MISP (Malware Information Sharing Platform) Nedir?

MISP (Malware Information Sharing Platform) Nedir?

Herkese merhaba. Bu yazımda Malware Information Sharing Platform yani MISP ten bahsedeceğim. Teorik olarak açıkladıktan sonra ise CentOS cihazı üzerine MISP kurulumunu gerçekleştireceğim. Öncelikle MISP in ne olduğuna bir bakalım.

MISP Nedir?

En basit tanımı ile Siber Tehdit İstihbaratı Paylaşım Platformu olarak bilinir. MISP, siber güvenlik olayları ve kötü amaçlı yazılım analizi ile ilgili siber güvenlik göstergelerini ve tehditlerini toplamak, depolamak ve paylaşmak için kullanılan open-source tehdit istihbaratı ve paylaşım platformudur. Bu istihbarat platformu, kötü niyetli yazılımları ve saldırganları daha iyi anlamak ve tanımlamak için kullanılır.

Tehdit istihbaratını basitçe tanımlamak gerekirse; siber saldırıları önlemenize, tanımlamanıza ve azaltmanıza olanak tanıyan bilgilerdir. Önemli özelliklerinden birisi de elde edilen bilgileri yine aynı platform üzerinden kolaylıkla başkalarıyla paylaşabilmenizdir.

MISP Nerelerde Kullanılır?

MISP, siber güvenlik analistleri, olay analistleri, güvenlik uzmanları ve malware ile mücadele eden kişiler için geliştirilmiş bir yazılımdır. Bilgi alışverişinin yanı sıra ağ saldırı tespit sistemleri (NIDS), log tabanlı saldırı tespit sistemi (LIDS), SIEM’ler tarafından bilgi tüketimini desteklemek için kullanılır. SIEM ürünlerine APIler ile entegre edilerek alınan bilgilerin MITRE Att&CK framework ü ile de korelasyonu yapılabilmektedir. Bir başka özellikleri şu şekilde sıralanabilir;

  • MISP, görülen kötü amaçlı yazılımlar ve saldırılar hakkında teknik ve teknik olmayan bilgilerin depolanmasını sağlar.
  • Kötü amaçlı yazılım ve nitelikleri arasında otomatik olarak ilişkiler oluşturur.
  • Tüm istihbarat ve tehdit özellikleri verilerini yapılandırılmış bir biçimde depolar.
  • User-friendly ara yüzü sayesinde hızlı bir şekilde olay ya da bilginin paylaşımı sağlanır.
  • En önemli özelliklerinden birisi de yapısal bir formatta verileri saklayabilmesidir. Böylelikle siber güvenlik ve finansal sektörler bir arada ortaklaşa bir şekilde çalışabilmektedir. Örneğin MISP platformundaki malware analizlerinin ya da bilgilerini SIEM ürününe API ler ile entegre ederek gelen loglar arasında iletişimini sağlayıp korelasyon oluşturabilirsiniz.
  • Düz metin, CSV, MISP XML ya da JSON formatlarında dosya aktarımı sağlayabilir.
  • SIEM örneğinde olduğu gibi kendi çözümlerinizi entegre edebilmenizi sağlayan esnek bir API yapısına sahiptir. PyMISP Python kütüphanesini kullanarak diğer uygulamalarla entegrasyonu daha kolay hale getirmektedir.

Tehdit İstihbaratı Neden Önemlidir?

Tehdit istihbaratının önemi birçok alt başlıkta incelenebilir. Bu alt başlıklar toplanıp ayrıca makale dahi yazılabilir. Kısaca bahsetmek gerekirse bir tehdit istihbaratı öncelikle veri kaybını önlemek için gereklidir. Verilerin toplanıp analiz edilmesi, olası saldırılar için önlem niteliği oluşturabilir.

Bir diğer önemi ise veri ihlalleri tespit edilebilir. Gerçekleşmiş veya gerçekleşmekte olan bir veri ihlali ne kadar erken tespit edilirse, kurum üzerindeki zararlı etkisi de o kadar az olacaktır.

Üçüncü olarak Incident Response ile veri kaybı ya da ihlalinin hangi cihazlar üzerinde gerçekleştiği-gerçekleşmekte olduğu bilgisi tehlikeye giren sistemleri belirlemeye yardımcı olur. Bu bağlamda tehdit istihbaratının önemi ortaya çıkmaktadır.

MISP Kurulumu

MISP modülleri ile birlikte Ubuntu, CentOS sistemlerine kurulumu yapılabilmektedir. Lab ortamımda CentOS ile kurulum gerçekleştirdiğimde birkaç sıkıntı yaşadığımı söyleyebilirim. Bu bölümde kısa bir kurulum anlatımı gerçekleştireceğim. Kurulum için gerekli olan ön koşullardan diğerleri de mysql ve root olmayan misp kullanıcısı. Misp kullanıcı, kurulum yapılırken otomatik olarak da oluşturulmaktadır. Kuruluma başlayalım.

“Curl” komutunu kullanarak “https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh -o misp_install.sh” adresindeki script dosyasını sunucumuza indirebiliriz.

İndirmiş olduğumuz “misp_install.sh” kurulum scriptine çalıştırma yetkileri vermek için “chmod u+x” komutunu kullanabiliriz. Script içerisindeki tüm modülleri kurmak için -A parametresini kullanmamız gerekmektedir. Kurulumu bu şekilde başlattıktan sonra tamamlanması 15-20 dakikayı bulabilmektedir.

Kurulum tamamlandıktan sonra “etc/passwd” dosyası içerisinden kullanıcılarımı kontrol ettiğimde “misp” kullanıcısının oluştuğunu görebilmekteyiz. Kullanıcıya “su” komutu ile geçiş yaparak iptables’a 443 ve 80 tcp portları için kural eklememiz gerekmektedir.

“ufw allow 80/tcp && ufw allow 443/tcp” komutunu kullanarak bağlantı noktalarına izin veren kuralı ekleyebiliriz.

Varsayılan olarak MISP localhostu kullanmaktadır. Kurulumun ardından tarayıcıya “https://127.0.0.1/users/login” adresini yazarak ara yüze ulaşabiliriz.

Görüldüğü gibi başarılı bir şekilde ara yüze ulaşabildik. Varsayılan olarak kullanıcı email’i “[email protected]” şifre ise admindir. Bir defa giriş yaptıktan sonra yönetici bölümünden şifreyi dilediğiniz gibi değiştirebilirsiniz.

Şifre değişiminin ardından bir organizasyon oluşturup o organizasyon için kullanıcı oluşturmanız gerekmektedir. Ayrıca bu yeni kuruluş için bir API kullanıcısı da oluşturmanız gerekecektir.

Tehdit İzleme

Peki kurulum tamamlanmasının ardından MISP ara yüzünde tehditleri nasıl inceleyeceğiz? Öncelikle denetim sekmesine girmemiz gerekmektedir.

Denetim sekmesine girerken sol tarafta bulunan “List Logs” sekmesini seçtiğimiz zaman logların listelendiğini görmekteyiz. Burada tehdit istihbaratı ile ilgili her loglara artık doğrudan erişimimiz bulunmaktadır. Burada örneğin saldırıları izleyebilir ve başkalarıyla doğrudan paylaşabilirsiniz.

Benzer şekilde çeşitli sunuculardan kötü amaçlı yazılım analizi yapabiliriz. NIDS, LIDS ve API ile entegre ettiğimiz SIEM ürünlerinin de loglarını görüntüleyebiliriz.

Bu yazımda Malware Information Sharing Platform konusunu anlatmaya çalıştım. Kısada olsa kurulumu gerçekleştirip logların nasıl görüntüleneceğini öğrendik. Bir sonraki yazımda görüşmek üzere…

Kaynakça

https://www.hackingarticles.in/threat-intelligence-misp-lab-setup/

https://www.misp-project.org/

Related Posts

Leave a Reply