Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

SSL Sertifikalarından Phishing Domain Tespiti

439 vues

Publié le

SSL Sertifikalarından Phishing Domain Tespiti

Publié dans : Technologie
  • Soyez le premier à commenter

SSL Sertifikalarından Phishing Domain Tespiti

  1. 1. SSL Sertifikalarından Phishing Domain Tespiti
  2. 2. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 2BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity İçindekiler SSL Sertifikalarından Phishing Domain Tespiti .......................................................................................................................... 3 Sertifika Türleri ........................................................................................................................................................................................ 4 Doğrulanmış Alan Adı Sertifikası (DV) ...................................................................................................................................... 4 Doğrulanmış Kuruluş Sertifikası (OV) ....................................................................................................................................... 4 Genişletilmiş Doğrulama Sertifikası (EV) ................................................................................................................................. 4 SSL Nasıl Çalışır? ................................................................................................................................................................................. 5 Sertifika Kontrolü ............................................................................................................................................................................... 7 Phishing (Oltalama Saldırıları) .......................................................................................................................................................... 9 Certificate Transparency (Sertifika Şeffaflığı) ........................................................................................................................... 11 Certsream-python ............................................................................................................................................................................. 12 Phishing_catcher ............................................................................................................................................................................... 14 Certstream ........................................................................................................................................................................................... 20 Certstreamcatcher ............................................................................................................................................................................ 22
  3. 3. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 3BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity SSL Sertifikalarından Phishing Domain Tespiti 2015 yılından bu yana, tehdit aktörlerinin, kötü niyetli web sayfalarını meşru gösterme eğiliminde çok ciddi bir artış gerçekleşmiştir. Gerçekleşen bu artış üzerine PhishLabs konu üzerine bir araştırma gerçekleştirmiştir. Bu araştırma doğrultusunda SSL sertifikası kullanan kötü niyetli web sayfalarının oranının 2017 yılında yaklaşık %30, 2018 yılında yaklaşık %49 olduğunu açıklanmıştır. SSL(Secure Sockets Layer) sertifikası, web sunucusu ve tarayıcı arasında şifreli bağlantı oluşturmak için kullanılan bir teknolojidir. Bu bağlantı iletilen verilerin güvenliğini sağlamaktadır. SSL sertifikası; TC kimlik numarası, kredi kartı bilgileri, kullanıcı adı ve parolaları gibi kritik verileri iletirken şifreleyerek iletir ve üçüncü şahısların okumasını engeller. SSL sertifikasının olmaması, verilerin düz metin olarak iletilmesi anlamına gelir. Bu da bilgilerin ele geçirilmesi durumuna tehdit aktörlerine okunabilirlik sağlar. Comodo, GeoTrust, RapidSSL, GlobalSign,Cloudflare güvenilir sertifika otoritelerinden bazılarıdır. Şekil 1 : Serfika Otoriteleri
  4. 4. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 4BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Sertifika Türleri SSL sertifikalarının birkaç farklı türü bulunmaktadır. Bunlar; • DV - Domain Validated (Doğrulanmış Alan Adı), • OV - Organizatonal Validated (Doğrulanmış Kuruluş), • EV - Extended Validated (Genişletilmiş Doğrulama) Doğrulanmış Alan Adı Sertifikası (DV) Yalnızca alan adı için talep edilen doğrulama türüdür. Bu şekilde edinilen SSL sertifikaları ile yalnızca alan adı SSL sertifikasına sahip olurken, sertifikanın verildiği alan adına sahip Kurum için hiçbir doğrulama işlemi gerçekleştirilmez. Kısacası sadece bu web sitelerine giden son kullanıcılar web trafiğinin SSL sertifikası sebebiyle şifreli olduğunu bilebilir ancak sertifikaya sahip firma hakkında doğrulayıcı bilgi elde edemezler. Doğrulanmış Kuruluş Sertifikası (OV) Bu sertifika türü ile alan adına ilaveten Kurum’ a ait tüm unvan bilgisi ve adres detayları ile birlikte doğrulanmış olur. Bu sertifika türünün talep edilmesi için Kurum belgeleri gereklidir. Temin edilecek bu belgelerden elde edilecek belirli bilgiler sertifika ile doğrulanacak ve SSL sertifikasında belirtilecektir. Genişletilmiş Doğrulama Sertifikası (EV) 2007 yılında sertifika otoriteleri tarafından oluşturulmuş standart ile bu sertifika türünün tescil edilmesi belirli prosedürlere tabi tutulmuştur. Bu prosedürler ile, Kurum’ un yasal, fiziksel ve operasyonel varlığı doğrulanmalı, Kurum’ un varlığı resmi kayıtlarla doğrulanabilmeli ve bilgiler eşleşmelidir. Günümüzde birçok Kurum ve Kuruluş güvenirliğini doğrulatmak adına bu sertifikalara yönelmektedir. “apple.com” alan adı için EV sertifikası aşağıdaki şekilde görüntülenebilmektedir. Şekil 2 : EV Sertifikasının Web Tarayıcıda Görünümü
  5. 5. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 5BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity SSL Nasıl Çalışır? SSL sertifikası bir Sertifika Yetkilisi’nden (Certification Authority - CA) alınabilir. Web sunucusunda SSL’i etkinleştirmeyi istediğimizde, web sitemizin ve şirketimizin kimliğini doğrulamamız gerekecektir. Daha sonra iki şifreleme anahtarı oluşturulur. Bunlardan biri özel anahtar biri de genel anahtardır. SSL sertifikalarının çalışma prensibi aşağıdaki ekran görüntüsünde verilmiştir. Şekil 3 : SSL Nasıl Çalışır? Genel anahtarın gizli olması gerekmez ve bir Sertifika İmzalama İsteğine (Certificate Signing Request - CSR) yerleştirilir. SSL sertifikası başvuru sürecinde CA, bilgilerinizi doğrular ve SSL’i kullanmaya izin veren bir sertifika verir. Web sunucusu bu sertifikayı özel anahtar ile eşleştirir. Daha sonra sayfayı ziyaret eden kullanıcıların tarayıcısı ile şifreli bir bağlantı oluşturulur. Arka tarafta gerçekleşen işlemler kullanıcı tarafına yansımaz. Sadece Aşağıdaki ekran görüntüsünde gösterildiği gibi tarayıcı kısmında yeşil bir asma kilit görür. Bu simge kullanıcıya, ziyaret etmekte olduğu sayfanın güvenli olduğu algısını oluşturmaktadır. Bu algıdan dolayı kişisel bilgilerini, kredi kartı bilgilerini girmekte sakınca görmeyebilirler. Bir algı yönetimi olan bu durumu kullanmak isteyen tehdit aktörleri, zararlı web sayfalarına SSL sertifikası almayı artık neredeyse bir gereklilik olarak görmektedir.
  6. 6. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 6BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Şekil 4 : SSL Sertifikasının Alınması Sonucu Tarayıcıya Gelen “Güvenilirlik” Semolü Bu noktada devreye ücretsiz SSL sertifikaları girmektedir. Oluşturulan zararlı web sayfasının ömrü genelde kısadır ve düşük bütçeyle hazırlanmıştır. Bu sebeple ücretsiz sertifikalar daha cazip gelmektedir. Aşağıda ücretsiz SSL hizmeti veren yerlerden en çok kullanılanları listelenmiştir. ● Let’s Encrypt ● CAcert Free Certificate Authority ● Comodo ● Cloud Flare ● SSL For Free ● SSL.com ● StartCom ● WoSign Ücretsiz sertifika varlığı, tek başına bize web sayfasının güvenilirliği hakkında bilgi vermez.
  7. 7. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 7BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Sertifika Kontrolü Asma kilit simgesine ve sonrasında “Sertifika (Geçerli)” ibaresine tıklayınca karşımıza aşağıdaki ekran görüntüsünde gösterilen pencere gelecektir. İlgili ekran görüntüsü aşağıda verilmiştir. Şekil 5 : “Netflix.Com” Adresine Ait SSL Sertifkası Bilgileri Ekran görüntüsündeki bilgiler incelendiğinde; Sertifikayı Alan : www.netflix.com Sertifikayı Veren : Digicert SHA2 Secure Server CA Geçerlilik Tarihi : 02/07/2018 - 02/07/2020
  8. 8. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 8BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity “Detail” sekmesine girince karşımıza aşağıdaki ekran görüntüsünde gösterilen pencere gelmektedir. “Subject” kısmına gelince sertifikayı alan kurumun bilgilerine ulaşabilmektedir. Şekil 6 : “Detail” Sekmesinde Gösterilen Bilgileri Common Name (CN): www.netflix.com Organizational Unit (OU): Operations Organization (O): Netflix, Inc.
  9. 9. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 9BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Phishing (Oltalama Saldırıları) Oltalama saldırıları, önceden belirlenen veya rastgele hedef alınmış kişilerin e-posta adreslerine gönderilen yanıltıcı e-postalar ile kişilerin, gelen e-posta içerisindeki sahte internet sayfasına yönlendirilen bağlantıyı tıklayarak bu siteleri ziyaretleri sonucunda kişilerin kimlik, kredi kartı gibi hassas bilgilere erişmeye dayalı geliştirilen istismar yöntemidir. Phishing saldırıları, meşru web sayfalarının alan adına benzer alan adlarının alınması ve kullanıcı dikkatsizliğinin bunu göz ardı etmesi üzerine kurgulanır. Bu şekilde kurbanların kritik bilgileri ele geçirilir. Özellikle son zamanlarda artış gösteren phishing saldırıları pek çok kişiye maddi zarar vermektedir. Saldırganların bu işlemleri gerçekleştirirken dikkat ettiği bazı noktalar vardır. Alan adının benzerlik göstermesi, harf veya sayı ile kelime oyunları yapılması, benzetilmek isteneni meşru sayfaya içerik bakımından da benzetilmesi, dikkat çekici unsurların bulundurmaması gibi özelliklere dikkat edilir. Bu özelliklere phishing tarihinin başlangıcından beri dikkat edilmiştir. Ama bir özellik var ki, son zamanlarda önemi anlaşılmış ve aslında insanlar üzerindeki psikolojik etkisinin gücü fark edilmiştir; SSL sertifikası. Daha önce de değindiğimiz gibi SSL sertifikası olan, phishing içerikli web sayfası sayılarında çok ciddi bir artış bulunmaktadır. Neredeyse her iki phishing amaçlı web sayfasından biri SSL sertifikası almaktadır.. Aşağıdaki ekran görüntüsünde bir phishing sitesine ait Cloudflare tarafından imzalanmış bir SSL sertifikasına ait phishing sitesi görüntülenmektedir. İlgili site URL kısmı hariç oldukça güvenilir gözükmektedir. Şekil 7 : Sahte Web Sayfası
  10. 10. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 10BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Taklit site olduğu URL adresinden anlaşılmakta, ancak sertifika incelendiğinde Cloudflare imzasına sahip gözükmektedir. İlgili sayfanın sahip olduğu sertifikaya ait detaylar aşağıdaki ekran görüntüsünde verilmiştir. Şekil 8 : Sahte Web Sayfası İlgili otoriteler tarafından bu tarz siteleri, kullanıcılara mağduriyet yaratmadan mümkün olan en kısa sürede tespit edebilmek ve müdahale edebilmek amacıyla “Certification Transparency Log Network” oluşumu kurulmuştur. Phishing saldırılarında web sitelerinin taklidi yapılan büyük şirketlerin çoğu EV sertifikası alarak, SSL sertifikası barındıran sahtelerinden farklı olmaktadır. Ancak kullanıcı tarafında EV sertifikası bilinci ancak oluşturulmaya başlandığı için veya kullanıcının anlık dalgınlığı sebebiyle sadece SSL barındıran taklitçi web sayfaları birçok kez amacına ulaşabilmektedir. EV sertifikası olmayan ama SSL sertifikası olan adresler için ilk bakmamız gereken şey sertifikanın kendisidir.
  11. 11. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 11BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Certificate Transparency (Sertifika Şeffaflığı) Modern kriptografi sayesinde günümüz tarayıcıları güvensiz otorite tarafından imzalanan, zararlı yazılım içeriğine sahip birçok web sitesi hakkında kullanıcıları tehlikeli bir içeriğe sahip web sitesini ziyaret etmekte olduğuna dair uyarmaktadır. Ancak tarayıcılar, mevcut şifreleme mekanizmaları yanlışlıkla verilmiş sertifikalar veya güvenliği ihlal edilmiş ya da hileli bir sertifika yetkilisi (CA) tarafından verilen sertifikalara sahip web sitelerini tespit etmekte henüz yeterli kabiliyete sahip değildirler. Bu gibi durumlarda, tarayıcılar sertifikalarda yanlış bir şey görmez, çünkü CA iyi durumdadır ve kullanıcılara ziyaret ettikleri web sitesinin orijinal ve bağlantılarının güvenli olduğu izlenimini verir. Art niyetli kişiler tarafından istismar edilerek bir şekilde edinilmiş sertifikalar ile oluşturulan bir phishing sayfasının gerçek zamanlı olarak yeterince denetlenememesi neticesinde bu kişiler tarafından farklı istismarlara sebebiyet vermektedir. Daha kötüsü ise son kullanıcılar veya otoriteler tarafından bu durumun farkına erken farkına varılmaması sebebiyle phishing sitelere ait web siteleri haftalarca ayakta kalarak birçok kullanıcıyı mağdur edebilmektedir. Sertifika şeffaflığı, açık kaynak koda sahip dijital sertifikaları izlemeye olanak tanıyan bir internet güvenlik standartıdır. Bu standart ile güvenilir sertifika otoriteleri tarafından imzalanan sertifikalara ait logları görüntüleyebiliriz. Sertifika Şeffaflığı, SSL sertifikalarının verilmesini ve varlığını, etki alanı sahipleri ve CA'lar ile etki alanı kullanıcıları tarafından incelemeye açık hale getirerek bu sertifika tabanlı tehditleri gidermeyi amaçlamaktadır. Bu sayade art niyetli kişiler tarafından bir şekilde elde edilen güvenilir sertifikaların da en kısa zamanda iptal edilerek, tarayıcılar tarafından son kullanıcıların ciddi bir şekilde uyarılması amaçlanmaktadır. Şekil 9 : Certificate Transparency (Sertifika Şeffaflığı) Döngüsü Sertifika Şeffaflığı, yanlış kullanılmış sertifikalar, kötü niyetli edinilmiş sertifikalar ve sahte CA’lar dahil olmak üzere, çeşitli sertifika tabanlı tehditlere karşı korunmaya yardımcı olur.
  12. 12. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 12BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Certsream-python Certstream-python, sertifika şeffaflığı (Certification Transparency Logs) listeleri topluluğundan toplanan bir yayını izlemek için certstream ağı ile etkileşim kuran bir python kütüphanesidir. Şekil 10 : Certstream Oluşumu Bu kütüphane ile Certificate Transparency Log Network tarafından loglanan sertifikaları ve sertifikalara ait güncellemeleri gerçek zamanlı görüntüleyebilir ve sizin adınıza bilginiz dışında oluşturulan sertifika hakkında bilgi alabilirsiniz. İlgili kütüphaneye ait (https://certstream.calidog.io/) internet sitesinden gerçek zamanlı olarak sertifikalara ait bilgiler görüntülenebilmektedir.
  13. 13. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 13BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity İlgili ekran görüntüsü aşağıda verilmiştir. Gerçek zamanlı sertifika loglarından görüntülenen herhangi bir web sitesine giderek sertifika görüntülenebilmektedir.
  14. 14. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 14BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Phishing_catcher Certstream Transparency Log Network üzerinden gerçek zamanlı sertifikaları, tarafımızdan oluşturulan kelime listesine göre filtreleyerek herhangi bir firma veya kuruluşa aitmiş gibi gözüken taklit sitelerin sertifika durumları görüntülenebilmektedir.. Bu işlem için phishing_catcher aracı kullanılabilmektedir. İlgili arac GitHub üzerinde https://github.com/x0rz/phishing_catcher adresinden ulaşılabilir ve gerekli kurulum adımları takip edilerek kurulum işlemi gerçekleştirilir. İlgili araç ile sertifika şeffaflığı ağı tarafından oluşturulan ağa bağlanarak gerçek zamanlı sertifika loglarından tarafımızdan “suspicious.yaml” dosyasında belirlenecek kriterlere göre puanlama oluşturarak ve oluşturduğumuz puanlama kriterine göre risk grubuna giren bir alan adı hakkında gerçek zamanlı bilgi sahibi olunmasına olanak sağlar. Aşağıdaki ekran görüntüsünde “suspicious.yaml” dosyasına ait içerik verilmiştir. Şekil 11 : “suspicious.yaml” Dosyası Ekran görüntüsünde görüleceği üzere “login” kelimesini içeren tüm alan adı ve alt alan adlarına “25” puan verilerek risk derecelendirmesi yapılacağı belirtilmiştir. Bu dosya üzerinde değişiklik yaparak farklı anahtar kelimeler üreterek ve farklı puanlar oluşturarak kendi risk grubumuzu belirleyebiliriz. Bu imkanı kullanarak kendimiz için “login” kelimesine 0 veya 100 puan atayarak kendi risk derecelendirmesi oluşturulabilmektedir.
  15. 15. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 15BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Bu mantıkla kullanıldığında ilgili araç ile kendi belirleyeceğimiz bir kelime listesi ile sertifika loglarında firmamıza aitmiş gibi gözüken sahte bir sayfayı çok kısa bir sürede yakalanabilmektedir.. Aşağıdaki ekran görüntüsünde gösterildiği gibi catch_phishing.py dosyası çalıştırılmıştır. Dosya çalışmaya başladıktan sonra yakaladığı linkleri 3 etikette sunmaktadır; Suspicious, Potential, Likely. İlgili ekran görüntüsü aşağıda verilmiştir. Şekil 12 : Phishing catcher aracının çalıştırılması sonucu toplanan veriler. Bu araç çalışma mantığı olarak içerisinde barındırdığı anahtar kelimelere göre arama yapmaktadır. Hangi anahtar kelimeleri kullandığını görmek için aşağıdaki ekran görüntüsünde gösterildiği gibi suspicious.yaml dosyası incelenebilmektedir.
  16. 16. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 16BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity İlgili ekran görüntüsü aşağıda verilmiştir. Şekil 7: suspicious.yaml dosyasının içeriğinin bir kısmı Kriterlerde verilen puanlar toplamı; • >=65 Potential, • >=80 Likely, • >=90 Suspicious olarak etkilemektedir. Uygulama ilgili dosya üzerinden puanların değiştirerek özelleştirilebilmesine olanak sağlamaktadır.
  17. 17. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 17BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Anahtar kelime olarak aşağıdaki ekran görüntüsünde gösterildiği gibi çok sık kullanılan alt alan adları da eklenebilmektedir. Şekil 8: suspicious.yaml dosyasının içeriğinin bir kısmı Uygulamanın çalıştırılması ile birlikte belirlenen filtrelere takılan ve puanlama sistemine göre risk grubuna giren alan adları aşağıdaki ekran görüntüsünde verilmiştir. Şekil 13 : Phishing catcher aracının yakaladığı şüpheli adresler
  18. 18. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 18BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity “googlebussines360.es” sayfası incelendiğinde aşağıdaki ekran görüntüsünde gösterilen tasarımla karşılaşılmaktadır. Şekil 14 : Yakalanan şüpheli adreslerden birinin örnek ekran görüntüsü Bu sayfanın SSL sertifikasına sahip olduğu tespit edilmiştir. Aşağıdaki ekran görüntüsünde gösterildiği gibi sertifika incelenebilmektedir. Şekil 15 : Şüpheli sayfanın taşıdığı SSL sertifikası bilgileri. Sertifikanın başlangıç tarihi: 19 Temmuz 2019 (Bugün) Sertifikanın bitiş tarihi: 17 Ekim 2019 İncelenen alan adı kısa süreli ve ücretsiz bir hizmetten alınan SSL sertifikası barındırmaktadır.
  19. 19. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 19BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Phishing catcher aracının çalışma süreci boyunca topladığı bilgileri daha sade haliyle aşağıdaki ekran görüntüsünde gösterildiği gibi suspicious_domains.log dosyasından ulaşılmaktadır. Şekil 16 : "suspicious_domains.log" Dosyas
  20. 20. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 20BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Certstream Certstream içeren bir araçtan yararlanmak yerine direk certstram komutu da kullanılabilmektedir. Phishing catcher aracı da arka planda benzer bir işlem gerçekleştirmektedir. Kullanıcıya sunulan verilerde üzerine ek olarak puanlama koymuştur. Certstream aracı 2 farklı çıktı verme imkanına sahiptir. Öntanımlı olarak logların daha insancıl okunmasına imkan veren bir çıktı ile takip edilmesine ek olarak “json” formatı ile de çıktı vererek farklı araçlara input olarak da vererek araştırmalarda kullanılabilmektedir. Şekil 17 : "Certstream" İlgili araç öntanımlı olarak çalıştırıldığı zaman aşağıdaki şekilde bir çıktı vermektedir. Şekil 13: certstream komutu ile toplanan olası phishing adresleri
  21. 21. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 21BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity “json” formatında çıktı alındığında aşağıdaki ekran görüntüsündeki şekilde çıktı alınabilmektedir. Şekil 18 : "json" Formatı İle Görünüm
  22. 22. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 22BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity Certstreamcatcher Certstreamcatcher aracı da certstream kullanarak phishing web sitelerini tespit etmeye yarayan başka bir araçtır. Bu araç gerçek zamanlı olarak phishing web sitelerini tespit etmek için regex standartlarını kullanır. Bir önceki araca nazaran yalnızca regex ile tarafımızca belirlenen kriterlere uyan alan ve alt alan adları getirilmektedir. Aşağıdaki ekran görüntüsünde yalnızca “login” ve “verification” kelimelerini filtrelenmesine imkan tanıyan regex kullanılarak sonuçlar listelenmiştir. Toplam 6655 sertifika arasından belirlenen kelimelere göre regex eşleşmesi aşağıdaki sertifikaları tespit etmiştir. Şekil 19 : Certstreamcatcher Aşağıdaki ekran görüntüsünde uygulamanın çalıştırılması gösterilmiştir. Uygulama log altyapısından, phishing_catcher aracında rastladığımız gibi 3 kategori ile sonuçları görüntülemektedir; Likely, Suspicious ve Potential.
  23. 23. SSL SERTIFIKALARINDAN PHISHING DOMAIN TESPITI 23BGA Bilgi Güvenliği | www.bgasecurity.com | @BGASecurity İlgili ekran görüntüsü aşağıda verilmiştir. Şekil 20 : Certstram Uygulamaya ait certstreamcatcher.js dosyasının içeriğini incelendiğinde aşağıdaki ekran görüntüsünde gösterilen anahtar kelimelerimizi görüntülenebilmektedir. Şekil 21 : "certstreamcatcher.js" Dosyası

×