Blog'a Dön
Tehdit İstihbaratı, Avcılık ve Müdahale
14 Mart 20264 dk okuma

MITRE ATT&CK ve CVE Korelasyonu: TTP Düzeyinde Tehdit Avcılığı

Öne Çıkan Özet

Açığın kendisi tek başına yetmez. Savunmacı, bu açığın hangi saldırgan davranışını mümkün kıldığını da bilmelidir.

MITRE ATT&CKTTP mappingCVE correlationthreat hunting

Görsel Yön

CVE'leri saldırgan teknikleri, tespit kuralları ve beklenen sonraki adımlarla eşleştiren bir avcılık matrisi.

Neden Sadece IoC ile Savunma Hızla Eskir?

IoC'ler hâlâ değerlidir ama ömürleri kısadır. Hash değişir, domain döner, altyapı taşınır, malware ailesi mutasyon geçirir. Davranış ise çok daha kalıcıdır. Bu yüzden MITRE ATT&CK eşleştirmesi operasyonel bir zorunluluk haline geliyor: savunmacı yalnızca "hangi dosya görüldü" sorusuna değil, "saldırgan bu açıklıkla hangi tekniği çalıştırır" sorusuna da cevap vermeye başlıyor.

MITRE ATT&CK Matrisi Nasıl Yapılandırılmış?

CVE'leri çerçeveye eşleştirmeden önce üç düzeyli hiyerarşiyi anlamak gerekiyor:

| Düzey | Açıklama | Örnek |

| --- | --- | --- |

| Taktik (Tactic) (TA####) | Saldırganın taktik hedefi — *neden* | TA0001 İlk Erişim (Initial Access) |

| Teknik (Technique) (T####) | *Nasıl* — taktiği gerçekleştirme yöntemi | T1190 Halka Açık Uygulamayı Sömürme |

| Alt Teknik (Sub-technique) (T####.###) | Tekniğin daha özgül bir varyantı | T1059.001 PowerShell |

Bu hiyerarşi, tek bir CVE'nin nasıl sömürüldüğüne bağlı olarak bir taktiğe ama birden fazla tekniğe eşlenebileceği anlamına geliyor. Eşleştirme bir arama tablosu değil — olası sömürü yolu hakkında analist muhakemesi gerektiriyor.

CVE Tek Başına Bir Tespit Stratejisi Değildir

Birçok kurum CVE'leri envanter kaydı olarak tutar. Gerekli ama operasyonel olarak yetersiz. CVE ancak bir taktik ve teknik bağlamına oturduğunda gerçek anlam kazanıyor. Örneğin internet-facing bir RCE, tipik olarak şu katmanda değerlendiriliyor:

TA0001 Initial Access.

T1190 Exploit Public-Facing Application.

Buna karşılık yerel ayrıcalık yükseltme açıklığı, genellikle saldırı zincirinin sonraki safhasında önem kazanıyor:

TA0004 Privilege Escalation.

TA0005 Defense Evasion.

Bu ayrım kritik; çünkü SOC'un neyi, hangi zaman diliminde ve hangi bağlamda izlemesi gerektiğini doğrudan değiştiriyor.

Somut Eşleştirme Örneği: CVE-2021-44228 (Log4Shell)

Belirli bir CVE verildiğinde ATT&CK eşleştirmesi tespit önceliklerini şu şekilde dönüştürüyor:

| ATT&CK Katmanı | Tanımlayıcı | Açıklama |

| --- | --- | --- |

| Taktik | TA0001 | İlk Erişim — saldırgan bir log mesajı aracılığıyla iç yürütmeye ulaşıyor |

| Teknik | T1190 | Halka Açık Uygulamayı Sömürme |

| Alt Teknik | — | Resmi alt teknik yok; sömürü, log girdisindeki JNDI lookup üzerinden gerçekleşiyor |

| Sonraki Taktik | TA0002 | Yürütme — uzak classfile yükleniyor ve çalıştırılıyor |

| Sonraki Teknik | T1059 | Komut ve Betik Yorumlayıcısı |

Tespit fırsatı CVE düzeyinde değil — davranış düzeyinde: Java süreçlerinden beklenmedik giden LDAP/DNS trafiği veya uygulama sunucularından doğan child process'ler. Yalnızca "Log4Shell var" bilgisine sahip bir ekip bu tespit kuralını yazamaz. ATT&CK teknik zincirini bilen bir ekip yazabilir.

Örnek Vaka: WinRAR ve Kullanıcı Etkileşimi

CVE-2023-38831 etrafında gözlemlenen kampanyalar yalnızca bir arşiv ayrıştırma açıklığını değil, kullanıcı yürütmesi ve masquerading davranışını da temsil ediyordu. Tehdit avcılığı ekibi için kritik olan CVE numarasını ezberlemek değil, gözlemlenebilir sömürü zincirini okuyabilmekti:

silahlandırılmış arşivin kurban sisteme iletilmesi.

kullanıcının masum görünen dosyayla etkileşime girmesi.

arşiv işleyicisinden beklenmedik child process doğması.

devamında kalıcılık kurma ya da kimlik bilgisi toplama faaliyeti.

Davranışı Yakalamak, Ürün Adını Yakalamaktan Daha Değerlidir

Özellikle public-facing sömürü senaryolarında banner eşleştirmesi veya ürün imzası tek başına yetersiz kalıyor. Tespit değerinin büyük bölümü sömürü sonrası süreç davranışından geliyor.

yaml
title: Suspicious Web Server Child Process
status: experimental
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    ParentImage|endswith:
'\w3wp.exe'.
'\httpd.exe'.
'\nginx.exe'.
    Image|endswith:
'\cmd.exe'.
'\powershell.exe'.
'\certutil.exe'.
  condition: selection
level: high

Bu kural belirli bir CVE'nin sömürüldüğünü ispatlayamaz; ama savunmacının gerçekten görmek istediği sömürü davranışına tutarlı biçimde işaret eden süreç aktivitesini yüzeye çıkarıyor.

Pain Pyramid Bakış Açısı Neden Değerli?

David Bianco'nun Pain Pyramid modeli tam burada anlam kazanıyor. Saldırganı gerçekten zorlayan şey IoC değiştirmek değil, TTP düzeyinde görünür olmak. Zafiyeti ATT&CK teknikleriyle eşleştirmek, savunmayı hızla eskiyen göstergelerden çok daha kalıcı olan davranışsal tespit katmanına taşıyor.

MyVuln Yaklaşımı

MyVuln, CVE envanteri ile ATT&CK eşleştirmesi aynı iş akışında birleştiğinde üç somut kazanım sunuyor:

henüz yama uygulanmamış açıklıklar için TTP'lere dayalı sanal yama ve davranış kuralı üretmek.

SIEM ve EDR korelasyonlarını yalnızca ürün adına değil, beklenen sömürü akışı ve tekniklerine göre ayarlamak.

operasyon liderliğine "neden acil" sorusunu soyut bir skorla değil, somut saldırgan davranışıyla açıklamak.

MITRE ATT&CKTTP mappingCVE correlationthreat huntingSOCSigmamyvuln

MyVuln Araştırma Ekibi

Siber güvenlik istihbaratı ve zafiyet araştırmaları.

Önceki Makale

CVSS v4.0 Mimarisi, Makro Metrikler ve Tehdit Odaklı Önceliklendirme

Sonraki Makale

EPSS ile Zafiyet Önceliklendirme: Sömürü Olasılığını Tahmin Etmek

İlgili Makaleler

Tehdit İstihbaratı, Avcılık ve Müdahale

CVE-2025-22457: Ivanti Connect Secure'da Kimlik Doğrulamasız Uzaktan Kod Çalıştırma

Makaleyi Oku
Tehdit İstihbaratı, Avcılık ve Müdahale

CVE-2025-32701: Windows CLFS Use-After-Free ve SYSTEM Yetkisine Giden Yol

Makaleyi Oku
Tehdit İstihbaratı, Avcılık ve Müdahale

CVE-2025-21042: Samsung Galaxy'de Zero-Click Sömürü ve Casus Yazılım Riski

Makaleyi Oku