Open in app

Sign in

Write

Sign in

Suricata ile İstismar Edilmiş Bir Sistemde Çalıştırılan Komutların Tespit Edilmesine Yönelik Kural Yazmak

kaleileriteknoloji
2 min readAug 10, 2021

--

Bu yazımızda Suricata’da bir sistemi istismar ettikten sonra çalıştırılan komutların tespitine yönelik kuralların yazılmasını ele alacağız.

Suricata’da kaydedilmiş bir pcap kaydını analiz etmek için aşağıdaki komut kullanılmalıdır:

#suricata –c /etc/suricata/suricata.yaml –r pcap_dosyası

#suricata –c /etc/suricata/suricata.yaml –r vsftpd234\ exploit.pcapng

Eğer “Signal received. Stopping engine.” hatası alındıysa tcpreplay ile trafik yönlendirilerek suricata çalıştırılmalıdır.

/etc/suricata/suricata.yaml dosyasının 1862 satırına rule-files altına local.rules eklenmiş olup local.rules dosyasına biz kendi kurallarımızı yazacağız.

Çalıştırılan komutların tespit etmek için aşağıdaki kurallar kullanılabilir:

alert tcp any any -> any any (msg:”Muhtemel İstismar İşlemi”; content:”whoami”; flags:PA; sid: 100000001; )

alert tcp any any -> any any (msg: “ Muhtemel İstismar İşlemi “; content: “id” ; flags:PA; sid:100000002; )

Yukarıdaki kurallarda PUSH ve ACK flagleri set edilmiş paketlerin içerisinde whoami veya id ifadesi geçtiğinde kuralın tetiklenmesi sağlanacaktır.

Tcpreplay’de trafiği yeniden oynatmak için aşağıdaki komut kullanılabilir:

#tcpreplay –i eth1 vsftpd234\ exploit.pcapng

Ayrı bir sekmede ise suricata’yı aşağıdaki şekilde çalıştırabiliriz:

#suricata –c /etc/suricata/suricata.yaml –i eth1

Sonucu /var/log/suricata/fast.log veya /var/log/suricata/eve.json’dan inceleyebiliriz. Bunun için aşağıdaki komut kullanılabilir:

#tail –f /var/log/suricata/fast.log

local.rules dosyasına kuralları yazdıktan sonra ,kuralların işletilebilir hale gelmesini sağlamak için aşağıdaki komutu kullanabiliriz:

# suricatasc -c ruleset-reload-nonblocking

Bütün yazılarımız için https://kaleileriteknoloji.medium.com/siber-g%C3%BCvenlik-analistleri-i%C3%A7in-yaz%C4%B1lar%C4%B1m%C4%B1z-96ef44e80dbe linkini ziyaret edebilirsiniz.

vsftpd_234_backdoor Trafik Analizi’ne https://kaleileriteknoloji.medium.com/vsftpd-234-backdoor-trafik-analizi-76781dd4b27a linkiyle ulaşabilirsiniz.

Siber Güvenlik
Threat Hunting
Tehdit Avcılığı
Blue Team
Purple Team

--

--

kaleileriteknoloji

Written by kaleileriteknoloji

384 Followers

https://kaleileriteknoloji.com.tr/ https://kaleakademi.com/ https://github.com/kaleakademi

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams