sysmon İle siber tehdit avcılığı (threat hunting)
Post on 24-Jan-2018
406 Views
Preview:
TRANSCRIPT
OĞUZCAN PAMUK
SYSINTERNALS ARAÇLARI İLE SİBER TEHDİT AVCILIĞI
AJANDA
▸ Zararlı yazılım nedir ?
▸ Zararlı yazılım nasıl bulaşabilir ?
▸ Analiz türleri
▸ Dinamik zararlı yazılım analizine giriş
▸ Sysmon nedir ? Nasıl kullanılır ?
▸ Temel seviyede örnekler
ZARARLI YAZILIM NEDİR ?
▸ Zararlı yazılım; bilgisayar sistemlerine sızmak yada zarar vermek amacıyla kullanılan her türlü yazılım ürünüdür.
▸ Karmaşık yada basit kodlar halinde bulunabilirler.
▸ Farklı türde birçok dosya yoluyla bulaşabilir ve yayılabilirler.
ZARARLI YAZILIM BULAŞMA YOLLARI
▸ Mail yoluyla gönderilen pdf,exe,py,sh gibi farklı dosyaların indirilip açılması (sosyal mühendislik)
▸ Pdf dosyasına gömülen zararlı javascript kodları
▸ Office dökümanlarına gömülen makro yazılımları
▸ Dosya paylaşımları
▸ Tarayıcı eklentileri
ZARARLI YAZILIM ANALİZ TEKNİKLERİ
▸ Statik analiz Kod seviyesinde yapılan analiz (disassembler)
▸Dinamik analiz Davranış analizi
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR)
▸ Windows işletim sistemi üzerinde çalışır
▸ Dinamik zararlı yazılım analizinde kullanılır
▸ Loglara nasıl ulaşabiliriz ?
Windows Event Viewer - Microsoft / Sysmon / Operational
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR)
▸ Hangi bilgileri edinebiliriz ?
Process creations
File modifications
Network connections
Process hash value
Parent - child process
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KURULUMU
▸ https://technet.microsoft.com/en-us/sysinternals/sysmon
▸ Basit Kurulum : Sysmon.exe -i
▸ Konfigürasyon : Sysmon.exe -c conf.xml
▸ Sysmon servisinin çalıştığının kontrolü yapılmalıdır
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KONFİGÜRASYON ÖRNEĞİ
<Sysmon schemaversion="3.20">
<HashAlgorithms>MD5,SHA1,SHA256</HashAlgorithms>
<EventFiltering>
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<ProcessCreate onmatch="exclude">
<Image condition="contains">splunk</Image>
<Image condition="contains">nxlog</Image>
</ProcessCreate>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
<Image condition="contains">cmd.exe</Image>
<Image condition="contains">powershell</Image>
</NetworkConnect>
</EventFiltering>
</Sysmon>
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON
DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS CREATE
DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS TERMINATE
DİNAMİK ZARARLI YAZILIM ANALİZİ - PARENT / CHILD PROCESS
TEMEL SEVİYEDE ÖRNEKLER
ÖRNEK 1 - TANIM
▸ X şirketinde, çalışanlardan biri internet üzerinde arama yaparken bir word (Office uygulaması) dosyası indirir ve onu çalıştırır. Şirketin siber güvenlik birimi Sysmon üzerinde office protokolünün yeni ve tanımlanamayan bir process ürettiğini görür ve bu durumu yorumlamaya çalışır.
▸ Muhtemel sorular;
Office dökümanının yeni bir process oluşturması normal midir ?
Oluşan bu process makine üzerinde ne gibi bir işlem gerçekleştirmektedir ?
ÖRNEK 2 - TANIM
▸ Y şirketinde çalışan güvenlik görevlisi mesai saatleri dışında kendine tahsis edilen bilgisayarı kullanarak, yasal olmayan bir web sitesinden süper lig maçı izlemek ister. Fakat bu yasal olmayan web sitesine girmeye çalıştığında, site üzerinden anlamlandırılamayan bir dosya iner. Görevli dosyanın ne olduğunu merak eder ve bu dosyaya tıklar. Nöbetçi olarak bekleyen siber güvenlik analisti Sysmon üzerinden bir betik process’inin işletim sisteminde .encrypted uzantılı yeni dosyalar oluşturduğunu görür.
▸ Bu zararlı yazılım ne gibi bir işleve sahip olabilir ?
ÖRNEK 3 - TANIM
▸ Z kurumsal şirketinde çalışan biri, kurumsal e-posta adresini kullanarak, yeni bir sosyal medya hesabı açar. Hacker ise bu sosyal medya üzerinden kişinin e-posta adresine ve mesleğine ulaşır. Bu bilgileri kullanarak e-posta adresine sosyal mühendislik tekniklerini kullanarak yeni bir e-posta gönderir. E-posta içeriğini gören çalışan, durumu anlamaz ve ekte bulunan betiği çalıştırır. Çalışan betik yeni bir Scheduled Task oluşturur.
▸ Bu zararlı yazılımın amacı ne olabilir ? Tartışalım.
SORULARINIZ ?
top related