İçeriğe geç

Ağ Tabanlı IOC Tespiti: Şüpheli IP, Domain ve Anormal Ağ Trafiği Analizi

siber-guvenlik

Siber güvenlikte Indicators of Compromise (IOC), sistemin saldırıya uğradığını gösteren ipuçlarıdır. Loki, kötü amaçlı dosyaları ve anormallikleri taramak için kullanışlı olsa da, doğrudan şüpheli IP adresleri, domainler ve ağ trafiği analizi için uygun değildir. Bu nedenle, ağ tabanlı tehdit tespiti için kullanabileceğiniz açık kaynaklı araçlara odaklanacağız.

1. Şüpheli IP Adresleri ve Domainleri Analiz Etme

Aşağıdaki araçlar, kötü niyetli IP adreslerini ve domainleri tespit etmek için kullanılabilir.

1.1 AbuseIPDB – Şüpheli IP Adresi Sorgulama

🔗 AbuseIPDB
📌 IP adreslerinin kötü amaçlı aktivitelere karışıp karışmadığını gösteren bir veri tabanıdır.

Kullanım

Bir IP adresinin durumunu komut satırında sorgulamak için:

curl -G https://api.abuseipdb.com/api/v2/check \
  --data-urlencode "ipAddress=8.8.8.8" \
  -H "Key: YOUR_API_KEY" \
  -H "Accept: application/json"

Örnek Çıktı

{
    "data": {
        "ipAddress": "8.8.8.8",
        "abuseConfidenceScore": 0,
        "countryCode": "US",
        "isPublic": true
    }
}

Yorum: abuseConfidenceScore değeri 50 üzerindeyse, bu IP adresi yüksek ihtimalle kötü niyetli bir aktiviteyle ilişkilidir.

1.2 URLhaus – Kötü Amaçlı Domainleri Tespit Etme

🔗 URLhaus
📌 Kötü amaçlı yazılım barındıran domainleri içeren bir veri tabanıdır.

Kullanım

Kötü amaçlı domainleri analiz etmek için:

wget https://urlhaus.abuse.ch/downloads/csv_recent/ -O urlhaus.csv
cat urlhaus.csv | grep "yourdomain.com"

Örnek Çıktı

example.com, 2024-01-30, Malware, Active

Yorum: Eğer domain listenin içinde bulunuyorsa, kötü amaçlı içerik barındırıyor olabilir.

1.3 OTX AlienVault – Açık Kaynaklı Tehdit İstihbaratı

🔗 OTX AlienVault
📌 IP adresleri, domainler ve kötü amaçlı yazılımlar hakkında topluluk destekli tehdit istihbaratı sağlar.

Kullanım

Bir domaini analiz etmek için:

curl -H "X-OTX-API-KEY: YOUR_API_KEY" \
"https://otx.alienvault.com/api/v1/indicators/domain/example.com/general"

Örnek Çıktı

{
    "pulse_info": {
        "count": 3,
        "pulses": [
            {"name": "Malware Campaign", "tags": ["malware", "C2"]},
            {"name": "Phishing Attack", "tags": ["phishing"]}
        ]
    }
}

Eğer domain birden fazla tehdit grubuna dahilse (pulses), güvenli olmayan bir alan adıyla karşı karşıyasınız.

2. Anormal Ağ Trafiği ve Şüpheli Bağlantılar İçin Araçlar

Ağ trafiği analizinde, anormal aktiviteleri ve bilinmeyen bağlantıları tespit etmek için çeşitli açık kaynaklı araçlar kullanılabilir.

2.1 Zeek (Bro IDS) – Ağ Trafiğini Loglama ve Analiz Etme

🔗 Zeek
📌 HTTP, DNS ve SSL/TLS trafiğini analiz ederek anormal aktiviteleri tespit eder.

Kurulum

sudo apt install zeek

Ağ trafiğini izlemek için

sudo zeek -i eth0

Örnek Çıktı

1527564301.984365 192.168.1.100 -> 45.76.23.56 HTTP GET /malware.exe

Eğer logda bilinmeyen bir IP adresine istek gönderiliyorsa, kötü amaçlı bir iletişim olabilir.

2.2 Suricata – Gerçek Zamanlı Ağ Tabanlı Tehdit Algılama

🔗 Suricata
📌 IDS/IPS olarak kullanılan bir ağ güvenliği izleme aracıdır.

Kurulum

sudo apt install suricata

Canlı ağ trafiğini analiz etmek için

sudo suricata -i eth0 -c /etc/suricata/suricata.yaml -v

Örnek Çıktı

[**] [1:2010935:2] ET TROJAN W32/Downloader [**]

Eğer Suricata zararlı bir trafik tespit ettiyse, bunu analiz ederek engellemek gerekebilir.

2.3 Wireshark – Ağ Trafiğini Görselleştirerek Analiz Etme

🔗 Wireshark
📌 Ağ paketlerini detaylı analiz etmek için kullanılan en popüler araçlardan biridir.

Kurulum

sudo apt install wireshark

Ağ trafiğini izlemek için

sudo wireshark

Wireshark ile, DNS sorguları, TCP bağlantıları ve kötü amaçlı trafik görsel olarak analiz edilebilir.

2.4 Netstat ve Lsof ile Canlı Ağ Bağlantılarını Analiz Etme

Ağ bağlantılarınızı ve hangi süreçlerin aktif olduğunu görmek için Netstat ve Lsof kullanılabilir.

Aktif ağ bağlantılarını görmek için

netstat -antp

Örnek Çıktı

Proto Recv-Q Send-Q Local Address  Foreign Address   State       PID/Program name
tcp   0      0    192.168.1.2:443  45.76.23.56:1234 ESTABLISHED 1234/python

Eğer bilinmeyen bir IP adresine bağlantı kuran bir süreç varsa, detaylı analiz gereklidir.

Hangi süreçlerin hangi portları dinlediğini görmek için

lsof -i -P -n

Örnek Çıktı

nginx   2456    root    5u  IPv4  34567  TCP *:80 (LISTEN)
python  1234    user    7u  IPv4  56789  TCP 192.168.1.2:443->45.76.23.56:1234 (ESTABLISHED)

Eğer bilinmeyen bir IP adresine bağlı çalışan şüpheli bir süreç varsa, zararlı yazılım olup olmadığını kontrol etmek gereklidir.

  • AbuseIPDB, URLhaus ve OTX, bilinen kötü amaçlı IP’leri ve domainleri analiz etmek için kullanılabilir.
  • Zeek, Suricata ve Wireshark, ağ trafiğinde anormallikleri tespit eder.
  • Netstat ve Lsof, şüpheli bağlantıları belirlemek için idealdir.

📌 İlgili Konu: Daha önce yazdığımız Loki ile IOC Tespiti makalesine göz atabilirsiniz. 🚀

Etiketler:

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

85 − = 76