Kayıtlar

Korelasyon Senaryoları – Bölüm III

Resim
Korelasyon Senaryoları  Herkese merhaba uzun bir aradan sonra Korelasyon Senaryoları Bölüm III ile karşınızdayım. Bölüm III'te artık senaryolarımızın üzerinden geçmeye başlayalım.

Her korelasyon kuralı çalıştığında, onun bir örneği oluşturulur ve kurallar işlenmeye başlanır, kurallar olaylarla uyuştukça risk seviyesi artar. Risk seviyesi ayarlarda verilen risk seviyesini aştığında ise alarm üretilir. Ancak işlenecek daha fazla alt kural varsa, bunlara bağlı olarak risk seviyesi daha da yükselir ve yeni alarmlar üretilmeye devam edilir. Yani alarmlar birbirine bağlı olmalıdır. Bunu örnekle açıklamak gerekirse, bir kişi 3 kez yanlış şifre girdiğinde risk seviyesi 5 olsun ve alarm üretilsin, devamında belirli bir süre içerisinde aynı kişi 5 kez daha yanlış şifre girdiğinde risk seviyesi 8 olsun ve alarm üretilsin, daha sonra aynı kişi belirli bir süre içerisinde 10 kez daha yanlış şifre girdiğinde risk seviyesi 10 olsun ve alarm üretilsin. Bu durum aşağıdaki gibi gösterilmiştir.

Şek…

Pony Zararlı Analizi ve Uygulanabilecek SIGMA Kuralı

Resim
PONY Genel Bakış Teknolojinin gelişmesiyle beraber zararlı yazılımlarında kabiliyetleri artmaktadır. Zararlı yazılımları artık teknik bilgisi çok fazla olmayan insanlar da üretip, dağıtabilir konuma gelmektedir. Zararlı işlemleri yapmanızı sağlayan araçlar internette hazır olarak satılıp, kötü niyetli kişilerin yapması gereken tek şey bunları satın alıp 1-2 tuşa basarak hazır hale getirmektir. Pony zararlısı da bu zararlılar içerisindedir. Pony parola hırsızı (information stealer) ve diğer zararlı yazılımların indirilip çalıştırılmasını sağlayan bir zararlı yazılımdır. Pony’nin kaynak kodları[1] daha sonradan sızmış olup iç yapısını biraz daha görebiliyoruz.


Özet  Bu analiz, son yıllarda aktif olan Pony zararlı yazılımının neler yaptığını anlatmaya yöneliktir. Pony e-mail’in ekindeki zararlı dosyalarla yayılıp, asıl zararlısını indirip çalıştırmaya yöneliktir. Zararlının amacı bulaştığı sistemdeki bilgileri toplamak ve varsa diğer zararlı yazılımları indirmek için ara ka…

APT34

Resim
APT34 Genel bakış APT34 (diğer isimleriyle OilRig, HELIX KITTEN, IRN2) en az 2014 yılından beri aktif olduğu bilinen siber casusluk grubudur. APT34 grubu genel olarak Ortadoğu ülkelerini hedef almaktadır[1]. Grubun hedef kitlesini devlet kurumları, finansal kurumlar, enerji ve telekomünikasyon kurumları oluşturmaktadır. Grubun İran kökenli olduğu biliniyor. 2019 Nisan ayında Telegram üzerinden kullandıkları araçlar, grup üyelerine ait fotoğraflar, saldırdıkları ve ele geçirdikleri sistemlere ait bilgiler sızdırıldı. Özet Bu yazımızda en az 4 senedir aktif olan ve Türkiye’de hedefleri arasında olan APT34 grubunu anlatmaya çalıştım. Bu APT grubunun amacı İran için istihbarat sağlamak. Kendini diğer gruplardan ayıran özelliklerden bir tanesi de DNS trafiği üzerinden haberleşme sağlayıp, buraya önem vermesi. Bu teknik genelde kullanılan bir teknik olmadığı için yer vermek gerektiğini düşünüyorum. APT34 grubunun kullandığı araçların, gruba ait insanların bilgilerinin, yükledikleri ve kulla…