2. Hakkımda
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IOC Kullanımı
@BGASecurity
İYTE Bilgisayar Mühendisi
Senior SOC Analyst - BGA Bilgi Güvenliği A.Ş.
Blog : blog.bga.com.tr, mehmetkilic.pro
Twitter : @mehmet_klic
LinkedIn : mhmtklc
Mail : mehmet.kilic@bga.com.tr
3. İçerik
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IOC Kullanımı
@BGASecurity
IoC Nedir?
Mevcut Zorluklar
IoC Çeşitleri
Zararlı Yazılım Analizi
IoC Kullanımı
Siber Tehdit İstihbaratı
Araçlar
5. IoC Nedir?
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
Indicator of Compromise (IOC) — in computer forensics is an artifact observed on a
network or in an operating system that with high confidence indicates a computer
intrusion. Typical IOCs are virus signatures and IP addresses, MD5 hashes of malware files
or URLs or domain names of botnet command and control servers.
Kaynak : https://en.wikipedia.org/wiki/Indicator_of_compromise
6. IoC Nedir?
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
Forensic
Analysis
Malware
Analysis
IOC
• Özel İndikatörler (URL, File Hash,
string, ...)
• Genel İndikatörler (Kullanılan API, Code Injection
Sign, Suspicious Process Tree, ...)
• Tanımla ve Geliştir
• Analiz (Canlı Sistemlerde, Disk İmajında,
Memory İmajında)
7. Mevcut Zorluklar
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
• Neyi Arıyorum?
• Sınırlı Bilgi
• Zaman
• Aksiyonum Ne Olmalı?
• Kaybım Nedir?
9. OpenIOC – IoC Çeşitleri
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
Open Indicators of Compromise — is an extensible XML schema for the description
of technical characteristics that identify a known threat, an attacker’s methodology, or
other evidence of compromise.
Kaynak : http://www.openioc.org
Mandiant
10. OpenIOC – IoC Çeşitleri
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
Kaynak : http://www.openioc.org
11. CybOX – IoC Çeşitleri
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
Cyber Observable eXpression — is a standardized schema for the specification,
capture, characterization and communication of events or stateful properties that are
observable in the operational domain.
Kaynak : http://cybox.mitre.org
Mitre
13. MAEC– IoC Çeşitleri
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
Malware Attribute Enumaration and Characterization — is a standardized
language for encoding and communicating high-fidelity information about malware based
upon attributes such as behaviors, artifacts, and attack patterns.
Kaynak : https://maec.mitre.org/
Mitre
15. IODEF – IoC Çeşitleri
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
Incident Object Description Exchange Format— defines a data representation
that provides a framework for sharing information commonly exchanged by Computer
Security Incident Response Teams (CSIRTs) about computer security incidents.
Kaynak : http://www.ietf.org/rfc/rfc5070.txt
IETF Standard ( RFC5070 )
17. Zararlı Yazılım Analizinde IoC
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
• Amacı
• Sızma Yöntemi
• Sistemde Aktifleşme
• Network Tarafında Haberleşme
• Saldırganın Zararlı ile İletişimi
• Saldırının Profili
• Zararlının Etkisi
18. Zararlı Yazılım Analizi Yaşam Döngüsü
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
Kaynak : OpenIOC
21. OpenIOC
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
@BGASecurity
Mandiant IoC Finder
• Komut satırından yönetim
• Canlı veriler üzerinde çalışma
• IoC leri toplanan verilerde deneme
• Html ya da Word olarak çıktı
22. @BGASecurity
YARA
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
rule netsec_sample
{
meta:description = "This is just an example for netsec”
thread_level = 3
in_the_wild = true
strings:
$a = {6A 40 68 00 30 00 00 6A 14 8D 91}
$b = {8D 4D B0 2B C1 83 C0 27 99 6A 4E 59 F7 F9}
$c = ”Netsec.exe”
condition:
$a and ($b or $c)
}
24. @BGASecurity
YARA
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
rule CozyCar
{
meta:
description = "Rule designed to detect CozyCar Dropper, extracted from SFX archive alongside a decoy"
author = "bleneve@paloaltonetworks.com"
reference = "http://researchcenter.paloaltonetworks.com/2015/07/tracking-minidionis-cozycars-new-
ride-is-related-to-seaduke/"
date = "2015-07-14"
strings:
$s0 = "5 5$505P:T:X::`:d:h:l:p:t:" fullword ascii
$s1 = "<U<^<5=A=l=)>2>$?-?" fullword ascii
$s2 = "%ws_out%ws" fullword wide
$s3 = "=#=4=:=@=G=P=U=[=c=h=n=v={=" fullword ascii
condition:
uint16(0) == 0x5a4d and filesize < 1172KB and all of them
}
Kaynak : https://github.com/YaraExchange/yarasigs
26. @BGASecurity
Siber Tehdit İstihbaratı
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
• Siber Tehdit İstihbaratının Geleceği – IoC
• Siber Saldırganların Yöntemlerini Bil
• Kanıt Tabanlı Veri
• Var Olan Verilerde Pasif Kontrol
27. @BGASecurity
IoC Paylaşımı
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
Saldırgan
Kurum A
Saldırgan
Kurum B Kurum C Kurum D Kurum E
SİBER TEHDİT İSTİHBARATI
28. @BGASecurity
STIX
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
Structured Threat Information eXpression— is primarily for sharing of threat
intelligence pertaining to incidents. STIX represents the relationships between these
objects, forming a graph of relationships that potentially link different campaigns through
particular actors and malware hashes.
Kaynak : http://stix.mitre.org
Mitre
29. @BGASecurity
IoC Araçları
Zararlı Yazılım Tespiti ve Siber İstihbarat Amaçlı IoC Kullanımı
• Redline
• Memoryze
• Audit Viewer
• Highlighter
• openioc_scan – IoC Scan for Memory
• Red Curtain
• Web Historian
• First Response