Hepinize selamlar,
Bu makalemde Open Source bir ürün olan IOC tarama toolu LOKI‘den ve kullanım amaçlarından bahsedeceğim. Umarım faydalı olur, şimdiden iyi okumalar.
Tehdit istihbaratı ve olay müdahalesi süreçlerinde saldırganlar tarafından kullanılan araçların veya uygulamaların hash değerlerinin, domain adlarının, IP bilgilerinin kısacası ağ üzerindeki bıraktıkları izlerin takip edilmesi oldukça önemlidir.
Gelişmiş saldırı tehditlerinin(APT), TTP (Tactics, Techniques and Procedures) kısmında işler oldukça zorlaşmaktadır. Saldırganların savunan kişiler tarafından tespit edilmek istememesinden dolayı işleri çok daha fazla karmaşıklaştırmaları ve zorlaştırmaları gerekmektedir. Bunun sonucunda ise savunma yapan kişilerin de bunları tespit etmesi oldukça zorlaşmaktadır.
Sonuç olarak savunma yapan kişilerin, saldırı yapan kişilerden gerisinde kalması olasıdır. Bu durumda savunan kişilerin saldırganların kullandığı araçlar, yazılımlar ve dosyaların tespiti önem arz etmektedir. Yara kuralları ile belirli zararlı yazılımların tespit edilmesi mümkündür. İşte tam da bu noktada devreye makalemizin konusu olan LOKI aracı girmektedir.
LOKI
LOKI, ücretsiz ve basit bir IOC tarama aracıdır. Tam donanımlı bir APT tarayıcı aracı olan THOR tarayıcı modüllerinin yeniden yazılması sonucu oluşmuştur.
Birçok hunting ürünü tarafından tespit edilemeyen tehditleri tespit etme konusunda ve olay müdahale süreçlerinde önemli rol oynamaktadır.
Loki’yi indirmek;
Loki’yi bu bağlantıya gidererek sistemlerinize indirebilirsiniz.
LOKI üzerinde güncel kural setlerini indirmek için komut satırı aracılığı ile şu komutu çalıştırabiliriz. Ve güncel kural setlerini indirebiliriz.
- loki-upgrader.exe
- Bu görselde LOKI’yi çalıştırmak için gerekli olan “.exe” ve içesinde yer alan kural vb. dosyaları yer almaktadır. Bu exe dosyasını çalıştırarak içerisinde yer alan Yara kuralları ve IOC ‘ler ile tarama başlatılabilmektedir.
- LOKI’nın içerisinde aşağıdaki IOC’ler yer almaktadır.
- Bu kısımda ise LOKI’nın içerisinde yer alan “.yar” uzantılı yara kuralları bulunmaktadır.
Bu şekilde LOKI kullanıcılara taramak istenilen sistemlerde bilinen IOC’ler ve YARA kuralları ile taramayı ücretsiz olarak sunmaktadır.
LOKI birden fazla fazla gösterge türlerini desteklemektedir. Bunlar:
- MD5 / SHA1 / SHA256 karmaları
- Yara Kuralları
- Dosya Adları IOC olarak kullanılmaktadır.
LOKI ilk indirilmeye başlandığı zaman Windows Defender tarafından silinebilmektedir. Bunu engellemek için eylem kısmından izin ver seçeneğini aktif ederek dosyayı indirebilirsiniz.
Tüm bu işlemleri yaptıktan sonra artık LOKI aracını çalıştırmak ve rapor sonucunu incelemek kalıyor. Bunun için;
- loki.exe‘ yi çalıştırıyoruz. Ve tarama işlemini başlatıyoruz. Bundan sonra yapmamız gereken tarama raporunun oluşmasını beklemek ve incelemek olacaktır.
- LOKI herhangi bir komut olmadan çalıştırıldığı zaman rapor çıktısını .log dosyası olarak bulunduğu dizine aktarmaktadır.
- Eğer rapor farklı bir dizine çıkarılmak istenirse farklı bir yol verilerek çıkarılabilmektedir.
- Tarama sonucunda .log dosyası açılarak gerekli incelemeler yapılabilmektedir.
Makalemde bahsettiğim LOKI aracı doğru bir şekilde doğru kaynaklarla beslenirse, yani zengin bir yara seti ile beslenmesi durumunda Incident Response süreçlerinden çok kısa zamanda hızlı sonuçlar alınabilir.
Buraya kadar okuduğunuz için teşekkürler, faydalı olması dileğiyle. 🙂
Kaynaklar:
- https://inforensec.com//what-is-loki-how-to-use-loki-apt-scanner.html
- https://github.com/Neo23x0/Loki