Blog

    LogRhythm ‘de SolarWinds IOC’leri Nasıl Algılanır ve Bulunur

    OnfroyBy Updated:Yorum yapılmamış7 Mins Read
    istock 1132912672 1280x720

    LogRhythm Labs, son SolarWinds tedarik zinciri saldırısıyla ilişkili CISA, Volexity ve FireEye’den uzlaşma   göstergelerini (IOC’ler) topladı ve rahatınız için GitHub deposunda kullanılabilir hale getirdiİncelemeler ve gerçek zamanlı analizler için IOC dosyalarını indirip LogRhythm dağıtımınıza aktarabilirsiniz.

    Intel, Uzlaşma Göstergelerini Tespit Edecek

    FireEye geçtiğimiz günlerde SolarWinds kullanan bir tedarik zinciri saldırısını içeren bir uzlaşmayı bildirdi. Bu rapor, yakın zamanda FireEye’ın hemen ardından bir tehdit aktörü tarafından tehlikeye atıldığını açıkladı. FireEye, LogRhythm’de nasıl kullanılacağına dair ayrıntılarla birlikte paylaştığımız IOC’leri burada yayınladı.

    FireEye, CISA ve Volexity tarafından paylaşılan tehdit istihbaratını çevrenizdeki düşmanca faaliyetler için tehdit avına nasıl uygulayacağınızı öğrenmek için okumaya devam edin.

    FireEye Sunburst Karşı Tedbirleri GitHub Deposu

    FireEye’nin “Sunburst Karşı Tedbirleri” GitHub deposu, IOC’lerin bir listesini içerir . Aşağıda, LogRhythm dağıtımınızda IOC’leri kullanmanın yolları verilmiştir.

    Tüm snort.rules

    Eğer ortamınızda Snort’un çalıştığı ve SIEM için günlüklerinde getiren, listeyi kullanabilirsiniz buradan ortamınızda malware olaylar için, olayı veya uyarıyı arama ThreatName alanına karşı.

    Snort kurallarından tehdit adını çıkarmak için kullanılan normal ifade için lütfen Ek A’ya bakın.

    Indicator_Release Dosyaları

    GitHub deposunda karmalar ve ağ göstergeleri içeren iki gösterge_sürümü dosyası vardır. IOC’leri dosyalardan birinden Excel ile diğerini SED kullanarak ayıklayacağız.

    Indicator_Release_Hashes.csv

    Dosyayı yerel olarak kaydedin ve bir LogRhythm listesinde kullanmak üzere dosyayı açmak için Excel’i kullanın.

    • Uygun sütun (SHA256, SHA1, MD5) altında, LogRhythm listesine kopyalanacak karmaları seçin.
    Excel sütun araması
    Şekil 1: Excel’de gösterge_release_hashes.csv
    • Seçili karmaları kopyalayın ve Not Defteri’ne yapıştırın.
    • Not Defteri dosyasını “FE_SW_Hashes.txt” gibi bir şey kaydedin
    • LogRhythm İstemci Konsolunda, “Liste Yöneticisi” ni seçin
    • “FE_SW_Hashes” gibi bir adda yeni bir genel değer listesi oluşturun
    • “Öğeleri Listele” sekmesinde, “Öğeleri İçe Aktar” ı seçin ve daha önce kaydettiğiniz metin dosyasını içe aktarın.
    İçe aktarılan karmaların LogRhythm listesi
    Şekil 2: İçe aktarılan karmalarla LogRhythm listesi
    • “Ek Ayarlar” sekmesini tıklayın ve “Karma” alanına bir onay işareti koyun.
    LogRhythm List Özellikleri için Ek Ayarlar
    Şekil 3: LogRhythm listesinin Kullanım Bağlamını Hash olarak Ayarlama
    • Bittiğinde “Tamam” ı tıklayın.

    Indicator_Release_NBIs.csv

    • Dosyayı yerel olarak kaydedin ve bir listede kullanılacak alan adlarını çıkarmak için bu “tek satırlı” kullanın.
    • Listeyi LogRhythm SIEM’e bir model eşleşmesi olarak aktarın.
    • Alan adı bilgilerini içeren alanları aramak için LogRhythm SIEM ve listeyi kullanın.

    Indicator_Release_NBIs.csv’den alan adlarını ayıklamak için kullanılan sed komutu için lütfen Ek A’ya bakın.

    Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) STIX Feed

    ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) , SolarWinds tedarik zinciri uzlaşmasıyla ilgili APT etkinliğine ilişkin bir uyarı da yayınladı. Uyarı, Yapılandırılmış Tehdit Bilgisi İfadesi (STIX ™) biçiminde bir IOC beslemesi içerir. STIX beslemesi LogRhythm müşterileri için kullanışlıdır çünkü IOC’leri beslemek için LogRhythm’in Tehdit İstihbaratı Hizmetini kullanabilir, her IOC türü için LogRhythm listeleri oluşturabilir ve güncellemeler için beslemeyi düzenli olarak kontrol edebilirler. Tehdit İstihbarat Hizmetine özel bir STIX beslemesi ekleyerek ve beslemenin URL’sini STIX Göstergesi Uç Noktası alanına yapıştırarak CISA IOC’lerini çekmek kolaydır:

    STIX Yayın Bilgilerini Müşteri Kaynağı Olarak Ekleme
    Şekil 4: LogRhythm Tehdit İstihbarat Hizmetine CISA IOC beslemesini ekleme

    Besleme etkinleştirildiğinde, varsayılan olarak her 12 saatte bir güncellenecek şekilde yapılandırılacaktır. Besleme verilerini hemen indirmek için Şimdi İndir düğmesini tıklayabilirsiniz.

    özel STIX beslemeli LogRhythm Threat Intelligence hizmeti
    Şekil 5: Özel STIX beslemesine sahip LogRhythm Tehdit İstihbarat Hizmeti

    Tehdit İstihbarat Hizmeti, beslemede sağlanan IOC türlerinin her birine karşılık gelen LogRhythm listelerini otomatik olarak oluşturur ve listeyi, beslemenin periyodik kontrolünden kaynaklanan tüm güncellemeleri içe aktaracak şekilde yapılandırır.

    IOC'lere karşılık gelen LogRhythm listesi
    Şekil 6: Tehdit İstihbarat Hizmeti tarafından otomatik olarak oluşturulan LogRhythm listeleri
    Tehdit İstihbarat Hizmeti tarafından otomatik olarak oluşturulan Hash'lerin listesi
    Şekil 7: Tehdit İstihbarat Hizmeti tarafından otomatik olarak oluşturulan Hash’lerin listesi

    Listeleri geçmişe dönük tehdit avları için veya AI Engine kuralları için kriter olarak kullanabilirsiniz. İstediğiniz meta veri alanlarına göre bunları arayabileceğinizden emin olmak için listenin Kullanım Bağlamlarını onaylamanız gerekebileceğini unutmayın. Bu durumda, Hash’in Kullanım Bağlamını manuel olarak eklememiz gerekir.

    LogRhythm'de oluşturulan listeye Hash Use Context ekleme
    Şekil 8: Oluşturulan listeye Karma Kullanım Bağlamını ekleme
    LogRhythm SIEM'de günlükleri arama
    Şekil 9: CISA’dan içe aktarılan karmaları içeren günlükleri arama

    DNS Sorgularına Yönelik CNAME Yanıtlarını Bulma

    CISA ve Volexity raporları, Orion’un güvenliği ihlal edilmiş yapılarını çalıştıran kuruluşların, avsvmcloud [.] Com için Orion sunucularından kaynaklanan DNS sorgularını muhtemelen göreceklerini belirtmektedir. Özellikle ilgi çekici olan, sorguların CNAME yanıtları üretip üretmediğidir. Başına CISA : “[.]. Eğer avsvmcloud ilişkili ek Kurallı Ad kaydı (CNAME) çözünürlükleri alanı, olası ek hasım eylemi oluştu arka kapı yararlanarak gözlenir com” [1]

    DNS sorgularına verilen CNAME yanıtlarını nasıl bulursunuz? Kesin cevap, günlük kaynağı türüne ve nasıl ayrıştırıldığına bağlı olacaktır. Finance.yahoo.com’da bir sorgu günlüğe kaydetme Microsoft Sysmon kullanan bir örneğe bakalım. Aşağıda, Finance.yahoo.com için bir DNS sorgusunun, edge.gycpi.b.yahoodns.net’e ve ilişkili IP adresi 69.147.71.254’e bir CNAME kaydı (başka bir DNS adına takma ad) döndürdüğünü gösteren Wireshark’tan bir ekran görüntüsü verilmiştir.

    Microsoft Sysmon günlük kaydı sorgusu
    Şekil 10: Finance.yahoo.com’a Microsoft Sysmon günlük kaydı sorgusu

    DNS sorguları Microsoft Sysmon tarafından Olay Kimliği 22 olarak kaydedilir. Sorguyu LogRhythm’de aşağıdaki kriterlere göre arayabiliriz:

    LogRhythm'de DNS sorgularını arama
    Şekil 11: LogRhythm’de DNS sorgularını arama

    Arama aşağıdaki günlüğü döndürür:

    LogRhythm'deki aramadan dönen günlük
    Şekil 12: LogRhythm’deki aramadan dönen günlük

    Sysmon günlüğünün, DNS sorgusunu (chrome.exe) başlatan işlemi, gerçekleştirilen sorguyu (finans.yahoo.com) ve yanıtı (tür: 5 edge.gycpi.b.yahoodns.net; 69.147) içerdiğini unutmayın. .71.254; 69.147.71.253). 5 yanıt türü, bunun bir CNAME yanıtı olduğunu gösterir.

    Orion sunucunuzda Microsoft Sysmon kuruluysa ve DNS sorgularını günlüğe kaydediyorsa, aynı aramayı avsvmcloud [.] Com’un Nesne Adı için yapabilir ve tip 5 yanıtları için günlükleri inceleyebilirsiniz.

    Volexity’nin Gözlemlerinden SIEM’inizde Yararlanın

    Volexity kısa süre önce SolarWinds uzlaşmasıyla ilgili tehdit aktörü olarak “Dark Halo” yu referans alan bir blog yayınladı. Blogları, saldırganın hedefine ve bu hedeflere ulaşmak için kullanılan yöntemlere odaklanıyor, bu da nihayetinde e-posta hırsızlığıydı. Dark Halo, çoğunlukla PowerShell komutları kullanılarak gözlemlendi. Aşağıda, Volexity’nin gözlemlerine dayalı olarak SIEM’inizde arama yapmak veya uyarı vermek için kullanabileceğiniz yöntemlerdir.

    PowerShell ve Komut Satırı Günlüğü

    LogRhythm SIEM’de arama yapmak için PowerShell ve Komut Satırı günlüğü referanslarını kullanmak için, önce uç nokta günlüğünü yapılandırmanız gerekir. Uç nokta günlüğünüzü yapılandırmak için asla çok geç değildir, bu nedenle henüz yapmadıysanız, kesinlikle yapmanızı öneririz.

    Şüpheli PowerShell Kullanımının Tespit Edilmesi: Ana İşlem CMD.EXE’dir

    Volexity blogundaki örnekten PowerShell’in şüpheli kullanımının tespit edilmesi, CMD.EXE’nin PowerShell.EXE’yi bir komutla çağırdığını not etmektir. Şüpheli PowerShell kullanımını tespit etmenin en hızlı yolu, “Yürütme: PowerShell” veya “T1059.001: PowerShell” adlı MITRE ATT & CK Modülünde AIE kurallarımız için Olayları aramaktır. Başka bir arama yöntemi de Ana İşlem Adı’nı aramaktır CMD.EXE ve İşlem Adı PowerShell.exe’dir. Bazı ortamlarda powershell.exe’nin CMD.EXE tarafından çağrılması normal olabilir. Ortamınızda PowerShell kullanımının normal olup olmadığını nasıl belirleyeceğiniz konusunda iki farklı Topluluk gönderisinde rehberlik sağladık.

    Volexity’nin Komut Satırı IOC’lerini Algılama

    Volexity onların altındaki onların IOCs bir apendiksi yayınladı. Ek B, kullanılan gözlemlenen PowerShell komutlarının listesini içerir. Aşağıda, LogRhythm Web Konsolunu kullanarak tehdit avınızda bu komutlardan yararlanmak için atabileceğiniz adımlar yer almaktadır.

    • Gösterge Tablosu’nda “Ara …” seçeneğini tıklayın
    • “Komut” u seçin sql:% ve IOC listesinden isim %
      • Örnek: sql:% Get-AcceptedDomain%
    • “Değer” e tıklayın ve tüm IOC’ler eklenene kadar önceki adımı tekrarlayın.
    • Arama kriterleriniz aşağıdaki gibi görünecek:
    LogRhythm'de komut satırlarını arama
    Şekil 13: Volexity tarafından gözlemlenen komut satırlarını arama
    • “Gelişmiş …” seçeneğini tıklayın
    • Aramaya “Volexity: DarkHalo: Komutlar” gibi bir ad verin
    • Okuma İznini “Tüm Kullanıcıları Herkese Açık” olarak değiştirin
    • Yazma İznini “Genel Global Yönetici” olarak Değiştirin
    • Ortamınıza bağlı olarak “Maksimum Sonuçları” değiştirmek isteyebilirsiniz.
    • Kaydedilmiş aramanız aşağıdaki gibi görünmelidir:
    LogRhythm'de kaydedilmiş bir arama oluşturma
    Şekil 14: Volexity komut satırı gözlemlerinden kaydedilmiş bir arama oluşturma
    • Aramanızı kaydedin.
    • Aramadan önce zaman çerçevesini değiştireceğiz. SolarWinds değiştirilmiş ikili dosyaların Mart ayı civarında gerçekleştiğini biliyoruz. Mart 2020’den başlayarak günümüze kadar olan zaman dilimini ayarlayın.
    • Not: Sonuçların sayısına bağlı olarak daha küçük zaman dilimlerinde aramak isteyebilirsiniz.
    • Aramanız şunun gibi görünmelidir:
    LogRhythm'de ara
    Şekil 15: Genişletilmiş tarih aralığı ile Volexity komut satırı araması
    • Aramayı yürütmek için “Ara” üzerine tıklayın.

    Varsayılan Analiz (7.6) Gösterge Tablosu ile Arama Sonuçlarınızı Analiz Etme

    Sonuçlarınızı Varsayılan Analiz Gösterge Tablosu’nda görüntülemek aşağıdaki gibi görünmelidir:

    LogRhythm 7.6'da komut satırı arama sonuçları
    Şekil 16: LogRhythm 7.6 Varsayılan Analiz panosu Bölüm 1’de Volexity komut satırı arama sonuçları

    Yarasa dışında en dikkat çekenleri Kullanıcı (Kaynak) ve En İyi Ana Bilgisayar (Etkilenen). Filtrelemenizi, komutları çalıştırması gereken bilinen kullanıcıları ve bilinen sistemleri dışlayarak başlatabilirsiniz. Hariç tutmanın hızlı bir yolu, hariç tutmak istediğiniz bir şeyi Alt + Çift Tıklamaktır.

    Ayrıca, bir kullanıcıyı filtreleyerek ve “normal” görünüp görünmediklerini veya Volexity blogunda listelenenlerle daha uyumlu olup olmadıklarını belirlemek için verilen komutları gözden geçirerek eleme sürecini kullanarak bulabilirsiniz.

    Share.

    Related Posts

    Add A Comment

    Leave A Reply