Adli Bilisim Örnek Vaka

8 Haziran 2019 Cumartesi

Teknik siber istihbarat, Tehdit Tespit ve Müdahale (TTM) süreçlerinin neredeyse tüm asamalarina dokunan bel kemigi bir husustur. Asgari olarak "hangi saldirgan grubu, neyi amaçlamakta, bu amaçlarini ne sekilde -hangi araç ve yöntemlerle (TTP) gerçeklestirmekte" sorusuna makul cevaplar verebilecek nitelikte olmalidir. Bu bilgilerin merkezi olarak toplanmasi, -çapraz olarak- dogrulanmasi ve islenmesi, güncel ve zengin baglama (context) sahip olmasi tespit ve müdahale süreçlerinin verimli olabilmesi için elzemdir. MISP vb. gibi TIP çözümleri teknik istihbaratinin merkezilestirilebilmesi ve otomatize edilmesi amaciyla kullanilabilir. Teknik istihbarat haricinde stratejik ve operasyonel istihbarat da yatirim ve planlamalari dogru yapabilmek ve üst yönetimle etkin bir iletisim kurabilmek adina önemlidir.

Örnek bir teknik istihbarat;

"TA505 isimli saldirgan grubu, gönderdigi macro'lu Excel dosya eki içeren zararli mailler ile msiexec.exe isimli uygulamayi (lolbin) çalistirmakta ve akabinde bu uygulamayi zararli EXE'yi download etmekte kullanmaktadir. Amaçlarinin yükledikleri trojan ile sistemlere erisim saglamak ve bilgi çalmak oldugu degerlendirilmektedir. Sistemlerde kalicilik saglamak amaciyla HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Intel Protect" isimli registry anahtarini olusturarak"%APPDATA%\Local\Temp\pegas.dll, init" degerini yazmaktadir. C&C trafiginde /jquery.php URI degerine dogru belirli periyotlarla POST istegi yapiyor oldugu görülmüstür"

Gerek uç-noktalar, gerek ag trafigi üzerinde tam, dogru ve anlik görünürlük elde edebilmek TTM süreçlerinin yine en kritik gereksinimlerinden birisidir.

• Tam: Görünürlük, tüm agi ve uçnoktalari kapsayici olmalidir. Örn: Çalisan process'ler, process'lerin kurdugu ag baglantilari, ag üzerindeki -yatay ag dahil- SMB ve DNS istekleri, sistem üzerinde son çalisan EXE'lerin listesi, process'lerin birbirleriyle olan iliskileri vb. gibi

• Dogru: Saglanan veriler dogru ve tutarli olmalidir

• Anlik: Elde edilen veriler makul sürelerde analiz için hazir -aranabilir- halde bulunmalidir, gecikmeler asgari düzeyde olmalidir

Bir uçnoktada çalisan process'in hangi dizinde hangi parametrelerle ve komut satiriyla çalistigindan anindan haberdar olabilme, ya da ag üzerinde bir aktivitesnin hangi hash degerindeki hangi process tarafindan ve hangi TCP istegine karsilik düsecek sekilde üretildigini anlik olarak bilebilmek / bunlari makul süreler ve hizli aranabilir halde saklayabilmek gibi hususlar dogru alarm mekanizmalarini kurgulayabilmek ve yasanan ihlal durumlarina dogru karsilik verebilmek için önemlidir. Bazi saldirgan gruplarinin APT faliyetleri çok sonradan (saldiridan aylar sonra) ifsa olabildigi için loglarin makul bir süre boyunca tutulmasi faydali olacaktir.

Simülasyon/testler (vaka "çalisir bence")

Yeterli görünürlük saglandiktan ve bunlari merkezi olarak aranabilir kildiktan sonra, tespit kurallarinin tam ve dogru çalistigini test edebilmek yine önemli bir madde olarak karsimiza çikmaktadir. Örnegin winword.exe'den türeyen bir powershell.exe'nin ilgili alarmi tetikleyip tetiklemedigi farkli ortamlar için test edilmelidir. False-positive durumlar ve legit kullanimlar not edilmeli ve analistlerin elinin altinda tutulmalidir. Picus, Caldera, Metta, Atomic Red Team vb. ürünler bu amaçla kullanilabilir.

Envanter (vaka "normal mi bu durum?")

Mevcut BT altyapisinda is süreçlerine bagli olarak "normal" durumlari bilmeden anormal durumlarin tespiti pratikte oldukça zor olacaktir. Özellikle de olusan alarmlarin incelenmesinde. Üstteki örnege benzer sekilde winword.exe'den powershell.exe proess'inin üremesi false-positive'e kapali ve yüksek güvenilirlikli bir alarmsa da, X sunucusunda sabahlari çalisan PSEXEC uygulamasi yanal yayilim (lateral movement) amaçli olabilecegi gibi, sabahlari çalisan bir backup görevi de olabilir. Bu gibi "normal" durumlar her seferinde tekrar tekrar ekiplerle iletisime geçmekten ziyade tespit kurallarindan asgari oranda istisna tutulursa, false-positive (hatali tespit) durumlarin önüne geçilebilecek ve alarmlarin güvenilirligi artacaktir. Yine hassas sistemler için false-negative (vakayi tespit edememe) durumlardan kaçinmak için bazi durumlarda bu bilgilerin sadece ortak bir alanda kayit altina alinmasi da yetebilir.

Etkin tespit kurgulari (vaka "bizim kural onu yakalayamamis")

Farkli tehdit tespiti yöntemleri için dogru kurgulari insaa edebilmek TTM süreçleri için son derece önemlidir.

Tespit kurgulari için farkli yaklasimlar mevcuttur;

1) Anomali tespiti: Makine ögrenmesi, esik-degerleme ya da benzeri yöntemlere ögrenilen "normal" durumlardan sapmayi tespitte kullanan yöntemdir (günlük ortalama outbound DNS trafigi 100 MB iken, ayin 3'ünde 10 GB olursa vb.)

2) Davranis tespiti: Saldirinin tekil göstergelerinden çok total davranisina odaklanan tespit metodudur. Saldirgana ait ardisik davranislarin seçenekli olarak takip edilerek alarm üretilmesi esasina dayanir. Ölçeklenebilirligi ve degisken durumlara adaptasyonu temel basari faktörlerindendir. Geleneksel SIEM dünyasindaki "korelasyon" kavramina en yakin ifade olarak da ele alinabilir. "X kullanicisi Z lokasyonundan VPN yapti, ardindan Y user'ini olusturdu ve M isimli dosyayi indirerek çalistirdi" gibi esnek ve ardisik asamalardan olusan senaryolari kapsar.

3) Konfigürasyon analizi: Sistem bilesenlerinin bilinenin disinda davranis göstermesiyle olusan alarmlari ifade eder. örnegin; sadece 443 ile hizmet veren X sunucusundan LISTEN modda ayaga kalkan 4444 port'u vb. durumlarin tespiti esasina dayanir.

4) Gösterge eslesmesi: Tehdit istihbarati kaynaklarindan gelen IP, domain, hash, URL'ler ile sistemde izlenen loglarin eslesmesiyle olusan tespit kurallaridir. Pyramid of Pain modelinde bahsedildigi üzere bazi veri tipleri için hassasiyet yüksekken bazilari için daha az degiskendir ve dolayisiyla daha dogru tespitlere imkan tanir. Örnegin bir saldirgan grubunun bir zararli implantina ait hash'i degistirmesi kolayken, C&C için kullandigi domain bilgisini degistirmesi daha zor olacaktir. "Pyramid of Pain" modelinde yukari basamaklara çikildikça bu anlamda daha dogru tespitler mümkündür.

Süreçler ve otomasyon (vaka "bu is sürekli yapilmaz")

Alarmin üretilmesi kadar gelen alarmin zenginlestirilerek analize hazir hale getirilmesi TTM süreçlerinde kritik basari faktörlerinden birisidir. Gerek false-positive azaltma gerek incelemelerin bütünlügünü ve dogrulugunu arttirma amaçli olarak yapilabilecek otomasyon çalismalari ekiplere oldukça fazla vakit kazandirabilmektedir.

Örnek olarak asagidaki senaryoyu ele alim;

Tehdit istihbaratindan elde edilen ve takibi yapilan -zararli oldugu bilgisi güncel ve riski 9/10- bir domain ile -periyodik olarak- iletisim kuran bir istemcide, kanit toplama isi, alarm gelir gelmez, analistten bagimsiz olarak baslayip case'e ek yapilarak, case inceleme kuyruguna alinabilir. Bu sayede müdahale süreçleri basladiginda kanit toplama için ekstra zaman harcanmaz.

Burada temel gereksinim ekip içinde yer almasi beklenen temel programlama/scripting kültürüdür. Zira bu çalismalar tek seferlik degil, ihtiyaç çiktikça süreklilik gerektiren (günlük) islerdir.

Ortak bir dil (vaka "bu TTP'ler farkli gibi?")

Özellikle tespit kurallari yazilirken hangi saldirgan grubunun hangi teknik & taktikleri (TTP) ve hangi zararli yazilimlari kullandigi bilgisi dogru müdahale kurgulari için faydali olacaktir. Amerika merkezli MITRE kurulusu bu amaçla saldirgan gruplarini açik istihbarat raporlarindan okuyup & analiz ederek ATT&CK çatisini olusturmustur. Ekipler tespit kurallarinin kapsayiciligini puanlarken & iyilestirken bu çatidan faydalabilir.

Örnegin

APT1 grubunun sizdigi sistemlerde yatay yayilim taktigi için için Pass The Hash teknigini kullandigi bu sayfadan ögrenilebilir; https://attack.mitre.org/techniques/T1075/

Eger APT1'in hedefledigi sektörler arasindaysaniz bu faliyetlerin tespiti için dogru loglama ve alarm kurgularini olusturmaniz beklenir.

Egitim ve Personel (vaka "Egitim mi? Internete bak, vardir o")

Sahsi görüsüm, siber saldirilarla mücadele için ne yapacagini bilen, dogru iyilestirme önerilerini öne çikaran ve bunlarin yapilmasini saglayan -bütçe yoksa bunlari ücretsiz alternatifleriyle kotarabilecek- ve en az -bir scripting dili -Ruby, Perl, Python, bash- bilen yetkin insan kaynagi hem teknoloji hem de süreçlerden daha önemlidir. Bu sebeple TTM'nin belki de en önemli maddesi egitimli ve adanmis personeldir.

Referanslar

• https://furkancaliskan.com/tehdit-tespiti-istihbarati-ve-soc/

• The Four Types of Threat Detection, Dragos Inc.http://www.dragos.com

• MITRE ATT&CK, https://attack.mitre.org/

• The Practice of Network Security Monitoring, Nostarch Press

• The Pyramid of Pain, David Bianco, http://detect-respond.blogspot.com