SİBER TEHDİT İSTİHBARATI


SİBER TEHDİT İSTİHBARATI

Anıl Baran Yelken

Siber Güvenlik Eğitmeni

Sızma Testi Uzmanı

Siber tehdit istihbaratı bir kurum veya kuruluşun bilişim sistemleri varlıklarına karşı oluşturulan zararlı yazılımların, tehditlerin; bu tehdit ve zararlı yazılımların kimin tarafından, hangi nedenle, kimi hedef aldığına dair vb. bilgilerin toplanarak, analiz edilmesi, buna karşı gerekli aksiyonların alınmasını ve iş birliği halindeki kurum ve kuruluşlarla elde edilen bilginin paylaşılmasını esas alır.

Siber Tehdit İstihbaratı Çeşitleri

Stratejik Siber Tehdit İstihbaratı: Saldırganlar hakkında üst pencereden bir perspektif oluşturarak motivasyon kaynakları, hedef aldıkları kurumların tespit edilmesi aşamasıdır.

Operasyonel Siber Tehdit İstihbaratı: Operasyonel siber tehdit istihbaratı teknik ,taktik ve prosedürleri ele alan , kurum ve kuruluşların SOC ekipleri tarafından işletilen istihbarat çeşididir.

Taktik Siber Tehdit İstihbaratı: Siber tehdit istihbaratı kapsamında elde edilen IOC bilgilerinin siber güvenlik ürünleri ile entegre çalışmasını hedef alan istihbarat çeşididir.

Bu yazıda taktik siber tehdit istihbaratı uygulamalı olarak ele alınmıştır.

Siber tehdit istihbaratı konusunda en önemli yapıtaşlarından birisi de kuşkusuz honeypotlar ve honeypot ağlarıdır. Kuruma DMZ bölgesinde konumlandırılmış, ağ sıkılaştırılması iyi yapılmış bir honeypot ile aşağıdaki veriler elde edilerek taktik siber tehdit istihbaratında kullanılabilir:

En fazla trafik yaratan IP adresleri

Kaba kuvvet saldırısı yapan IP adresleri

Kaba kuvvet saldırılarında en sık kullanılan kullanıcı adı ve parolalar

Zararlı dosyaların hash değerleri

Elde edilen bu veriler kullanılarak aşağıdaki çalışmalar yapılabilir:

Honeypota gelen kaynak IP adresleri üzerinde IPS/IDSlere otomatik kurallar yazılabilir.

Honeypota yapılan kaba kuvvet saldırısı kullanıcı adı ve parolalarının kaba kuvvet saldırı  aracılığıyla ilgili sistemler üzerinden kontrol edilmesi sağlanabilir.

Zararlı dosyaların hash değerleri üzerinden otomatik yara rule oluşturularak Tenable Nessus aracılığıyla zararlı taraması yapılabilir.

Kurumlarla ilgili herhangi bir haber yapıldığında trafik sayılarının ve saldırı tiplerinin incelenmesi

Honeypot çeşitlerini yazının bundan sonraki kısmını daha iyi ele almak için inceleyelim:

Dionaea: Kurulan sistem üzerinden SMTP, FTP, SMB,MySQL vb. servisleri taklit etmeyi amaçlamaktadır.

Amun: Servisler üzerinde bulunan zafiyetleri taklit etmeyi amaçlamaktadır.

Kippo: SSH simülasyonu yapmayı sağlayan bir honeypottur.

Shockpot: Shellshock simülasyonu yapmayı sağlayan bir honeypottur.

Wordpot : Wordpress simülasyonu yapmayı sağlayan bir honeypottur.

Conpot: Scada sistemleri simüle etmeye yarayan honeypottur.

Internet ortamında Almanya  lokasyonunda bulunan bir sunucuya MHN kurularak dionaea , kippo, amun, snort ve p0f yapılandırılmıştır. Honeypotlar toplanan bilgiler dahili sunucu üzerinde splunk’a aktarılmış ve splunk üzerinde dashboardlar aracılığıyla analizler yapılmıştır.

Şekil 1 : Splunk MHN Dahsboardu

Şekil 1 incelendiğinde honeypotlardan elde edilen bilgilere göre en fazla trafik gelen ülkeler Rusya, Vietnam, Amerika, Endonezya, Brezilya ve İrandır. En fazla trafik alan honeypot türünün amun olması bize saldırganların sistem üzerinde birçok zafiyetin denenmeye çalışıldığını ifade etmektedir. Hedef olarak smb portunun en fazla oranda trafik almasının nedeni dionaea ve amun honeypotlarından kaynaklı olmakla birlikte saldırgan muhtemelen sistemi Windows olarak düşünmüş ve kullanıdğı taktik ve teknikleri bu çerçevede belirlemiştir. Kippoya kaba kuvvet saldırısında en sık kullanılan kullanıcı adı admin , parola bilgisi de admindir.

Elde edilen IP adreslerinin diğer açık kaynak blacklist listelerinde  olup olmadığını kontrol etmek için https://github.com/anilbaranyelken/siberguvenlik/blob/master/siberTehditIstihbarati.py python kodunu kullanabilirsiniz.  USOM, badips, virustotal, blocklist.de ,emergingthreats, binarydefence ve alienvault ,openphish,Zeus, projecthoneypot üzerinde gerekli kontrolleri sağlayarak raporlanması otomatik bir şekilde sağlanmaktadır.

MHN servera entegre çalışan bir python kodu yazılarak son 24 saat içerisinde en fazla trafik üretilmesini sağlayan IP adreslerine ait bilgilerin sayı – honeypotTürü – IP adresi – kodun çalıştırıldığı zaman şeklinde loglanmıştır.

993|p0f|5.188.86.212|2019-04-03 11:08:12.148153

928|p0f|5.188.86.173|2019-04-03 11:08:12.163603

920|p0f|5.188.86.172|2019-04-03 11:08:12.168007

579|p0f|88.214.26.89|2019-04-03 11:08:12.181512

563|cowrie|5.188.86.212|2019-04-03 11:08:12.184890

525|p0f|88.214.26.88|2019-04-03 11:08:12.186782

480|cowrie|5.188.86.173|2019-04-03 11:08:12.186866

Eş zamanlı olarak hedef IP adresini saldırgan IP adresi şeklinde yazılarak şekilde görüldüğü gibi snort üzerinden alarm üretilmesi sağlanmıştır.

Örnek mhn server tarafından üretilen snort kuralı listesi aşağıdaki şekildedir:

alert tcp any any -> 5.188.86.212 any (msg:'Mhn serverda yer alan bir indicatora istek var|5.188.86.212';sid:1000100)

alert tcp any any -> 5.188.86.173 any (msg:'Mhn serverda yer alan bir indicatora istek var|5.188.86.173';sid:1000101)

alert tcp any any -> 5.188.86.172 any (msg:'Mhn serverda yer alan bir indicatora istek var|5.188.86.172';sid:1000102)

alert tcp any any -> 88.214.26.89 any (msg:'Mhn serverda yer alan bir indicatora istek var|88.214.26.89';sid:1000103)

alert tcp any any -> 5.188.86.212 any (msg:'Mhn serverda yer alan bir indicatora istek var|5.188.86.212';sid:1000104)

Python koduna https://github.com/anilbaranyelken/siberTehditIstihbarati/blob/master/mhn.py adresinden ulaşabilirsiniz.

Aynı zamanda bu işlemi kurum içinde Anomali firmasından alınan ücretsiz siber tehdit istihbaratı uygulaması ile python ile entegrasyon kodu yazılabilmektedir. STAXX sunucusuna bağlantı sağlayarak IOC bilgileri IOC ve kodun çalıştırıldığı zaman olarak loglanmış ve bu IOClerden snort kurallarını üreten python kodunu https://github.com/anilbaranyelken/siberTehditIstihbarati/blob/master/staxx.py indirebilirsiniz.

Örnek IOC bilgisi:

103.66.210.250|2019-04-03 10:45:22.821190

46.101.106.69|2019-04-03 10:45:22.838051

193.124.65.102|2019-04-03 10:45:22.845023

185.22.152.181|2019-04-03 10:45:22.848231

95.85.97.254|2019-04-03 10:45:22.851638

103.208.78.31|2019-04-03 10:45:22.853642

79.26.231.66|2019-04-03 10:45:22.854293

221.199.43.162|2019-04-03 10:45:22.857492

202.79.56.223|2019-04-03 10:45:22.862124

134.175.219.160|2019-04-03 10:45:22.864064

Örnek snort kuralları:

alert tcp any any -> 103.66.210.250 any (msg:'Anomalide yer alan bir indicatora istek var|103.66.210.250';sid:1000001)

alert tcp any any -> 46.101.106.69 any (msg:'Anomalide yer alan bir indicatora istek var|46.101.106.69';sid:1000002)

alert tcp any any -> 193.124.65.102 any (msg:'Anomalide yer alan bir indicatora istek var|193.124.65.102';sid:1000003)

alert tcp any any -> 185.22.152.181 any (msg:'Anomalide yer alan bir indicatora istek var|185.22.152.181';sid:1000004)

alert tcp any any -> 95.85.97.254 any (msg:'Anomalide yer alan bir indicatora istek var|95.85.97.254';sid:1000005)

alert tcp any any -> 103.208.78.31 any (msg:'Anomalide yer alan bir indicatora istek var|103.208.78.31';sid:1000006)

alert tcp any any -> 79.26.231.66 any (msg:'Anomalide yer alan bir indicatora istek var|79.26.231.66';sid:1000007)

alert tcp any any -> 221.199.43.162 any (msg:'Anomalide yer alan bir indicatora istek var|221.199.43.162';sid:1000008)

alert tcp any any -> 202.79.56.223 any (msg:'Anomalide yer alan bir indicatora istek var|202.79.56.223';sid:1000009)

alert tcp any any -> 134.175.219.160 any (msg:'Anomalide yer alan bir indicatora istek var|134.175.219.160';sid:1000010)

Snort kuralının tetiklenmesi Şekil-2 de gösterilmiştir:

Şekil 2 : Snort kuralının tetiklenmesi

Taktik siber tehdit istihbaratı açısından ssh simülasyonu yapan bir honeypota gelen kaba kuvvet saldırılarındaki kullanıcı adı ve parolaların kurum içerisinde kullanıcı adı ve parola olarak kullanılmaması gerekmektedir. Oluşturulan kullanıcı adı ve parola listeleri ile kurumda ssh servisi açık olan sistemlere kaba kuvvet saldırısı Şekil-3 te yapılmıştır.

Şekil 3 : ssh kaba kuvvet saldırısı

SOC ekibi tarafından tespit edilen zararlılara ait IOC bilgileri kullanılarak otomatik yara kuralları aşağıdaki şekilde oluşturulabilmektedir. Girdi olarak zararlının dizini tam olarak belirtilmelidir. Dizine göre MD5 tabanlı yara kuralı oluşturan python koduna https://github.com/anilbaranyelken/siberTehditIstihbarati/blob/master/yaraKuraliOlustur.py ulaşabilirsiniz.

Şekil 4 : Python Kodu ile Yara Kuralının Oluşturulması

 



İlginizi Çekebilecek Yazılar





İletişim | Gizlilik | Kullanım Koşulları