mesubasi
Team Member
- Katılım
- 23 Ocak 2024
- Mesajlar
- 3
- Tepkime puanı
- 3
- Puanları
- 3
Adım Adım Vaka Analizi 1 — CyberOps
Bu yazımda “CyberOps Associate” içerisinde bulunan “Investigating a Malware Exploit” adlı laboratuvar ile bizden istediği yönergeler doğrultusunda ilerleyip vaka analizi yapacağız. Security Onion işletim sistemi içerisinde bulunan “Kibana” yazılımını ile gerçek vakalar üzerinden analiz yapmaya çalışacağım. Öncelikle bizden istenen Ocak 2017 tarihine gidip bu 1 aylık süreci filtrelemek. Kibana yazılımını açtıktan sonra 1 numaralı kısımdan yapabiliriz. Daha sonrasında loglara zaman bazında biraz daha yakınlaştırma yapmamız isteniyor. Bunu da 2 numaralı kısımdan yapabiliyoruz. Yakınlaştırdıktan sonra tam 4 dakikalık süreçte 1910 adet log’un bulunduğunu görmüş oluyoruz. Buradaki loglar “NIDS” — Ağ tabanlı saldırı tespit sisteminin yakaladığı bir atak olduğu için 3 numaralı kısımdan filtreleme yapıyoruz.
Filtreleme işleminden sonra aşağıdaki gibi bir çıktı almanız istenmektedir. 1 Numaralı kısım NIDS ile olan tespitleri filtrelendikten sonra 147 adet log’un olduğunu bize göstermektedir. 2 numaralı kısımdan zaman diliminicybero daraltıp bizden 22:54:42 saatinde gerçekleşen 23 adet log’un bulunduğu kısıma tıklayıp filtreleme işlemini yapmak.
Bizden istenen aşağıdaki resimde 1 numaralı kısma tıklayıp ilk yaşanan case’yi incelemek.
Daha sonra bu kısmı genişlettiğimizde aşağıdaki soruların cevabını bulmamız gerekecek.
Filtreleme işleminden sonra aşağıdaki gibi bir çıktı almanız istenmektedir. 1 Numaralı kısım NIDS ile olan tespitleri filtrelendikten sonra 147 adet log’un olduğunu bize göstermektedir. 2 numaralı kısımdan zaman diliminicybero daraltıp bizden 22:54:42 saatinde gerçekleşen 23 adet log’un bulunduğu kısıma tıklayıp filtreleme işlemini yapmak.
Bizden istenen aşağıdaki resimde 1 numaralı kısma tıklayıp ilk yaşanan case’yi incelemek.
Daha sonra bu kısmı genişlettiğimizde aşağıdaki soruların cevabını bulmamız gerekecek.
Kibana’da tespit edilen ilk NIDS uyarısının zamanı nedir? → 27 Ocak 2017, 22:54:43Uyarıdaki kaynak IP adresi nedir? → 172.16.4.193Uyarıdaki hedef IP adresi nedir? → 194.87.234.129Uyarıdaki hedef bağlantı noktası nedir? Bu hangi hizmet? — > 80, HTTPAlarmın sınıflandırması nedir? → trojan-activityHedef coğrafi ülke adı nedir? → RussiaBu etkinlik için kötü amaçlı yazılım ailesi nedir? → Exploit Kits
Aşağıdaki fotoğrafta işaretlediğim kısımlar yukarıdaki soruların cevabını içermektedir. Bu bilgilerden yola çıkarak hedefe bir truva atı saldırısı gerçekleştirildiğini görebiliyoruz. Sid numarasını internette aratarak “2024049” biraz daha detaylara ulaşabiliyoruz.
Suricata, Snort vb. IDS-IPS sistemleri için saldırıyı tespit etmek amaçlı kuralalert http $HOME_NET any -> $EXTERNAL_NET any (msg:”ET EXPLOIT_KIT RIG EK URI Struct Mar 13 2017 M2"; flow:established,to_server; urilen:>90; flowbits:set,ET.RIGEKExploit; http.uri; content:”QMvXcJ”; pcre:”/(?=.*?=[^&]{3,4}QMvXcJ).*?=(?=[A-Za-z_-]*[0–9])(?=[a-z0–9_-]*[A-Z][a-z0–9_-]*[A-Z])(?=[A-Z0–9_-]*[a-z][A-Z0–9_-]*[a-z])[A-Za-z0–9_-]+&.*?=(?=[A-Za-z_-]*[0–9])(?=[a-z0–9_-]*[A-Z][a-z0–9_-]*[A-Z])(?=[A-Z0–9_-]*[a-z][A-Z0–9_-]*[a-z])[A-Za-z0–9_-]+(?:&|$)/”; http.header_names; content:!”Cookie|0d 0a|”; classtype:exploit-kit; sid:2024049; rev:4; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, affected_product Web_Browser_Plugins, attack_target Client_Endpoint, created_at 2017_03_13, deployment Perimeter, former_category CURRENT_EVENTS, malware_family Exploit_Kit_RIG, performance_impact Low, signature_severity Major, tag Exploit_kit_RIG, updated_at 2020_11_04
Exploit Kit Nedir?
Kullanıcı bir web sitesini ziyaret ettiğinde, saldırgan “Exploit Kit” malware, trojan vb. kötü amaçlı yazılım tarafından işletim sistemi ya da web tarayıcısına yönelik güvenlik açıklarını hedefleyen bir çeşit saldırıyı gerçekleştirmiş olur.
Exploit Kit’i tanımladığımıza göre devam edelim ve bizden istenen “CapME” dosyasını açalım. Bunu da _id kısmındaki numaraya tıklayarak açıyoruz ve aşağıdaki gibi bir ekran bizi karşılıyor.
Bu kısımda bizden cevabının bulunması istenen sorular aşağıdaki şekildedir.
Exploit Kit’i tanımladığımıza göre devam edelim ve bizden istenen “CapME” dosyasını açalım. Bunu da _id kısmındaki numaraya tıklayarak açıyoruz ve aşağıdaki gibi bir ekran bizi karşılıyor.
Bu kısımda bizden cevabının bulunması istenen sorular aşağıdaki şekildedir.
Lab’daki bizden istenen cevapları bu kısımda da bulduktan sonra şimdi capME’yi kapatıp. Kibanada tekrardan en üst kısıma gelip. Bu seferde “Zeek Hunting” kısmından HTTP saldırılarını incelememiz gerekiyor. 1 Numaralı kısımdan filtreleme işlemi gerçekleştirebilirsiniz.Kullanıcı hangi web sitesine bağlanmak istemiştir? → 1 numaralı kısımda belirtilen internet sayfasına erişmek istemiştir.Tarayıcı kullanıcıyı hangi URL’ye yönlendirdi? → Tarayıcı kullanıcıyı 2 numaralı kısımdaki internet sayfasına yönlendirmiştir.Kaynak ana bilgisayar tarafından tybenme.com’dan ne tür bir içerik talep ediliyor? Bu neden bir sorun olabilir? → 3 numaralı kısımda sunucudan gelen cevap ise gzip ile gelmiştir. Ziplenerek gelen bu kısımda
Transkriptin DST sunucu bloğuna da bakın.
27–01–2017 22:54:30.000 ila 27–01–2017 22:56:00 zaman aralığına yine 2 numarala kısımdan filtreleme işlemi yaparak log’ların biraz daha detaylarına iniyoruz.
Belirtilen zaman aralığında 48 adet log’u gördükten sonra bizden istenen sorulara cevap bulabilmek için HTTP kısmına iniyoruz ve aşağıdaki URL’leri ve HTTP — MIME Type (Tag Cloud) gibi kısımları inceliyoruz.
Listelenen web sitelerinden bazıları nelerdir? → Google-analytics, bing vb. siteler listelenmiştir.Bu sitelerden hangisi muhtemelen istismar kampanyasının bir parçasıdır? → www.homeimprovement.com, tyu.benme.comEtiket Bulutunda listelenen HTTP — MIME Türleri nelerdir? HTTP üzerinden HTML, Json, Javascript, Gif, Plain, X-Shockwave-Flash dosyalarının açıldığını görüntülemekteyiz.
Bu vakada saldırganın shockwave yazılımının bir açığından faydalanarak bizi www.homeimprovement.comURL’sine erişmek isterken nasıl zararlı tyu.benme.com adresine yönlendirdiğini ve bu süreçte bir dosya indirdiğini, flash dosyası indirdiğini ve bir zararlı yazılım çalıştırmak istediğinin çıkarımını yapabiliriz.
Cisco CyberOps Associate “Investigating a Malware Exploit” adlı lab’ının böylelikle 1.bölümünü bitirmiş bulunuyoruz. Bu lab 4 bölümden oluştuğu için uzun olmaması adına part part yayınlayıp daha incelenebilir bir yazı haline getirmenin doğru olacağını düşündüm. Umarım faydalı olmuştur. Bir sonraki bölümde görüşmek üzere!