CS Tehditleri

CS nedir, nasıl tespit edilir?

Credential stealer/kimlik bilgisi çalıcı kategorisindeki kayıtlar; tarayıcı parola deposu, çerez, kripto cüzdan ve oturum token'larını ele geçiren bilgi hırsızı aileleri (RedLine, Vidar, Raccoon, Lumma, StealC) için dağıtım veya exfiltration noktalarını işaretler.

Tespit; EDR'de tarayıcı veri dosyalarına anormal okuma erişimi, çalıcı aile imzaları, NDR'de Telegram/Discord/HTTP exfiltration endpoint'lerine yapılan POST istekleri üzerinden sağlanır.

Toplanan log'lar yeraltı pazarlarında satışa çıkar ve haftalar içinde initial access broker ihalelerinde kullanılır. Savunma odağı tarayıcı izolasyonu, MFA zorlaması (özellikle phishing-resistant), çalınmış kimlik izleme servisleri (HaveIBeenPwned, SpyCloud, Constella) ile entegrasyon ve düzenli kimlik bilgisi rotasyonudur.

Kritiklik dağılımı

Toplam 0 CS göstergesinin operasyonel risk bandlarına dağılımı.

Önerilen Aksiyonlar

CS kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.

• 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
• 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
• 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
• 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
• 5 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —

Filtre Matrisi