Modified") AND SrcProcName Not In ("svchost.exe","SetupHost.exe","CcmExec.exe"))Bu kural, kayıt defterindeki Control Panel\Desktop\SCRNSAVE.EXE anahtarının değeri değiştirildiğinde tetiklenir. Ancak bu değişikliği yapan işlem svchost.exe, SetupHost.exe veya CcmExec.exe değilse.
Bu kuralın amacı, ekran koruyucu dosyasının yolunu değiştiren şüpheli işlemleri yakalamaktır. Çünkü bu değişiklikler genellikle sisteme sızılmasının bir parçası olarak yapılır.
Kuraldaki ContainsCIS, bir dizede belirtilen metnin içerilip içerilmediğini kontrol eder. Bu durumda kayıt defteri anahtar yolunun (RegistryKeyPath) “Control Panel\Desktop\SCRNSAVE.EXE” içerip içermediğine bakar.
EventType ise olay türünü (Event Type) kontrol eder. Burada Registry Value Create (kayıt değeri oluşturma) veya Registry Value Modified (kayıt değeri değiştirme) olaylarının gerçekleşip gerçekleşmediğine bakılır.
SrcProcName ise kaynağı işlemin adını kontrol eder (Source Process Name). Burada svchost.exe, SetupHost.exe veya CcmExec.exe işlemlerinin olmaması şartı aranmıştır.
Bu kuralın amacı koruyucu ekran (SCRNSAVE.EXE) dosyasının yolunu şüpheli işlemlerin değiştirdiği durumları yakalayarak ekranı kilitleyen zararlı yazılımları tespit etmektir.
Bu programlar farklı amaçlar için kullanılır:
- SetupHost.exe: Windows kurulum sürecinde kullanılır. Yükleme amacıyla çalışır.
- CcmExec.exe: Configuration Manager tarafından kullanılan bir uygulamadır. Configuration Manager, kurumsal sistemlerin yönetimine yarar.
- SCRNSAVE.EXE: Varsayılan ekran koruyucu programıdır. Belirli bir süre klavye ve fare kullanılmadığında ekran koruyucuyu başlatır.
Kural yukarıdaki programları whitelistlenmiş programlar olarak kabul ediyor. Dolayısıyla bu programlar tarafından değiştirilen belirli bir kayıt defteri anahtarının değiştirilmesini izin veriyor.
Başka bir program tarafından SCRNSAVE.EXE’nin kayıt defteri ayarlarının değiştirilmesi durumunda ise kural bunu algılayıp bildirmeye çalışıyor.
Özetle bu programlar farklı amaçlar için kullanılır ancak kural onları whitelistlenmiş programlar olarak kabul ediyor ve yalnızca onlar tarafından yapılan değişiklikleri izin veriyor.
T1547.005 Security Support Provider
Saldırganlar bir sisteme sızdıklarında içerde yayılmak için kullanıcı hesaplarına ihtiyaç duyarlar. Eğer sistemde yüksek yetkilere ulaşabilirler ise sistemde oturum açan her kullanıcının parolasını açık metin olarak elde edebilecekleri bir yöntem mevcuttur. Bu yöntem Microsft’un sağlamış olduğu Security Support Provider (SSP) özelliğini kötüye kullanarak sağlamaktadırlar. SSP DLL’leri sistem başlatıldığında Local Security Authority (LSA) sürecine yüklenir. Yükleme gerçekleştirildikten sonra SSP DLL’leri oturum açan her kullanıcının parolasını açık metin olarak görebilir.
Öneriler:
4657 numaralı Event ID takip edilerek kayıt defterinde ki “HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages” ve “HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages” kayıtlarında ki değişiklikler incelenmelidir.
EDR’a imzalanmamış DLL yüklenmesi için bir kural girilmelidir.
Saldırı vektörünü engellemek için;
RunAsPPLözelliği aktif edilmelidir. Özelliği aktif etmek için kayıt defterinde “HKLM\SYSTEM\CurrentControlSet\Control\Lsa” dizininde DWORD tipinde RunAsPPL adında bir anahtar oluşturulmalı ve 1 olarak ayarlanmalıdır.
Windows Credential Guard aktifleştirilmelidir.
Detection of changes to Security Support Provider through Registry modification. Filters most standard system changes with SrcProcName Not In (list) but there will be some noise from installers.
RegistryKeyPath ContainsCIS "\Control\Lsa\Security Packages" AND (SrcProcName Not In ("services.exe","SetupHost.exe","svchost.exe") AND SrcProcCmdLine Does Not ContainCIS "system32\wsauth.dll")Bu kural, özel güvenlik paketlerinin yapılandırmasının değiştirilmeye çalışıldığını tespit etmeye yönelik.
İzlenen kayıt defteri yolu “\Control\Lsa\Security Packages” Windows güvenlik kimliklerinin yapılandırılması için kullanılır. Bu anahtar altındaki değişiklikler, sisteme erişim için kullanılan güvenlik paketlerini etkiler.
Kural şu odak noktalara sahiptir:
Kaynak işlem adı (SrcProcName), services.exe, SetupHost.exe veya svchost.exe değil
Kaynak işlem komut satırı (SrcProcCmdLine) “system32\wsauth.dll” içermiyor
Yani meşru hizmetler ve süreçler dışında bir kaynaktan gelen değişiklikleri algılamaya çalışıyor.
Bu, güvenlik paketlerinin yapılandırmasının izinsiz değiştirilmeye çalışıldığını gösterebilir. Bu da sistem erişimi için yeni yollar oluşturabilir.
Özetle, kural belirli bir kayıt defteri yolundaki değişiklikleri izleyerek olası güvenlik açıklarını yakalamaya çalışıyor.
Bu nedenle loglanması ve incelenmesi önemli olabilir.
wsauth.dll, Windows için Active Directory oturum açma yetkilendirmesini sağlayan bir DLL dosyasıdır. Ana işlevi şöyledir:
Kullanıcı adı ve parolasını doğrular
Kullanıcıyı Active Directory’deki kimliğine eşler
Kullanıcıya uygun güvenlik kimlikleri ve yetkilerini atar
Yani temel olarak Active Directory oturum açma sürecinde kullanılır.
Kuralda wsauth.dll’nin belirtilmesi, onu meşru bir süreç olarak kabul etmek içindir. Dolayısıyla wsauth.dll tarafından yapılan değişiklikler izin verilirken diğer unsurlar tarafından yapılan değişiklikler algılanmaya çalışılıyor.
Çünkü wsauth.dll’nin yapılandırmayı değiştirmesi, Active Directory oturum açma süreci için normal ve beklenen bir davranıştır. Ancak diğer unsurlar tarafından benzer değişiklikler yapılması olası bir risk oluşturabilir.
Bu yüzden kural, wsauth.dll dışındaki kaynaklardan gelen değişikliklere odaklanıyor.
T1547.009 Startup Shortcuts
Focuses on Test 2: Detection .lnk or .url files written to Startup folders. Filters noise with SrcProcName Not In (list) but you can remove noise from 3rd party update services updating their links by adding SrcProcParentName != “userinit.exe” to the query.
(FileFullName ContainsCIS "Microsoft\Windows\Start Menu\Programs\Startup" AND TgtFileExtension In Contains ("lnk","url") AND EventType = "File Creation") AND SrcProcName Not In ("ONENOTE.EXE","msiexec.exe")Bu kural, başlangıç menüsü ile başlayıcı klasörüne yeni .lnk veya .url uzantılı dosyaların eklendiğini tespit etmeye çalışıyor.
İzlenen öğelere odaklanıyor:
Dosya tam adı (FileFullName), “Microsoft\Windows\Start Menu\Programs\Startup” içeriyor
Bu da başlangıç menüsü ile başlayıcı dizinine işaret eder
Hedef dosya uzantısı (.lnk veya .url) içeriyor
Bu, bağlantı veya Web bağlantısı uzantılı dosyalar olduğunu gösterir
Etkinlik türü dosya oluşturma
Yeni bir .lnk veya .url dosyasının eklendiğini gösterir
Kaynak işlem adı (SrcProcName) ise ONENOTE.EXE ve msiexec.exe dışındaysa
Başlangıç menüsü ile başlayıcı klasöre yeni bağlantılar eklenmesi genellikle özelleştirme amaçlıdır ancak kötü amaçlı içerik de içerebilir.
Bu yüzden bu kural özelleştirme amaçlı eklemeleri filtrelemek için ONENOTE ve yükleyicileri istisna ederek diğer kaynaklardan gelen eklemeleri algılamaya çalışıyor.
msiexec.exe, Windows’da kurulum paketlerini (MSI paketlerini) yüklemek ve kaldırmak için kullanılan bir yürütülebilir dosyadır. Ana işlevleri şunlardır:
- MSI kurulum paketlerini yükler ve kurar
- MSI kurulumlarını kaldırır
- MSI paketleriyle ilgili değişiklikler yapar (yeniden yapılandırma, düzeltmeler vs.)
Genellikle yazılım kurulumları sırasında msiexec.exe arka planda çalışır. Örneğin yazılım merkezinden yeni bir yazılım kurmaya çalıştığınızda, aslında bir MSI paketi yükleyicisi olan msiexec.exe çağırılır.
Kuralda msiexec.exe istisna edilmesi bu nedenledir: msiexec tarafından başlangıç menüsü ile başlayıcı dizine eklentiler eklenmesi normal ve beklenen bir davranıştır. Çünkü yüklü uygulamaların başlangıçta başlatılmasını sağlamak için buna ihtiyaç vardır.
Bu yüzden msiexec.exe tarafından yapılan değişiklikler izin verilirken, diğer kaynakların yaptığı değişiklikler algılanmaya çalışılır.
T1546.003 Windows Management Instrumentation Event Subscription
Detect WMI Event Subs using the New-CimInstance cmdlet, through CommandLine and CommandScript indicators.
SrcProcCmdLine ContainsCIS "New-CimInstance -Namespace root/subscription" OR SrcProcCmdScript ContainsCIS "New-CimInstance -Namespace root/subscription"Bu kural, WMI kullanarak root/subscription ad alanında (namespace) yeni bir CIM örneği (CimInstance) oluşturan işlemleri tespit etmek için kullanılır.
WMI, Windows Yönetim Altyapısı’nın (Windows Management Infrastructure) kısaltmasıdır. İşletim sisteminin durumunu izlemek ve yönetmek için kullanılır.
CIM, Ortak Bilgi Modeli’nin (Common Information Model) kısaltmasıdır. Bir bilgisayar sisteminin ve bileşenlerinin yapısını soyutlayan bir modeldir.
Bu kural iki bölümden oluşur:
İlk bölüm SrcProcCmdLine (kaynak işlem komut satırı) içinde “New-CimInstance -Namespace root/subscription” metninin bulunup bulunmadığına bakar.
İkinci bölüm ise SrcProcCmdScript (kaynak işlem komut dosyası) içinde aynı metnin bulunup bulunmadığını kontrol eder.
Her iki bölümde de ContainsCIS uzantısı kullanılmıştır. Bu uzantı bir dizenin belirtilen metni içerip içermediğini kontrol eder.
Bu kuralın amacı, root/subscription isim alanında yeni bir CIM örneği oluşturan WMI komutlarını izleyen şüpheli işlemleri yakalamaktır. Çünkü bu isim alanı ve kaynağı genellikle sistem izleme amaçlı kullanılır ve yetkisiz erişim tehlikeli olabilir.
T1543.003 Windows Service
Saldırganlar ele geçirdikleri sistemlerde yüksek haklarda olmak isterler. Yüksek haklarda olmanın birçok avantajı vardır. Yüksek haklardaki avantajları kullanabilmek için saldırganlar ele geçirdikleri sistemlerde yüksek hakları elde etmek için çeşitli yollara başvurabilirler.
Yanlış yapılandırılmış servis ayarlarına erişim hakları, yetkisiz kullanıcıların normalde yetkili kullanıcıların yapabilmesi gereken, servis oluşturma, servislerin durdurulması, başlatılması veya çalıştırılabilir dosyalarının değiştirilmesi gibi aktivitelerin yapılabilmesine olanak sağlar.
Detects creation and modification of windows services through binPath argument to sc.exe.
TgtProcName = "sc.exe" AND TgtProcCmdLine Contains "binPath="Bu kural, bir güvenlik sistemi veya güvenlik yazılımı tarafından kullanılan bir kuraldır. Bu kural, bir bilgisayar sistemine yönelik potansiyel bir tehdit olarak kabul edilen bir işlemi tespit etmek için tasarlanmıştır.
Kuralın çalışma mantığı şöyledir:
Hedef işlemin adı “sc.exe” olarak belirlenmiştir. “sc.exe” Windows işletim sistemi tarafından kullanılan bir araçtır ve hizmetlerin oluşturulması, silinmesi ve yönetilmesi için kullanılır.
Hedef işlemin komut satırı, “binPath=” ifadesini içerir. Bu ifade, hizmetlerin çalıştırılacak dosya yolunu belirtir.
Bu kural, bir saldırganın “sc.exe” aracılığıyla hedef bir sisteme kötü amaçlı bir hizmet eklemeye çalıştığını tespit etmek için tasarlanmıştır. Saldırganlar, kötü amaçlı yazılımlarını bir hizmet olarak gizleyerek tespit edilmeden çalıştırmayı amaçlayabilirler. Bukural, bu tür bir saldırıyı tespit etmek için tasarlanmıştır.
Örneğin, bir saldırgan “sc.exe” aracılığıyla bir hizmet oluşturmak istediğinde, hedef işlemin komut satırı “binPath=” ifadesini içerecektir. Bu kural, bu ifadeyi içeren işlemleri tespit ederek, saldırganın hedef sisteme kötü amaçlı bir hizmet eklemesini önlemeye yardımcı olur.
T1547.004 Winlogon Helper DLL
Detects Winlogon Helper Dll changes through Registry MetadataIndicator item, as it holds the full registry change info but will only return data of the Indicators object type.
IndicatorMetadata In Contains Anycase ("Microsoft\Windows NT\CurrentVersion\Winlogon","Microsoft\Windows NT\CurrentVersion\Winlogon\Notify") AND IndicatorMetadata In Contains Anycase ("logon","Userinit","Shell") AND IndicatorMetadata Does Not ContainCIS "WINDOWS\system32\userinit.exe"Bu kural, bir güvenlik sistemi veya güvenlik yazılımı tarafından kullanılan bir kuraldır. Bu kural, bir bilgisayar sistemine yönelik potansiyel bir tehdit olarak kabul edilen bir davranışı tespit etmek için tasarlanmıştır.
Kuralın çalışma mantığı şöyledir:
İndikatör metadata (gösterge meta verisi) bölümünde, “Microsoft\Windows NT\CurrentVersion\Winlogon” veya “Microsoft\Windows NT\CurrentVersion\Winlogon\Notify” ifadeleri yer alır. Bu ifadeler, Windows işletim sistemi için oturum açma işlemi sırasında kullanılan kayıt defteri anahtarlarıdır.
İndikatör metadata bölümünde, “logon“, “Userinit” veya “Shell” gibi ifadeler yer alır. Bu ifadeler, oturum açma işlemi sırasında kullanılan bileşenlerdir.
İndikatör metadata bölümünde “WINDOWS\system32\userinit.exe” ifadesi yer almaz. Bu ifade, oturum açma işlemi sırasında kullanılan bir bileşen olan “userinit.exe” dosyasınınyolu gösterir.
Bu kural, bir saldırganın oturum açma işlemi sırasında zararlı bir bileşen eklemeye veya oturum açma işlemine müdahale etmeye çalıştığını tespit etmek için tasarlanmıştır. Saldırganlar, bu tür müdahaleleri gerçekleştirmek için kayıt defteri anahtarlarını ve oturum açma bileşenlerini manipüle edebilirler. Bu kural, bu tür manipülasyonları tespit etmek için tasarlanmıştır.
Örneğin, bir saldırgan “Winlogon” kayıt defteri anahtarlarını veya oturum açma bileşenlerini manipüle etmeye çalıştığında, bu kural tespit edebilir. Ayrıca, “userinit.exe” dosyasının yolunu içermeyen diğer bileşenler de tespit edilebilir.
About the Author
