Siber Olay Analizinde “Merkezi Tehdit İstihbaratı” Kullanımı

Günümüzde kurumsal ağlarda bilgi güvenliğine yapılan yatırımların başında SIEM çözümleri gelmektedir. Analiz sırasında bu cihazlar üzerinden olaya ait zaman dilimini bir bütün olarak incelemek ve gerekli bileşenlerin loglarına ulaşmak oldukça kolay hale gelmiştir. Fakat bu cihazlar sadece vaka ile ilgili log kayıtlarını tutmaktadır. Olayı daha da açık hale getirmek için, bağlantı kuran ip adreslerinin, çalıştırılan dosyaların ya da erişilen url adresleri vs gibi detayların repütasyon bilgilerine ihtiyaç vardır. Makineden dışarıya doğru çıkan anormal trafiğin sebebi, ilgili ip adresine ait repütasyon bilgisi ile elde edilecektir. Bu tür veri zenginleştirme işlemleri için günümüzde “ threat intelligence “ çözümleri kullanılmaktadır. Bu ürünlerin SIEM çözümlerine entegre edilmesi ile yaşanan bir olaya ait detaylar daha kolay elde edilebilecektir.



Açık kaynak kodlu automater aracı url/domain, ip adresi ve md5 hash bilgilerini kullanarak IPvoid.com, Robtex.com, Fortiguard.com, unshorten.me, Urlvoid.com, Labs.alienvault.com, ThreatExpert, VxVault, ve VirusTotal gibi sitelerden aradığınız içeriğin repütasyon bilgilerini sorgulamakta ve yaşanan vakanın çözümünde elde edilen bulgular hakkında detaylı bilgi vermektedir.
Uygulamayı indirdikten sonra help menüsünden gerekli parametreleri detaylıca inceleyebilirsiniz. İlk olarak herhangi bir ip adresi ya da domaine ait repütasyon bilgisini sorguladığınızda aşağıdaki gibi bir çıktı ile karşılacaksınız.



root@bgalab:~/Desktop/tools/TekDefense-Automater# python Automater.py 37.221.161.215

____________________     Results found for: 37.221.161.215     ____________________
No results found in the RTex DNS
[+] Fortinet URL Category: Information Technology
[+] VT ASN: 39743
[+] VT Country: RO
[+] VT AS Owner: No results found
[+] VT pDNS: No results found
[+] VT Malware: (‘2013-12-08 19:16:25’, ‘9b8cdbd216044d13413efee6c20c5da080da30a9aacabeeeb5cea66e96104645’)
[+] VT Mal URLs: (‘hxxp://37.221.161.215/crypted.exe’, ‘2015-11-18 05:16:49’)
[+] VT Mal URLs: (‘hxxp://37.221.161.215/Crypted.exe’, ‘2015-11-11 06:01:02’)
[+] VT Mal URLs: (‘hxxp://37.221.161.215/revproxy20112013/’, ‘2015-09-25 23:01:40’)
[+] VT Mal URLs: (‘hxxp://37.221.161.215/’, ‘2015-09-25 07:01:39’)
[+] VT Mal URLs: (‘hxxp://37.221.161.215/revproxy20112013/index.php’, ‘2015-09-25 04:52:32’)
[+] VT Mal URLs: (‘hxxp://37.221.161.215/revproxy20112013/index.php?action=login’, ‘2015-09-17 06:01:40’)
[+] VT Mal URLs: (‘hxxp://37.221.161.215/socks.exe’, ‘2015-04-30 06:58:02’)
[+] VT Mal URLs: (‘hxxp://37.221.161.215/crypted.exe%5B’, ‘2013-12-06 06:48:23’)
[+] VT Mal URLs: (‘hxxp://37.221.161.215/crypted.exe%5B/code%5D’, ‘2013-11-29 13:36:44’)



Yine aynı şekilde şüphelendiğiniz bir yazılıma ait md5 hash değerini bu araç ile sorguladığınız zaman aşağıdaki gibi bir sonuç karşınıza çıkacaktır.



root@bgalab:~/Desktop/tools/TekDefense-Automater# python Automater.py

____________________     Results found for: 44A6A7D4A039F7CC2DB6E85601F6D8C1     ____________________
[+] MD5 found on VT: 1
[+] Scan date submitted: 2015-03-30 12:19:30
[+] Detected Engines: 42
[+] Total Engines: 56
[+] Vendor | Classification: (‘MicroWorld-eScan’, ‘Trojan.Downloader.JQGE’)
[+] Vendor | Classification: (‘nProtect’, ‘Trojan/W32.Blocker.1429504’)
[+] Vendor | Classification: (‘CAT-QuickHeal’, ‘TrojanPWS.Zbot.Gen’)
[+] Vendor | Classification: (‘McAfee’, ‘PWSZbot-FKQ!44A6A7D4A039’)
[+] Vendor | Classification: (‘Malwarebytes’, ‘Trojan.Dropper.UPT’)
[+] Vendor | Classification: (‘Zillya’, ‘Trojan.Zbot.Win32.145968’)
[+] Vendor | Classification: (‘K7AntiVirus’, ‘Trojan ( 004904bd1 )’)
[+] Vendor | Classification: (‘K7GW’, ‘Trojan ( 004904bd1 )’)
[+] Vendor | Classification: (‘NANO-Antivirus’, ‘Trojan.Win32.Zbot.cqnsrz’)
[+] Vendor | Classification: (‘Symantec’, ‘Trojan.Gen.2’)
[+] Vendor | Classification: (‘TrendMicro-HouseCall’, ‘TROJ_GEN.R047C0ECP15’)
[+] Vendor | Classification: (‘Avast’, ‘Win32:CeeInject-Y [Trj]’)
[+] Vendor | Classification: (‘Kaspersky’, ‘HEUR:Trojan.Win32.Generic’)
[+] Vendor | Classification: (‘BitDefender’, ‘Trojan.Downloader.JQGE’)
[+] Vendor | Classification: (‘Agnitum’, ‘Trojan.Blocker!tq8JK8ba1bk’)
[+] Vendor | Classification: (‘Rising’, ‘PE:Malware.Obscure/Heur!1.9E03’)
[+] Vendor | Classification: (‘Ad-Aware’, ‘Trojan.Downloader.JQGE’)
[+] Vendor | Classification: (‘Sophos’, ‘Troj/HkMain-BW’)


Sonuçları daha da okunabilir hale getirmek için kendi içindeki çıktı formatlarını kullanarak sonuçları html, csv ya da text olarak alabilirsiniz. Bunun için ;
  • -c ile csv formatında
  • -w ile html formatında
  • -o ile kendi formatında
çıktı elde edilebilir.  



Az önce sorgulama yapılan hash bilgisine ait çıktının html, csv ve txt hali aşağıdaki gibidir.



root@bgalab:~/Desktop/tools/TekDefense-Automater# python Automater.py 44A6A7D4A039F7CC2DB6E85601F6D8C1 -o sonuc.txt -c sonuc.csv -w sonuc.html



Html formatında çıktısı :





Excel formatında çıktısı :





Txt formatında çıktısı :



Osman Cihat IŞIK  < cihat.isik@bga.com.tr >