Open in app

Sign in

Write

Sign in

Suricata ile İstismar Edilmiş Bir Sistemde Çalıştırılan Komutların Tespit Edilmesine Yönelik Kural Yazmak

kaleileriteknoloji
2 min readAug 10, 2021

Bu yazımızda Suricata’da bir sistemi istismar ettikten sonra çalıştırılan komutların tespitine yönelik kuralların yazılmasını ele alacağız.

Suricata’da kaydedilmiş bir pcap kaydını analiz etmek için aşağıdaki komut kullanılmalıdır:

#suricata –c /etc/suricata/suricata.yaml –r pcap_dosyası

#suricata –c /etc/suricata/suricata.yaml –r vsftpd234\ exploit.pcapng

Eğer “Signal received. Stopping engine.” hatası alındıysa tcpreplay ile trafik yönlendirilerek suricata çalıştırılmalıdır.

/etc/suricata/suricata.yaml dosyasının 1862 satırına rule-files altına local.rules eklenmiş olup local.rules dosyasına biz kendi kurallarımızı yazacağız.

Çalıştırılan komutların tespit etmek için aşağıdaki kurallar kullanılabilir:

alert tcp any any -> any any (msg:”Muhtemel İstismar İşlemi”; content:”whoami”; flags:PA; sid: 100000001; )

alert tcp any any -> any any (msg: “ Muhtemel İstismar İşlemi “; content: “id” ; flags:PA; sid:100000002; )

Yukarıdaki kurallarda PUSH ve ACK flagleri set edilmiş paketlerin içerisinde whoami veya id ifadesi geçtiğinde kuralın tetiklenmesi sağlanacaktır.

Tcpreplay’de trafiği yeniden oynatmak için aşağıdaki komut kullanılabilir:

#tcpreplay –i eth1 vsftpd234\ exploit.pcapng

Ayrı bir sekmede ise suricata’yı aşağıdaki şekilde çalıştırabiliriz:

#suricata –c /etc/suricata/suricata.yaml –i eth1

Sonucu /var/log/suricata/fast.log veya /var/log/suricata/eve.json’dan inceleyebiliriz. Bunun için aşağıdaki komut kullanılabilir:

#tail –f /var/log/suricata/fast.log

local.rules dosyasına kuralları yazdıktan sonra ,kuralların işletilebilir hale gelmesini sağlamak için aşağıdaki komutu kullanabiliriz:

# suricatasc -c ruleset-reload-nonblocking

Bütün yazılarımız için https://kaleileriteknoloji.medium.com/siber-g%C3%BCvenlik-analistleri-i%C3%A7in-yaz%C4%B1lar%C4%B1m%C4%B1z-96ef44e80dbe linkini ziyaret edebilirsiniz.

vsftpd_234_backdoor Trafik Analizi’ne https://kaleileriteknoloji.medium.com/vsftpd-234-backdoor-trafik-analizi-76781dd4b27a linkiyle ulaşabilirsiniz.

Siber Güvenlik
Threat Hunting
Tehdit Avcılığı
Blue Team
Purple Team

--

--

kaleileriteknoloji

Written by kaleileriteknoloji

379 Followers

https://kaleileriteknoloji.com.tr/ https://kaleakademi.com/ https://github.com/kaleakademi

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams