BiznetBiznet

By Orhan Solak

IBM QRadar UBA’NIN ETKİNLİĞİNİ GELİŞTİRME

IBM QRadar User Behaviour Analytics (UBA) uygulamasının asıl hedeflerinden biri, kullanıcılarını enine boyuna analiz ederek, tehlike oluşturabilecek kullanıcıları tespit etmek veya sistemdeki kullanıcılara ait paylaşılmaması gereken bilgilerin ifşa olup olmadığını saptamaktır. Bir diğer temel hedefi ise, edindiği kullanıcı bilgileri ile diğer log kaynaklarından gelen bilgilerin korelasyonunu sağlayıp, atakları daha çabuk ve doğru bir şekilde tespit etmektir.

Siber saldırganların bir an bile boş durmadıkları bir zaman diliminde yaşadığımız için, atakların daha çabuk ve doğru bir şekilde tespit edilebilmesi hayati önem arz etmektedir. Dolayısıyla, IBM QRadar UBA uygulaması, analistlerin saldırıları tespit ederken en önemli yardımcılarından biri olmuştur.

Saldırı tespiti konusunda kullanılan hiçbir ürün ya da yazılım, ilk başlatıldığı anda yeterli verimliliği sağlayamamaktadır. Çünkü ürün ya da yazılımların, kurumun siber güvenlik mimarisine uygun bir şekilde ayarlanması ve geliştirilmesi gerekmektedir. Örneğin; herhangi bir sunucuya sadece bir kere bile hatalı giriş (login) denemesi yapılmasının oldukça kritik olduğu bir kurumda, en az 3 hatalı login denemesinden sonra alarm üretilmesi doğal olarak bu kurumda bir zafiyet yaratacaktır. IBM QRadar kullanılan kurumlarda bu gibi durumların önüne geçmek için, IBM QRadar UBA uygulamasının da kuruma özel bir şekilde geliştirilmesi gerekmektedir.

IBM QRadar UBA uygulamasının daha başarılı bir şekilde çalışması için yapılması gereken geliştirmeleri iki ana başlık altında inceleyebiliriz;

1.            Kullanıcı Erişimleri

1.1)        Anormal Erişimler Yapılması kurum tarafından onaylanmayan erişimlerin kontrolünü takip ederek istenmeyen olayların önüne geçilebilir. Ayrıca, kullanıcıların giriş hareketlerini takip ederek aktif olmayan kullanıcı isimleri ile olan işlemleri, şifre çalma ya da şifre kırma olayları tespit edilebilir, hatta yerel networkte cihazdan cihaza atlayama çalışan kullanıcılar da tespit edilebilir.

1.2)        Kritik Varlıklar ve Kritik Kullanıcılar

Çok kritik ve sadece belirli kullanıcıların girişinin izinli olduğu cihazlara, yetkisi olmadan erişmeye çalışan kullanıcılar tespit edilebilir. Daha önce kritik işleri yapacak yetkisi olmayan kullanıcıların ilk defa bu tarz aktivitelerde bulunması da takip edilmesi gereken hareketlerden biri.

1.3)        Olağandışı Aktiviteler

IBM QRadar’ın sahip olduğu ADE (Anomaly Detection Engine) kuralları yardımı ile birtakım alarmlar oluşturarak, bir kullanıcının her zaman kullandığı IP adresinin değişmesi, genellikle oluşturmadığı event logları oluşturması, her zaman bulunduğu konum dışında bir konumdan bağlantı sağlaması ya da mesaiye kalmayan bir kullanıcının mesai saatleri dışında event logu oluşturması gibi olağandışı aktiviteler tespit edilebilir.

Birinci görselde bir kullanıcının günlük çalışma saatlerindeki konumu mavi ile gösterilirken, yıldız ile işaretlenmiş konumlar bu kullanıcının normal çalışma konumunun dışında bir alanda bulunduğunu göstermektedir.

İkinci görselde ise; bir kullanıcının belli bir zaman içerisinde oluşturduğu network hareketleri bulunmaktadır. Mavi ile gösterilenler olağan trafik miktarını, kırmızılar ise anomali durumunu (oluşturulan olağan dışı trafik miktarı) temsil etmektedir.

2.            Network Aktiviteleri

Network harekeleri ile kullanıcı bilgilerini korele edip, bu bilgiler ışığında kuruma uygun kurallar yazmak, kullanıcı anomalilerini tespit etmede oldukça yardımcı bir konumdadır.

Takip edilebilecek network hareketlerine aşağıdaki örnekler verilebilir:

  • Uzun zaman boyunca (örnek olarak 10 saat) SSH bağlantısında bulunan kullanıcı olması,

  • Bir kullanıcının DoS ya da DDoS atağında bulunması,

  • Network analizi ya da dinlemesi yapan kullanıcıların olması,

  • SSL/TLS oturumunda, tarihi geçmiş ya da geçersiz bir sertifika kullanılması,

  • Zararlı yazılım aracığıyla ya da zararlı yazılım içeren bir alan adıyla trafik oluşturulması,

  • Sistemde bulunmayan bir kullanıcıya gelen maillerin görülmesi,

  • Sürekli spam ya da muhtemel oltalama mailleri alan kullanıcıların bulunması,

  • IBM X-Force Exchange TI veri tabanında bulunan IP’ler ile iletişime geçen kullanıcıların tespit edilmesi.

IBM QRadar UBA ara yüzünün bir örneği aşağıdaki görselde verilmiştir. Yukarıda verdiğimiz anomali tespit yöntemleri başarılı bir şekilde uygulandığında, IBM QRadar UBA anormal hareketleri inceleyerek aşağıdaki gibi riskli kullanıcıları belirleyebilir, yapılan tehlikeli hareketleri yakalayabilir ve daha detaylı raporlar oluşturabilir.

Bu iki temel UBA geliştirme alanlarında kuruma uygun gerekli iyileştirmeler yapıldıktan sonra, IBM QRadar ürünü analistlere daha çabuk ve daha başarılı alarmlar üretecek ve oluşacak false-positive sayısını gözle görülür biçimde azaltacaktır.

By Fatih Mustafa Oysal

Command and Control [C&C] Server

Bilgisayarınızda tarayıcınızı açtığınızda sürekli rahatsız edici pop-up’ların otomatik olarak açılması veya bilgisayarınızda hiçbir bir problem olmamasına rağmen normalden daha yavaş çalışması…

Bu tür olaylar ne kadar da tanıdık geliyor değil mi? Peki ya nasıl yüklendiğini bile bilmediğiniz, hiç kullanmadığınız ve yüklü olmasını önemsemediğiniz tarayıcı eklentileri? İyi de bunlar nasıl oluyor?

Tam şu anda, bütün bunları yapan bir malware olarak düşünebilir miyiz veya bilgisayarımıza virüs bulaşmış diyebilir miyiz? Haklısınız! Cihazınız bir C&C tarafından kontrol edilen “Zombi”ye dönüştürülmüş olabilir.

Command and Control Server, aynı zamanda C&C veya C2 olarak da bilinen, ransomware veya rootkit gibi kötü amaçlı yazılım bulaşmış cihazlara komutlar/yönergeler gönderen merkezi bir sunucudur. Bu sunucunun göndermiş olduğu komutlar sayesinde veri çalma, DDoS atakları, veri silme, cihazdaki verileri şifreleme gibi birden çok işlem yapılabilmektedir. Örneğin; Kredi Kartı bilgilerini öğrenme.

C&C sunucusu tarafından kontrol edilen malware bulaşmış cihazlara Zombi denilmektedir. Bu cihazların kullanıcıları, verilerinin internet yoluyla başka bir bilgisayara gönderildiğinden haberleri yoktur. Bu cihazları “Botnet” olarak da adlandırabiliriz. Botnet, robot ve network kelimelerinin birleşiminden ortaya çıkarılmış bir isimdir.

Aşağıdaki grafikte C&C sunucularının nasıl çalıştığını kolayca anlayabiliriz.

Genel anlamda 2 farklı Botnet yapısı bulunmaktadır. Bunlar Centralized ve Decentralized yapılarıdır.

Centralized en yaygın ve kullanılan Botnet yapısıdır. Bu yapı kendi arasında aşağıdaki resimde görüldüğü gibi 3 farklı yapıda oluşturulabilir.

  • Internet Relay Chat (IRC) protokolünü kullanılarak C&C sunucu ile Botnet bilgisayar arasında iletişim sağlanır.
  • Botnet bilgisayarlar aralarındaki iletişimi “Chat” sunucularını kullanarak sağlarlar.
  • Basit ve düşük band genişliği iletişim metotları kullanırlar.

Decentralized veya Peer-to-Peer (P2P) olarak da bilinen diğer Botnet yapısıdır.

Aşağıdaki resimde görüldüğü üzere, bu yapıda C&C sunucusu için merkezi bir nokta yoktur. Botnet ağı içerisindeki herhangi bir host C&C sunucusu ve Zombi bilgisayar olarak kullanılabilir. Bu sayede C&C sunucu iletişiminin fark edilmesi önlenir ve C&C başarısızlıkları en aza indirilmiş olur. Böylece bir Zombi host saptandığında aradaki boşluk Botnet ağında bulunan diğer hostlar tarafından sekteye uğramadan devam ettirilebilmektedir.

IBM QRadar SIEM ürünü çeşitli birçok C&C server offenseleri üretebilmektedir. Ortaya çıkan bu offenseleri inceleyip muhtemel saldırının gerçek olup olmadığına karar verebiliriz. Bu sayede olası bir Botnet bilgisayarı tespit edebilir veya Botnet bilgisayarlardan gelen trafiği saptayabiliriz.

IBM QRadar SIEM ürününün üretmiş olduğu örnek bir offense’i inceleyelim.

  1. IBM QRadar üzerinde oluşturulan olay örgüsüne verilen isim
  2. Olayın kısa bir açıklaması
  3. Oluşan offense’in ağ içerisindeki etkisi (Kural oluşturulurken 1 ile 10 arasında bir değer atanabilir). Örnek olarak eğer ki tehdit açık bir porta doğru ise relevance değeri yüksek olacaktır.
  4. Tehdit seviyesi (Kural oluşturulurken 1 ile 10 arasında bir değer atanabilir)
  5. Oluşan tehdidin doğruluğu (Kural oluşturulurken 1 ile 10 arasında bir değer atanabilir). Aynı zamanda birden fazla log kaynağı aynı offense’i üretirse credibility yüksek olacaktır.
  6. Trafiği oluşturan kaynak cihaza giriş yapmış kullanıcının adı
  7. Trafiği oluşturan kaynak cihazın IP adresi
  8. Trafiğin kaynaktan çıkarak muhtemel C&C sunucusuna gitmek istediği IP adresi
  9. Kaynak cihazın adı
  10. Trafiği oluşturan kaynak cihazın port numarası
  11. Kaynak cihazın erişmek istediği IP adresinin port numarası
  12. Kaynak cihazın MAC adresi
  13. Log’un içerisindeki ham veriler. Buradaki ham veriler pars edilerek bahsi geçen alanlarda gösterilmektedir.

IBM QRadar SIEM ürünü içerisinde IBM tarafından oluşturulan kurallar vardır. Offense’ler ürün içerisinde gelen Log’ların parslanmasından sonra bir Event QID ve Low Level Category dediğimiz değerlerle eşlenip eşlenmediğine bakarak üretilir. Bu EventQID ve Low Level Category değerleri QRadar cihazının yapmış olduğu korelasyonlar sayesinde atanır.