Site icon BGA Cyber Security – Siber Güvenlik Çözümleri

“Fraudulent Domain” Adlarının SOC Ekiplerine Katkısı

sahte maske

Güvenlik sektöründe popülaritesini hiç yitirmeyen başlıklardan biri olarak “Fraudulent Domain” adlarının kullanımını rahatlıkla söyleyebiliriz. Kişisel verileri (kullanıcı oturum bilgileri, kredi kartı, vb. ) elde etmek için yola çıkan bir siber saldırgan, hedeflediği kuruma çeşitli yöntemlerle sızma girişimlerinde bulunmayı tercih edebilir. Bunun yerine kurum ismine benzer bir alan adı alıp oltalama saldırısı gerçekleştirerek bu bilgileri toplaması çok daha kolay olabilmektedir. Saldırı vektörünü elbette bu şekilde sınırlamak doğru olmaz; ancak, en yaygın kullanımı olarak belirtebiliriz.

Planlanıp pratiğe dökülmesi bu kadar kolay olan bir başlık için “SOC ekipleri nasıl aksiyon alabilir?” sorusuna yanıt olarak izlenecek adımlar elbette ki her kurumun yapısına göre değişiklik gösterebilir. “Fraudulent Domain” lerin tespit edilmesi için ilk olarak bir siber olayın gerçekleşmesi ve analiz edilmesi gerekir. Analizler sonucu elde edilen siber istihbarat neticesinde kurumlar güvenlik çözümlerinde rahatlıkla aksiyona geçebilirler. Bu verilere yönelik SOC ekiplerinin aksiyonları aşağıdaki şekilde olabilir.

Çeşitli güvenlik analizlerinden sonra “Fraudulent Domain” olarak adlandırılan bir veriye yönelik somut adımlar atmak elbette ki doğru yaklaşımdır. Ancak, üzücü olan yanları aksiyon alana kadar birçok veri kaybının yaşanması veya kurum ağındaki varlıklara zararlı yazılımların bulaşması risklerinin çok fazla azaltılamamasıdır. Bu kategoride saldırı gerçekleştiren kişi veya kişilerin ciddi kazançlar elde ettiği gibi hatrı sayılır miktarda bu işlere yatırım yaptığı da çeşitli araştırmalar sayesinde bilinmektedir. Bundan dolayı, SOC ekiplerinin bir adım daha ileriye giderek saldırı gerçekleşmeden önce haberdar olabilmesi gerekmektedir.

https://mobile.twitter.com/ns_alarms/status/832604852752621569

Ülkemizde hem aktif hem de ücretsiz olarak “Fraudulent Domain” adları paylaşan USOM ve NormShield Reputation Feed servisleri bulunmaktadır. USOM genel olarak kendi ekibinin araştırmaları ve gelen şikayet/bildirimler sonucu elde ettiği zararlı bağlantıları Bankacılık-Oltalama, Zararlı Yazılım Barındıran/Yayan Alan Adı gibi kategorisi ile birlikte paylaşmaktadır. NormShield Reputation Feed tarafında ise bütünüyle hedef nokta “Fraudulent Domain” adlarıdır. Bu sayede daha çok ülkemizi hedef alan bu veriler ile gerçekleşen ya da gerçekleşecek olaylara SOC ekipleri olarak hızlı şekilde müdahale edebiliriz. Bu servislerin kullanımıyla yukarıda aksiyon konusunda belirttiğimiz maddeleri daha efektif hale getirmekle beraber bunlara  yeni maddeler de ekleyebiliriz.

Kurumunuza uygun bu adımların kullanılması sayesinde SOC ekibiniz daha aktif olması ve olası bir tehdidin hızlı tespit edilmesi sağlanabilir. Bu sayede hem kurum içinde hem de kurum dışındaki müşterilerinizin kayıplarına yönelik riskleri azaltabilirsiniz.

NormShield Reputation Feed servisinden ücretsiz şekilde çekebileceğiniz bu veriler için python ile yazılmış bir script geliştirdim. Script basitçe ilgili servisden verileri alıp CEF haline getirerek çalıştığı linux sunucunun syslog yapılandırması ile hedef adrese logları göndermektedir. Örnek kullanımı aşağıda yer almaktadır. Güncel alan adlarının toplanması için script’in periyodik olarak çalıştırılması gerekmektedir. Ek olarak, servisin kullanılması için çalışacağı kaynak IP adresinden kurumsal bir kimlik ile kayıt olunulmalıdır.

# python fraudulent.py –url “https://reputation.normshield.com/domain/fraudulent/text/” -v “NormShield” -p “Reputation Feed”

Kullanılabilir Kaynaklar:

Yazar: Mehmet Kılıç

Exit mobile version