mesubasi
Team Member
- Katılım
- 23 Ocak 2024
- Mesajlar
- 3
- Tepkime puanı
- 3
- Puanları
- 3
Adım Adım Vaka Analizi 1 — CyberOps
Bu yazımda “CyberOps Associate” içerisinde bulunan “Investigating a Malware Exploit” adlı laboratuvar ile bizden istediği yönergeler doğrultusunda ilerleyip vaka analizi yapacağız. Security Onion işletim sistemi içerisinde bulunan “Kibana” yazılımını ile gerçek vakalar üzerinden analiz yapmaya çalışacağım. Öncelikle bizden istenen Ocak 2017 tarihine gidip bu 1 aylık süreci filtrelemek. Kibana yazılımını açtıktan sonra 1 numaralı kısımdan yapabiliriz. Daha sonrasında loglara zaman bazında biraz daha yakınlaştırma yapmamız isteniyor. Bunu da 2 numaralı kısımdan yapabiliyoruz. Yakınlaştırdıktan sonra tam 4 dakikalık süreçte 1910 adet log’un bulunduğunu görmüş oluyoruz. Buradaki loglar “NIDS” — Ağ tabanlı saldırı tespit sisteminin yakaladığı bir atak olduğu için 3 numaralı kısımdan filtreleme yapıyoruz.
Filtreleme işleminden sonra aşağıdaki gibi bir çıktı almanız istenmektedir. 1 Numaralı kısım NIDS ile olan tespitleri filtrelendikten sonra 147 adet log’un olduğunu bize göstermektedir. 2 numaralı kısımdan zaman diliminicybero daraltıp bizden 22:54:42 saatinde gerçekleşen 23 adet log’un bulunduğu kısıma tıklayıp filtreleme işlemini yapmak.
Bizden istenen aşağıdaki resimde 1 numaralı kısma tıklayıp ilk yaşanan case’yi incelemek.
Daha sonra bu kısmı genişlettiğimizde aşağıdaki soruların cevabını bulmamız gerekecek.
Filtreleme işleminden sonra aşağıdaki gibi bir çıktı almanız istenmektedir. 1 Numaralı kısım NIDS ile olan tespitleri filtrelendikten sonra 147 adet log’un olduğunu bize göstermektedir. 2 numaralı kısımdan zaman diliminicybero daraltıp bizden 22:54:42 saatinde gerçekleşen 23 adet log’un bulunduğu kısıma tıklayıp filtreleme işlemini yapmak.
Bizden istenen aşağıdaki resimde 1 numaralı kısma tıklayıp ilk yaşanan case’yi incelemek.
Daha sonra bu kısmı genişlettiğimizde aşağıdaki soruların cevabını bulmamız gerekecek.
Aşağıdaki fotoğrafta işaretlediğim kısımlar yukarıdaki soruların cevabını içermektedir. Bu bilgilerden yola çıkarak hedefe bir truva atı saldırısı gerçekleştirildiğini görebiliyoruz. Sid numarasını internette aratarak “2024049” biraz daha detaylara ulaşabiliyoruz.
alert http $HOME_NET any -> $EXTERNAL_NET any (msg:”ET EXPLOIT_KIT RIG EK URI Struct Mar 13 2017 M2"; flow:established,to_server; urilen:>90; flowbits:set,ET.RIGEKExploit; http.uri; content:”QMvXcJ”; pcre:”/(?=.*?=[^&]{3,4}QMvXcJ).*?=(?=[A-Za-z_-]*[0–9])(?=[a-z0–9_-]*[A-Z][a-z0–9_-]*[A-Z])(?=[A-Z0–9_-]*[a-z][A-Z0–9_-]*[a-z])[A-Za-z0–9_-]+&.*?=(?=[A-Za-z_-]*[0–9])(?=[a-z0–9_-]*[A-Z][a-z0–9_-]*[A-Z])(?=[A-Z0–9_-]*[a-z][A-Z0–9_-]*[a-z])[A-Za-z0–9_-]+(?:&|$)/”; http.header_names; content:!”Cookie|0d 0a|”; classtype:exploit-kit; sid:2024049; rev:4; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, affected_product Web_Browser_Plugins, attack_target Client_Endpoint, created_at 2017_03_13, deployment Perimeter, former_category CURRENT_EVENTS, malware_family Exploit_Kit_RIG, performance_impact Low, signature_severity Major, tag Exploit_kit_RIG, updated_at 2020_11_04
Exploit Kit Nedir?
Kullanıcı bir web sitesini ziyaret ettiğinde, saldırgan “Exploit Kit” malware, trojan vb. kötü amaçlı yazılım tarafından işletim sistemi ya da web tarayıcısına yönelik güvenlik açıklarını hedefleyen bir çeşit saldırıyı gerçekleştirmiş olur.
Exploit Kit’i tanımladığımıza göre devam edelim ve bizden istenen “CapME” dosyasını açalım. Bunu da _id kısmındaki numaraya tıklayarak açıyoruz ve aşağıdaki gibi bir ekran bizi karşılıyor.
Bu kısımda bizden cevabının bulunması istenen sorular aşağıdaki şekildedir.
Exploit Kit’i tanımladığımıza göre devam edelim ve bizden istenen “CapME” dosyasını açalım. Bunu da _id kısmındaki numaraya tıklayarak açıyoruz ve aşağıdaki gibi bir ekran bizi karşılıyor.
Bu kısımda bizden cevabının bulunması istenen sorular aşağıdaki şekildedir.
Lab’daki bizden istenen cevapları bu kısımda da bulduktan sonra şimdi capME’yi kapatıp. Kibanada tekrardan en üst kısıma gelip. Bu seferde “Zeek Hunting” kısmından HTTP saldırılarını incelememiz gerekiyor. 1 Numaralı kısımdan filtreleme işlemi gerçekleştirebilirsiniz.
27–01–2017 22:54:30.000 ila 27–01–2017 22:56:00 zaman aralığına yine 2 numarala kısımdan filtreleme işlemi yaparak log’ların biraz daha detaylarına iniyoruz.
Belirtilen zaman aralığında 48 adet log’u gördükten sonra bizden istenen sorulara cevap bulabilmek için HTTP kısmına iniyoruz ve aşağıdaki URL’leri ve HTTP — MIME Type (Tag Cloud) gibi kısımları inceliyoruz.
Cisco CyberOps Associate “Investigating a Malware Exploit” adlı lab’ının böylelikle 1.bölümünü bitirmiş bulunuyoruz. Bu lab 4 bölümden oluştuğu için uzun olmaması adına part part yayınlayıp daha incelenebilir bir yazı haline getirmenin doğru olacağını düşündüm. Umarım faydalı olmuştur. Bir sonraki bölümde görüşmek üzere!
