Linux Algılama Mühendisliği serisinin ayrıntılı devamında, Elastic Security’den Ruben Groenewoud, tehdit aktörlerinin Linux sistemlerinde kullandığı gelişmiş kalıcılık mekanizmalarına ilişkin derinlemesine bir inceleme yayınladı.
Elastic Search Labs tarafından yayınlanan teknik makalede, geleneksel başlatma sistemlerinden udev kuralları ve Git kancaları gibi daha karmaşık tekniklere kadar Linux sistemlerinde kalıcılığı sağlamak için kullanılan çeşitli yöntemler ele alınıyor.
Groenewoud, etkili tespit ve avlanma yetenekleri geliştirmek için hem basit hem de karmaşık kalıcılık stratejilerini anlamanın önemini vurguluyor.
Amaç, savunucuları ve güvenlik araştırmacılarını Linux kalıcılığının temel yönleri konusunda eğitmektir. Bu, hem basit hem de gelişmiş teknikleri keşfetmeyi, bu yöntemlerin nasıl çalıştığını anlamayı, bunları nasıl tanımlayacağınızı öğrenmeyi ve etkili tespit stratejileri geliştirmeyi içerir.
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!
Keşfedilen Temel Teknikler
Başlatma Sistemleri: Makalede System V ve Upstart ele alınıyor ve modern dağıtımlarda Systemd’nin yaygınlığına rağmen bu eski başlatma sistemlerinin kalıcılık için nasıl hâlâ kullanılabildiği ayrıntılı olarak açıklanıyor.
Kontrol Komut Dosyalarını Çalıştır: Yetkisiz erişimi sürdürmede rc.local ve diğer önyükleme betiklerini içeren teknikler incelenerek bunların kötüye kullanılma potansiyelleri vurgulanmaktadır.
Günün Mesajı (MOTD): Kalıcılık için MOTD betiklerinin kullanımı tartışılmakta ve tespit ve önleme stratejilerine ilişkin bilgiler verilmektedir.
Udev Kuralları: Groenewoud, Linux aygıt yöneticisi udev’in kalıcılık vektörü olarak kullanımını inceliyor, sınırlamalarına ve kötüye kullanılma potansiyeline dikkat çekiyor.
Paket Yöneticileri: Makalede APT, YUM ve DNF paket yöneticilerinin kancalar ve eklentiler aracılığıyla kalıcılık için nasıl kullanılabileceğine dair ayrıntılı bir bakış sunulmaktadır.
Git Hook’ları ve Pager: Git kancalarının ve çağrı cihazı yapılandırmalarının keyfi kod çalıştırmak için kötüye kullanımı analiz edilerek tespit içgörüleri sunulmaktadır.
Süreç Yetenekleri: Makalede, ayrıntılı erişim kontrolü için tasarlanan işlem yeteneklerinin, kalıcılık ve ayrıcalık yükseltme amacıyla nasıl kötüye kullanılabileceği tartışılmaktadır.
Sistem İkili Saldırısı: Kötü amaçlı kodları çalıştırmak için sistem ikili dosyalarını ele geçirme teknikleri ve tespit yöntemleri incelenmektedir.
Araştırmacı, bu kalıcılık mekanizmalarının kurulumunu ve testini basitleştirmek için Elastic Security tarafından geliştirilen bir araç olan PANIX’i tanıtıyor. Groenewoud, saldırıları simüle etmek ve tespit yeteneklerini değerlendirmek için PANIX’in kullanımına ilişkin pratik örnekler sunuyor.
PANIX: Linux Kalıcılık Mekanizmalarını Test Etmek İçin Bir Araç
PANIX, Elastic Security’den Ruben Groenewoud tarafından geliştirilen bir Linux kalıcılık aracıdır. Algılama yeteneklerini test etmek için kalıcılık mekanizmalarının kurulumunu basitleştirmek ve özelleştirmek için tasarlanmıştır.
PANIX’in Temel Özellikleri
- Basitleştirilmiş Kurulum: PANIX, çeşitli kalıcılık mekanizmalarının kurulması sürecini otomatikleştirerek güvenlik uzmanlarının manuel kurulum yerine tespite odaklanmasını sağlar.
- Özelleştirilebilir Test: Kullanıcılar, init betikleri, udev kuralları, paket yöneticisi kancaları ve daha fazlası gibi test etmek için farklı kalıcılık teknikleri belirleyebilir. Bu esneklik, çok çeşitli senaryolarda algılama stratejilerinin etkinliğini değerlendirmeye yardımcı olur.
- Tespit Fırsatları: PANIX, gerçek dünyadaki kalıcılık tehditlerini simüle ederek mevcut tespit kurallarındaki potansiyel boşlukları belirlemeye yardımcı olur ve bu mekanizmaların saldırganlar tarafından nasıl kullanılabileceğine dair içgörüler sağlar.
- Kapsamlı Kapsam: PANIX, System V init betikleri, rc.local betikleri, dinamik MOTD betikleri ve daha fazlası dahil olmak üzere çeşitli kalıcılık yöntemlerini destekleyerek farklı Linux ortamlarında kapsamlı testler yapılmasını sağlar.
- Algılama Araçları ile Entegrasyon: Araç, Elastic’in algılama kurallarıyla birlikte çalışır ve SIEM ve uç nokta kuralları kullanılarak algılama fırsatları için analiz edilen olayların üretilmesinde kullanılabilir.
PANIX, kalıcılık mekanizmaları kurmak için belirli komutlarla yürütülebilir. Örneğin, kalıcılık için bir System V başlatma betiği kurmak şu şekilde yapılabilir:
sudo ./panix.sh --initd --default --ip 192.168.1.1 --port 2006Bu komut, sistem başlatıldığında etkinleştirilecek bir arka kapı oluşturur ve güvenlik ekiplerinin bu tür tehditlere karşı tespit yeteneklerini test etmelerine olanak tanır.
Kalıcılık mekanizmalarını test etmeye yönelik akıcı bir yaklaşım sunarak PANIX, Linux sistemlerinde algılama ve yanıt stratejilerini geliştirmek isteyen siber güvenlik uzmanları için paha biçilmez bir araçtır.
Tehdit avcılığına proaktif bir yaklaşım sağlar ve gelişmiş kalıcılık tekniklerine karşı güçlü savunmaların sağlanmasına yardımcı olur.
Serinin sonunda, okuyucuların çeşitli Linux kalıcılık mekanizmaları ve bunların SIEM ve uç nokta kuralları kullanılarak nasıl tespit edileceği konusunda sağlam bir anlayışa sahip olması bekleniyor. Groenewoud, gizli tehditleri ortaya çıkarmak için ES|QL ve OSQuery gibi araçlardan yararlanarak tehdit avına yönelik proaktif bir yaklaşımı teşvik ediyor.
Bu makale, siber güvenlik savunmalarını geliştirmek isteyenler için değerli bir kaynaktır. Linux sistemlerindeki gelişmiş kalıcılık tehditlerini anlamalarına ve azaltmalarına yardımcı olur.
Elastic Security Labs’ın üçüncü bölümü olan “Linux Algılama Mühendisliği – Kalıcılık Mekanizmalarının Devamı”, siber güvenlik profesyonelleri ve araştırmacıları için hayati önem taşıyan bu teknikleri anlamak ve tespit etmek için kapsamlı bir rehber sunuyor.
Elastic Security Labs’ın Linux algılama mühendisliğinin inceliklerini keşfetmeye devam ettiği bu seride, teknik yazının tamamını ve daha fazla bilgiyi okuyabilirsiniz.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial