“Fraudulent Domain” Adlarının SOC Ekiplerine Katkısı

Güvenlik sektöründe popülaritesini hiç yitirmeyen başlıklardan biri olarak “Fraudulent Domain” adlarının kullanımını rahatlıkla söyleyebiliriz. Kişisel verileri (kullanıcı oturum bilgileri, kredi kartı, vb. ) elde etmek için yola çıkan bir siber saldırgan, hedeflediği kuruma çeşitli yöntemlerle sızma girişimlerinde bulunmayı tercih edebilir. Bunun yerine kurum ismine benzer bir alan adı alıp oltalama saldırısı gerçekleştirerek bu bilgileri toplaması çok daha kolay olabilmektedir. Saldırı vektörünü elbette bu şekilde sınırlamak doğru olmaz; ancak, en yaygın kullanımı olarak belirtebiliriz.

Planlanıp pratiğe dökülmesi bu kadar kolay olan bir başlık için “SOC ekipleri nasıl aksiyon alabilir?” sorusuna yanıt olarak izlenecek adımlar elbette ki her kurumun yapısına göre değişiklik gösterebilir. “Fraudulent Domain” lerin tespit edilmesi için ilk olarak bir siber olayın gerçekleşmesi ve analiz edilmesi gerekir. Analizler sonucu elde edilen siber istihbarat neticesinde kurumlar güvenlik çözümlerinde rahatlıkla aksiyona geçebilirler. Bu verilere yönelik SOC ekiplerinin aksiyonları aşağıdaki şekilde olabilir.

  • Kurum bünyesinde yer alan içerik filtreleme sisteminde engelleme sağlamak
  • IPS, IDS ya da Full Packet Capturing çözümlerinde kurum içinden buralara erişim yapanların tespiti ve engelleme için kurallar geliştirmek

Çeşitli güvenlik analizlerinden sonra “Fraudulent Domain” olarak adlandırılan bir veriye yönelik somut adımlar atmak elbette ki doğru yaklaşımdır. Ancak, üzücü olan yanları aksiyon alana kadar birçok veri kaybının yaşanması veya kurum ağındaki varlıklara zararlı yazılımların bulaşması risklerinin çok fazla azaltılamamasıdır. Bu kategoride saldırı gerçekleştiren kişi veya kişilerin ciddi kazançlar elde ettiği gibi hatrı sayılır miktarda bu işlere yatırım yaptığı da çeşitli araştırmalar sayesinde bilinmektedir. Bundan dolayı, SOC ekiplerinin bir adım daha ileriye giderek saldırı gerçekleşmeden önce haberdar olabilmesi gerekmektedir.

Ülkemizde hem aktif hem de ücretsiz olarak “Fraudulent Domain” adları paylaşan USOM ve NormShield Reputation Feed servisleri bulunmaktadır. USOM genel olarak kendi ekibinin araştırmaları ve gelen şikayet/bildirimler sonucu elde ettiği zararlı bağlantıları Bankacılık-Oltalama, Zararlı Yazılım Barındıran/Yayan Alan Adı gibi kategorisi ile birlikte paylaşmaktadır. NormShield Reputation Feed tarafında ise bütünüyle hedef nokta “Fraudulent Domain” adlarıdır. Bu sayede daha çok ülkemizi hedef alan bu veriler ile gerçekleşen ya da gerçekleşecek olaylara SOC ekipleri olarak hızlı şekilde müdahale edebiliriz. Bu servislerin kullanımıyla yukarıda aksiyon konusunda belirttiğimiz maddeleri daha efektif hale getirmekle beraber bunlara  yeni maddeler de ekleyebiliriz.

  • İçerik Filtreleme (Proxy) olarak kullanılan sistemlere elde edilen istihbarat verilerin kategorisi (örnek olarak “Fraudulent Domain”) ile eklenmesi. Bu şekilde kurum içerisinden erişim yapan kişilerin detaylı bilgileri SIEM üzerinde toplayabiliriz. SIEM tarafında mevcut ürünümüze yönelik bu tarz haberleşmelerin olmasına ilişkin alarm oluşturabiliriz.
  • IPS, IDS veya Full Packet Capturing üzerinde kurum içerisinden bu verilere erişimlerin tespit edilmesi haricinde, kurum dışından gelen HTTP isteklerinde Header ‘da yer alan Referer kısmının kontrol edilmesi sağlanabilir. Erişimi yapan kaynağın olası bir oltalama saldırısına düşmüş olması ihtimali bu sayede tespit edilebilir. Burada oluşturulan imzaların SIEM aktarılmasıyla merkezi olarak takip sağlanabilir.
  • DNS Güvenlik çözümü kullanılıyorsa orada benzer şekilde liste oluşturulur ya da mevcut listeler güncellenebilir. Burada da benzer şekilde yapılan erişimlere ilişkin oluşan alarmlar SIEM’e aktarılıp orada bunlara ilişkin kurallar hazırlanıp takip edilebilir.
  • SIEM üzerinde “Fraudulent Domain” adlarını bir liste yapısıyla tutabilirsiniz. Periyodik olarak aldığınız yeni sahte alan adlarını bu listeye eklemesini yapıp aşağıdaki şekilde korelasyonlar oluşturulabilir.
    • DNS Debug Trace loglarından bu listede yer alan herhangi bir alan adını sorgulaması durumunda alarm oluşturabilirsiniz.
    • Kurum web uygulamalarınıza erişim loglarında yer alan Referer alanında bu alan adlarından herhangi biri bu listede yer alıyorsa erişimi yapan kullanıcıların belirlenmesi.

Kurumunuza uygun bu adımların kullanılması sayesinde SOC ekibiniz daha aktif olması ve olası bir tehdidin hızlı tespit edilmesi sağlanabilir. Bu sayede hem kurum içinde hem de kurum dışındaki müşterilerinizin kayıplarına yönelik riskleri azaltabilirsiniz.

NormShield Reputation Feed servisinden ücretsiz şekilde çekebileceğiniz bu veriler için python ile yazılmış bir script geliştirdim. Script basitçe ilgili servisden verileri alıp CEF haline getirerek çalıştığı linux sunucunun syslog yapılandırması ile hedef adrese logları göndermektedir. Örnek kullanımı aşağıda yer almaktadır. Güncel alan adlarının toplanması için script’in periyodik olarak çalıştırılması gerekmektedir. Ek olarak, servisin kullanılması için çalışacağı kaynak IP adresinden kurumsal bir kimlik ile kayıt olunulmalıdır.

# python fraudulent.py –url “https://reputation.normshield.com/domain/fraudulent/text/” -v “NormShield” -p “Reputation Feed”

Kullanılabilir Kaynaklar:

  • USOM Zararlı Bağlantılar – https://www.usom.gov.tr/url-list.txt
  • NormShield Reputation Feed – https://reputation.normshield.com/domain/fraudulent/text/
  • Fraudulent Domain Python Script – https://github.com/mehmetklc/fraudulent-domain

Yazar: Mehmet Kılıç