Saldırı Göstergesi (IOA) Nedir?
IoA’lar, uzlaşma göstergeleri görünür hale gelmeden önce aktif bir saldırıyı ortaya çıkarabilecek bazı olaylardır.
IoA’ların kullanımı, reaktif temizleme/kurtarma modundan, saldırganların veri hırsızlığı, fidye yazılımı, açıklardan yararlanma vb. amaçlarına ulaşmadan önce kesintiye uğradığı ve engellendiği proaktif bir moda geçmenin bir yolunu sağlar.
IOA’nın odak noktası ne olursa olsun, bir saldırganın başarmaya çalıştığı amacın tespit edilmesi üzerine kötü amaçlı yazılım veya istismar bir saldırıda kullanılır. AV imzaları gibi, IOC tabanlı bir algılama yaklaşımı da kötü amaçlı yazılım içermeyen izinsiz girişlerden ve sıfırıncı gün açıklarından kaynaklanan artan tehditleri tespit edemez. Sonuç olarak, yeni nesil güvenlik çözümleri IOA tabanlı bir yaklaşıma geçiyor
10 Saldırı Göstergesi (IoA’lar)
Aşağıdaki en yaygın saldırı etkinlikleri, aktif bir saldırıyı teşhis etmek için tek tek veya kombinasyon halinde kullanılmış olabilir:
1) Kötü hedeflere sahip dahili ana bilgisayarlar
Bilinen kötü destinasyonlarla veya iş yapmadığınız yabancı bir ülkeyle iletişim kuran dahili ana bilgisayarlar.
İstemcinin ana bilgisayarlarının “ransomwaretracker.abuse.ch” web sitesinden Beslemeler (IP, Etki Alanı, Url) ile iletişim kurduğunu gösteren HP ArcSight Dashboard örneği.
[Ransomware Hunter is available as free a free package included at HPE Protect724 from SOC Prime]
McAfee’den Küresel Tehdit İstihbaratı Örneği
2) Standart olmayan bağlantı noktalarına sahip dahili ana bilgisayarlar
Standart olmayan bağlantı noktaları veya HTTP yerine komut kabukları (SSH) gönderme, bağlantı noktası üzerinden HTTPS trafiği gibi protokol/bağlantı noktası uyumsuzluklarını kullanarak harici ana bilgisayarlarla iletişim kuran dahili ana bilgisayarlar 80.443varsayılan web bağlantı noktası.
İnternete 21(FTP), 445(SMB), 137(NETBIOS-NS), 135(RPC) kullanan Dahili Ana Bilgisayar örneği
3) Genel Sunuculardan/DMZ’den Dahili ana bilgisayarlara
Dahili ana bilgisayarlarla iletişim kuran genel sunucular veya askerden arındırılmış bölge (DMZ) ana bilgisayarları. Bu, dışarıdan içeriye ve geriye sıçrayarak veri sızmasına ve RDP(Uzak Masaüstü Protokolü), Radmin, SSH gibi varlıklara uzaktan erişime izin verir.
“DMZ” bölgesinden “Dahili/Müşteri” Bölgesine İlk 10 Trafiği izleyen bir Rapor Örneği.
Bu rapordan, Güvenlik Analisti, Dahili ana bilgisayarlarla RDP(TCP/3389), SSH(TCP/22) aracılığıyla iletişim kuran Vurgulanan Sunucuları araştırmalıdır.
4) Mesai Dışı Kötü Amaçlı Yazılım Algılama
Standart iş çalışma saatleri dışında (gece veya hafta sonları) meydana gelen uyarılar, güvenliği ihlal edilmiş bir ana bilgisayara işaret edebilir.
Çalışma dışı zamanlarda IPS uyarıları örneği (Tatil)
5) Dahili ana bilgisayarlar tarafından ağ taramaları
Kısa bir zaman diliminde birden çok ana bilgisayarla iletişim kuran dahili ana bilgisayarlar tarafından ağ taramaları; bu, bir saldırganın ağ içinde yanlamasına hareket ettiğini ortaya çıkarabilir.
Bu olaylar, güvenlik duvarı ve IPS gibi Çevre ağ savunmalarından tespit edilir. Yalnızca “Dahili”den “Dahili”ye Bölge/Arayüz seçmelisiniz. Gelecek için, “Dahili” formunu da “DMZ”ye odaklamalısınız. Ağlarınızdan daha fazla bilgiye ihtiyaçları olan “İçeriden Tehdit” veya “Tehlikeli ana bilgisayarlar” olabilir (Keşif)
“Dahili” bölgeden “Dahili” bölgeye filtreleyen Ağ Taramaları Raporu örneği
6) Tek bir ana bilgisayardan birden fazla alarm olayı
Tek bir ana bilgisayardan gelen birden fazla alarm olayı veya tekrarlanan kimlik doğrulama hataları gibi 24 saatlik bir süre içinde aynı alt ağdaki birden fazla makinede yinelenen olaylar. BU YAYGIN VAKA KULLANIN.
Tek Ana Bilgisayarlardan “Kullanıcı Giriş Hatalarını” izleyen Örnek Pano
Not: cep telefonlarındaki e-posta uygulamalarından bazı oturum açma başarısız olayları, dakikada 500 olaydan fazla olay oluşturabilir. Bu durumu, bir kullanıcı hesabının şifresinin süresi dolduğunda buldum, ancak cihazlarında yeni şifreyi değiştirmediler.
7) Sisteme kötü amaçlı yazılım bulaşmışsa
Etkilenen ana bilgisayar temizlendikten sonra, sisteme 5-10 dakika içinde yeniden kötü amaçlı yazılım bulaşır, tekrarlanan yeniden bulaşmalar bir kök kullanıcı takımının veya kalıcı bir güvenlik açığının varlığına işaret eder. Bu olay, Endpoint Security Protection veya Anti Virüs olaylarından algılanabilir.
Bu, Örnek Kötü Amaçlı Yazılım Panosudur.
Tespit etme: SIEM’de en az 3 kural oluşturmalısınız.
- Virüs bulaşmış ana makineyi bulduğunda kural uyarısı, ardından Geçerli Etkilenen Ana Bilgisayar Listesine ve Geçmiş Etkilenen Ana Bilgisayar Listesine “Ekle” (En az 1 hafta saklayın)
- Kötü amaçlı yazılım bulaşmış Ana Bilgisayardan temizlendiğinde kural uyarısı ve ardından Geçerli Etkilenen Ana Bilgisayar Listesi “Kaldır”
- Belirli bir zaman aralığında “Geçmişte Etkilenen Ana Bilgisayar Listesi” olan virüslü bir ana bilgisayar bulduğunda kural uyarısı. BU SİSTEMLER KÖTÜ MALware’i YENİDEN TARAMALI/ARAŞTIRMALIDIR!!!
8. Farklı bölgelerden Çoklu Giriş
Farklı bir bölgeden/bölgeden birkaç dakika içinde birden çok kaynağa giriş yapmaya çalışan bir kullanıcı hesabı. Bu, kullanıcının kimlik bilgilerinin çalındığının veya bir kullanıcının yaramazlık yapmakta olduğunun bir işaretidir.
İdeal çözümlerin ağ koşullarınıza ve güvenlik politikanıza göre değişebileceği İlişkili kural örneği.
Bu kural, belirli bir Zaman Aralığı içinde birden çok Kaynak Coğrafi Konumla “Başarıya” eşit bir Olay Sonucuna sahip “Oturum Açma” normalleştirme kategorisindeki bir olaydan tespit eder ve Olaylar Kaynak Kullanıcı tarafından gruplandırılır.
9. Dahili ana bilgisayarlar çok fazla SMTP kullanır
SMTP (Basit Posta Aktarım Protokolü), POP3 veya IMAP4 gibi E-Posta Protokolü izleniyor olmalıdır. Bazı kötü amaçlı yazılımlar, Şüpheli veya Hacker’ın sunucusuna bilgi göndermek için bu bağlantı noktasını kullanır.
SMTP(TCP/25) kullanan Etkilenen istemci örneği
10. Dahili, Harici/Dahili DNS için birçok sorgu barındırır
Birçok kuruluş, kayıtları önbelleğe almak ve dahili ana bilgisayarlara DNS hizmeti sunmak için Dahili DNS sunucularına sahiptir. DHCP yapılandırması, Birincil DNS Sunucusu’ndan Dahili DNS sunucusuna olarak tanımlanır. 8.8.8.8, 8.8.4.4 (Google DNS) gibi bazı dahili ana bilgisayarların Harici DNS’yi sorguladığını tespit ederseniz, bu istemcilerde kötü amaçlı yazılım taramayı denemelisiniz.
Bazı Olaylar, dahili ana bilgisayarın dahili DNS sunucusuna birçok isteği sorguladığını tespit etti (> 1.000 olay/saat)
Orijinal Kaynak ve Kredi: Sitikorn Sangrattanapitak, CISSP
Ayrıca Okuyun:
- İzinsiz Girişi Önleme Sistemi (IPS) ve Ayrıntılı İşlevi – SOC/SIEM
- İzinsiz Giriş Tespit Sistemi (IDS) ve Ayrıntılı İşlevi – SOC/SIEM