SOC ve Log Monitoring Sistemlerini Sahte Loglarla Manipüle Etme

SOC ve Log Monitoring Sistemlerini Sahte Loglarla Manipüle Etme

Herkese merhaba. Bu yazımda SOC analistlerini veya sistemleri sahte log üreterek manipüle edip edemeyeceğimizi test etmeye çalışacağım.

Ayrıca bu yazının sonunda;

  • Wireshark ile port dinleme işlemlerini,
  • Netcat aracını kullanmayı,
  • Nmap aracı ile port taraması yapmayı,

öğrenmiş olacağız. Öncelikle log, SOC gibi kavramları açıklamaya çalışalım.

Log Nedir? Neden Önemlidir?

Bilgisayarın gerçekleştirdiği her bir etkinlik, hareket logdur ve bu etkinlikler kayıt altına alınır. Örnek verecek olursak, sunucunuzda sağ tıklayıp yeni bir klasör oluşturmanız bir loga örnektir. Windows sunucularda bu kayıtlar Windows event viewer’da görüntülenmektedir. Log kaydı sürekli olarak tutulur. Bu sayede sistem yöneticisi gerçekleşen her harekete erişebildiği gibi olası bir siber saldırı hissettiğinde gerekli önlemleri alabilir. 

Kurumlar açısından, 5651 kanunu gereği ve bazı regülasyonlardan ötürü logların 6 ay ile 2 yıl arasında tutulması, saklanması gerekmektedir. Windows sunucular için event viewerdan logları görüntülüyor olmamız tek başına logları tutmak veya izlemek için kesinlikle yeterli değildir hele ki bir kuruluş için bu komik bir durumdur. Orta çaplı bir kuruluşta dahi farklı kaynaklarda oluşan milyonlarca logu kayıt altına alıp bu logların saklanıp ve izlenmesi gerekmektedir. Farklı kaynaklardan alınan logları kayıt altına alıp saklayan, gerektiğinde arşivlerden bulup üzerinde işlem yapabildiğimiz, korelasyonlar oluşturup olayları ilişkilendiren sistemlere de SIEM adı verilir. SIEM’e örnek olarak ArcSight, Splunk, SureLog gibi ürünler örnek olarak gösterilebilir.

Kısacası, bir kuruluşun siber güvenliğini sağlamak için sahip olduğu sistemlerin loglarının toplanması, analiz edilmesi ve bunun sürekli olarak tekrarlanması gerekir. Sürecin sürekliliğini sağlamak için de izleme sistemleri ve SOC ekipleri kurulmalıdır. SIEM’de oluşan olayları, alarmları monitoring yapan ekiplere SOC ekibi, burada görev alan kişilere de SOC analistleri adı verilir.

SOC ekipleri, sistemi izleme işleri yapar ve olabilecek herhangi bir saldırı da anlık olarak tespit ve engelleme yapabilir. Örnek olarak, logları inceleyen bir analist sürekli olarak 4625 loglarını gözlemliyorsa eğer, bu event id’nin “başarısız login” olduğunu bilir ve bunun bir “brute-force” saldırısı olduğunu düşünebilir. Tabii sadece yorum yaparak bunun brute-force olduğunu kesinleştiremeyecektir.

Tüm bu nedenlerden dolayı bir şirket, kuruluş için loglar hayati öneme sahiptir. Saldırganların hareket alanını azaltabilmek, sistemlerin takibini yapabilmek için mutlaka yapılmalıdır.

Sahte Log Üretme

Peki bir şekilde log sunucu sistemine sızıp, sahte log üreterek SOC ekiplerini ya da sistemleri yanıltabilir miyiz? Monitoring yapan sistemleri sahte loglarla alarm üretmesini sağlayarak dikkat dağıtabilir miyiz? Yapacağımız uygulama ile bu sorulara cevap bulacağız.

Uygulamadaki senaryoda, log toplanan sunucuya bir şekilde sızdığımızı varsayalım. Sızdığımız sistemde bir nmap sorgusu çalıştırıp portları inceleyelim.

Sorgu sonucunda açık olan port ve servislerini ayrıca 443 portunda ArcSight SIEM ürününün çalıştığını tespit edebildik. Burada sistemi ve portları iyi tanıyan saldırga, 515 portundan ve 111 rpc bind servisinin log toplanması için açık olduğunu rahatlıkla anlayacaktır. Servis ve port bilgilerini elde ettikten sonra, log toplayan portları wireshark ağ dinleme aracı ile dinleyebiliriz.

Wireshark’tan bahsedecek olursak, tamamen ücretsiz ve açık kaynak kodlu bir ağ protokol analizi aracıdır. Bir ağ trafiğini detaylı olarak analiz edip, gerçek zamanlı olarak aktarılan veri trafiğini kontrol etmeye yarar. Port, ip vs. gibi bilgilerle filtreleme yaparak daha önce yakalanan pcap dosyalarının analizini de gerçekleştirebilirsiniz.

Wireshark aracını kullanıp, açık olan TCP portunu dinlediğimde herhangi bir log akışı gözlemleyemedim fakat 515 UDP portunu dinlediğim zaman paket akışının olduğunu tespit edebildim. Herhangi bir log paketine tıkladığım zaman da, logların clear text olarak geldiği görüntülenmektedir. Bu sayede ArcSight’a 515 UDP kaynağından giden log formatını da öğrenmiş olduk. Bu paketlerin text olarak çıktısını almak için; File > Export Packet Dissections > As Plaint Text yolunu kullanabilirsiniz.

Netcat İle Porta Bağlanma

Log formatının tespit edilmesinin ardından saldırgan burada birçok log örneği hazırlayabilir. Dilerse fazla miktarda log göndererek sunucunun veri depolama alanını doldurup yeni logların gelmemesini sağlayabilir. Bir başka örnek ise brute force, sql injection gibi log örnekleri hazırlayarak analisti ya da sistemi farklı alarmların tetiklenmesini sağlayarak dikkat dağıtabilir. Böylece kendisini sistemde bu şekilde saklayabilir.

Wiresharktan yakaladığımız logu yine 515 portuna bağlanarak göndermeyi deneyelim.

Logu aktarabilmek için netcat aracını kullanacağım. Netcat ile ağ bağlantılarında birçok işlem gerçekleştirebiliriz. Örneğin, portlar aracılığı ile bağlantı kurma, dosya transferi, uzaktan komut çalıştırma gibi birçok işlemi netcat yapabilmektedir. Burada örnek logu aktarabilmek için 515 portuna netcat ile bağlanabiliriz. “nc -lvp 515” portuna bağlantı isteğini gönderebiliriz. Hedef sistemle aynı ağda bulunduğumuz için ve 515 portu da açık olduğu için bağlantı başarılı bir şekilde gerçekleşti. Not defterinde wiresharktan yakaladığımız örnek logu, bağlandığımız sisteme ve porta başarılı bir şekilde yukarıdaki gibi aktarabildik. Bakalım ArcSight’a loglar aktarılabilmiş mi?

ArcSight logger üzerinde search gerçekleştirdiğim zaman, “fileName” alanında netcat ile bağlanıp aktardığımız logu görüntüleyebilmekteyiz. Başka alanlarda da CMD, CROND gibi bilgiler görünmektedir fakat log alanları baya uzadığı için ekran görüntüsüne sığdırılamamıştır.

Görüldüğü gibi wiresharkta yakaladığımız bir log örneğini, trafik oluşturması için tekrar 515 portuna bağlanarak göndermeyi başardık. Log formatını bildiğimiz için (kaynağa göre değişir elbette) logu sql injection vb. log örneklerine çevirebilir, SIEM’e yönlendirmeyi gerçekleştirebiliriz.

Nasıl Önlenir?

Siber güvenlikte her zaman ilk etkisiz hale getirilmek istenen kişiler bekçiler yani o sistemi koruyan güvenlikçilerdir. Yaptığımız uygulamada, sistemin içerisine bir şekilde sızdıktan sonra nmap ile port taraması gerçekleştirmiştik. Savunma sistemlerinde iyi olsun olmasın mutlaka bu tür port taramaları, versiyon, zafiyet taramaları gibi durumlar analist ekipleri tarafından gözlemlenebilir olmalıdır. Yani bu tür durumların önceden düşünülerek alarmların, davranış analizlerinin yapılması ve korelasyonların yapılması gerekmektedir.

Bir başka alınabilecek önlem ise, log akış değerlerinin izlenip anormal artışlar ve azalmalar da alertler oluşturulması ve takibinin yapılması gerekmektedir. Ayrıca log sunucusuna sadece yetkili kişilerin bağlanabilmesi, admin dışında bir hesabın bağlanması durumunda bu durumun raporlonması ya da mail olarak iletilmesi gerekmektedir. Aslında SIEM ürünleri bu durumu engellemeye yetecektir.

515 portunu wireshark ile dinlediğimiz zaman logların clear text olarak geldiğini gözlemlemiştik. Bu tür logların şifreli bir şekilde log sunucusuna iletilmesi gerekmektedir. Aksi durumlarda sisteme sızan ve fark edilmeyen saldırganlar bu durumlardan faydalanacaktır.

Sonuç olarak bu saldırı yöntemini değerlendirdiğimizde, SIEM ürünlerinin bu saldırıyı rahatlıkla algılaması, başlangıç seviyesinde alınacak önlemler ile önüne geçilebileceğini düşünebiliriz.

Kaynakça

https://sibertehdit.com/netcat-kullanimi-ve-uygulamalari/

https://ogunal.com/sahte-loglarla-izleme-sistemlerini-manipule-etmek/

Related Posts

Leave a Reply