Skip to content

Symantec EDR Tehdit AVI – Threat Hunting

Threat Hunting – Tehdit avı günümüzün oldukça popüler konularından biri. Her alanda olduğu gibi bu konuda oldukça uzmanlık istiyor. Öncelikle neyi aradığınızı bilmeniz gerekiyor, nerelere bakmanız gerektiğini bilmeniz gerekiyor veya hangi davranışların anormal olduğunu bilmeniz (kurumunuzun çalışma kültürüne hakim olarak) bu davranışları tarıyor olmanız gerekiyor. Çok daha fazla başlık vardır muhakkak fakat konunun uzmanı olmadığım için çok detaya girip yanlış yönlendirmeler yapmadan kendi konuma döneyim.

Symantec EDR ile belirli başlı, en çok ihtiyaç duyulacak “arama/tarama” terimlerini sizlere fikir oluşturabilmesi için paylaşmak istedim.

Şüpheli Davranış Arama

type_id:8001 AND operation:1 AND process.cmd_line:[REGEX]

Bu search operasyonunda REGEX(PERL) ile çalışmış herhangi bir komutu arayabilirsiniz. Detaylı Syntax için https://www.elastic.co/guide/en/elasticsearch/reference/current/query-dsl-regexp-query.html#regexp-syntax

Anormal Login Aktiviteleri

type_id:8000 AND device_name: [desktop-smjncc8]

Bu sorguyu sistemlerinizde bir güvenlik ihlali olduğunda, kimlik bilgileri/parola çalınması gibi senaryolarda kullanbilirsiniz. Saldırganlar tarafından ele geçirildiğini düşündüğünüz clientlar üzerinde login olan kullanıcı hesaplarını, login sıklığını, ele geçirilmiş olduğunu düşünüğünüz kullanıcı hesabının hangi clientlarda ne aktiviteler gerçekleştirdiğini tespiti edebilirsiniz.

Anormal Dış Yöne Trafik Aktivitleri


type_id:8007 AND -target_ip:["192.168.0.0/16" OR "10.0.0.0/8" OR "172.16.0.0/12" OR "127.0.0.0/8"] AND -target_port:[80 OR 443]

Private IP ve 80/443 portları dışında client ve sunucularınızın yaptığı trafikleri tespit etmenizi ve incelemenizi sağlar. Eğer bu sorguda exclude etmek /harici tutmak istediğiniz external/dış ip’ler varsa “-external_ip:” ile belirtebilirsiniz.

Görselde Chrome ve Powershell üzerinden 80/443 dışı yapılan dış trafik görünyor. Powershell_ISE üzerinden 65580 bytes lık ZIP dosyası gönderilmiş. DataExfiltration da en çok kullanılan DNSTUNNELING gibi yöntemler, icmp paketleri içerisinde veri kaçırmalar bu tür aramalarla tespit edilebilir
Detaylarda Source IP/Destination IP, Mitre TTP sınıflandırması, gerçekleştiren user gibi detaylara sahip olabilirsiniz, Eğer Network Forensic çözümü olan Security Analytics’e sahipseniz aradaki entegrasyon ile View SA Details butonundan o trafiği network üzerinden kopyasına erişip gönderilen paketin incelemesini yapabilirsiniz

Elinizde CTI’lardan veya çeşitli farklı kollardan gelmiş IP adresleri var ve bu IP adresleriyle bir bağlantı kurulmuş mu kontrol etmek istiyorsunuz.

type_id:8007 AND target_ip:["139.59.208.246" OR "130.255.73.90" OR "31.3.135.232"]

Şüpheli Process Taramaları

type_id:8001 AND operation:1 AND (process.file.name:net.exe OR process.file.name:ipconfig.exe OR process.file.name:whoami.exe OR process.file.name:quser.exe OR process.file.name:ping.exe OR process.file.name:netstat.exe OR process.file.name:tasklist.exe OR process.file.name:Hostname.exe OR process.file.name:at.exe)
Ardığınız davranışın zararlı olup olmaması önemli değil, Activity Recorder özelliği ile cmd’den atılan ping bile kayıt altında saklanır.
Atılan Ping’n nereye atıldığı, kim tarafından atıldığı gibi detaylara ulaşabilirsiniz.
Bir NetStat Örneği

Net.exe ile User/group listeleme yapmış mı?

Mesut Mesut Komiser GIF - Mesut MesutKomiser ArkaSokaklar GIFs
(type_id:8001 AND operation:1 AND process.file.name:net.exe
AND (process.cmd_line:/.*user.*/ OR process.cmd_line:/.*group.*/) AND
-process.cmd_line:/.*user:.*/

Powershell Hareketlerinin İzlenmesi

Powershell ile Download hareketleri

event_actor.file.name:powershell.exe AND (type_id:8007 OR
(type_id:8003 AND operation:1))

PowerShell ile bir zararlı indirilmiş olabilir mi? Burada Firefox ile indirilen dosyaları bulmak isterseniz powershell yerine Firefox.exe de kullanabilirsiniz veya OR ile bağayarak başka uygulamalar da ekleyebilirsiniz.

Indirilen dosyaları isimlerini,nereye indirildiklerini, hashlerini görebilir, bunları Sandbox’a veya Virustotal’e submit edebilirsiniz, PE veya Non-pe , Zararlı veya zararsız farketmeksizin Karantinaya aldırıp, incelemek için kendi ortamınıza çekebilir, analiz edebilirsiniz. Sonraki yazıda buraya değineceğim

Powershell Obfuscation Hareketleri

PowerShell’in bir diğer yaygın kullanımı Obfuscated/Encoded komut çalıştırılması. Powershell komutları direk olarak bellek üzerinden indirip çalıştırabildiğinden dolayı enfekte hareketleri tespiti oldukça zorlaşıyor. Bu sebeple saldırganlar cmd yerine buraya yönelebiliyorlar. Peki benim başıma böyle bir olay geldi mi?

process.file.name:powershell.exe AND operation:1 AND
(obfuscated.cmd_uses_concat_obfuscation:true OR
obfuscated.cmd_uses_reorder_obfuscation:true OR
obfuscated.cmd_uses_tick_obfuscation:true)

Powershell Encoding Hareketleri

process.file.name=powershell.exe AND operation:1 AND
(process.cmd_line:"*-enc*" OR process.cmd_line:"*encoded*")

Wscript Cscript Mshta – Dosyasız / Fileless Ataklar

Memati Kurtlar Vadisi GIF - Memati KurtlarVadisi PolatAlemdar GIFs

Wscript ile kötü amaçlı komut dosyalarını çalıştırmak mümkün, Office dökümanlarından çalıştırılan bu atak tiplerini oldukça sık görüyoruz. Bu Sorgu ile download, temp, data, internet geçmişi gibi alanlardan çalışan VBS/Javascript leri görebiliriz ki bu alanlar bu scriptlerin olmasını beklemediğimiz alanlar.

process.file.name:[cscript.exe OR wscript.exe] AND
process.cmd_line:[vbs OR js]

BITS Transfer Operasyonları

Windows Background Intelligent Transfer Service(BITS) zararlıların bilgisayarlar arasında transferi için kullanılabiliyor. Yatay yayılım için tercih edilen servislerden

process.file.name:bitsadmin.exe AND  (process.cmd_line:"/transfer" OR process.cmd_line="Addfile")
AddFile parametresi ile aradığımız bitsadmin.exe process’i

Bunun Burada Ne işi var??

Polat Alemdar Kurtlar Vadisi GIF - PolatAlemdar KurtlarVadisi GIFs

Bizler legal Processlerin Program Files, Program Files (x86) ve bunların alt dizinleri gibi belirli konumlardan çalışmasını bekleriz.
Kendini belleğe enjekte eden kötü amaçlı yazılımlar, bazen dosyasını alışılmadık bir konuma yerleştirebiliyorlar.
ProgramFiles gibi konumlar dışında çalıştırılan işlemler potansiyel olarak kötü niyetli olarak değerlendirilmesi gerekiyor ve incelenmesi gerektiğini düşünüyorum.

MITRE’de bu tür hareketleri Masquerading olarak sınıflandırmakta. T1036

process.file.name:/.exe/ AND -process.file.folder:/.windows./ AND     -process.file.folder:/.program.*/ AND operation:1

Recycle/Geri Dönüşüm Kutusundan process mi çalıştırılır? – Belki bir işi vardır

Sabri Abi GIF - Sabri Abi Kolpacino GIFs
type_id:8001 AND operation:1 AND process.file.path:"recycle.bin"

Browser / Internet Tarayıcı Pathlerinden Çalışanlar? Siz ne ayaksınız?

type_id:8001 AND operation:1 AND process.file.path:["Temporary Internet Files" OR "AppData\Local\Mozilla\Firefox\Profiles" OR "AppData\Local\Google\Chrome" OR "Downloads"]

User Profile path’lerinden çalışanlar, sizleri unutmadık

type_id:8001 AND operation:1 AND process.file.normalized_path:CSIDL_PROFILE

Service Binaries – System32 altında çalışmayanlar burda mı?

Servis Binaries System32 altında çalışması gerektiğini biliyoruz. Peki farklı alanlarda çalışanlar nerede ? Common Attack Vector’lerden biri de bu sonuçta
Youtube – Veli Toplantısı Ses Kaydı +18

(type_id:8001 AND operation:1) AND event_actor.file.name:services.exe AND -process.file.normalized_path:CSIDL_SYSTEM

Milyon tane SVCHOST.exe var, bunlar ne?

Parent Process’i services.exe olmayan SVCHOST’lar

type_id:8001 AND operation:1 AND process.file.name:svchost.exe AND    -event_actor.file.name:services.exe

LocalSystem altında Webserver/database mi olur? Olur mu olur?














process.file.name:[w3wp.exe OR sqlservr.exe OR
httpd.exe OR nginx.exe] AND (type_id:8001 AND operation:1) AND
process.user.name:SYSTEM



Aaağğbbi bizde RDP Kapalı

type_id:8007 AND
(source_port:3389 OR target_port:3389) AND
device_name:
enriched_data.rule_name:eRemoteDesktopProtocol AND
device_name:

MITRE TTP’lerinden Arama Yapılmıyor mu?

mitre.technique_id:T1076

veya

mitre.technique_name:"Remote Desktop Protocol"
Parametrelerde, hangi user/ hangi domain/ hangi IP’den yapmış bu RDP isteğini görebilirsiniz

Hoca Ben Registry Değişiklikleri aramak istiyorum

Yeni ekleme;
enriched_data.category_name:"Load Point Modification" AND operation:1
Modify:
enriched_data.category_name:"Load Point Modification" AND operation:2
Silme
enriched_data.category_name:"Load Point Modification" AND operation:3

Senaryo

Bizim Mail Gateway’den bir mail kaçmış, ekinde word/excel/pdf var, bunun bir zararlı olduğunu düşünüyoruz, kullancılara ulaşmış, SMSE’den tetikleyip maili geri çektik ama biz çekene kadar ekleri indiren, açan, okuyan oldu mu bi baksan ?

type_id:8001 AND operation:1 AND event_actor.cmd_line:"content.outlook" AND event_actor.file.name:[winword.exe OR powerpnt.exe OR excel.exe]

Outlook üzerinden Word,Excel,Powerpoint açanları getirir. Elinde dosyanın ismi, hash’i varsa daha hedefli arayabilirsin. Yoksa bu search ile bulup yanından artı işaretine tıklar otomatik search’ü daraltabilirsin.

Trafik Kolpacino GIF - Trafik Kolpacino Trip GIFs

Word dosyası Chrome’dan falan trafik yaratır mı?

 event_actor.file.name:winword.exe AND process.file.name:chrome.exe

Driver Manipülasyonları?????

enriched_data.rule_name:[eModifyExistingService OR eNewService]

Endpoint Search: nonSystem32 aktiviteler

reg_value.path:"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\*\\Parameter
AND reg_value.name:ServiceDll”

ardından

-reg_value.data:”*SYSTEM32*”
Published inEndpoint Security