SIEM ve SOAR Ürünleri ile Bir Zararlı Yazılım(Malware) Tespiti Nasıl Yapılabilir ?

SIEM ve SOAR Ürünleri ile Bir Zararlı Yazılım (Malware) Tespiti Nasıl Yapılabilir?

Konumuza başlarken ilk olarak SIEM ve SOAR tanım ve farklılıklarına değinerek başlayıp, daha sonra bu temel üzerine sorumuzun yanıtını inşa edelim. Ayrıca zararlı bir yazılımın olası davranışları hakkında da bilgi vererek, bu davranışların tespiti için inceleyebileceğimiz bileşenler hakkında da fikir sahibi olalım.

SIEM (Security Information and Event Management) Nedir ?

SIEM ağ cihazları, işletim sistemleri, uygulamalar gibi birçok kaynaktan log(iz kaydı) toplayan ve bu topladığı logları derleyerek, hizmet ettiği altyapı ve sistemlere karşı gerçekleştirilen tehlikeli faaliyetleri, atakları tespit eden araçtır. SIEM tespit edici (detective) bir araçtır engelleyici (preventive) bir davranış söz konusu değildir. SIEM logları üst düzey güvenlik çalışanları tarafından analiz edilerek anlamlı hala getirilmelidir. En temel bir kural tanımıyla alınan bir logun içeriği, sayısı ile alarmlar oluşturularak ilgili sistem sahipleri bilgilendiren otomatize bir sistem kurulabilir. Bunun yanında zararlı bir aktivite öncesinde ve sonrasında ayrı sistemlerden birçok log oluşabilir. Bu logların belirli bir sıra ile gerçekleşmesi bir zararlı aktiviteyi gösterecektir ve buna uygun yazılan SIEM kuralı ile aktivite tespit edilebilir.

SOAR (Security Orchestration,Automation and Response) Nedir ?

SOAR, SIEM gibi birçok kaynaktan log alan ve bu aldığı logları anlamlandırarak bir zararlı aktiviteyi tespit eden, tespit sonrası da bir güvenlik çalışanının alabileceği engelleme aksiyonun kendisi alabilen gelişmiş bir güvenlik aracıdır. Örnek vermek gerekirse zararlı olduğu düşünülen bir mail güvenlik çalışanı tarafından incelenirken mail kaynak IP adresi, mail eki, mail içeriğine bakılır. SOAR bir güvenlik çalışanının yapacağı tüm bu adımları kendisi otomatize bir şekilde yapar. Bu işlem aşamalarının aşama aşama tanımlanması gerekmektedir. Bu işlemlerin belirli sıra ile tanımlanması Playbook olarak isimlendirilir. SOAR playbookları uyguladıktan sonra loğu aldığı kaynağa bir aksiyon aldırabilme kabiliyetine sahiptir. Mail’i sil ya da mail kaynak IP adresini engelle gibi otomatize yanıt üretebilir ki bu da SOAR’ın kabiliyetinin yanında kritikliğini ve olası bir hatanın sistemlerde kesintilere sebep verebileceğini göstermektedir.

 SIEM ve SOAR Ürünleri ile Zararlı Yazılım Tespiti

Virus: Çalıştığı sistemlere zarar vermeyi amaçlayan yazılımlardır. Kendisini bulunduğu sistem içerisinde çoğaltır.

 Worm: Çalıştığı sistemin ağında dağılma hedefi olan ve diğer sistemlere de bulaşmayı hedefleyen yazılımdır.

Trojan: Bulaştığı sistemde bir arka kapı açarak komuta merkezi tarafından aldığı komutlar ile zararlı faaliyetlerini gerçekleştiren yazılımdır.

Ransomware: Bulaştığı sistemi kriptolayarak daha sonra para karşığı kriptoları çözebilecek anahtarı paylaşmayı teklif eden fidye yazılımıdır.

Adware: Bulaştığı kullanıcı sisteminde istenmeyen reklamlar çıkartmayı hedefleyen yazılımdır.

Spyware: Bulaştığı sistemdeki klavye hareketleri, ekran kayıtların vs. kötü niyetli kişiler ile paylaşarak kullanıcıların parola vb. bilgilerini çalmayı hedefleyen yazılımdır.

Bir malware bulaştığı sistemlerde kendisini çoğaltmayı, başka .exe dosyaları çalıştırmayı, sistem üzerindeki güvenlik parametrelerini değiştirmeyi hedefleyebilir. Bu davranışarın tespit edilmesi zararlı bir faaliyeti gösterebileceği için, logları korele ederken bu durumları göz önünde bulundurmalıyız.

SIEM ürünü kendisini besleyen sistem logları ile bir tespitte bulunabilmektedir. Bu kapsamda bir zararlı yazılımın tespiti için alınması gereken logların hangi kaynaklardan olacağı konusu önem kazanmaktadır. İşletim sistemi logları tespit için en önemli bileşenlerden birisidir. Microsoft İşletim sistemleri için Sysmon aracı kullanmak log kalitesi olarak güvenlik çalışanlarına ve SIEM/SOAR aracına ciddi bir tespit yeteneği kazandıracaktır. Ayrıca sistemlerde kullanılan Antivirus ve Endpoint Detection Response(EDR) araç logları yine zararlı ile ilgili olarak tespit ve analiz yeteneği sunucaktır.

Sysmon’dan alınan loglar kaprsamında örnek bir SIEM ve SOAR platformları için analiz yapalım. Sysmon sistemlerde çalıştırılan .exe dosya isim bilgilerini SIEM/SOAR ile paylaşmaktadır.

Virüs tespiti için SIEM üzerinde takip edilen aşamalar :

Server ve kullanıcı bilgisayarlarında çalışması gereken .exe’leri daha önce belirleyerek bir beyaz liste oluştur ve bu beyaz liste harici için .exe loglarını değerlendir.

Server ve kullanıcı bilgisayarlarında çalışan .exe dosylarını listele, listeyi IP adreslerine göre grupla(Her IP adresi için maksimum aynı isimli 1 exe göster), sistemlerdeki .exe sayılarını toplam şeklinde göster. Eğer toplam 5’in üzerinde ise alarm üret. Sonuç olarak sistemlerdeki .exe ler tekilleştirilerek sayılır. Örneğin asdasd.exe ‘ nin sayısı 122 yani 122 sistemde tespit edilmiş. İsim olarak normalde kullanılan bir .exe’den farklı ve çok fazla sayıda. Bu içeride yayılma eğiliminde bir virüsü gösteriyor olabilir.

İkinci aşamada .exe’nin çalıştığı 122 sistemin haberleştiği ortak bir public IP adresi var ise sonuç üret. IP Adresimiz x.x.x.x . Bu IP Adresinin için internette bir araştırma yaparak daha önce tespit edilmiş zararlı bir IP adresi (IOC) olup olmadığını kontrol edebiliriz. Eğer bilinen bir IOC ise antivirüs araç sorumlusuna ilgili .exe’nin engellenmesi ve silinmesi için talebimizi acil olarak iletebiliriz.

Virüs tespiti için SOAR üzerinde takip edilen aşamalar :

SIEM’de daha önce belirtmiş olduğumuz aşamalardan, 122 farklı sistemde çalışan ve beyaz listede olmayan .exe tespiti sonrasında, SOAR’a bu .exe bilgisini gönderilsin. SOAR bir şüpheli hakkında artık bilgi sahibi ve sahip olduğu playbook kapsamında analizleri gerçekleştirecektir. SOAR, SIEM’e sorgu atarak bu .exe için antivirüs aracının bir alarm üretip üretmediğini ister. Eğer antivirüs alert üretmedi ise engellenmemiş potansiyel bir zararlı yazılım olabileceğini düşünerek sonraki adımlara geçer. SOAR sahip olduğu yetki kapsamında ilgili .exe’nin çalıştığı örnek bir kaynağa erişir.(.exe’nin çalıştığı kullanıcı bilgisyarına) .exe’nin SHA-1 Hashini alır ve Virus Total’e gönderir. Virus Total .exe ile ilgili zararlı yazılım sonucunu dönmez ise bir sonraki aşamaya geçilebilir. Daha sonra .exe Sandboxa inceleme için gönderilir. Sandbox inceleme sonucu dosya zararlıdır şeklinde yanıt dönsün. SOAR yine sahip olduğu yetki kapsamında antivirüs aracına ilgili hashlerin engellemesi için bir konfigürasyon gönderir.

SIEM ve SOAR ile bir zararlı yazılım tespit ve engellenmesi temel hatlarıyla bu şekildedir. Ancak burada dikkat edilmesi gerek en önemli nokta SOAR’ın zararlı ile ilgili tespiti sonrasında ürettiği konfigürasyonun otomatize edilmesi yerine, önce bir güvenlik çalışanının ekranına özet olarak sunulup daha sonra aksiyon için onayı alınması tavsiye edilmektedir ve hataları minimuma indirmektedir.

SOAR ürünleri için playbookların manual oluşturulabilmesinin yanısıra işe yarar birçok playbook kurulumda gelmektedir. Ekipler tarafından gerçekleştirilen bazı ayarlar sonrası gelişmiş playbooklar kullanılacak duruma gelebilir.