Siber Tehdit İstihbaratı
Siber tehdit istihbaratı bir kurum veya kuruluşun bilişim sistemleri varlıklarına karşı oluşturulan zararlı yazılımların, tehditlerin; bu tehdit ve zararlı yazılımların kimin tarafından, hangi nedenle, kimi hedef aldığına dair vb. bilgilerin toplanarak, analiz edilmesi, buna karşı gerekli aksiyonların alınmasını ve iş birliği halindeki kurum ve kuruluşlarla elde edilen bilginin paylaşılmasını esas alır.
Siber Tehdit İstihbaratı Çeşitleri
Stratejik Siber Tehdit İstihbaratı: Saldırganlar hakkında üst pencereden bir perspektif oluşturarak motivasyon kaynakları, hedef aldıkları kurumların tespit edilmesi aşamasıdır.
Operasyonel Siber Tehdit İstihbaratı: Operasyonel siber tehdit istihbaratı teknik ,taktik ve prosedürleri ele alan , kurum ve kuruluşların SOC ekipleri tarafından işletilen istihbarat çeşididir.
Taktik Siber Tehdit İstihbaratı: Siber tehdit istihbaratı kapsamında elde edilen IOC bilgilerinin siber güvenlik ürünleri ile entegre çalışmasını hedef alan istihbarat çeşididir.
Bu yazıda taktik siber tehdit istihbaratı uygulamalı olarak ele alınmıştır.
Siber tehdit istihbaratı konusunda en önemli yapıtaşlarından birisi de kuşkusuz honeypotlar ve honeypot ağlarıdır. Kuruma DMZ bölgesinde konumlandırılmış, ağ sıkılaştırılması iyi yapılmış bir honeypot ile aşağıdaki veriler elde edilerek taktik siber tehdit istihbaratında kullanılabilir:
En fazla trafik yaratan IP adresleri
Kaba kuvvet saldırısı yapan IP adresleri
Kaba kuvvet saldırılarında en sık kullanılan kullanıcı adı ve parolalar
Zararlı dosyaların hash değerleri
Elde edilen bu veriler kullanılarak aşağıdaki çalışmalar yapılabilir:
Honeypota gelen kaynak IP adresleri üzerinde IPS/IDSlere otomatik kurallar yazılabilir.
Honeypota yapılan kaba kuvvet saldırısı kullanıcı adı ve parolalarının kaba kuvvet saldırı aracılığıyla ilgili sistemler üzerinden kontrol edilmesi sağlanabilir.
Zararlı dosyaların hash değerleri üzerinden otomatik yara rule oluşturularak Tenable Nessus aracılığıyla zararlı taraması yapılabilir.
Kurumlarla ilgili herhangi bir haber yapıldığında trafik sayılarının ve saldırı tiplerinin incelenmesi
Honeypot çeşitlerini yazının bundan sonraki kısmını daha iyi ele almak için inceleyelim:
Dionaea: Kurulan sistem üzerinden SMTP, FTP, SMB,MySQL vb. servisleri taklit etmeyi amaçlamaktadır.
Amun: Servisler üzerinde bulunan zafiyetleri taklit etmeyi amaçlamaktadır.
Kippo: SSH simülasyonu yapmayı sağlayan bir honeypottur.
Shockpot: Shellshock simülasyonu yapmayı sağlayan bir honeypottur.
Wordpot : Wordpress simülasyonu yapmayı sağlayan bir honeypottur.
Conpot: Scada sistemleri simüle etmeye yarayan honeypottur.
Internet ortamında Almanya lokasyonunda bulunan bir sunucuya MHN kurularak dionaea , kippo, amun, snort ve p0f yapılandırılmıştır. Honeypotlar toplanan bilgiler dahili sunucu üzerinde splunk’a aktarılmış ve splunk üzerinde dashboardlar aracılığıyla analizler yapılmıştır.
Şekil 1 incelendiğinde honeypotlardan elde edilen bilgilere göre en fazla trafik gelen ülkeler Rusya, Vietnam, Amerika, Endonezya, Brezilya ve İrandır. En fazla trafik alan honeypot türünün amun olması bize saldırganların sistem üzerinde birçok zafiyetin denenmeye çalışıldığını ifade etmektedir. Hedef olarak smb portunun en fazla oranda trafik almasının nedeni dionaea ve amun honeypotlarından kaynaklı olmakla birlikte saldırgan muhtemelen sistemi Windows olarak düşünmüş ve kullanıdğı taktik ve teknikleri bu çerçevede belirlemiştir. Kippoya kaba kuvvet saldırısında en sık kullanılan kullanıcı adı admin , parola bilgisi de admindir.
Elde edilen IP adreslerinin diğer açık kaynak blacklist listelerinde olup olmadığını kontrol etmek için USOM, badips, virustotal, blocklist.de ,emergingthreats, binarydefence ve alienvault ,openphish,Zeus, projecthoneypot kullanilabilir.
MHN servera entegre çalışan bir python kodu yazılarak son 24 saat içerisinde en fazla trafik üretilmesini sağlayan IP adreslerine ait bilgilerin sayı — honeypotTürü — IP adresi — kodun çalıştırıldığı zaman şeklinde loglanmıştır.
993|p0f|5.188.86.212|2019–04–03 11:08:12.148153
928|p0f|5.188.86.173|2019–04–03 11:08:12.163603
920|p0f|5.188.86.172|2019–04–03 11:08:12.168007
579|p0f|88.214.26.89|2019–04–03 11:08:12.181512
563|cowrie|5.188.86.212|2019–04–03 11:08:12.184890
525|p0f|88.214.26.88|2019–04–03 11:08:12.186782
480|cowrie|5.188.86.173|2019–04–03 11:08:12.186866
Eş zamanlı olarak hedef IP adresini saldırgan IP adresi şeklinde yazılarak şekilde görüldüğü gibi snort üzerinden alarm üretilmesi sağlanmıştır.
Örnek mhn server tarafından üretilen snort kuralı listesi aşağıdaki şekildedir:
alert tcp any any -> 5.188.86.212 any (msg:’Mhn serverda yer alan bir indicatora istek var|5.188.86.212';sid:1000100)
alert tcp any any -> 5.188.86.173 any (msg:’Mhn serverda yer alan bir indicatora istek var|5.188.86.173';sid:1000101)
alert tcp any any -> 5.188.86.172 any (msg:’Mhn serverda yer alan bir indicatora istek var|5.188.86.172';sid:1000102)
alert tcp any any -> 88.214.26.89 any (msg:’Mhn serverda yer alan bir indicatora istek var|88.214.26.89';sid:1000103)
alert tcp any any -> 5.188.86.212 any (msg:’Mhn serverda yer alan bir indicatora istek var|5.188.86.212';sid:1000104)
Python koduna https://github.com/kaleakademi/siberTehditIstihbarati/blob/main/mhn.py adresinden ulaşabilirsiniz.
Aynı zamanda bu işlemi kurum içinde Anomali firmasından alınan ücretsiz siber tehdit istihbaratı uygulaması ile python ile entegrasyon kodu yazılabilmektedir. STAXX sunucusuna bağlantı sağlayarak IOC bilgileri IOC ve kodun çalıştırıldığı zaman olarak loglanmış ve bu IOClerden snort kurallarını üreten python kodunu https://github.com/kaleakademi/siberTehditIstihbarati/blob/main/staxx.py indirebilirsiniz.
Örnek IOC bilgisi:
103.66.210.250|2019–04–03 10:45:22.821190
46.101.106.69|2019–04–03 10:45:22.838051
193.124.65.102|2019–04–03 10:45:22.845023
185.22.152.181|2019–04–03 10:45:22.848231
95.85.97.254|2019–04–03 10:45:22.851638
103.208.78.31|2019–04–03 10:45:22.853642
79.26.231.66|2019–04–03 10:45:22.854293
221.199.43.162|2019–04–03 10:45:22.857492
202.79.56.223|2019–04–03 10:45:22.862124
134.175.219.160|2019–04–03 10:45:22.864064
Örnek snort kuralları:
alert tcp any any -> 103.66.210.250 any (msg:’Anomalide yer alan bir indicatora istek var|103.66.210.250';sid:1000001)
alert tcp any any -> 46.101.106.69 any (msg:’Anomalide yer alan bir indicatora istek var|46.101.106.69';sid:1000002)
alert tcp any any -> 193.124.65.102 any (msg:’Anomalide yer alan bir indicatora istek var|193.124.65.102';sid:1000003)
alert tcp any any -> 185.22.152.181 any (msg:’Anomalide yer alan bir indicatora istek var|185.22.152.181';sid:1000004)
alert tcp any any -> 95.85.97.254 any (msg:’Anomalide yer alan bir indicatora istek var|95.85.97.254';sid:1000005)
alert tcp any any -> 103.208.78.31 any (msg:’Anomalide yer alan bir indicatora istek var|103.208.78.31';sid:1000006)
alert tcp any any -> 79.26.231.66 any (msg:’Anomalide yer alan bir indicatora istek var|79.26.231.66';sid:1000007)
alert tcp any any -> 221.199.43.162 any (msg:’Anomalide yer alan bir indicatora istek var|221.199.43.162';sid:1000008)
alert tcp any any -> 202.79.56.223 any (msg:’Anomalide yer alan bir indicatora istek var|202.79.56.223';sid:1000009)
alert tcp any any -> 134.175.219.160 any (msg:’Anomalide yer alan bir indicatora istek var|134.175.219.160';sid:1000010)
Snort kuralının tetiklenmesi Şekil-2 de gösterilmiştir:
Taktik siber tehdit istihbaratı açısından ssh simülasyonu yapan bir honeypota gelen kaba kuvvet saldırılarındaki kullanıcı adı ve parolaların kurum içerisinde kullanıcı adı ve parola olarak kullanılmaması gerekmektedir. Oluşturulan kullanıcı adı ve parola listeleri ile kurumda ssh servisi açık olan sistemlere kaba kuvvet saldırısı Şekil-3 te yapılmıştır.
SOC ekibi tarafından tespit edilen zararlılara ait IOC bilgileri kullanılarak otomatik yara kuralları aşağıdaki şekilde oluşturulabilmektedir. Girdi olarak zararlının dizini tam olarak belirtilmelidir. Dizine göre MD5 tabanlı yara kuralı oluşturan python koduna https://github.com/kaleakademi/siberTehditIstihbarati/blob/main/yaraKuraliOlustur.py ulaşabilirsiniz.
