Adım Adım Vaka Analizi 1 -  CyberOps Associate

  • Konbuyu başlatan Konbuyu başlatan mesubasi
  • Başlangıç tarihi Başlangıç tarihi

mesubasi

Team Member
Katılım
23 Ocak 2024
Mesajlar
3
Tepkime puanı
3
Puanları
3

Adım Adım Vaka Analizi 1 — CyberOps​

Bu yazımda “CyberOps Associate” içerisinde bulunan “Investigating a Malware Exploit” adlı laboratuvar ile bizden istediği yönergeler doğrultusunda ilerleyip vaka analizi yapacağız. Security Onion işletim sistemi içerisinde bulunan “Kibana” yazılımını ile gerçek vakalar üzerinden analiz yapmaya çalışacağım. Öncelikle bizden istenen Ocak 2017 tarihine gidip bu 1 aylık süreci filtrelemek. Kibana yazılımını açtıktan sonra 1 numaralı kısımdan yapabiliriz. Daha sonrasında loglara zaman bazında biraz daha yakınlaştırma yapmamız isteniyor. Bunu da 2 numaralı kısımdan yapabiliyoruz. Yakınlaştırdıktan sonra tam 4 dakikalık süreçte 1910 adet log’un bulunduğunu görmüş oluyoruz. Buradaki loglar “NIDS” — Ağ tabanlı saldırı tespit sisteminin yakaladığı bir atak olduğu için 3 numaralı kısımdan filtreleme yapıyoruz.

1.PNG


Filtreleme işleminden sonra aşağıdaki gibi bir çıktı almanız istenmektedir. 1 Numaralı kısım NIDS ile olan tespitleri filtrelendikten sonra 147 adet log’un olduğunu bize göstermektedir. 2 numaralı kısımdan zaman diliminicybero daraltıp bizden 22:54:42 saatinde gerçekleşen 23 adet log’un bulunduğu kısıma tıklayıp filtreleme işlemini yapmak.

2.png


Bizden istenen aşağıdaki resimde 1 numaralı kısma tıklayıp ilk yaşanan case’yi incelemek.

0_Xi-n_9M5U_e8_TcK.png


Daha sonra bu kısmı genişlettiğimizde aşağıdaki soruların cevabını bulmamız gerekecek.​
Kibana’da tespit edilen ilk NIDS uyarısının zamanı nedir? → 27 Ocak 2017, 22:54:43​
Uyarıdaki kaynak IP adresi nedir? → 172.16.4.193​
Uyarıdaki hedef IP adresi nedir? → 194.87.234.129​
Uyarıdaki hedef bağlantı noktası nedir? Bu hangi hizmet? — > 80, HTTP​
Alarmın sınıflandırması nedir? → trojan-activity​
Hedef coğrafi ülke adı nedir? → Russia​
Bu etkinlik için kötü amaçlı yazılım ailesi nedir? → Exploit Kits​

Aşağıdaki fotoğrafta işaretlediğim kısımlar yukarıdaki soruların cevabını içermektedir. Bu bilgilerden yola çıkarak hedefe bir truva atı saldırısı gerçekleştirildiğini görebiliyoruz. Sid numarasını internette aratarak “2024049” biraz daha detaylara ulaşabiliyoruz.​

Suricata, Snort vb. IDS-IPS sistemleri için saldırıyı tespit etmek amaçlı kural
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:”ET EXPLOIT_KIT RIG EK URI Struct Mar 13 2017 M2"; flow:established,to_server; urilen:>90; flowbits:set,ET.RIGEKExploit; http.uri; content:”QMvXcJ”; pcre:”/(?=.*?=[^&]{3,4}QMvXcJ).*?=(?=[A-Za-z_-]*[0–9])(?=[a-z0–9_-]*[A-Z][a-z0–9_-]*[A-Z])(?=[A-Z0–9_-]*[a-z][A-Z0–9_-]*[a-z])[A-Za-z0–9_-]+&.*?=(?=[A-Za-z_-]*[0–9])(?=[a-z0–9_-]*[A-Z][a-z0–9_-]*[A-Z])(?=[A-Z0–9_-]*[a-z][A-Z0–9_-]*[a-z])[A-Za-z0–9_-]+(?:&|$)/”; http.header_names; content:!”Cookie|0d 0a|”; classtype:exploit-kit; sid:2024049; rev:4; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, affected_product Web_Browser_Plugins, attack_target Client_Endpoint, created_at 2017_03_13, deployment Perimeter, former_category CURRENT_EVENTS, malware_family Exploit_Kit_RIG, performance_impact Low, signature_severity Major, tag Exploit_kit_RIG, updated_at 2020_11_04;)
4.png

Exploit Kit Nedir?​

Kullanıcı bir web sitesini ziyaret ettiğinde, saldırgan “Exploit Kit” malware, trojan vb. kötü amaçlı yazılım tarafından işletim sistemi ya da web tarayıcısına yönelik güvenlik açıklarını hedefleyen bir çeşit saldırıyı gerçekleştirmiş olur.

Exploit Kit’i tanımladığımıza göre devam edelim ve bizden istenen “CapME” dosyasını açalım. Bunu da _id kısmındaki numaraya tıklayarak açıyoruz ve aşağıdaki gibi bir ekran bizi karşılıyor.

5.png

Bu kısımda bizden cevabının bulunması istenen sorular aşağıdaki şekildedir.​
Kullanıcı hangi web sitesine bağlanmak istemiştir? → 1 numaralı kısımda belirtilen internet sayfasına erişmek istemiştir.​
Tarayıcı kullanıcıyı hangi URL’ye yönlendirdi? → Tarayıcı kullanıcıyı 2 numaralı kısımdaki internet sayfasına yönlendirmiştir.​
Kaynak ana bilgisayar tarafından tybenme.com’dan ne tür bir içerik talep ediliyor? Bu neden bir sorun olabilir? → 3 numaralı kısımda sunucudan gelen cevap ise gzip ile gelmiştir. Ziplenerek gelen bu kısımda
Transkriptin DST sunucu bloğuna da bakın.​
Lab’daki bizden istenen cevapları bu kısımda da bulduktan sonra şimdi capME’yi kapatıp. Kibanada tekrardan en üst kısıma gelip. Bu seferde “Zeek Hunting” kısmından HTTP saldırılarını incelememiz gerekiyor. 1 Numaralı kısımdan filtreleme işlemi gerçekleştirebilirsiniz.

27–01–2017 22:54:30.000 ila 27–01–2017 22:56:00 zaman aralığına yine 2 numarala kısımdan filtreleme işlemi yaparak log’ların biraz daha detaylarına iniyoruz.

6.PNG


Belirtilen zaman aralığında 48 adet log’u gördükten sonra bizden istenen sorulara cevap bulabilmek için HTTP kısmına iniyoruz ve aşağıdaki URL’leri ve HTTP — MIME Type (Tag Cloud) gibi kısımları inceliyoruz.
Listelenen web sitelerinden bazıları nelerdir? → Google-analytics, bing vb. siteler listelenmiştir.
Bu sitelerden hangisi muhtemelen istismar kampanyasının bir parçasıdır? → www.homeimprovement.com, tyu.benme.com
Etiket Bulutunda listelenen HTTP — MIME Türleri nelerdir? HTTP üzerinden HTML, Json, Javascript, Gif, Plain, X-Shockwave-Flash dosyalarının açıldığını görüntülemekteyiz.

7.PNG

Bu vakada saldırganın shockwave yazılımının bir açığından faydalanarak bizi www.homeimprovement.comURL’sine erişmek isterken nasıl zararlı tyu.benme.com adresine yönlendirdiğini ve bu süreçte bir dosya indirdiğini, flash dosyası indirdiğini ve bir zararlı yazılım çalıştırmak istediğinin çıkarımını yapabiliriz.

Cisco CyberOps Associate “Investigating a Malware Exploit” adlı lab’ının böylelikle 1.bölümünü bitirmiş bulunuyoruz. Bu lab 4 bölümden oluştuğu için uzun olmaması adına part part yayınlayıp daha incelenebilir bir yazı haline getirmenin doğru olacağını düşündüm. Umarım faydalı olmuştur. Bir sonraki bölümde görüşmek üzere!
 

Ekli dosyalar

  • 3.png
    3.png
    147.5 KB · Görüntüleme: 91
  • 0_Xi-n_9M5U_e8_TcK.png
    0_Xi-n_9M5U_e8_TcK.png
    140.2 KB · Görüntüleme: 91
Geri
Üst