Herkese merhaba. Bu yazımda, "cyberdefenders.org" sitesinde yer alan "Malware Traffic Analysis 1" paketini wireshark ile analiz edip soruları yanıtlandırmaya çalışacağım.
Cyberdefenders.org sitesi adından da anlaşılacağı üzere, siber güvenlik alanında defans tarafı ile ilgili pratik yapabileceğimiz güzel bir platform. Burada birçok makine ve analiz dosyaları yer almaktadır. Siteye ücretsiz bir şekilde üye olabilir ve pratik yapmaya başlayabilirsiniz. O halde malware analizine başlayalım.
Bu analiz sonucunda;
- Wireshark'ın detaylı kullanımını,
- Şüpheli hareketleri,
- HTTP/HTTPS requestlerini,
- Powershell ile hash elde etmeyi öğreneceğiz.
Zip içerisinden çıkardığımız "mta1.pcap" dosyasını analiz etmek için Wireshark aracını kullanabiliriz. Wirehark, anlık network trafiğini yakalayabildiğimiz grafik ara yüzüne sahip uygulamadır. Yakalanan ağ paketlerini analiz etmek için kullanmaktayız. Pcap dosyasını wireshark'a yükleyebilmek için File > Open > mta1.pcap yolunu kullanabiliriz. Import edilen pcap dosyasındaki yakalanan paketleri yukarıdaki ekran görüntüsünde görebilirsiniz.
Q1: What is the IP address of the Windows VM that gets infected?
İlk soruda malware in bulaştığı Ip adresi istenmektedir. Bunun için pcap içerisinde yer alan endpointlere bir bakalım. Endpointlere bakmamızın nedeni, gelen giden paket boyutlarına göre değerlendirmelerde bulunabiliriz. Pcap içerisindeki endpointleri listelemek için; Statistic > Endpoint > IPv4 ü seçmemiz gerekmektedir.
Endpointleri paketlere göre listelediğimiz zaman "172.16.165.165" IP adresine en fazla paketlerin iletildiğini görebiliriz. Burada dikkat etmemiz gereken TX ve RX Packets değerleri. TX; transmitted (iletilen), RX;received(alınan) anlamına gelmektedir. İletilen paket miktarının diğerlerine oranla fazla olmasından ötürü zararlının bu IP adresine enfekte olduğu muhtemeldir. İlk sorumuzun cevabı da bu 172.16.165.165 adresidir.
Q2: What is the hostname of the Windows VM that gets infected?
Diğer sorumuzda ise; malware in enfekte olduğu hostname istenmektedir. Hostname'ler DHCP ve NBNS trafiğinde iletilebilir. Bu nedenle pcap dosyası içerisinde dhcp'den gelen paketleri görüntüleyebilmek için "dhcp" filtresini uygulayalım.
Pcap içerisinde yalnızca DHCP paketlerini görüntüleyebilmek için filtre uygulayabilirsiniz. Enfekte olan malware IP adresindeki "dhcp request" paketine baktığımız zaman makinenin IP adresi, MAC adresi ve hostname bilgilerini görebilmekteyiz. 2.sorumuzun yanıtı da "K34ENGW3N-PC" dir. 3. soruda da bizden makinenin MAC adresi bilgisi beklenmektedir. Bu sorunun yanıtı da dhcp paketlerinin içerisinde görebilirsiniz.
Q4: What is the IP address of the compromised web site?
Diğer soruda ise istek atılan yani güvenliği ihlal edilmiş olan web sitesinin IP adresi istenmektedir. Bunun anlamı HTTP/HTTPS istekleridir. Wiresharkta requestleri görüntüleyebilmek için Statistics > HTTP > Request sekmesine ilerleyebilirsiniz.
Requestleri listelediğimizde "youtube ve bing.com" u çıkardığımız zaman odaklanmamız gereken 4 site olduğunu görebiliyoruz. Wiresharkta yine filtre bölümünden clientten web sunucusuna giden "GET" isteklerini inceleyelim. Filtre bölümüne "http.request.method==GET" yazarak tüm GET metotlarını inceleyebiliriz.
Filtreyi uyguladıktan sonra karşımıza client cihazlardan web sunuculara giden GET istekleri gelmektedir. Burada her GET isteğinde, isteğin gönderildiği web sunucusunun host adını içeren referer başlığı bulunmaktadır. Bu başlıklar oldukça önem arz etmektedir. İçerisinde yönlendirilen başka sitelerinde olabileceği durumlar vardır.
Örneğin burada referer başlığına baktığımız zaman isteğin "http://www.ciniholland.n1" sitesine atıldığı fakat host olarak "24corp-shop.com"görünmektedir. Burada, malware e sahip makinenin "www.ciniholland.nl > 24corp-shop.com" adresinden yeniden yönlendirildiği sonucuna varılabilir.
GET isteklerinde yer alan Host ve Referer değerlerini gözden geçirdiğimizde bir zaman çizelgesi oluşturulabilir. Kullanıcı bing.com'da(109.pakette bu bilgi yer almaktadır.) bir arama gerçekleştirdi ve ardından "ciniholland.com > 24corp-shop.com > stand.trustandprobaterealty.com" a isteklerde bulundu.
Wiresharkta "24corp-shop.com" için detaylı bir arama yapalım. Paket bulmak için "Edit > Find Packets" sekmesini kullanabiliriz. Burada string olarak 24corp-shop.com u aramamız gerekmektedir.
Paketleri incelediğimiz zaman 318 nolu paket içerisinde script header ı altında gömülü olan 24corp-shop.com u görebiliriz. Bu, saldırgan tarafından kontrol edilen başka bir kötü amaçlı siteye istekte bulunmaya zorlayan bir komut dosyasıdır. Bu paketin kaynak adresine baktığımız zaman 82.150.160.30 olduğunu görebiliriz. Bu IP adresi de güvenliği ihlal edilmiş site olan ciniholland.hl'nin IP adresidir.
Q6- What is the IP address of the server that delivered the exploit kit and malware?
Bu soruda ise zararlı yazılımı hangi siteden dağıtıldığı sorulmaktadır. Biz trafiğin ciniholland.com - 24corp-shp.com - stand.trustandprobaterealty.com a doğru yönlendiğini paketleri inceleyerek görebiliyoruz. Bu 3 siteden birisi zararlı yazılımları dağıtmak için kullanılmıştır. Bu objeleri Wireshark üzerinde görebilmek için; File > Export Object > HTTP yi seçebilirsiniz.
Export edilen objelerden "msdownload, shockwave-flash,application java" gibi nesneler dikkat çekmektedir. Nesnelerin zararlı olup olmadığını anlayabilmek için bu nesneleri pcapten dışarı çıkarabilir ve VirusTotal gibi sitelerde tarayabiliriz. Powershell üzerinden filehash alınarak dosyaları Virus Total üzerinde tarayabiliriz.
Export ettiğimiz .jar içeren dosyanın filehashini Powershellden "Get-FileHash" komutu ile alabilirsiniz.
Elde ettiğimiz hash i virus total'e eklediğimizde dosyanın kötü amaçlı olduğuna dair güçlü bir sonuç gösterdi. Bu sonuç ile zararlı yazılımın stand.trustandprobaterealty.com dan dağıtılmış olduğunu tespit ettik.
Other than CVE-2013-2551 IE exploit, what other exploit(s) sent by the EK?
Yöneltilen bu soruda IE istismarından başka hangi istismarların var olduğu sorulmaktadır. Virus Total sonuçlarına ve http export raporuna baktığımız zaman Flash ve Java istismarı olduğu görülmektedir.
How many times was the payload delivered?
Zararlının kaç defa gönderildiğine, export ettiğimiz nesnelerden yeniden bakabiliriz.
Hiç yorum yok:
Yorum Gönder