Uzlaşma Göstergesi

Uzlaşma Göstergeleri (IOC'ler) nelerdir?

Uzlaşma Göstergeleri esasen saldırganların geride bıraktıkları ekmek kırıntılarıdır ve aşağıdakiler gibi çok çeşitli veri noktalarını içerebilir:

1. URL'ler veya Alan Adları: phishing ı sitelerine veya komut ve kontrol sunucularına bağlantıların göstergesi.
2. IP Adresleri: Bilinen kötü niyetli kaynaklarla iletişim sinyali vermesi açısından dikkate değerdir.
3. Dosya Adları: Potansiyel olarak bir saldırgan tarafından yapılan yetkisiz değişikliklere işaret eder.
4. Dosya Hash'leri: Belirli malware veya yetkisiz yazılım parçalarına özgüdür.

Vectra AI , bu IoC'lerin belirlenmesine ve analiz edilmesine yardımcı olarak SOC ekiplerinin tehditlere hızla yanıt vermesini, olası zararları azaltmasını ve kurumun güvenlik duruşunu güçlendirmesini sağlar.

IOC'ler ( taviz Göstergeleri) nasıl bulunur?

Kulağınızı dört açmanız ve duyurulan yeni uzlaşmalardan haberdar olmanız önemlidir. Ancak yeni taviz göstergelerini duyduğunuzda harekete geçebilmek de bir o kadar önemlidir. Bu bölümde, yaygın IOC'leri, neye işaret edebileceklerini, neden önemsemeniz gerektiğini ve ağ meta verilerinizde bu IOC'leri nasıl arayabileceğinizi açıklayacağız.

Etki Alanı IOC'leri

Herhangi bir dış aktörün ağ dışından ihlalleri yönetebilmesi gerekir ve etki alanları bunun yönetilmesi için önemli bir araçtır. Yakın zamanda SUNBURST SolarWinds istismarında gördüğümüz gibi, Command & Control işlemleri appsync-api. eu-west-1[.]avsvmcloud[.]com gibi alan adları üzerinden gerçekleştirilmiştir. phishing avı girişimlerinde, hedefte şüphe uyandırmamak için popüler siteleri taklit eden alan adları kullanmak da yaygın bir araçtır. Örneğin, bir kişinin outlook hesabının kimlik bilgilerini çalmak için bir phishing avı girişimi yapılıyorsa, şüphe çekmemek için outlook.com.enteryourpassword.tk gibi bir alan adı kullanılabilir.

Alan Adı Uzlaşma Göstergeleri (IOC'ler) taviz için güçlü bir sinyaldir çünkü bu alan adları kötü niyetli bir aktör tarafından kaydedilmiş ve bu amaçla trafiğe açılmıştır. Bir alan adı IOC'sine herhangi bir iletişim görülürse, bu kesinlikle soruşturma gerektirir.

Bilinen Kötü Alan Adları

Sahip olduğunuz herhangi bir kaynaktan bilinen kötü alan adlarının bir listesini kolayca bir Recall sorgusuna dönüştürebilirsiniz. Bunu sizin için yapmak üzere bir Güvenlik Mühendisi'nden alabileceğiniz bir excel dosyası oluşturduk ve buna benzer bir liste verdik:

• Baddomain1[.]com
• Baddomain2[.]com

Önce bu sorguyu bir Lucene sorgusuna dönüştürün: Resp_domain:(baddomain1.com VEYA baddomain2.com)

Ardından iSession Meta Veri Stream bu sorguyu çalıştırın

Şüpheli Tanıdık Alan Adları

1. Ağınızdaki kullanıcıların eriştiği ortak alan adlarının bir listesini oluşturun. Örneğin: facebook, gmail, outlook, şirket intranetiniz.  
2. Vectra Recall iSession etkinliğinizde bu öğeleri arayın. Örneğin Resp_domain( corpnet VEYA facebook VEYA gmail VEYA outlook VEYA office)
3. Bu aramayı kaydet
4. Kaynak olarak bu Arama ile yeni bir "Veri Tablosu" Görselleştirmesi oluşturun ve satırları "Terim "e göre ayırın ve "resp_domain "e göre toplayın N.B. Gürültüyü azaltmak için satırları ilginç ve olağandışı terimleri gösterecek olan "Önemli Terimler "e göre de ayırabilirsiniz.
5. Aramanızla eşleşen en sık erişilen sitelerin bir listesi görünecektir. Meşru alan adları önce görünmelidir. Meşru öğelerin üzerine gelin ve bu öğeleri hariç tutmak için tıklayın.
6. Bu görselleştirmeyi kaydedin

Bu veri tablosunda kalan tüm öğeler daha fazla araştırma gerektirir ve iyi huylularsa hariç tutulmalıdırlar. Başlangıçta, şirketinizin alan adında çok sayıda dahili varyasyon olabilir. Örneğin, Vectra Vectra AI 'da dev.vectrai.ai, HR assets in hr.vectra.ai vb. gibi çok sayıda Vectra AI Vectra AI dahili alan adına sahibiz. İyi ve eyleme dönüştürülebilir veriler elde etmek için bu yanlış pozitifleri etkili bir şekilde ayıklamanız gerekecektir.

Bu görselleştirmeyi birkaç gün manuel olarak kontrol ettikten sonra, kalan sonuçlardan memnunsanız, temel aramayı kaydederek ve ardından Detect kullanıcı arayüzünün "Yönet" bölümüne giderek bu aramayı bir Özel modele dönüştürmelisiniz. "Özel Modeller" sekmesinde, yeni kaydedilmiş aramanızı bulun ve düzenleme modalinde etkinleştirin.

IP adresleri IOC'ler

Sahip olduğunuz herhangi bir kaynaktan bilinen kötü IP adreslerinin bir listesini kolayca bir Recall sorgusuna dönüştürebilirsiniz. Bunu sizin için yapmak üzere, herhangi bir Güvenlik Mühendisi'nden alabileceğiniz bir excel dosyası oluşturduk, ancak bunun gibi bir liste verildi:

• 192.0.2.1  
• 192.0.2.2

Önce bu sorguyu bir Lucene sorgusuna dönüştürün: Id.orig_h:( 192.02.1 OR 192.02.2) OR Id.resp_h:( 192.02.1 OR 192.02.2)

Ardından bu sorguyu iSession Metatada Stream çalıştırın.

Limanlar IOC'ler

Yeni Liman Kullanımı

Çoğu yazılım iletişim kurmak için standart bir dizi harici bağlantı noktası kullanır. Ağda yeni bağlantı noktaları görüldüğünde, bu, ortama yeni bir yazılımın yüklendiğini veya bazı durumlarda güvenliği ihlal edilmiş bir ana bilgisayardan iletişim kurulduğunu gösterebilir. Vectra AI , ortamda yeni harici bağlantılar gözlemlendiğinde rapor veren bilgi seviyesi tespitleri oluşturur.

Ağda yeni bir yazılımın kullanılıp kullanılmadığını veya potansiyel olarak kötü niyetli C2 kanallarının kurulup kurulmadığını izlemek için bu olayları akış kullanarak toplamak isteyebilirsiniz. Bu olaylar çoğunlukla iyi huylu kullanıcı faaliyetlerinden kaynaklanır, ancak kuruluşunuzun yetkili uygulamaları sınırlama politikası varsa, BT yönetici ekibinizin dışındaki sistemlerden gelen yeni bağlantı noktalarını tespit etmek kötü niyetli bir faaliyetin veya en azından bir politika ihlalinin işareti olabilir.

Yaygın Olmayan Port Kullanımında Artışlar

Yaygın olmayan bağlantı noktalarını içeren ağ etkinliğindeki ani artışlar önemli olabilir ve bu bağlantı noktası malware tarafından iletişim kurmak için kullanılıyor olabileceğinden daha fazla araştırma yapılmasını gerektirebilir. Faaliyetlerdeki artış daha fazla araştırma yapılmasını gerektirir.

Bu etkinliği bu şekilde gözden geçirmenin en iyi yolu bir zaman serisi görselleştirmesidir. Vectra Recall 'da sizin için "Göstergeleri Avlamak" adında bir tane oluşturduk: Yaygın Olmayan Bağlantı Noktası Kullanımındaki Artışlar - veriler" ? Saymak için Y ekseni.

Aşağıda bir etkinlik örneği yer almaktadır. Kullanılan en yaygın bağlantı noktaları hariç tutulmuştur ve kullanımda açıkça yükselen iki bağlantı noktası görebilirsiniz. 3283 numaralı bağlantı noktası iChat için kullanılır ve iyi huyludur, bu nedenle hariç tutulabilir, ancak 40063 numaralı bağlantı noktası yenidir ve daha fazla araştırma gerektirebilir. Ayrıca, arama döneminiz boyunca başka hiçbir zaman görülmeyen trafikteki ani artışları gösteren bağımsız noktalara da odaklanmalısınız.

Yukarıda yer alan adımlar şunlardı:

• Bağlantı sayısı y Ekseni olacak şekilde 24 saatlik iSession verileriyle bir tarih histogramı oluşturun
• Verileri yanıt veren bağlantı noktası başına ayrı bir seriye bölün (id.resp_p)
• 80/443 vb. gibi çok yaygın bağlantı noktalarını filtreleyin.
• Set a minimum threshold of activity to reduce the noise from minor ports by expanding “advanced” and setting {“min_doc_count”:X}, where X would depend on the size of activity on your network, we have set this as 5,000 connections by default.

Bu görselleştirmeyi çoğaltmaya ve arama sorgusunu kuruluşunuz içinde güvenli olduğunu bildiğiniz bağlantı noktaları ile güncellemeye çalışmalısınız. (Not: Varsayılan Recall görselleştirmesinde değişiklik yapmaya çalışırsanız, değişiklikleriniz üzerine yazılacaktır).

Benzer şekilde, alışılmadık bir bağlantı noktasından veri aktarımının artması da incelemeye ve güvenli olduğunu doğruladığınızdan emin olmaya değer bir şeydir.

Bu, trafik sayısı ile aynı şekilde çalışır, ancak y eksenini gönderilen toplam veriyi gösterecek şekilde ayarlamanız gerekir. "Göstergeleri Avlamak" adlı bir görselleştirme oluşturduk: Yaygın Olmayan Bağlantı Noktası Kullanımındaki Artışlar - veriler" adlı bir görselleştirme oluşturduk, bunu başlangıç noktası olarak kullanabilirsiniz.

Ayrıca bkz Standart olmayan bağlantı noktaları üzerinden protokoller bölümüne bağlantı

Dosya Adları IOC'ler

Kötü amaçlı dosyalar ağ üzerinde SMB veya diğer protokoller üzerinden taşınabilir ve daha sonra uzak işlemler veya sosyal mühendislik yoluyla hedef ana bilgisayarlarda çalıştırılabilir. Kötü niyetli aktörlerin kullanabileceği bilinen belirli kötü dosya uzantılarının izlenmesi, dosyaların kötü amaçlarla aktarıldığı örnekleri bulabilir.

Vectra Recall 'daki SMB Dosya Meta Veri akışı, etkileşimde bulunulan her dosya adını gösterir ve bu veriler şüpheli olabilecek verileri bulmak için çıkarılabilir.

Burada açıklayacağımız 2 spesifik örnek var, ancak kilometreniz değişebilir.

• Şüpheli dosya adları
• Şüpheli yollar

Şüpheli Dosya Adları

Kullanıcılar tarafından yazılan dosya adlarında gerçek İngilizce kelimeler bulunma eğilimindedir, oysa deneyimlerimize göre dosya adları taviz konusunda zayıf göstergeler olabilir.

Bunlara örnek olarak şunlar verilebilir:

• Çok uzun dosya adları, örn. TotallyNotMalwareactuallyThisVeryMuchIsMalware.jpg
• Sesli harf içermeyen dosyalar, örneğin dwtdfh.doc

Ancak bu gibi aramalar kurumsal bağlam olmadan çok gürültülü olabilir.

Düzenli ifade (regex) aramalarını kullanarak bu gibi dosya adlarını arayabilirsiniz. Bu aramalar oldukça yavaş olabilir, bu nedenle başlangıçta 15 dakika boyunca bir arama yapmanızı ve gürültüyü azalttıktan sonra zaman aralığını genişletmenizi öneririz.

To search for file names of 50 characters of longer, you would run the following search. name:/.{50,}/

You could use similar logic for files without vowels, searching with: name:/.\[bcdfghjklmnpqrstvwxyz]{4,}../

Bu arama düzenli bir ifadedir ve düzenli ifade mantığı ileri eğik çizgiler / içinde yer alır.

• .* = herhangi bir yolla eşleşir
• \\ = dosya adının başlangıcını belirtmek için ters eğik çizgi
• [bcdfghjklmnpqrstvwxyz]{{4,} = Arka arkaya 4 veya daha fazla sessiz harf
• . = nokta (uzantının başlangıcını belirtir)
• .* = herhangi bir uzantıyla eşleşir

Şifrelenmemiş http trafiğini izlemek için metadata_httpsessioninfo içinde de benzer aramalar yapabilirsiniz.

Yukarıdaki aramayı kullanarak, kötü amaçlı olmadığını bildiğiniz yaygın dosya adlarını kaldırmaya çalışmalısınız. Örneğin, bir Microsoft güncelleme sunucusu belirli bir klasöre uzun bir dosya adıyla dosya ekliyorsa, bu dosyaları bir dışlama filtresiyle aramadan hariç tutabilirsiniz. Bu yanlış pozitifleri ağdan kaldırdıktan sonra, ortaya çıkıyorlarsa, arama zaman aralığını tam saklama sürenize genişletmelisiniz. Çok az sayıda dosya söz konusuysa ve bunların güvenlik açısından önemli olduğunu düşünüyorsanız, aramanızı özel bir modele dönüştürmeli ve bu dosya adları için tespitler yapmaya başlamalısınız.

Şüpheli Dosya Yolları

Bazı yollar ağınızda şüpheli olabilir ve araştırılmayı gerektirebilir ve bunun için yukarıdaki şüpheli dosya adları örneğinde olduğu gibi benzer bir arama kullanılmalıdır.

Kuruluşunuzda ilgili olduğunu bildiğiniz dosya yollarının bir listesini toplamalı ve bunlara yapılan erişimleri izlemek için bir arama oluşturmalısınız. Aşağıdaki örnek için /App/Data/Roaming/ dizinindeki dosyalara yapılan erişimlere odaklanalım.

Yapacağınız arama şöyledir: name:/ /App/Data/Roaming/.*/

Bu arama, o dizindeki tüm dosya erişimleriyle eşleşecektir. Bizim sistemimizde 2 güncelleme sunucusundan çok sayıda meşru erişim vardı. Bu aramadan kaynaklanan gürültüyü azaltmak için, ilgilendiğiniz klasöre erişmesini beklediğiniz meşru sunucuları bulun ve bu sunucunun isteklerini hariç tutmak için IP'sinin yanındaki uzaklaştırma simgesine tıklayın.

Ja3 & Hassh

Ja3 ve Hassh, şifreleme el sıkışması tamamlanmadan önce gönderilen açık metin paketlerinden elde edilen mevcut bilgilere dayanarak sırasıyla SSL veya SSH etkinliğinin kaynağını tanıyabilen parmak izi yöntemleridir.

Ja3

Ja3, belirli bir oturumdaki istemciyi veya sunucuyu tanımak için kullanılabilecek SSL/TLS parmak izleri oluşturmak için kullanılan bir yöntemdir. Örneğin, standart bir Tor istemcisi e7d705a3286e19ea42f587b344ee6865 Ja3 parmak izine sahip olacaktır.

Ja3 parmak izleri, aynı uygulama tarafından birden fazla istemci üzerinde gerçekleştirilen etkinliği gösterebilir ve IOC'leri kontrol etmek için de kullanılabilir. Gelişmiş saldırganların temel parmak izlerini değiştirmeleri mümkün olduğundan, bu kusursuz bir çözüm değildir. Örneğin, ağınızda TOR etkinliği görülüp görülmediğini kontrol etmek için metadata_ssl* akışına gidin ve şunu arayın: Ja3:e7d705a3286e19ea42f587b344ee6865

Ja3 hakkında daha fazla bilgiyi github profilinden okuyabilirsiniz, Ja3 parmak izlerinin topluluk odaklı deposu, malicius JA3 parmak izlerinin listesi abuse.ch adresinde bulunabilir.

Hassh ve HasshServer

Hassh, SSH bağlantılarında Ja3'e benzer bir mantık kullanır, SSH bağlantılarının parmak izlerini oluşturur, bu, belirli bir istemcinin SSH üzerinden birden fazla farklı sunucuyla iletişim kurduğu yerleri tespit etmek ve görünen herhangi bir etkinliğin yeni olup olmadığını görmek için kullanılabilir.

Hassh özellikle sıkı kontrol edilen ortamlarda kullanışlıdır. Bir ağda önemli bölümler varsa, orada hangi Hassh'ın kullanıldığını görmek için özellikle o alt ağın SSH etkinliğinde arama yapmaya bakabilirsiniz. Bu faaliyetlerin hiçbirinin kötü niyetli olmadığından emin olmak için bu bağlantılar üzerinde durum tespiti yapılmalı ve ardından her bir güvenli Hassh, alanın yanındaki işarete tıklanarak aramadan çıkarılmalıdır. Sonunda, bu alt ağda yeni bir Hassh görmemeniz gerekir ve böylece bu aramayı kaydedebilir ve özel bir model olarak etkinleştirebilirsiniz (Algılama kullanıcı arayüzünde yönet -> özel modeller bölümünden).

Hassh için Github topluluk profili, bu verilerden birçok başka kullanımı listeler.

Güvenlik duruşunuzu geliştirmek ve kuruluşunuzun tehditleri hızlı bir şekilde tespit etmek ve bunlara yanıt vermek için iyi bir donanıma sahip olmasını sağlamak için IoC'leri tespit etmek çok önemlidir. Vectra AI , mevcut güvenlik altyapınızla sorunsuz bir şekilde entegre olan, gerçek zamanlı algılama ve eyleme geçirilebilir istihbarat sağlayan gelişmiş çözümler sunar. Siber savunmanızı güçlendirmek için bugün bize ulaşın .