6.7 C
İstanbul
13/12/2024
Image default
Tehdit Avcılığı

MITRE ATT&CK Teknikleri ile Tehdit Avcılığı

MITRE, ATT&CK ile global çapta yapılan ve başarıya ulaşan saldırıların kullandıkları taktik ve tekniklerin belirli bir modelde ortaya koymaktadır. Bu modelin görselleştirmesini ise navigator ismini verdikleri bir program ile sağlamaktadır. Program üzerinden çeşitli APT senaryoları seçilebilir ve hangi adımlarında neler kullanıldığı görsel olarak görülebilir. Bunun yanı sıra MITRE ana sayfası üzerinden ilgili APT’nin tanımı ve tespit yöntemlerine erişilebilir.

T1059.001-Powershell

MITRE navigator Nisan ayında yaptığı güncelleme ile bazı tekniklerini alt teknik olarak kullanmaya başladı. Bu tekniklerden birisi T1059 tekniğidir. İlgili teknik PowerShell, AppleScript, Windows Command Shell, Unix Shell, Visual Basic, Python ve JavaScript/JScript alt tekniklerine ayrıldı.
Bugün seri dizimizde MITRE ATT&CK’e ait ilk olarak T1059.001-Powershell alt tekniğini kullanan bir tehdidin nasıl avlanabileceği üzerine bazı bilgiler vereceğiz.
Powershell, Microsoft tarafından Windows sistemleri için komut çalıştırma fonksiyonlarını arttırarak sistem yöneticileri ve uzman kullanıcılar için otomasyon ve özgürlüğü arttırmak üzerine dizayn edilen bir kodlama dilidir.
Admin olarak çalıştırılan bir Powershell ile istenilen her türlü process ve script çalıştırılabilmektedir. Bu noktada bir zararlının powershell üzerinden çalıştırılması ve olağan görülmektedir. Birçok APT’nin ve diğer zararlının powershell komutları ile yazılabildiği tespit edilmiş olup, çalıştırmak ve yayılmak için de kullanılabildiği raporlanmaktadır.

APT3 saldırılarında başarılı exploit denemelerinin ardından powershell üzerinden payload indirip çalıştırdığı bilinmektedir.

Tehdit Avcılığı İp Ucu

Windows sistemlerde bir process oluştuğunda 2 farklı event ID oluşarak olay günlüğüne kaydedilir. Bunlardan Security loglarında 4688 event ID’si oluşurken, sysmon loglarında 1 event ID’sini görebiliriz.

Security Event Log

Event ID 4688 ile yeni oluşturulan process ve hangi process tarafından çalıştırıldığı bilgileri yanı sıra çalıştırılması sırasında hangi komut satırı kullanıldığı bilgilerine erişim sağlamaktadır. Aşağıda temsili bir görseli paylaşılan olay günlük kaydında yeni oluşturulan process kısmında C:\Windows\System32\ dosya yolunda olmayan bir process görülmesinde şüpheli olarak yaklaşılmalıdır.
Yeni oluşturan process’in C:\Windows\System32\ dosya yolunda olması durumunda komut satırı tehditi avlamak için önem kazanmaktadır. Komut satırında standart bir komut görülmemesi durumunda şüpheli olarak yaklaşılmalıdır.

Örnek processler olarak gösterilen smss.exe ve csrss.exe processleri hakkında yazılarımıza sayfamızdan erişebilirsiniz.

Resim 1: Security 4688 event ID’sinin çıktısı

Sysmon Event Log

Event ID 1 ile Image kısmı ile çalıştırılan process’e ait bilgiye CommandLine ile hani komut ile çalıştırıldığına ve ParentImage ile hangi process tarafından çağrıldığını ifade etmektedir.
Aşağıda powershell üzerinde cmd.exe’nin çalıştırılması sonucunda oluşan olay günlüğünü görebiliyoruz. Komut satırında herhangi bir problem bulunmaması nedeniyle olay günlüğü normal olarak algılanabilir. Ancak burada cmd.exe’nin çalıştırılması nedeniyle, cmd.exe tarafından bir başka process’in create edilmesi olasılığı taşımaktadır.

Resim 2: Sysmon 1 event ID’sinin çıktısı(cmd.exe)

Olay günlüklerinde avlanmaya devam ederken cmd.exe tarafından çalıştırılan process ya da komutlar incelenmelidir. Powershell tarafından cmd.exe’nin oluşturulmasından 5 saniye sonrasında cmd.exe tarafından whoami.exe process’inin çalıştırıldığı tespit edilmiştir.

Resim 3: Sysmon 1 Event ID’sinin çıktısı(whoami.exe)

Son olarak bir tehdit avcısı olarak olay günlüklerinde event ID 5 olarak görülen ve bir process’in terminal üzerinden çalıştırılması sonucu ortaya çıkan logları kontrol etmek önem taşımaktadır.

Resim 4: Sysmon 5 event ID’sinin çıktısı

Related posts

Tehdit Avcılığında Windows Prosesleri – System

Serdar H.

Tehdit Avcılığı – Part-1

Serdar H.

Tehdit Avcılığında Windows Prosesleri – Csrss.exe

Serdar H.

Bu web sitesi, kullanıcı deneyimini iyileştirmek amacıyla çerezler kullanmaktadır. Kabul Et Daha Fazlası