Uzlaşma Göstergeleri esasen saldırganların geride bıraktıkları ekmek kırıntılarıdır ve aşağıdakiler gibi çok çeşitli veri noktalarını içerebilir:
Vectra AI , bu IoC'lerin belirlenmesine ve analiz edilmesine yardımcı olarak SOC ekiplerinin tehditlere hızla yanıt vermesini, olası zararları azaltmasını ve kurumun güvenlik duruşunu güçlendirmesini sağlar.
Kulağınızı dört açmanız ve duyurulan yeni uzlaşmalardan haberdar olmanız önemlidir. Ancak yeni taviz göstergelerini duyduğunuzda harekete geçebilmek de bir o kadar önemlidir. Bu bölümde, yaygın IOC'leri, neye işaret edebileceklerini, neden önemsemeniz gerektiğini ve ağ meta verilerinizde bu IOC'leri nasıl arayabileceğinizi açıklayacağız.
Herhangi bir dış aktörün ağ dışından ihlalleri yönetebilmesi gerekir ve etki alanları bunun yönetilmesi için önemli bir araçtır. Yakın zamanda SUNBURST SolarWinds istismarında gördüğümüz gibi, Command & Control işlemleri appsync-api. eu-west-1[.]avsvmcloud[.]com gibi alan adları üzerinden gerçekleştirilmiştir. phishing avı girişimlerinde, hedefte şüphe uyandırmamak için popüler siteleri taklit eden alan adları kullanmak da yaygın bir araçtır. Örneğin, bir kişinin outlook hesabının kimlik bilgilerini çalmak için bir phishing avı girişimi yapılıyorsa, şüphe çekmemek için outlook.com.enteryourpassword.tk gibi bir alan adı kullanılabilir.
Alan Adı Uzlaşma Göstergeleri (IOC'ler) taviz için güçlü bir sinyaldir çünkü bu alan adları kötü niyetli bir aktör tarafından kaydedilmiş ve bu amaçla trafiğe açılmıştır. Bir alan adı IOC'sine herhangi bir iletişim görülürse, bu kesinlikle soruşturma gerektirir.
Sahip olduğunuz herhangi bir kaynaktan bilinen kötü alan adlarının bir listesini kolayca bir Recall sorgusuna dönüştürebilirsiniz. Bunu sizin için yapmak üzere bir Güvenlik Mühendisi'nden alabileceğiniz bir excel dosyası oluşturduk ve buna benzer bir liste verdik:
Önce bu sorguyu bir Lucene sorgusuna dönüştürün: Resp_domain:(baddomain1.com VEYA baddomain2.com)
Ardından iSession Meta Veri Stream bu sorguyu çalıştırın
Bu veri tablosunda kalan tüm öğeler daha fazla araştırma gerektirir ve iyi huylularsa hariç tutulmalıdırlar. Başlangıçta, şirketinizin alan adında çok sayıda dahili varyasyon olabilir. Örneğin, Vectra Vectra AI 'da dev.vectrai.ai, HR assets in hr.vectra.ai vb. gibi çok sayıda Vectra AI Vectra AI dahili alan adına sahibiz. İyi ve eyleme dönüştürülebilir veriler elde etmek için bu yanlış pozitifleri etkili bir şekilde ayıklamanız gerekecektir.
Bu görselleştirmeyi birkaç gün manuel olarak kontrol ettikten sonra, kalan sonuçlardan memnunsanız, temel aramayı kaydederek ve ardından Detect kullanıcı arayüzünün "Yönet" bölümüne giderek bu aramayı bir Özel modele dönüştürmelisiniz. "Özel Modeller" sekmesinde, yeni kaydedilmiş aramanızı bulun ve düzenleme modalinde etkinleştirin.
Sahip olduğunuz herhangi bir kaynaktan bilinen kötü IP adreslerinin bir listesini kolayca bir Recall sorgusuna dönüştürebilirsiniz. Bunu sizin için yapmak üzere, herhangi bir Güvenlik Mühendisi'nden alabileceğiniz bir excel dosyası oluşturduk, ancak bunun gibi bir liste verildi:
Önce bu sorguyu bir Lucene sorgusuna dönüştürün: Id.orig_h:( 192.02.1 OR 192.02.2) OR Id.resp_h:( 192.02.1 OR 192.02.2)
Ardından bu sorguyu iSession Metatada Stream çalıştırın.
Çoğu yazılım iletişim kurmak için standart bir dizi harici bağlantı noktası kullanır. Ağda yeni bağlantı noktaları görüldüğünde, bu, ortama yeni bir yazılımın yüklendiğini veya bazı durumlarda güvenliği ihlal edilmiş bir ana bilgisayardan iletişim kurulduğunu gösterebilir. Vectra AI , ortamda yeni harici bağlantılar gözlemlendiğinde rapor veren bilgi seviyesi tespitleri oluşturur.
Ağda yeni bir yazılımın kullanılıp kullanılmadığını veya potansiyel olarak kötü niyetli C2 kanallarının kurulup kurulmadığını izlemek için bu olayları akış kullanarak toplamak isteyebilirsiniz. Bu olaylar çoğunlukla iyi huylu kullanıcı faaliyetlerinden kaynaklanır, ancak kuruluşunuzun yetkili uygulamaları sınırlama politikası varsa, BT yönetici ekibinizin dışındaki sistemlerden gelen yeni bağlantı noktalarını tespit etmek kötü niyetli bir faaliyetin veya en azından bir politika ihlalinin işareti olabilir.
Yaygın olmayan bağlantı noktalarını içeren ağ etkinliğindeki ani artışlar önemli olabilir ve bu bağlantı noktası malware tarafından iletişim kurmak için kullanılıyor olabileceğinden daha fazla araştırma yapılmasını gerektirebilir. Faaliyetlerdeki artış daha fazla araştırma yapılmasını gerektirir.
Bu etkinliği bu şekilde gözden geçirmenin en iyi yolu bir zaman serisi görselleştirmesidir. Vectra Recall 'da sizin için "Göstergeleri Avlamak" adında bir tane oluşturduk: Yaygın Olmayan Bağlantı Noktası Kullanımındaki Artışlar - veriler" ? Saymak için Y ekseni.
Aşağıda bir etkinlik örneği yer almaktadır. Kullanılan en yaygın bağlantı noktaları hariç tutulmuştur ve kullanımda açıkça yükselen iki bağlantı noktası görebilirsiniz. 3283 numaralı bağlantı noktası iChat için kullanılır ve iyi huyludur, bu nedenle hariç tutulabilir, ancak 40063 numaralı bağlantı noktası yenidir ve daha fazla araştırma gerektirebilir. Ayrıca, arama döneminiz boyunca başka hiçbir zaman görülmeyen trafikteki ani artışları gösteren bağımsız noktalara da odaklanmalısınız.
Yukarıda yer alan adımlar şunlardı:
Bu görselleştirmeyi çoğaltmaya ve arama sorgusunu kuruluşunuz içinde güvenli olduğunu bildiğiniz bağlantı noktaları ile güncellemeye çalışmalısınız. (Not: Varsayılan Recall görselleştirmesinde değişiklik yapmaya çalışırsanız, değişiklikleriniz üzerine yazılacaktır).
Benzer şekilde, alışılmadık bir bağlantı noktasından veri aktarımının artması da incelemeye ve güvenli olduğunu doğruladığınızdan emin olmaya değer bir şeydir.
Bu, trafik sayısı ile aynı şekilde çalışır, ancak y eksenini gönderilen toplam veriyi gösterecek şekilde ayarlamanız gerekir. "Göstergeleri Avlamak" adlı bir görselleştirme oluşturduk: Yaygın Olmayan Bağlantı Noktası Kullanımındaki Artışlar - veriler" adlı bir görselleştirme oluşturduk, bunu başlangıç noktası olarak kullanabilirsiniz.
Ayrıca bkz Standart olmayan bağlantı noktaları üzerinden protokoller bölümüne bağlantı
Kötü amaçlı dosyalar ağ üzerinde SMB veya diğer protokoller üzerinden taşınabilir ve daha sonra uzak işlemler veya sosyal mühendislik yoluyla hedef ana bilgisayarlarda çalıştırılabilir. Kötü niyetli aktörlerin kullanabileceği bilinen belirli kötü dosya uzantılarının izlenmesi, dosyaların kötü amaçlarla aktarıldığı örnekleri bulabilir.
Vectra Recall 'daki SMB Dosya Meta Veri akışı, etkileşimde bulunulan her dosya adını gösterir ve bu veriler şüpheli olabilecek verileri bulmak için çıkarılabilir.
Burada açıklayacağımız 2 spesifik örnek var, ancak kilometreniz değişebilir.
Kullanıcılar tarafından yazılan dosya adlarında gerçek İngilizce kelimeler bulunma eğilimindedir, oysa deneyimlerimize göre dosya adları taviz konusunda zayıf göstergeler olabilir.
Bunlara örnek olarak şunlar verilebilir:
Ancak bu gibi aramalar kurumsal bağlam olmadan çok gürültülü olabilir.
Düzenli ifade (regex) aramalarını kullanarak bu gibi dosya adlarını arayabilirsiniz. Bu aramalar oldukça yavaş olabilir, bu nedenle başlangıçta 15 dakika boyunca bir arama yapmanızı ve gürültüyü azalttıktan sonra zaman aralığını genişletmenizi öneririz.
To search for file names of 50 characters of longer, you would run the following search. name:/.{50,}/
You could use similar logic for files without vowels, searching with: name:/.\[bcdfghjklmnpqrstvwxyz]{4,}../
Bu arama düzenli bir ifadedir ve düzenli ifade mantığı ileri eğik çizgiler / içinde yer alır.
Şifrelenmemiş http trafiğini izlemek için metadata_httpsessioninfo içinde de benzer aramalar yapabilirsiniz.
Yukarıdaki aramayı kullanarak, kötü amaçlı olmadığını bildiğiniz yaygın dosya adlarını kaldırmaya çalışmalısınız. Örneğin, bir Microsoft güncelleme sunucusu belirli bir klasöre uzun bir dosya adıyla dosya ekliyorsa, bu dosyaları bir dışlama filtresiyle aramadan hariç tutabilirsiniz. Bu yanlış pozitifleri ağdan kaldırdıktan sonra, ortaya çıkıyorlarsa, arama zaman aralığını tam saklama sürenize genişletmelisiniz. Çok az sayıda dosya söz konusuysa ve bunların güvenlik açısından önemli olduğunu düşünüyorsanız, aramanızı özel bir modele dönüştürmeli ve bu dosya adları için tespitler yapmaya başlamalısınız.
Bazı yollar ağınızda şüpheli olabilir ve araştırılmayı gerektirebilir ve bunun için yukarıdaki şüpheli dosya adları örneğinde olduğu gibi benzer bir arama kullanılmalıdır.
Kuruluşunuzda ilgili olduğunu bildiğiniz dosya yollarının bir listesini toplamalı ve bunlara yapılan erişimleri izlemek için bir arama oluşturmalısınız. Aşağıdaki örnek için /App/Data/Roaming/ dizinindeki dosyalara yapılan erişimlere odaklanalım.
Yapacağınız arama şöyledir: name:/ /App/Data/Roaming/.*/
Bu arama, o dizindeki tüm dosya erişimleriyle eşleşecektir. Bizim sistemimizde 2 güncelleme sunucusundan çok sayıda meşru erişim vardı. Bu aramadan kaynaklanan gürültüyü azaltmak için, ilgilendiğiniz klasöre erişmesini beklediğiniz meşru sunucuları bulun ve bu sunucunun isteklerini hariç tutmak için IP'sinin yanındaki uzaklaştırma simgesine tıklayın.
Ja3 ve Hassh, şifreleme el sıkışması tamamlanmadan önce gönderilen açık metin paketlerinden elde edilen mevcut bilgilere dayanarak sırasıyla SSL veya SSH etkinliğinin kaynağını tanıyabilen parmak izi yöntemleridir.
Ja3, belirli bir oturumdaki istemciyi veya sunucuyu tanımak için kullanılabilecek SSL/TLS parmak izleri oluşturmak için kullanılan bir yöntemdir. Örneğin, standart bir Tor istemcisi e7d705a3286e19ea42f587b344ee6865 Ja3 parmak izine sahip olacaktır.
Ja3 parmak izleri, aynı uygulama tarafından birden fazla istemci üzerinde gerçekleştirilen etkinliği gösterebilir ve IOC'leri kontrol etmek için de kullanılabilir. Gelişmiş saldırganların temel parmak izlerini değiştirmeleri mümkün olduğundan, bu kusursuz bir çözüm değildir. Örneğin, ağınızda TOR etkinliği görülüp görülmediğini kontrol etmek için metadata_ssl* akışına gidin ve şunu arayın: Ja3:e7d705a3286e19ea42f587b344ee6865
Ja3 hakkında daha fazla bilgiyi github profilinden okuyabilirsiniz, Ja3 parmak izlerinin topluluk odaklı deposu, malicius JA3 parmak izlerinin listesi abuse.ch adresinde bulunabilir.
Hassh, SSH bağlantılarında Ja3'e benzer bir mantık kullanır, SSH bağlantılarının parmak izlerini oluşturur, bu, belirli bir istemcinin SSH üzerinden birden fazla farklı sunucuyla iletişim kurduğu yerleri tespit etmek ve görünen herhangi bir etkinliğin yeni olup olmadığını görmek için kullanılabilir.
Hassh özellikle sıkı kontrol edilen ortamlarda kullanışlıdır. Bir ağda önemli bölümler varsa, orada hangi Hassh'ın kullanıldığını görmek için özellikle o alt ağın SSH etkinliğinde arama yapmaya bakabilirsiniz. Bu faaliyetlerin hiçbirinin kötü niyetli olmadığından emin olmak için bu bağlantılar üzerinde durum tespiti yapılmalı ve ardından her bir güvenli Hassh, alanın yanındaki işarete tıklanarak aramadan çıkarılmalıdır. Sonunda, bu alt ağda yeni bir Hassh görmemeniz gerekir ve böylece bu aramayı kaydedebilir ve özel bir model olarak etkinleştirebilirsiniz (Algılama kullanıcı arayüzünde yönet -> özel modeller bölümünden).
Hassh için Github topluluk profili, bu verilerden birçok başka kullanımı listeler.
Güvenlik duruşunuzu geliştirmek ve kuruluşunuzun tehditleri hızlı bir şekilde tespit etmek ve bunlara yanıt vermek için iyi bir donanıma sahip olmasını sağlamak için IoC'leri tespit etmek çok önemlidir. Vectra AI , mevcut güvenlik altyapınızla sorunsuz bir şekilde entegre olan, gerçek zamanlı algılama ve eyleme geçirilebilir istihbarat sağlayan gelişmiş çözümler sunar. Siber savunmanızı güçlendirmek için bugün bize ulaşın .
IoC'ler, bir ağın veya sistemin tehlikeye atılmış olabileceğini düşündüren sistem günlüğü girdileri veya dosyaları gibi adli veri parçalarıdır. Bunlar potansiyel olarak kötü niyetli faaliyetlerin belirlenmesine yardımcı olan sinyallerdir.
IoC'ler, güvenlik ekiplerinin ihlalleri erken, genellikle önemli hasar meydana gelmeden önce tespit etmelerini sağladıkları için hayati öneme sahiptir. Bu erken tespit, saldırıların etkisini en aza indirmek için çok önemlidir.
IoC'ler, güvenlik bilgi ve olay yönetimi (SIEM) sistemleri, tehdit algılama ve yanıt çözümleri ve tehdit istihbarat platformları dahil olmak üzere çeşitli yollarla tespit edilebilir.
Yaygın örnekler arasında olağandışı giden ağ trafiği, ayrıcalıklı kullanıcı hesabı etkinliğindeki anormallikler, sistem dosyalarındaki beklenmedik değişiklikler ve bilinen malware imzalarının varlığı yer alır.
SOC ekipleri, taviz kanıtı bulmak için günlükleri ve verileri araştırmak üzere IoC'leri kullanır. Daha sonra bu bilgileri analiz ederek saldırının doğasını, kapsamını ve kaynağını belirler ve müdahale stratejilerini bilgilendirirler.
IoC'ler taviz gerçekleşmiş bir taviz kanıtlarına odaklanırken, IoA'lar aktif saldırı davranışını belirleyerek tehditleri tespit etmek için daha proaktif bir yaklaşım sunar.
IoC'ler, tehdit istihbaratının temel bir bileşenidir ve kuruluşların tehditleri daha etkili bir şekilde tespit etmek ve bunlara yanıt vermek için kullanabilecekleri belirli, eyleme geçirilebilir bilgiler sağlar.
IoC'ler öncelikle mevcut tehlikeleri belirlemek için kullanılsa da, IoC'lerdeki eğilimleri ve kalıpları analiz etmek, saldırganların gelecekte kullanabileceği taktikleri, teknikleri ve prosedürleri (TTP'ler) tahmin etmeye yardımcı olabilir.
IoC'ler, yeni ve gelişen tehditlere karşı etkili kalmalarını sağlamak için düzenli olarak güncellenmelidir. Buna en son tehdit istihbaratının güvenlik sistemlerine dahil edilmesi de dahildir.
En iyi uygulamalar arasında güncel bir IoC veritabanı tutmak, IoC tespitini güvenlik iş akışlarına entegre etmek ve toplu savunma çabalarına yardımcı olmak için IoC bilgilerini daha geniş siber güvenlik topluluğuyla paylaşmak yer alır.