Kuruluşunuzu siber tehditlere karşı korumak için mevcut tehdit ortamının net bir resmine ihtiyacınız var. Bu, yeni ve devam eden tehditler hakkındaki bilgilerinizi sürekli olarak genişletmek anlamına gelir.
Analistlerin önemli siber tehdit istihbaratını toplamak için kullanabileceği birçok teknik vardır. Tehdit araştırmalarınızı büyük ölçüde geliştirebilecek beş tanesini ele alalım.
Kötü amaçlı yazılımları tespit etmek için С2 IP adreslerine dönme
Kötü amaçlı yazılımların komuta ve kontrol (C2) sunucularıyla iletişim kurmak için kullandığı IP adresleri değerli göstergelerdir. Yalnızca savunmanızı güncellemenize değil, aynı zamanda tehdit aktörlerine ait ilgili altyapı ve araçların belirlenmesine de yardımcı olabilirler.
Bu, analistlerin mevcut bir göstergeyle mevcut tehdit hakkında ek bağlam bulmasına olanak tanıyan pivot yöntemi kullanılarak yapılır.
Analistler, pivotlamayı gerçekleştirmek için büyük hacimli yeni tehdit verilerini depolayan ve arama yetenekleri sunan tehdit istihbaratı veritabanları da dahil olmak üzere çeşitli kaynakları kullanır.
Yararlı araçlardan biri ANY.RUN’un Tehdit İstihbaratı Aramasıdır. Bu hizmet, aşağıdakiler gibi 40’tan fazla farklı sorgu parametresini kullanarak veritabanında arama yapmanızı sağlar:
- Ağ göstergeleri (IP adresleri, alan adları)
- Kayıt defteri ve dosya sistemi yolları
- Belirli tehdit adları, dosya adları ve karmalar
ANY.RUN, sorgunuzdaki göstergeler veya yapılar ile ilişkili verileri ve verilerin bulunduğu korumalı alan oturumlarını sağlar. Bu, analistlerin belirli bir göstergeyi veya bunların kombinasyonunu belirli bir saldırıyla ilgili olarak belirlemesine, bağlamını keşfetmesine ve temel tehdit istihbaratını toplamasına yardımcı olur.
Nasıl çalıştığını göstermek için sorgumuzun bir parçası olarak aşağıdaki IP adresini kullanalım: 162[.]254[.]34[.]31. Sizin durumunuzda ilk gösterge, bir SIEM sistemi tarafından oluşturulan bir uyarıdan, bir tehdit istihbaratı beslemesinden veya araştırmadan gelebilir.
 |
| Genel bakış sekmesi aramamızın önemli sonuçlarını gösterir |
IP adresini TI Arama’ya göndermek, IP’sinin kötü amaçlı faaliyetlerle bağlantılı olduğunu anında görmemizi sağlar. Ayrıca bu IP ile kullanılan spesifik tehdidin AgentTesla olduğunu da bize bildirir.
Hizmet, bu adrese bağlanırken kötü amaçlı yazılım tarafından kullanılan bağlantı noktalarının yanı sıra göstergeyle ilgili alanları da görüntüler.
 |
| Sorgulanan IP’ye bağlı Suricata IDS kuralı, SMTP yoluyla veri sızdırıldığını gösterir |
Elimizdeki diğer bilgiler arasında dosyalar, senkronizasyon nesneleri (muteksler), ASN ve söz konusu IP adresini içeren korumalı alan oturumlarında keşfedilen tetiklenen Suricata kuralları yer alır.
 |
| Sorgulanan IP’ye bağlı Suricata IDS kuralı, SMTP yoluyla veri sızdırıldığını gösterir |
Ayrıca, saldırının tamamını görmek ve daha ilgili bilgiler toplamak için IP’nin tespit edildiği sanal alan oturumlarından birine gidebilir, ayrıca gerçek zamanlı olarak incelemek için örneğin analizini yeniden çalıştırabiliriz.
Tehdit araştırmalarınızı nasıl iyileştirebileceğini görmek için TI Arama’yı test edin. 14 günlük ücretsiz deneme talebinde bulunun.
Tehdit aktörlerinin altyapısını açığa çıkarmak için URL’leri kullanma
Alan adlarını ve alt alan adlarını incelemek, kötü amaçlı yazılım barındırmak için kullanılan URL’ler hakkında değerli bilgiler sağlayabilir. Bir diğer yaygın kullanım durumu ise kimlik avı saldırılarında kullanılan web sitelerinin belirlenmesidir. Kimlik avı web siteleri, kullanıcıları hassas bilgileri girmeleri için kandırmak amacıyla genellikle meşru siteleri taklit eder. Analistler bu alanları analiz ederek kalıpları ortaya çıkarabilir ve saldırganlar tarafından kullanılan daha geniş altyapıyı keşfedebilir.
 |
| Lumma’nın yük barındırma altyapısı için arama sorgumuzla eşleşen URL’ler |
Örneğin, Lumma kötü amaçlı yazılımının kötü amaçlı yükleri depolamak için “.shop” ile biten URL’ler kullandığı biliniyor. Bu göstergeyi tehdidin adıyla birlikte TI Arama’ya göndererek, kötü amaçlı yazılımın saldırılarında kullanılan en son etki alanlarını ve URL’leri yakınlaştırabiliriz.
Belirli MITRE TTP’lerine göre tehditleri belirleme
MITRE ATT&CK çerçevesi, düşman taktikleri, teknikleri ve prosedürlerine (TTP’ler) ilişkin kapsamlı bir bilgi tabanıdır. Araştırmalarınızın bir parçası olarak belirli TTP’leri kullanmak, ortaya çıkan tehditleri belirlemenize yardımcı olabilir. Mevcut tehditler hakkında proaktif olarak bilginizi geliştirmek, gelecekteki potansiyel saldırılara karşı hazırlıklı olmanıza katkıda bulunur.
 |
| ANY.RUN’un Tehdit İstihbarat Portalı tarafından 60 gün boyunca görüntülenen en popüler TTP’ler |
ANY.RUN, ANY.RUN sanal alanında analiz edilen binlerce kötü amaçlı yazılım ve kimlik avı örneğinde tespit edilen en popüler TTP’lerin canlı sıralamasını sağlar.
 |
| Bir algılama kuralıyla birlikte MITRE TTP içeren bir sorguyla eşleşen korumalı alan oturumları |
Örneklerinin bulunduğu korumalı alan oturumlarını bulmak için TTP’lerden herhangi birini seçip TI Arama’da aramaya gönderebiliriz. Yukarıda gösterildiği gibi, T1552.001’i (Dosyalardaki Kimlik Bilgileri) “Web Tarayıcılardan kimlik bilgilerini çalar” kuralıyla birleştirmek, bu etkinliklerde yer alan tehditlerin analizlerini tanımlamamıza olanak tanır.
YARA kurallarıyla numune toplama
YARA, kötü amaçlı yazılım ailelerinin metinsel veya ikili kalıplara dayalı açıklamalarını oluşturmak için kullanılan bir araçtır. Bir YARA kuralı, belirli bir kötü amaçlı yazılım ailesinin özelliği olan belirli dizeleri veya bayt dizilerini arayabilir. Bu teknik, bilinen kötü amaçlı yazılımların tespitini otomatikleştirmek ve benzer özellikleri paylaşan yeni varyantları hızlı bir şekilde tanımlamak için oldukça etkilidir.
TI Arama gibi hizmetler, ilgili örnekleri bulmak için özel kurallarınızı yüklemenize, düzenlemenize, saklamanıza ve kullanmanıza olanak tanıyan yerleşik YARA Araması sağlar.
 |
| XenoRAT YARA kuralı kullanılarak yapılan aramada 170’den fazla eşleşen dosya ortaya çıktı |
Bu tehdidin en son örneklerini keşfetmek için uzaktan kontrol ve veri hırsızlığı için kullanılan popüler bir kötü amaçlı yazılım ailesi olan XenoRAT için bir YARA kuralı kullanabiliriz. Hizmet, kuralın içeriğiyle eşleşen dosyaların yanı sıra, bu dosyaları daha geniş bir bağlamda keşfetmek için korumalı alan oturumları da sağlar.
Komut satırı yapıları ve işlem adlarıyla kötü amaçlı yazılımları keşfetme
Kötü amaçlı yazılımların komut satırı yapıları ve süreç adları aracılığıyla belirlenmesi etkili ancak yaygın olmayan bir tekniktir çünkü çoğu tehdit istihbaratı kaynağı bu tür yetenekler sağlamamaktadır.
ANY.RUN’un tehdit istihbaratı veritabanı, canlı sanal alan oturumlarından veri alması, gerçek komut satırı verilerine, işlemlere, kayıt defteri değişikliklerine ve sanal alanda kötü amaçlı yazılımın yürütülmesi sırasında kaydedilen diğer bileşenlere ve olaylara erişim sunmasıyla öne çıkıyor.
 |
| Strela hırsızıyla ilgili komut satırı ve süreç araması için TI Arama sonuçları |
Örnek olarak, uzak sunucusundaki “davwwwroot” adlı bir klasöre erişmek için Strela hırsızının net.exe işlemiyle birlikte kullandığı bir komut satırı dizesini kullanabiliriz.
TI Arama, korumalı alan oturumlarında bulunan ve sorgumuzla eşleşen çok sayıda örnek, dosya ve olay sağlar. Karşılaştığımız tehdide ilişkin daha fazla bilgi elde etmek için bu bilgileri kullanabiliriz.
ANY.RUN’dan Tehdit İstihbaratı Aramasını Entegre Edin
Tehdit araştırması çalışmalarınızı hızlandırmak ve kalitesini artırmak için TI Arama’yı kullanabilirsiniz.
TI Lookup’ı deneyin ve 14 günlük deneme süresiyle tehdit araştırmalarınıza nasıl katkıda bulunabileceğini görün →
ANY.RUN’un tehdit istihbaratı, dünya çapında 500.000’den fazla araştırmacı tarafından analiz edilmek üzere sanal alana yüklenen örneklerden elde edilmektedir. Bu devasa veritabanında 40’tan fazla arama parametresi kullanarak arama yapabilirsiniz.
TI Lookup ile tehdit araştırmalarınızı nasıl geliştireceğiniz hakkında daha fazla bilgi edinmek için ANY.RUN’un 23 Ekim 14:00 GMT (UTC +0) tarihindeki canlı web seminerini izleyin.