Suricata ile Zafiyet Tarama Araçları İçin Kural Yazmak
Bu yazımızda Suricata’da zafiyet tarama araçlarının tespitine yönelik kuralların yazılmasını ele alacağız.
Suricata’da kaydedilmiş bir pcap kaydını analiz etmek için aşağıdaki komut kullanılmalıdır:
#suricata –c /etc/suricata/suricata.yaml –r pcap_dosyası
#suricata –c /etc/suricata/suricata.yaml –r nessus_ftp.pcapng
Eğer “Signal received. Stopping engine.” hatası alındıysa tcpreplay ile trafik yönlendirilerek suricata çalıştırılmalıdır.
/etc/suricata/suricata.yaml dosyasının 1862 satırına rule-files altına local.rules eklenmiş olup local.rules dosyasına biz kendi kurallarımızı yazacağız.
Şüpheli araç kullanımına dair kuralların tamamına aşağıdaki linkten ulaşabilirsiniz:
https://raw.githubusercontent.com/kaleakademi/suricata-kural/main/suricata-kural-1
Burada sadece sızma testi araçları ile ilgili kurallar local.rules dosyasına eklenmiştir.
Örnek kurallar:
alert tcp any any -> any any (msg:”Supheli Arac :dirb”; content:”dirb”; sid:1002400; )
alert tcp any any -> any any (msg:”Supheli Arac :python-requests”; content:”python-requests”; sid:1002401; )
alert tcp any any -> any any (msg:”Supheli Arac :DAV.pm/v0.49"; content:”DAV.pm/v0.49"; sid:1002402; )
alert tcp any any -> any any (msg:”Supheli Arac :sqlmap”; content:”sqlmap”; sid:1002403; )
alert tcp any any -> any any (msg:”Supheli Arac :cadaver”; content:”cadaver”; sid:1002404; )
alert tcp any any -> any any (msg:”Supheli Arac :Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”; content:”Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)”; sid:1002405; )
alert tcp any any -> any any (msg:”Supheli Arac :DirBuster-1.0-RC1 (http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project)"; content:”DirBuster-1.0-RC1 (http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project)"; sid:1002406; )
alert tcp any any -> any any (msg:”Supheli Arac :DirBuster-1.0-RC1"; content:”DirBuster-1.0-RC1"; sid:1002407; )
alert tcp any any -> any any (msg:”Supheli Arac :Wfuzz”; content:”Wfuzz”; sid:1002408; )
alert tcp any any -> any any (msg:”Supheli Arac :Wfuzz/3.0.1"; content:”Wfuzz/3.0.1"; sid:1002409; )
alert tcp any any -> any any (msg:”Supheli Arac :Nessus”; content:”Nessus”; sid:1002466; )
alert tcp any any -> any any (msg:”Supheli Arac :Netsparker”; content:”Netsparker”; sid:1002467; )
alert tcp any any -> any any (msg:”Supheli Arac :netsparker”; content:”netsparker”; sid:1002468; )
alert tcp any any -> any any (msg:”Supheli Arac :Acunetix”; content:”Acunetix”; sid:1002469; )
alert tcp any any -> any any (msg:”Supheli Arac :acunetix”; content:”acunetix”; sid:1002470; )
alert tcp any any -> any any (msg:”Supheli Arac :nessus”; content:”nessus”; sid:1002471; )
Tcpreplay’de trafiği yeniden oynatmak için aşağıdaki komut kullanılabilir:
#tcpreplay –i eth1 nessus_ftp.pcapng
Ayrı bir sekmede ise suricata’yı aşağıdaki şekilde çalıştırabiliriz:
#suricata –c /etc/suricata/suricata.yaml –i eth1
Sonucu /var/log/suricata/fast.log veya /var/log/suricata/eve.json’dan inceleyebiliriz. Bunun için aşağıdaki komut kullanılabilir:
#tail –f /var/log/suricata/fast.log
local.rules dosyasına kuralları yazdıktan sonra ,kuralların işletilebilir hale gelmesini sağlamak için aşağıdaki komutu kullanabiliriz:
# suricatasc -c ruleset-reload-nonblocking
Content kısmına bakarak Suricata’da yapılan otomatik analizlerin manuel olarak nasıl yapıldığına dair yazılarımıza aşağıdaki linklerden ulaşabilirsiniz:
Bütün yazılarımız için https://kaleileriteknoloji.medium.com/siber-g%C3%BCvenlik-analistleri-i%C3%A7in-yaz%C4%B1lar%C4%B1m%C4%B1z-96ef44e80dbe linkini ziyaret edebilirsiniz.
Nikto Trafik Analizi — https://kaleileriteknoloji.medium.com/nikto-trafik-analizi-44de942e177b
Python Fuzzing Aracı Trafik Analizi — https://kaleileriteknoloji.medium.com/python-fuzzing-arac%C4%B1-trafik-analizi-fc63e1d1ee1d
Dirb Trafik Analizi — https://kaleileriteknoloji.medium.com/dirb-trafik-analizi-fe693c22b15c
Nmap ile http-title Kontrolünün Trafik Analizi — https://kaleileriteknoloji.medium.com/nmap-ile-http-title-kontrol%C3%BCn%C3%BCn-trafik-analizi-e60368302ac4
Nessus FTP Anonim Giriş Kontrolü Trafik Analizi — https://kaleileriteknoloji.medium.com/nessus-ftp-anonim-giri%C5%9F-kontrol%C3%BC-trafik-analizi-2f237e1d330c
Ngrok ile HTTP Tünelleme ve Wireshark ile Trafik Analizi — https://kaleileriteknoloji.medium.com/ngrok-ile-http-t%C3%BCnelleme-ve-wireshark-ile-trafik-analizi-80d476d0cac9
Ngrok ile Reverse Shell Alma ve Wireshark ile Trafik Analizi — https://kaleileriteknoloji.medium.com/ngrok-ile-reverse-shell-alma-ve-wireshark-ile-trafik-analizi-a4f2f818feb4
Not: Githubtaki kurallar python ile otomatik olarak oluşturulmuştur. Kuralların kullanılmadan önce tekrardan test edilmesi önerilmektedir.