BGA Cyber Security – Siber Güvenlik Çözümleri

SOME – SOC Ekipleri için Kullanıma Hazır Açık Kaynak Çözümler – II

SOME – SOC Ekipleri için Kullanıma Hazır Açık Kaynak Çözümler konusu ikinci bölümü ile karşınızdayız. Bu çözümler arasından Yeti Projesi ve Fame-FIR Framework’ü anlatarak konuyu detaylandıracağız.

Yeti Projesi

Yeti, teknik, taktik ve prosedürler (TTP) hakkındaki bilgileri tek birleşik bir depoda organize etmeyi amaçlayan bir platformdur. Yeti, tehdit göstergelerini (IOC) otomatik olarak zenginleştirebilme özelliğine sahiptir. Örneğin domain alanlarını çözmek, IP adreslerini coğrafi konumlara ayırmak gibi. Yeti kullanıcıların rahat bir ortamda çalışabilmesi için Bootstrap tabanlı bir kullanıcı arayüzü sunmaktadır. Bir web API arabirimi üzerinden diğer araçlarla entegre edilebilmekte ve kullanılabilmektedir.

Yeti, çok çeşitli kaynaklardan örneğin yazımızda bahsettiğimiz zararlı yazılım bilgi paylaşım platformu olan MISP üzerinden zararlı yazılımlara ait göstergeler, XML özetleri, JSON verileri toplayabilir ve işleyebilmektedir. Sorguları otomatik hale getirebilir ve olay müdahale ekiplerinin işlerine yardımcı olabilmektedir. Yeti, yakın zamanda piyasaya sürülen ve tehdit istihbarat yönetimini kolaylaştırmayı amaçlayan birçok araçtan biridir. Beslemeler ile verilerini derlemenize ve zenginleştirmenize yarayacak çok geniş bir araç kombinasyonuna sahiptir.

Yeti üzerine eklenen tüm bu verileri hızlıca listeleyebilir, analiz edebilir, ilişkilendirebilir ve dışa aktarım sağlayabilirsiniz. Örneğin bu veriler SIEM gibi ürünlere meşhur formatlarda aktarılabilir ve entegrasyon sağlanabilir. Bu sayede yapılan analizler sonucu bulunan tüm tehdit istihbaratını SIEM gibi yazılımlar üzerine aktarmakla uğraşmaktan kurtarmaktadır.

yeti kullanım alanları

Yeti Kullanım Alanları

Örneğin zararlı yazılımları tespit edebilmek için bir sandbox sisteminiz var ve yeni bir bankacılık zararlısı tespit ettiniz. Bu zararlı yazılım çaldığı verileri depolamak için kullanıcının “Roaming” dizininde başka bir alt dizin kullandığını anladınız. Bunu belgelemek istersiniz, böylece başka bir analist bu davranışı gördüğünde bunun bir bankaları hedefleyen bir zararlı yazılım davranışı olduğunu kolayca anlayabilmektedir.

Web sitesi: https://yeti-platform.github.io/yeti-ecosystem

Github: https://github.com/yeti-platform/yeti

Topluluk: https://yeti-platform.github.io/community

Fame-FIR Framework

FAME, uçtan uca (end-to-end) analizi hızlandırmak ve otomatikleştirmek için mümkün olduğunca çok bilgi kullanan ve zararlı yazılımlar ile ilgili dosyaların analizini kolaylaştırmak amacıyla geliştirilmiş açık kaynak zararlı yazılım analiz platformudur. Fame projesi, zararlı yazılım analizi alanında uğraşan ekiplerin ana problemlerini çözmek üzerine tasarlanmıştır.

Bir zararlı yazılım analizini tamamlamak oldukça fazla zaman almaktadır, örneğin spam emailler ile dağıtılan bir bankacılık zararlısını ele aldığımızda analist bu zararlı yazılımı dağıtılan spam mailler sayesinde tanımış bile olsa kimin ve nasıl hedef aldığını öğrenmek için elde edilen örneği sanal bir makineye yüklemesi, analiz sonucunu beklemesi, belleğin imajını alması ve bu belleğin analizini yapması, tersine mühendislik gibi oldukça zorlu süreçleri tamamlaması gerekmektedir. Ayrıca her analist farklı sorunları farklı bir şekilde çözebilir.

Fame, bir framework olarak bu sorunları ele almaktadır ve çözüm oluşturulmuş modülleri zincir gibi kullanarak uçtan uca analiz yapmaktadır. Örneğin, bir analist bir zararlı yazılım örneği gönderecek, birkaç dakika bekleyecek ve FAME malware ailesini tanımlayacak, yapılandırmasını çıkartacak ve malware’in kuruluşunuzu nasıl hedeflediğini tespit edebilecektir.

Fame, modüller olarak Python sınıflarını (class) kullanmaktadır. Bu yönden de oldukça avantajlı, kolay yazılabilir ve anlaşılabilir bir Syntax’e sahiptir.

 

Fame – Tehdit İstihbaratından Yararlanmak

Fame üzerindeki tehdit istihbaratı modülleri, analizinizi tehdit istihbaratı platformlarınızdaki etiketler ve göstergelerle zenginleştirmek için FAME tarafından otomatik olarak kullanılmaktadır.

Örneğin, olay müdahale ekiplerinin zararlı yazılım analizi kısmında işlerini kolaylaştırmak için oluşturulan FAME, “FIR” adında bir olay yönetim (incident managament) platformuna da sahiptir.

FIR (Fast Incident Response) Projesi

Sonraki bölümde Cortex ve Gosint projelerinden bahsedeceğiz.

Exit mobile version