Hepinize Selamlar. 🙂
Günümüzde genelleşmiş siber güvenlik çözümlerinin kullanıldığı yapılarda siber güvenlik amacı ile alarm değerlendirme sistemleri bulunmaktadır. Merkezi olarak log toplayan ve korelasyon işlemleri için SIEM (Security Information and Event Management), ağ güvenliği için IDS/IPS (Intrusion Detection System) ve bunlar dışında kullanılan bir çok siber güvenlik ürünü yer almaktadır. Bu ürünlerle birlikte spesifik olarak karşılaşılan durumlar tespit edilebilmekte ve önlem alınabilmektedir. Bu şekilde sistem güvenliğini arttırmak mümkün olmaktadır. Ancak gün geçtikçe siber tehditler de artarak devam etmektedir.
Son yıllarda kurumların daha hassas verilerini elde etmek ve itibar kaybetmesine neden olan daha gelişmiş ve kalıcılık amaçlanarak yapılan saldırılar yapılmaktadır. Bu saldırıların büyük kısmı otomatize araçlar kullanılarak yapılan risk seviyesi yüksek saldırılardır. Saldırganların yapacakları ya da yaptıkları bu gelişmiş saldırıları tespit etme noktasında Threat Hunting yani Tehdit Avcılığı çok önemli bir görev üstlenmektedir.
M-Trends 2015 raporunda bir saldırganın sisteme sızdıktan sonra keşfedilme süresi ortalama 146 gün olarak belirtilmişken 2016 yılında bu ortalama 99 gün olarak belirlenmiştir. Bu ortalama sürenin düşürülmesi için siber tehdit avcılığı bir ihtiyaç olarak ortaya çıkmaktadır.
Threat Hunting (Tehdit Avcılığı)
Tehdit Avcılığı, kurumların yetki alanlarındaki sistemlere tehdit oluşturan herhangi bir yazılım veya kötü amaçlı tehditleri bularak yani avlayarak ortadan kaldırmayı amaçlayan bir süreçtir.
Diğer bir bakış açısı ile tehdit avcısının proaktif ve reaktif görevleri bulunmaktadır. Bir tehdit aktörünün ile karşı karşıya kaldığında tehdit istihbaratı ve araştırma özellikleri ile birleştirerek proaktif tarafını, Adli Bilişim ve Forensic tarafı ile birleştirerek de reaktif yönünü göstermektedir.
Kısacası bir tehdit avcısı en yeni ve gelişmiş kalıcı tehdit gruplarına karşı güncel olmalı ve tehdit istihbaratı faaliyetlerini yürütebilmek için de araştırma becerisine sahip olmalıdır. Aynı zamanda araştırmalarını etkili bir şekilde anlamlandırabilmek için de raporlama kabiliyetine sahip olmalıdır.
Tehdit Avcılığı ve Siber Tehdit İstihbaratı
Tehdit istihbaratı, Tehdit Avcılığı sürecinin bir alt dalıdır. Tehdit istihbaratı, düzgün bir şekilde yürütülürse tehdit avlama faaliyetlerini büyük ölçüde kolaylaştıracaktır. Ayrıca tehdit avı kötü amaçlı yazılım tespiti için son derece önemli bir eylemdir.
Tehdit istihbaratı süreci, daha önce belirlenen ve tespit edilen tehditlerin tehlikeye girdiğine dair göstergelerin toplanmasını ve bu IOC’lerin, inceleme altındaki sistemlerde tespit etmek için taramalarımızda referans olarak kullanılacak bir liste halinde derlenmesini içerir.
Tehdit istihbaratı çalışmaları sonucunda toplanılan istihbarat verilerini SIEM, SOAR, IDS, IPS gibi siber güvenlik cihazlarıyla entegrasyonu sağlanarak otomatikleştirilebilir.
Pyramid of Pain
Acı üçgeni olarak adlandırılan bu üçgen temel olarak saldırı aktörlerinin ya da saldırı gruplarının nasıl ve ne şekilde tespit edebileceğinni göstermektedir.
Bu üçgen aşağıdan yukarıya doğru tespit edilebilirliğin daha zor olan göstergeleri yani indikatörleri gösterirken, yukarıdan aşağıya doğru da değiştirilmesi kolay olan göstergeleri göstermektedir. Bunun sonucunda da tüm IOC lerin eşit şekilde güvenilir olmadığını tespit edilmektedir.
Hash Values:
Hash değerleri bu üçgende en kolay değiştirilebilen ve düşmanlar tarafından yanıltılabilmek için çok basit değerler olduğunu göstermektedir. Herhangi bir saldırgan grubunun zararlı bir dosyasının tespit edilmesi durumunda, bu dosyanın çok güvenilir olmayacağını, üzerinde değişiklikler olabileceğini bilmemiz gerekmektedir.
IP Adresses:
Ip adresleri de hash değerleri gibi kolay bir şekilde değiştirilebilmek de ve yanıltıcı olabilmektedir. Araya bir çok proxy cihazlar kurularak ıp adresleri gizlenebilmektedir. Ya da saldırganlar bir çok farklı yapı kullanarak ana IP adreslerini gizleyerek sürekli değiştirebilmektedirler.
Domain Name:
Domain isimleri de yine aynı şekilde değiştirilebilmektedir. Saldırı yapılacak sitenin domain adı kolay bir şekilde değiştirilebilmektedir. Ve bunları tespit etmek oldukça zordur.
Network/Host Artifacts:
Saldırgan gruplarının ağlarımıza eriştikten sonra cihazlarımız ya da ağlarımız üzerinde bıraktıkları imzalar bu yapıya içerisine girmektedir. Bu da diğer indikatörlere göre daha güvenilir bir yapı olarak yer almaktadır.
Tools:
Saldırganlar bakış açılarını ya da saldırı anında kullandıkları yapıları değiştirmektedirler. Ancak temel olarak kullandıkları araçlar ve ağ üzerinde ki bıraktıkları izleri değiştirmemektedirler.
TTPs:
Tehdit Avcılığı açısından bakıldığı zaman en güvenilir veriler TTP’lerdir. Eğer bir saldırı grubunun TTP’sinin çıkartılması saldırı grubunu yakalanma şansını arttırmaktadır.
Behavioral Based Detection:
Davranışsal temelli tespit sürecidir. Artık grupların göstermiş olduğu davranışlara göre yapılan tespit süreçleridir.
IOC Avlamak
Bu kısımda nasıl IOC çıkarılabileceğini ve çıkarmış olduğumuz indikatörü sitemimiz üzerinde nasıl tespit edebileceğimize dair uygulama yapacağız. Bunları yaparken de;
- FireEye Redline
- FireEye IOC Editör
araçlarını kullanacağız.
FireEye IOC Editör verileri yönetmek ve IOC’lerin mantıksal yapılarını değiştirmek için arayüz sağlayan ücretsiz bir araçtır. IOC Editör içerisinde şunları sağlamaktadır:
- IOC’yi sağlayan mantıksal yapıların manipüle edilmesini sağlayabilir.
- IOC lere ayrıntılı açıklamalar veya isteğe bağlı olarak etiketler uygulanması sağlayabilir.
- IOC’lerde kullanılan “terimler” listesini yönetmeyi sağlamaktadır.
Ben bu uygulamada bu aracı kullanarak IOC olarak gösterdiğimiz dosyanın SHA1, MD5, dosya boyutu ve adını burada IOC olarak oluşturacağım. Ardından ise sistemim üzerinde böyle bir dosyanın varlığını tespit etmeye çalışacağım.
FireEye Redline
Redline, bellek ve dosya analizi değerlendirmesi ile kötü niyetli faaliyetlerin sistemler üzerinde araştırılmasını sağlar.
Redline kullanılarak şunlar yapılabilir:
- Bellek verileri, dosya sistemi meta verileri, kayıt defteri verileri, olay günlükleri, hizmetler, görevler ve web geçmişinde çalışan tüm süreçlerin denetimini sağlar ve verileri toplar.
- Belirli bir zaman aralığı kullanılarak verilerin analizini sağlar ve görüntülenmesini sağlar.
- Kötü amaçlı yazılımları analiz etmek için bir iş akışı sunar.
- IOC incelenmesini ve analizini gerçekleştirilmesini sağlar.
Uygulamamızda ilk olarak IOC editörümüzü açıyoruz. Burada “Open IOC Director” kısmından bir IOC Director oluşturuyoruz.
Bu kısımda öncelikle kendimize sistemimiz üzerinde araştırmak üzere bir IOC belirliyoruz. Ben burada bir PNG dosyasının 4 farklı IOC sini çıkardım. Bunlar:
- MD5 hash
- SHA1 hash
- Dosya boyutu
- Dosya adı
Ardından PowerShell’i yönetici olarak açıyoruz. Burada certutil.exe komutumuza -hashfile parametremizi veriyoruz. Ve bu şekilde herhangi bir dosyanın hash değerini görebiliyoruz.
Ardından “indicator” sekmemize geliyoruz ve üst kısımda name ve author kısımlarını istediğimiz şekilde veriyoruz.
Şimdi bu kısımda sırası ile aşağıdaki gibi,
- MD5,
- SHA1
- File Name,
- File Size
değerlerini girerek IOC’mizi oluşturuyoruz.
File MD5 değerini seçiyoruz.
File SHA1 değerini seçiyoruz.
File Name seçeneğini seçiyoruz.
Son olarak IOC olarak seçtiğimiz verileri aşağıdaki gibi görüntülüyoruz. Ardından save diyerek kaydediyoruz.
Ardından IOC olarak seçmiş olduğumuz PNG dosyasını text ile açıyorum ve başına adımı yazarak hash değerini değiştiriyorum. Ve bunu yaparak Redline bu dosyayı yine tespit edebilecek mi ona bakacağız. 🙂
Burada oluşturmuş olduğumuz IOC dosyamızın içeriğini görebiliyoruz.
Sırada oluşturmuş olduğumuz IOC’yi ağda aramak ve tespit etmek için Redline aracını kullanacağız.
İlk olarak “Create an IOC Search Collector” seçeneğini seçiyoruz.
Bu kısımda oluşturmuş olduğumuz IOC dosyamızın konumunu veriyoruz.
Burada ise bize çıkaracağı collector ve sonuçların nereye çıkaracağını seçmemizi istiyor.
Burada ise oluşturmuş olduğumuz ve sonuçları çıkartacağımız dosyanın içeriğini görüyoruz.
Son kısımda ise CMD ekranımızı yönetici olarak çalıştırıyoruz. Ve bu konuma gelerek RunRedlineAudit komutunu çalıştırarak taramamızı başlatıyoruz.
Ardından bir süre sonra tarama sonucunu yine Redline üzerinden açarak hazırlamış olduğumuz IOC dosyamızın sistem üzerinde tespit edilip edilmediğini görüntüleyebilir ve analiz edebilirsiniz.
Buraya kadar okuduğunuz için Teşekkürler. 🙂
kaynaklar:
- https://www.fireeye.com/services/freeware/redline.html
- https://www.fireeye.com/services/freeware/ioc-editor.html
- https://www.sans.org/posters/?focus-area=digital-forensics
- https://be4sec.com/2021/06/06/threat-hunting-i-understanding-threat-hunting/
- https://be4sec.com/2021/08/06/threat-hunting-iii-pyramid-of-pain/