Ağ Trafik ve Forensik Analizi Zararlı Yazılım Analiz ve Mücadele Merkezi TÜBİTAK BİLGEM Siber Güvenlik Enstitüsü
Ağ Forensik Analizi Tanım Bilgisayar ağlarının herhangi saldırıya karşın izlenmesi ve analiz edilmesi Amaç Şüpheli bağlantı ve zararlı yazılım tespiti Saldırı kaynaklarını araştırma Yöntem Kurum içine ve dışarı yapılan bağlantıların sistematik olarak incelenmesi Deliller Ağ akış kayıtları PCAP Olay kayıtları Alarmlar 2
Ağ Forensik Analizi - Zorluklar - 4V Volume Büyük Ağ Verisi (GB s) Velocity Yüksek Veri Akışı Variety Farklı Protokoller Variability Geçici, uçucu bilgiler 3
Ağ Forensik Genel Yaklaşımı Olay ne zaman, nasıl ve nerede gerçekleşti? İlişkilendirme Zaman Tüneli Olayın kaynağı kim? Önceliklendirme 4
Saldırı Tespit/Engelleme Sistemleri STS özellikleri Bileşim sistemlerine sızma denemeleri Ağdaki sistemlere zarar verecek her tür saldırılar DDOS Yetkisiz erişim Yazılım ya da donanımsal çözümler olarak sunulmaktadır. İmza tabanlı çalışır. Kural setleri mevcuttur. Suricata IDS Yüksek performanslı çalışabilme Gigabitler seviyesinde ağ trafiğini işleyebilmesi HTTP isteklerini, TLS el sıkışmalarını, SSH bağlantılarını kaydedebilme Trafikten dosya ayıklama Endüstri standartlarınca belirlenen formatlarda çıktı üretebilme (Unified2 vb.), Gelişmiş kural setine sahip olması (ET-ET Pro) IP itibar (reputation) desteğinin olması 5
Saldırı Tespit/Engelleme Sistemleri Bro IDS - Ağ Analiz Framework Bro açık kaynak; Ağ programlama betik diline sahip, Tüm HTTP trafiğini (sunucu/istemci istek ve cevapları, mime türleri, uri vb.), DNS istek ve cevaplarını, SSL sertifikalarını, SMTP oturumlarını, FTP trafiğini çözümleyerek kaydedebilmektedir. Ayrıca ağ akışını da kayıt altına almaktadır. Snort IDS Sourcefire tarafından geliştirilen açık kaynak kodlu bir saldırı tespit ve önleme sistemi Dünya genelinde en çok kullanılan saldırı tespit sistemlerden biri, Linux ve FreeBSD Snort Modları Sniffer Packet logger 6
Ağ Paketi Yakalama/Analizi Tcpdump Wireshark Unix/Linux sistem üzerinde ön tanımlı Komut satırı paket analiz aracı ve dinleyicisi Arayüze sahip paket analiz aracı Standart paket dinleme aracı Windows & Linux tshark Microsoft Message Analyzer Komut satırı paket analiz aracı ve dinleyicisi Wireshark ile beraber sisteme kurulmaktadır. Windows tarafından geliştirilmektedir. Process tabanlı ağ trafiği incelemeye olanak sağlar. 7
Ağ Akışı (Flow) Analizi Ağ Akışı (Flow Data) Kaynak sistemden hedefe gönderilen paketlerin veri içeren kısımları işlenmeden özet bilgi sunar. Ağ Akış Protokolleri NetFlow (Cisco) sflow (HP) Nfsen Ağ akışı verileri bir web arayüzü ile görüntülenebilmektedir. IPFIX (Herhangi bir üretici firmaya özel bir protokol değildir.) FLOWBAT Silk Flow Basic Analysis Tool Ağ akışı görselleştirme, analiz, sorgulama, korelasyon aracı CERT NetSA (CERT Network Situational Awareness Team) tarafından geliştirilmiş ağ akış bilgisinin toplanmasını ve işlenmesini sağlayan bir yazılımdır. 8
Tehdit İstihbaratı IP / Alan Adı Kara Listeleri IP Adresi / Alan adı Karalisteleri Gerçek zamanlı IP adresi / alan adı tehdit bilgisi Otomatik olarak üretilme - genelde günlük Çeşitli kaynaklar tarafından oluşturulma - organizasyonlardan özel şirketlere Farklı durumlar için faydalı: İP skorlama, sınıflandırma Enfekte olmuş sistemlerin tespiti Yüksek riskli bağlantılar için uyarı 9
Antivirüs Taraması Dosya Çıkarımı Trafikten şüpheli uzantılı (.exe,.js,.zip,.rar vb.) dosyaların çıkarılması Antivirüs Taraması VirüsMü merkezi çoklu antivirus sisteminde tarama TÜBİTAK Siber Güvenlik Enstitüsü tarafından geliştirilen sistemde 20 farklı antivirüs aracıyla otomatik olarak taratılmaktadır. VirusTotal 10
Veri Toplama-Analiz-Görselleştirme Araçları ELK (Elastic Search Logstash - Kibana) Splunk Büyük verilerinin indekleslenmesi, analiz edilmesi ve görüntülenmesi Özellikle güçlü sorgulamaya yeteneğine sahip Snorby Alarmların gelişmiş arayüzden görüntülenmesi Moloch OSSEC HIDS OSSIM SIEM Web arayüzü vasıtasıyla filtreleme ve sorgulama 11
İstatistiksel ve Görsel Analizler 12
Sonuç - Bulguların Paylaşımı Ağ Analizi Bilgisayar Analizi 13
Teşekkürler