Threat Hunting etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
Threat Hunting etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

19 Nisan 2020 Pazar

Hunting Cobalt Strike Beacons with Memory Forensics


Cobalt strike aracı sızma testi, kırmızı takım uzmanları ve saldırganlar tarafından sıklıkla kullanılan bir post exploitation aracıdır. Bu yazımda Cobalt strike tarafından oluşturulmuş bir beacon ile sızılmış bir makinada Volatility ile memory forensic nasıl yapılır ondan bahsediyor olacağım. Cobalt strike, Volatility ve pluginlerinin kurulumları ile ilgili internette bir çok kaynakta yeteri kadar dokuman olduğundan bazı kısımları daha özet bilgi vererek geçiyor olacağım. Ancak bazı kısımları ilk defa deneyenler için bir hayli uğraştırıyor olacağından eğer zorlandığınız kısım olursa yardım etmekten memnuniyet duyarım; bana her türlü ulaşabilirsiniz.




Cobalt strike şimdiye kadar APT19, DarkHydrus,CopyKittens, APT32, Cobalt Group, APT29, Leviathan, FIN6, APT41 gibi finansal kuruluşlara saldırılar gerçekleştiren farklı organize hacking  grupları tarafından sıklıkla kullanılmış. Saldırganlar hedef odaklı saldırılarda Cobalt strike ile oluşturdukları farklı payload'ları office dokumanlarına open source araçlarla gömerek; oltalama kampanyaları ile başta finansal kuruluşlar olmak üzere farklı kurumları hedef almaktadır.

Daha önce analizini yapmış olduğum zararlı yazılımlarda bulunduğum çıkarımlarla ilgili güvenlik bakış açımı geliştirmek ve tehdit odaklı tespit yeteneklerimi geliştirmek için çok fazla rapor, blog postu, araç ve ttp okuyorum. Bir kaç yıl öncesine göre güvenliğe olan bakış açım bir hayli değişti diyebilirim. Kafamda düşündüğüm saldırı senaryolarını saldırgan bakış açısı ile düşünerek ya en kötüsü başımıza gelseydi(assume breach) yaklaşımıyla hareket ederek; uçtan uça tüm güvenlik sistemlerimizle bu tür ölçekte bir saldırıya maruz kalsaydık ne yapardık da bunu tespit edip olay daha olmadan engelleyebilirdik gibi sorular sorarak belirli bir mindset kazanmayı hedefliyorum. Aslında bunu zararlı yazılımların memory forensic ya da compromise analysis konusu konusunda kendimi geliştirmeyi düşünmeye başladıktan sonra kafamda daha da netleşti diyebilirim. 2020 hedeflerimden birisi malware memory forensics konusunda bu tür çalışmalar yaparak malware memory forensic konusunda da yeteneklerimi geliştirme olacak. : ) Bir sonraki yazım muhtemelen zararlı yazılımların memory forensic'i ile ilgili olacak umarım. : )
Sözü daha fazla uzatmadan esas konuya geçmek istiyorum. Bildiğiniz üzere saldırganların hedef ve motivasyonlarının para olmalarından dolayı güvenlik olayları olay niteliği taşıyan bir olaya gidene kadar belirli aşamaların gerçekleşmesi gerekiyor. Saldırgan weaponize(silahlandırılmış) edilmiş dokumanı kurum çalışanlarınıza gönderdikten sonra eğer perimeter security önlemleriniz bir şekilde atlatılmış ise ve içeriden saldırganın sunucusuna tüm perimiter security önlemleriniz atlatılarak başarılı bir sekilde iletişim sağlanabilmişse saldırganlar cyber kill chain'de bulunan aşamaları uygulayarak kritik önem derecesine sahip dataları çalmayı, sistemleri hacklemeyi hedefliyorlar. Bu noktada ele geçirilen endpoint makinasından; kritik önem derecesine sahip database, debit kart, PII, kredi.., verilerinin bulunduğu sunucuları hedef alırken lateral movement, privilege escalation yöntemleri ile hem endpointte nt authority\system hem de debugprivilege yetkilerine sahip olmak istiyorlar. Bunu kazandıktan sonra saldırı eğer gerçekten bir finansal kuruluşu hedeflemekse içeride beklemeye başlıyorlar. Farklı güvenlik üreticileri tarafından yayımlanana ortalama incident dwell time sürelerini düşünecek olursak saldırganların zaman ve sabırlarının olduğunu söyleyebiliriz. Endpoint'i ele geçirdikten sonra bir sonraki yöneleceği nokta active directory attackları oluyor. Çünkü krbtgt userının ntlm hashi ya da domain admin seviyelerine yetkin bir kullanıcını şifresini alabilirlerse ondan sonraki aşamada işleri daha da kolaylaşıyor. Tüm bunları artan güvenlik yatırımlarımızı düşünecek olursak perimeter security tarafında sahip olduğumuz cihazları iyi işletmek defansı sağlamamız açısından büyük önem arz ediyor. Diğer taraftan endpoint visibility, network visibility, e-mail security ve active directory security de bu tür saldırıların tespiti ve önlemlenmesi için olmazsa olmaz diyebilirim. Kişisel olarak görüşüm güvenlik altyapınızı daha olgun bir hale getirdikten sonra assume breach yaklaşımı ile hareket ederek, daha bu saldırılar olmadan Cobalt Strike, Powershell empire, crackmapexec, lolbas gibi araçlar ile altyapınızı daha olaylar olmadan önce içeride bulunan güvenlik ürünlerinizin yetenekleri doğrultusunda farklı türde senaryolar düşünerek, MITRE attack frameworkune uygun test etmek ve SIEM kuralları yazmanız olacaktır. Yani saldırı olmadan yaparak herhangi bir T anında en kötüsü başınıza geldiğinde bu saldırıları yakalayabilmek olacaktır.  Aşağıda Groub-ıb tarafından hazırlanmış güzel bir görsel var.


Yazımda Cobalt Strike güncel versiyonlarından birisini kullanıyor olacağım. Test ortamı için hali hazırda kurulu bir kali linux makinası ve windows2012R2x64 sunucu yada powershell çalıştırabileceğiniz bir client makinası olması yeterli olacaktır.





Bu aşamaya kadar Cobalt strike başarılı bir şekilde çalıştırılmıştır. Bu aşamadan sonra bir listener oluşturulacaktır. Bu adımlar için bu yazıdan faydalanabilirsiniz.

Daha sonra bir payload oluşturmak için aşağıdaki şekilde ilerleyebilirsiniz. Ben işlerin kolaylık olması açısından ve uzun zaman sonra Cobalt Strike aracını test ediyor olmam dolayısıyla bu şekilde ilerlemeyi tercih ettim.




Bu aşamaya kadar olan kısımlardan sonra payload.ps1 dosyası oluşturulmuş olacaktır. Daha sonra payload.ps1 dosyasını test amaclı forensic yapacağımız sunucuda çalıştıracağız. Çalıştırdıktan sonra
aşağıdaki gibi makinaların gelmiş olacağını göreceğiz. Listener olşuturma kısmında ben listener portu 445 smb olarak verdim; kolaylık olması açısından. Payload çalıştıktan sonra aşağıda pid'si 1992 ile çalışan compromise olmuş sunucumuzu görebilirsiniz.



Bu aşamadan sonraki kısımda memory dump almak için dumpıt adlı araçtan faydalanmak üzere yola koyuldum. DumpIt aracı one click raw memory dump alabilmenizi olanak sağlamaktadır.


Dump'nı almış olduğum dosyayı kali linux sunucusuna kopyaladım ve Volatility'deki profile karar vermek amacıyla aşağıdaki komutu çalıştırdım. Volatility memory forensic açısından çok iyi bir araç olup sürekli eklenen yeni pluginler sayesinde güvenlik araştırmacıları ve olay müdahalesi uzmanlarının işlerini kolaylaştırmaktadır. Sizde kurum içerisinde anlamsız bir trafik üreten hacklendiğini düşündüğünüz bir windows makina varsa bu ve benzeri pluginler sayesinde memory seviyesinde bir şey olup olmadığını gözlemleyebilirsiniz.


Bu aşamadan sonra Volatility ile yapabileceğiniz farklı şeylere bakmak isterseniz volatility -h komutundan faydalanarak hangi tür bilgileri öğrenmek istediğinizi görüntüleyebilirsiniz. Burada desteklenen plugin komutlarını görebileceksiniz.


Şimdiye kadar olan aşamalardan sonra memory forensic ile cobalt strike beaconlarını tespit edebilmek için JpCert tarafından oluşturulmuş pluginlerinden faydalanarak compromise olduğunu düşündüğümüz makinayı analiz edeceğiz. Eklediğim pluginlerin geldiğini aşağıdaki şekilde görebiliriz. volatility -h 



Burada belirtmek istediğim önemli bir nokta volatility'e plugin kurarken uğraştırıyor olması. Bunun için hali hazırda kurulu olan plugin dosyasına yeni kaynak kodları ekleyerek talimatları uygulamak yeterli olacaktır.

cobaltstrikeconfig - cobaltstrike konfigürasyonunu için,
cobaltstrikescan - cobaltstrike ile enfekte olmus processleri tespiti için kullanılmaktadır.




cmdline - komutu ile komut satırında çalışan process ile ilgili command - line argumanını görebiliriz.



Mesela aşağıdaki komutla süphelendiğimiz process'in almış olduğumuz memory dump'ında hangi privileges ile çalıştığını gözlemleyebiliriz. Cobalt tarafından enfekte olan processin privilige yetkilerini gözlemleyebiliriz. Bizim powershell payloadı içeren process'in debugprivilege yetkisine sahip olduğunu buradan anlayabiliriz. Credential dump yapabilme yetkisi olduğunu buradan anlayabiliriz sanırım; yine de yetkileri sınırlandırılmış bir makinada bu yetkinin olması o process'ten süphelenebileceğimiz sonucunu çıkartabiliriz. Düşünün dummy user yetkilerine sahip olduğunu düşündüğünüz bir makinada bu yetkilere sahip anlamsız bir process'in olduğunu.

volatility privs -f /home/kali/Desktop/WIN-OJJPK4IIGHV-20200419-230930.raw --profile=Win2012R2x64 | more



Memoryde code/dll injection uğramış process bilgilerini tespit edebilmek için malfind pluginini kullanarabiliriz.

volatility malfind -f WIN-OJJPK4IIGHV-20200419-230930.raw --profile=Win2012R2x64 | more


Bu aşamadan sonra malfind fonksiyonu için gizli ve dll/code injection'a uğramış; process dump almak için mkdir evidence komutu ile yeni directory oluşturdum. Aşağıdaki komutla pid'si 1992 olan süpheli process'in dump çıktılarını oluşturması için bu komutu uyguladım.

volatility malfind -f WIN-OJJPK4IIGHV-20200419-230930.raw -p 1992 --profile=Win2012R2x64 --dump-dir evidence/


Bunlardan ikisini virustotal'e magic numberı MZ ile baslayan ve boyutu yüksek olanlardan ikisini virus totala upload ettim. Bazı güvenlik üreticileri zararlı olduğunu tespit edebildi. Doğrudan Cobaltstrike olarak tespit edebilenlerde oldu doğrudan edemeyenlerde oldu. Ama burada yazının başında bahsetmiş olduğum kısımları tekrardan hatırlamak gerekirse iyi bir EDR ya da EPP çözümüne sahipseniz sık kullanılan post exploit araçları ile bunun gibi farklı senoryaları EDR, EPP ürünlerinizde test edip SIEM'e kurallar yazmanız  ve güvenlik analistlerine alarm olarak bunları düşürüyor olmanız savunulabilir bir altyapınız olmasını sağlayacaktır.



Bu aşamadan sonra dmp alınmış dosyaları kontrol etmek için strings komutu ile her dump'i teker teker inceledim. C&C ip adresi, user agent bilgisi gibi bazı bilgileri görebilmiş oldum.


Memory'de yuklu olan per process'e bağlı olan dll dosyalarını listelemek için aşağıdaki komutu kullanabiliriz.

volatility dlllist -f WIN-OJJPK4IIGHV-20200419-230930.raw --profile=Win2012R2x64


Göreceğiniz üzere payload.ps1 dosyasının çalıştığı sunucu üzerinde pid'si 1992 ile çalışan Cobalt Strike beacon'nı dump aldıktan sonra Volatility'e JPCERT tarafından yazılmış; cobaltstrikescan ve cobaltstrikeconfig pluginleri ile memory dump'inden bulabilmiş olduk. Esasen hacklendiğini düşündüğünüz ya da zararlı yazılım bulaştığını düşündüğünüz sistemler için Volatility, pluginleri ile birlikte İsviçre çakısı gibi bir araç. : )



Ülke olarak zor günler geçirdiğimiz bu günlerde corana virüs nedeniyle hayatını kaybeden vatandaşlarımızın yakınlarına baş sağlığı diliyorum. Tedavi altında olan vatandaşlarımıza da Allah'tan sağlık diliyor ve bir an önce iyileşmelerini temenni ederek sağlıklarına kavuşmalarını diliyorum. Sağlıklı ve güvenli günler diliyorum. Umarım corana günlerinde evde burnout olmadan vaktinizi güzel geçirirsiniz. : )

diagram showing different attack stages and techniques in each stage that various ransomware groups use

 #stayathome #coranavirus $covid19 #evdekalTurkiyem #staystrong #evdekal



You can't defend. You can't prevent. The only thing you can do is detect and respond.

Referanslar:
https://attack.mitre.org/software/S0154/
https://www.mertsarica.com/onum-arkam-sagim-solum-cobalt-strike/
https://blog.fox-it.com/2019/02/26/identifying-cobalt-strike-team-servers-in-the-wild/
https://malpedia.caad.fkie.fraunhofer.de/details/win.cobalt_strike
https://1337red.wordpress.com/getting-started-with-cobalt-strike/
https://www.ptsecurity.com/ww-en/analytics/advanced-persistent-threat-apt-attack-cost-report/
https://www.group-ib.com/blog/cobalt
https://www.pentestpartners.com/security-blog/cobalt-strike-walkthrough-for-red-teamers/
https://blogs.jpcert.or.jp/en/2018/08/volatility-plugin-for-detecting-cobalt-strike-beacon.html
https://www.howtoforge.com/tutorial/how-to-install-and-use-volatility-memory-forensic-tool/
http://halilozturkci.com/adli-bilisim-dumpit-ile-windows-sistemlerde-hafiza-imaji-alma/
https://www.lac.co.jp/lacwatch/people/20180521_001638.html
https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html
https://github.com/JPCERTCC/aa-tools/blob/master/cobaltstrikescan.py
https://medium.com/@zemelusa/first-steps-to-volatile-memory-analysis-dcbd4d2d56a1
https://github.com/thimbleweed/All-In-USB/tree/master/utilities/DumpIt
https://github.com/volatilityfoundation/volatility/wiki/Command-Reference
https://resources.infosecinstitute.com/memory-forensics-and-analysis-using-volatility/#gref
https://ethicalhackingguru.com/how-to-use-cobalt-strike/
https://paste.ubuntu.com/p/y9hYfgQ2nS/
https://www.cobaltstrike.com/training
http://www.behindthefirewalls.com/2013/07/zeus-trojan-memory-forensics-with.html
https://unit42.paloaltonetworks.com/unit42-new-techniques-uncover-attribute-cobalt-gang-commodity-builders-infrastructure-revealed/
https://attack.mitre.org/groups/G0080/
https://meltx0r.github.io/tech/2019/10/15/cobalt-gang-apt.html
https://github.com/Neo23x0/signature-base/blob/master/yara/apt_cobaltstrike.yar
https://github.com/AhmetHan
https://infosecarsenal.blogspot.com/2020/04/hunting-cobalt-strike-beacons-with.html
https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html
https://imgflip.com/i/3xc98d
https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html
https://www.researchgate.net/figure/Lockheed-Martin-Cyber-Kill-Chain-CKC-22-seven-steps-The-part-that-is-specified-with_fig1_335024682
https://github.com/volatilityfoundation/volatility/wiki/Command-Reference-Mal#malfind
https://www.virustotal.com/gui/file/243238de25f261f6de5af5ba225cfe9a634240467688c8c3b3dd0279f04c326e/detection
https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
https://github.com/AhmetHan/cobalt_strike_hunting

12 Ocak 2020 Pazar

KVKK'dan sınıfta mı kaldık?

Kişisel verilerin korunması  ile ilgili ara ara yazılar okuyorum. Fakat bu sefer emsal niteliği teşkil edecek bir kararın çıkması benimde daha fazla dikkatimi çektiği için bu yazıyı kaleme alma ihtiyacı hissetim. Bu kanunun temel amacı 3 yıl önce yürürlüğe girdiğinde, madde-1'de belirtildiği gibi kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir, olarak belirtilmiştir. Daha detayı için referanslar kısmından ulaşarak okuyabilirsiniz. 

KVKK ile ilgili uzman hukukçuları ve IT danışmalarının sosyal medyadaki yorumları, paylaşımları ve konuya olan ilgileri ile ilgili paylaşımları gördüğüm zaman iki farklı gruplaşma olduğunu gözlemliyorum. Hukukçular genelde bu kanunun hukuki tarafı ile ilgilenip IT tarafını ikinci plana atıyorlar. IT danışmanlarının yapmış oldukları yorumları gözlemlediğim zaman KVKK'nın IT boyutunun daha ön planda olduğu ile ilgili iddialarda bulunuyorlar. Bence her iki tarafta önemli olmakla birlikte; bu verilen karar emsal niteliği taşıdığı için ayrı bir önem arz etmektedir.

Karar tarihi: 26/11/2019
Karar no: 2019/352

Bir banka nezdinde gerçekleşen veri ihlali ile ilgili olarak kişisel verileri koruma kurulunun 26/11/2019 tarihli ve 2019/235 sayılı karar özetinde, bankanın kurum kayıtlarına intikal eden veri ihlal bildiriminin incelenmesi neticesinde 

Kararın tümüne linkteki referanslar kısmından okuyabilirsiniz;

  • Çalışanlar tarafından Banka dışına gönderilen e-postalara ilişkin Veri Sızıntısı tespit/önleme sistemlerinim mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan kurumsal e-postadan kişisel veri sızıntısı olduğu ve alınan tedbirlerin bu ihlali engellemeye yeterli olmadığı,
  • Bankanın teknik tedbir olarak belirttiği "Kredi kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği" tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu,
  • İhlalden etkilenen kişilerin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası vb. bilgilerinin sızdırıldığı ve bu bilgiler aracılığıyla sahte belge hazırlanarak yüksek miktarlı dolandırıcılık eylemlerine aracı olunduğu,

  • Belirtilen tedbirlerin müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmediği

hususları dikkate alındığında;


Kanun'un 12.maddesinde düzenlenen veri ihlallerini Kurul'a bildirim yükümlülüğü kapsamında, 2019 yılında Kurul tarafından toplamda en az 800 binin üzerinde kişiyi etkileyen 37 veri ihlal bildirimi yayımlandı. 

Kurum, bu yıl toplamda 25 Çarşamba seminerine ev sahipliği yaptı. Bunun yanında Kişisel verileri koruma dergisinin ilk iki sayısı da bu yıl içinde yayınlandı.

Verilen kararları değerlendirecek olursak, KVKK kurulu birinci kararda DLP, SIEM ve Mail gw sistemlerinizi kurmuş olmanız yetmez sistemlerin prevention modda çalıştığından ve veri ihlallerine neden olabilecek durumlara karşı yeterince harden edilmediğinden, config edilmediğinden dolayı ceza kestiğini düşünebiliriz. Bu aynı zamanda bizim için şu demek; yakın zamanda yönetmiş olduğumuz sistemlerimizin yeteneklerini ve alınması gereken tüm önlemleri %100 alabiliyor olmamız, farklı senaryoları test etmemiz gerekicek demek. 

İkinci madde içinse 72 saatlik bir bildirimde bulunmak söz konusu olduğu söyleniyor ancak, kurumun böyle bir veri ihlaline maruz kaldığını 72 saat içerisinde teknik olarak anlayabiliyor olması gerekicek demek gibi bir sonuç çıkıyor. : ) 

İşin mevzuat boyutu önemli olmakla birlikte IT uzmanlarına bu saatten sonra daha fazla iş çıkacak gibi duruyor.  O zaman ürün aldık kurduk, her şey tamam. : ) KVKK'dan sınıfta mı kaldık? Güvenli günler dilerim.





Referanslar:

11 Ocak 2020 Cumartesi

MageCart Group Formjacking Attacks Analysis


Siber güvenlik olay müdahalesiyle yakından ilgileniyorsanız ve güvenlik olayları analizi işinizin bir parçası ise sıklıkla kurum ağınıza dahil olan her kullanıcının, cihazın, iot ve byod hepsinden tetiklenen alarmları derinlemesine analiz etmeniz gerekiyor. Zira sistemlerinizin üretmiş olduğu alarm ve iz kayıtlarını yeteri kadar iyi analiz etmezseniz, maruz kalabileceğiniz bir veri ihlali, siber güvenlik olayı, herhangi bir APT grubunun hedefi olmaya kadar gidebiliyor. İşte bu noktada formjacking url'i ziyaret edildiğine dair alarm alan bir güvenlik uzmanı için serüven başlıyor. : )

Açıkçası bu yazıyı yazmama ilham olan ve bu konuda farkındalığımın artmasına daha fazla güvenlik araştırması yapmama neden olan bu yazı için Furkan bey ve çalışma arkadaşlarına ayrıca teşekkürler. : )

Formjacking saldırıları saldırganların belirli bir zafiyet içeren web sitesindeki zafiyeti istismar ederek, hedef aldıkları sitelerin ödeme formlarına enjeckte etmiş oldukları kendi zararlı javascript kodlarıyla, ödeme ve diğer hassas bilgileri kaçırdıkları saldırılar olarak bilinmektedir. Detaylı bilgiler için yazıdaki referanslar kısımlarını ziyaret edebilirsiniz.

İstihbarat odaklı güvenliğin önemli olduğunu düşünen birisi olarak sıklıkla twitterda güvenlik ile ilgili paylaşım yapan bir çok hesabı takip ediyorum. Malwarebytes'ın tehdit istihbaratı tarafından paylaşılan aşağıdaki bilgiden sonra hem kendi analiz yeteneklerimi geliştirmek hemde farklı bir şeyler keşfedebilmek adına araştırma yapmaya başladım. 


Figure. 1

İçerisinde ATMZOW kelimesi geçen ve analiz amacıyla kaynak kod arama moturu olan nerdydata aracından faydanlanmak üzere yola koyuldum. Karşıma ATMZOW kelimesi geçen 45 farklı domain çıktı. 


Hemen ilk çıkan domaini analiz etmek üzere yola koyuldum. Süphelenmiş olduğum domainleri analiz ederken kullandığım urlscan.io ve browserling'de domaini tarattım. Sitenin altyapısında magento kullanılıyor olması ve e-ticaret sitesi olması beni daha da heyecanlandırdı. 


Sitenin mevcut kullanmış olduğu magento uygulamasında zafiyet olup olmadığını araştırmak için online public free magento scanner toollarından faydalandım. Bu ve benzeri toolların faydası kurumsal bir SOME'de gerçekleşen güvenlik olaylarını analiz ediyorsanız herhangi bir T anında son kullanıcıdan gelen süpheli bir url ziyaret edildiğinde sitenin sadece magento değil farklı zafiyetler içeriyor olduğunu bilmek compromise olduğuyla ilgili size,analiste daha fazla süphe uyandırabilir. Zira exploit kit landing pageler, malware C&C domainler, ya da legitimate adresler bu istismarlar sonucu saldırganlar tarafından sıklıkla hedef alınmaktadır. Bu açıdan analist bakış açısı kazanmaya faydalı olabileceğini düşünüyorum.

Tarama sonuçlarından yola çıkarak bu sitede bulunan magentonun patchlenmemiş sürümü kullanıldığını public araçlar sayesinde de test edip görebilmiş oldum.






Bu aşamadan sonra sitede sahte bir alışveriş yapıp checkout sayfasına geçtim. Hemen sahte bir kredi kartı  ve bilgileri generate edip aşağıdaki form alanlarını doldurdum. : )




Beğendiği botu alan ve alışveriş yapmanın keyfini yaşayan Alissa için her şey normalmiş gibi görünse de place order now  demesiyle saldırganların enjeckte etmiş oldukları zararlı javascipt kodu ile kredi bilgileri saldırganların sunucularına yönleniyordu.  :)
Neyseki Alissanın çalıştığı şirkette antivirus programı formjacking saldırısını olduğunu anlamıştı ve şirketteki çalışan SIEM'den gelen alarmları analiz eden siber güvenlik uzmanı durumdan haberdardı. :)



Bu aşamadan sonra sayfanın kaynak kodlarını incelemeye karar verdim. Sitenin kaynak kodlarını yukarıdan aşağıya incelemeye başladığımda her şey normal görünüyordu. Ancak sayfanın sonuna geldiğim bir yer hariç. 




Hemen ekran görüntüsündeki karmaşıklaştırılmış javascript kodunu güzelleştirmek üzere yola koyuldum. Online kullanılabilecek javascipt beautifier ve ddecode araçlarından faydalanarak kodu güzelleştirdim. Güzelleştirilmiş kodların içerisinde saldırganların topladıkları verileri gondermiş oldukları ip adresini kefşedebilmiş oldum.



Daha sonra bu ip adresini threatminer sitesinde aratmaya karar verdim. Çıkan sonuçlarda aslında bu ip adresinin bir kampanya adresi olduğu daha önce yapılmış analiz sonuçları ve tweetlere ulaştım.







Bu twitterlerden birisinde magento için yazılmış bir php backdoorun aynı zamanda js skimmer olarak kullanıldığı ile ilgili bir twitte rastladım.


Analize devam ederken nerdydata üzerinde arama sonucu çıkan domainlere baktığımda da onlarında compromise olduğu ve zararlı javascript kodu enjecte edildiğini gözlemlemiş oldum.


Proaktif alınabilecek önlemler

  • Geçmişe yonelik 103.139.113.34 ip adresine kurum içi ağdan erişim isteği olmuşsa kontrol edilsin.
  • Firewall, web content gw, dns firewall gibi cihazlarda block list oluşturularak 103.139.113.34 adresi bu listeye eklensin.
  • SIEM' üzerinde dynamic intelligence listesine 103.139.113.34 si eklensin ve bu adrese erişim olduğunda alarm çalsın. Analist analiz etmeye başlasın.
  • Formjacking kategorisinde bulunan domainlerle ilgili alarm gelen sistemlerden(AV gibi) historical rapor oluşturulsun. Aylık kaç kişi bu ve benzeri domainlere erişmeye calismis, bunlardan kaçı tehdit barındırıyor gibi.
  • Sinkhole yeteneği olan cihazların kurum trafiğinin özellikle WAN giden isteklerde doğru konfigürasyonlarının aktif edilmesi ve sinkhole adresine gerçekleştirilen isteklerin analistler tarafından dashboardlar arayıcılığı ile izlenmesi. 
  • Tehdit avcılığı ile ilgili ip, domain, hash gibi bilgilerin kontrol edilip tehdit avcılığı yapılması.
ioc: 103.139.113.34

Sonuç:

Güvenlik olayları analizi yaparken open intelligence ve OSINT araçlarından sıklıkla faydalanıyoruz. İstihbarat odaklı güvenlik için istihbaratı yalnızca bir yerden almak yeterli olmayacaktır. Güvenlik ürünlerinden tetiklenen alarmları tehdit modellemesi yaparak ve neye ne kuralı yazacağımızı bilerek hareket edersek maksimum fayda sağlayacaktır. Yazımı okuyan kişilere faydalı olması dileğiyle, güvenli günler dilerim.


Referance:
https://www.bleepingcomputer.com/news/security/australia-bushfire-donors-affected-by-credit-card-skimming-attack/
https://us.norton.com/internetsecurity-emerging-threats-what-is-formjacking.html
https://furkancaliskan.com/hunting-magecart-using-osint/
https://twitter.com/MBThreatIntel/status/1215693928764063744
https://nerdydata.com/reports/atmzow/f9e3bf6e-a6e5-47d5-bbf0-876d9bb62ca5
https://publicwww.com/websites/ATMZOW/
https://www.symantec.com/blogs/threat-intelligence/formjacking-attacks-retailers
https://urlscan.io/result/3716c66d-2edc-49ce-aa5e-978fa9965586/
https://sitecheck.sucuri.net/results/www.cicihot.com
https://geekflare.com/magento-security-scanner/
https://www.magereport.com/scan/?s=https://www.cicihot.com/
https://magentary.com/magento-security-patch-tester/
https://webscan.foregenix.com/webscan_results.html?scanid=38538c39_597b_4a24_a2b1_32c6d6f9a43d&emailaddress=test1111@yopmail.com
https://github.com/steverobbins/magescan
http://getcreditcardinfo.com/generatevisacreditcard.php
https://www.virustotal.com/gui/domain/www.cicihot.com/details
https://www.mertsarica.com/magecart-analizi/
https://paste.ubuntu.com/p/mKrXwz6nPv/
https://codebeautify.org/jsviewer
http://ddecode.com/hexdecoder/?results=b839d8dd56b99e40528d7af24e2568fb
https://twitter.com/search?q=103.139.113.34&src=typed_query
https://blog.malwarebytes.com/threat-analysis/2019/12/hundreds-of-counterfeit-online-shoe-stores-injected-with-credit-card-skimmer/
https://www.threatminer.org/host.php?q=103.139.113.34
https://twitter.com/jknsCo/status/1201837540191457281
https://blog.trendmicro.com/trendlabs-security-intelligence/fin6-compromised-e-commerce-platform-via-magecart-to-inject-credit-card-skimmers-into-thousands-of-online-shops/
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/anyone-can-check-for-magecart-with-just-the-browser/

23 Aralık 2019 Pazartesi

HP Arcsight Provides Greater Visibility with MITRE ATT&CK Support



There are many different products in the market. But arcsight different other vendors. Everytime you can learn new different things when you develop your own correlation rules, dashboards, filters, much many more. Today I want to share with you, specially arcsight has started provides for default contents MITRE ATT&CK. Arcsight marketplace has many different use case, security best practices and content. If you want to weaponized your SIEM, you are at the right place. 

Esm Default content includes Security Threat Monitoring package and Threat Intelligence Platform package, It also includes resources for tracking Techniques from the MITRE ATT&CK framework.







Following use cases are covered in this package.


  • Botnet Activity
  • Dangerous Browsing
  • Internal Asset found in Reputation list
  • Phishing
  • Ransomware
  • Suspicious Activity
  • Suspicious Dns Query
  • Suspicious E-mail
  • Suspicious File Hash

  • T1192 Spearphishing Link
  • T1219 Remote Access Tools
  • T1486-Data Encrypted for Impact

Security Threat Monitoring

  • Application Monitoring
  • Entity Monitoring
  • Host Monitoring
  • Malware Monitoring
  • Network Monitoring
  • Perimeter Monitoring
  • Vulnerability Monitoring
Following MITRE ATT&CK Techniques are covered as well.

  • T1189 Drive By Compromise
  • T1190-Exploit Public-Facing Application
  • T1098-Account Manipulation
  • T1136-Create Account
  • T1068-Exploitation for Privilege Escalation
  • T1089-Disabling Security Tools
  • T1110-Brute Force
  • T1075-Pass the Hash
  • T1210-Exploitation of Remote Services
  • T1483-Domain Generation Algorithms
  • T1489-Service Stop
  • T1498-Network Denial of Service
You can install this .arb packages easy, but when you install the packages please be careful enable all rules. Check and eliminate false positive events and understand purpose of packages. Then you can customeze with your log types.

Reference:

23 Kasım 2019 Cumartesi

The Increased use of powershell in attacks

The 10 top reasons why attackers use PowerShell 

1. It is installed by default on all new Windows computers.
2. It can execute payloads directly from memory, making it stealthy.
3. It generates few traces by default, making it difficult to find under forensic analysis.
4. It has remote access capabilities by default with encrypted traffic.
5. As a script, it is easy to obfuscate and difficult to detect with traditional security tools.
6. Defenders often overlook it when hardening their systems.
7. It can bypass application-whitelisting tools depending on the configuration.
8. Many gateway sandboxes do not handle script-based malware well.
9. It has a growing community with ready available scripts.
10. Many system administrators use and trust the framework, allowing PowerShell malware to blend in with regular administration work.

fileless attacks ile ilgili görsel sonucu
Fileless attacks


Referances:
Real full guide here!
https://www.crowdstrike.com/blog/blocking-malicious-powershell-downloads/
https://bensanchez.jp/fileless-malware-obfuscating-malware-using-powershell-scripts/
https://www.fireeye.com/blog/threat-research/2018/07/malicious-powershell-detection-via-machine-learning.html
https://www.mcafee.com/enterprise/es-es/security-awareness/ransomware/what-is-fileless-malware.html

Blog Arşivi