MITRE, ATT&CK ile global çapta yapılan ve başarıya ulaşan saldırıların kullandıkları taktik ve tekniklerin belirli bir modelde ortaya koymaktadır. Bu modelin görselleştirmesini ise navigator ismini verdikleri bir program ile sağlamaktadır. Program üzerinden çeşitli APT senaryoları seçilebilir ve hangi adımlarında neler kullanıldığı görsel olarak görülebilir. Bunun yanı sıra MITRE ana sayfası üzerinden ilgili APT’nin tanımı ve tespit yöntemlerine erişilebilir.
T1059.001-Powershell
MITRE navigator Nisan ayında yaptığı güncelleme ile bazı tekniklerini alt teknik olarak kullanmaya başladı. Bu tekniklerden birisi T1059 tekniğidir. İlgili teknik PowerShell, AppleScript, Windows Command Shell, Unix Shell, Visual Basic, Python ve JavaScript/JScript alt tekniklerine ayrıldı.
Bugün seri dizimizde MITRE ATT&CK’e ait ilk olarak T1059.001-Powershell alt tekniğini kullanan bir tehdidin nasıl avlanabileceği üzerine bazı bilgiler vereceğiz.
Powershell, Microsoft tarafından Windows sistemleri için komut çalıştırma fonksiyonlarını arttırarak sistem yöneticileri ve uzman kullanıcılar için otomasyon ve özgürlüğü arttırmak üzerine dizayn edilen bir kodlama dilidir.
Admin olarak çalıştırılan bir Powershell ile istenilen her türlü process ve script çalıştırılabilmektedir. Bu noktada bir zararlının powershell üzerinden çalıştırılması ve olağan görülmektedir. Birçok APT’nin ve diğer zararlının powershell komutları ile yazılabildiği tespit edilmiş olup, çalıştırmak ve yayılmak için de kullanılabildiği raporlanmaktadır.
APT3 saldırılarında başarılı exploit denemelerinin ardından powershell üzerinden payload indirip çalıştırdığı bilinmektedir.
Tehdit Avcılığı İp Ucu
Windows sistemlerde bir process oluştuğunda 2 farklı event ID oluşarak olay günlüğüne kaydedilir. Bunlardan Security loglarında 4688 event ID’si oluşurken, sysmon loglarında 1 event ID’sini görebiliriz.
Security Event Log
Event ID 4688 ile yeni oluşturulan process ve hangi process tarafından çalıştırıldığı bilgileri yanı sıra çalıştırılması sırasında hangi komut satırı kullanıldığı bilgilerine erişim sağlamaktadır. Aşağıda temsili bir görseli paylaşılan olay günlük kaydında yeni oluşturulan process kısmında C:\Windows\System32\ dosya yolunda olmayan bir process görülmesinde şüpheli olarak yaklaşılmalıdır.
Yeni oluşturan process’in C:\Windows\System32\ dosya yolunda olması durumunda komut satırı tehditi avlamak için önem kazanmaktadır. Komut satırında standart bir komut görülmemesi durumunda şüpheli olarak yaklaşılmalıdır.
Örnek processler olarak gösterilen smss.exe ve csrss.exe processleri hakkında yazılarımıza sayfamızdan erişebilirsiniz.
Sysmon Event Log
Event ID 1 ile Image kısmı ile çalıştırılan process’e ait bilgiye CommandLine ile hani komut ile çalıştırıldığına ve ParentImage ile hangi process tarafından çağrıldığını ifade etmektedir.
Aşağıda powershell üzerinde cmd.exe’nin çalıştırılması sonucunda oluşan olay günlüğünü görebiliyoruz. Komut satırında herhangi bir problem bulunmaması nedeniyle olay günlüğü normal olarak algılanabilir. Ancak burada cmd.exe’nin çalıştırılması nedeniyle, cmd.exe tarafından bir başka process’in create edilmesi olasılığı taşımaktadır.
Olay günlüklerinde avlanmaya devam ederken cmd.exe tarafından çalıştırılan process ya da komutlar incelenmelidir. Powershell tarafından cmd.exe’nin oluşturulmasından 5 saniye sonrasında cmd.exe tarafından whoami.exe process’inin çalıştırıldığı tespit edilmiştir.
Son olarak bir tehdit avcısı olarak olay günlüklerinde event ID 5 olarak görülen ve bir process’in terminal üzerinden çalıştırılması sonucu ortaya çıkan logları kontrol etmek önem taşımaktadır.