Önceki makalemiz “Siber Tehdit İstihbaratı Veri Toplama ve İşleme” konusuna tehdit istihbarat kaynakları ve yayınlarına genel bakış ile devam ediyoruz. Tehdit istihbaratı disiplini, rakipler hakkında eyleme geçirilebilir bilgi sağlamaya odaklanmaktadır. Bu bilgi kurumsal siber savunma için giderek daha önemli hale gelmektedir. Bu önem, yatırımcılar ve tehdit oyuncuları hakkında birçok yeni ve yenilikçi bilgi kaynağının yaratılmasıyla sonuçlanmıştır.
Önemli Tehdit İstihbaratı Yayınları:
- AlienVault.com: Düşmanları profilleyen çoklu kaynaklar bulundurur.
- Cyveilance.com: Benzersiz tehdit oyuncuları ile beslenir ve cezai yaptırımları belirtir.
- EmergingThreats.net: Çeşitli yayınları bulunmaktadır.
- FireEye.com: Dinamik Tehdit İstihbarat servisidir.
- H ackSurfer.com:İşinize uyarlanmış bilgiler sunar.
- InternetIdentity.com: Tehdit, büyük veri çözümü ActiveTrust’ten beslenir.
- RecordedFuture.com: Web’den gerçek zamanlı tehdit zekası verileri sunar
- SecureWorks.com: Yayınlar ve ayrıca belgeler sağlar.
- Symantec.com: DeepInsight da dahil olmak üzere çeşitli konularda yayınları vardır.
- Spytales.com: Tehdit aktörlerinin geçmişi, bugünü ve geleceği hakkında bilmeniz gereken bilgiler sunar.
- Team-Cymru.com: Tehdit istihbarat ve Bogon listeleri sunar.
- TheCyberThreat: Kendi Twitteryayınlarını sunar . Üst düzey ve kapsamlı yayınlardır.
- ThingsCyber.com: Günümüz savunmasıyla ilgili siber çatışma ve siber güvenlik konusundaki kritik noktaları belirtir.
- ThreatConnect.com: Cyber Squared tarafından bilgi paylaşımına odaklanmış bir servistir.
- ThreatGrid.com: Birleşik kötü amaçlı yazılım analizi üzerine çalışır.
- ThreatIntelligenceReview.com: Tehdit istihbarat kaynaklarının incelemesi ve güncellenmesi üzerine çalışır.
- ThreatStop.com: IP kaynağına göre Bontetlerin engellenmesi üzerine çalışır.
- ThreatStream.com : Çeşitli
- ThreatTrack.com: Kötü amaçlı URL’lerin, IP’lerin ve kötü amaçlı yazılım / kimlik avı ile ilgili verilerin akışı ile çalışmaktadır.
- Verisigninc.com : Çeşitli
Tehdit İstihbaratı Kaynakları
Aşağıda devlet yada kamu kaynaklı bazı tehdit istihbaratı kaynakları bulunmaktadır.
- FBI
- Krebsonsecurity
- DarkReading
- SANS Internet Storm Center
- The Defense Cyber Crime Center
- US Computer Emergency Response Team (US-CERT)
- ThreatBrief
Tehdit İstihbaratı Veri Toplama ve Kazançlarını Anlama
Tehdit İstihbaratı Veri Toplama ve Satın Almak; Siber tehdit istihbaratında veri toplamak için oluşması gereken gereklilikleri yerine getirdikten sonraki aşama ham verileri toplamaktır.
Açık Kaynak İstihbaratı ile Veri Toplama (OSINT)
Açık Kaynak İstihbaratı, istihbarat elde etme methodlarından biridir. Genel olarak, Tv (Kablolu, Uydu, İnternet Yayınları), Radyo (Klasik, Uydu, İnternet Yayınları), Gazete (Ulusal, Yerel, Dış Basın), Dergiler (Haber, Araştırma, Aktüel), Periyodik Yayınlar (Günlük, Haftalık, Aylık, … ), Broşürler, Bildiriler, Kataloglar, Medya ve İnternet üzerinde yapılan kamu yayınlarını içermektedir. Günümüzde istihbarat birimleri çalışmalarını % 80 oranında açık kaynak verileri üzerinden yürütmektedirler.
Arama Motorları ile Veri Toplama
Arama motorları internette araştırma yapmanın etkili bir yolunu sunan araçlardır. Bununla birlikte araştırma yapmak için bunları doğru bir şekilde kullanmak, güçlü ve zayıf yanlarını yanı sıra bunların nasıl ve ne zaman kullanılması gerektiğinin farkında olmamız gerekmektedir.
Arama motorları, aradığınız şey hakkında bir fikriniz olduğunda, ancak nereden başlayacağınızı bilmediğiniz zamanlarda kullanışlı olur. Arama terimleri ne kadar spesifik olursa, araştırmamız o kadar verimli hale gelecektir. Arama motorlarıyla doğru ve etkili arama yapmak için kullanım teknikleri öğrenmek faydalı olacaktır.
Gelişmiş Google Arama ile Veri Toplama
Bir konuda araştırma yapmak için internete bağlanıldığında en çok tercih edilen arama motoru Google’dır. En çok kullanılan bu arama motorunun bize sunduğu bazı arama teknikleri daha özel aramalar yapmanıza olanak verir ve aradığınız sonuca daha hızlı bir şekilde erişebilme imkanı verir. Bu etkin arama imkanı Google Dork ile sağlanır.
Google Dork Özellikleri;
intitle: Anahtar kelimeyi sayfa bağlığında arar.
allintitle: Anahtar kelimeyi intitledaki gibi sayfa başlığında arar ama bunu tüm başlığı göz önünde bulundurarak yapar.
inurl: Anahtar kelimeyi URL linkin içerisinde arar.
filetype: Belirli bir dosya tipini arar.
intext: Anahtar kelimeyi metinlerin içerisinde arar.
site: Anahtar kelimeyi belirli bir sitenin içinde arar.
link: Sayfalarla olan bağlantıları göz önünde bulundurarak arar.
inanchor: Anahtar kelime ile bağlantı olan içerikleri de arar.
numarange: Girilen numara aralığı ile kısıtlamalar yapılabilir.
daterange: Girilen tarih ve tarih aralığı ile kısıtlamalar yapılabilir.
author: Girilen yazara ait arama yapar.
insubject: Anahtar kelime ile berlitilen içeriği kısıtlar.
msgid: Aramayı e-posta ID’si kullanarak kısıtlar.
Google Hacking Veritabanı ile Veri Toplama
Google Hacking Database, Google’ın savunmasız Web uygulamalarını ortaya çıkarmak ve bazen de belirli web uygulamalarındaki güvenlik açıklarını belirlemek, sorgulama için çeşitli teknikler içeren bir yapıdır. Web uygulamalarındaki kusurları açığa çıkarmanın yanı sıra bir siteyle ilişkili e-postalar, veritabanı dökümleri ve kullanıcı adlarıyla şifreleri olan diğer dosyalar, korunmasız hassas dizinleri, korunmayan sayfalar, kullanımları, durumları ve konuları hakkında bilgi almaya yarar.
ThreatCrowd ile Veri Toplamak
Threatcrowd.org web sayfası üzerinden siber tehdit araması yapan bir arama moturudur. Etki alanları, IP adresleri ve belirli tehditler için arama yapılabilecek bir platformdur.
Deep Web ve Dark Web Aramasıyla Veri Toplamak
Deep Web, Google ve Yahoo gibi herhangi bir standart arama motoru tarafından indekslenmemiş verileri barındırır.
Deep web, kullanıcı veri tabanları, kayıt için gerekli web forumları, web sayfaları gibi, arama motorlarının bulamadığı tüm web sayfalarını ifade eder. Dark Web, tam bir gizlilik kullanarak, takip edilmeden çalışabileceğiniz bir yerdir.
Dark Web, Deep Web’den çok daha küçüktür ve uyuşturucu, silah hatta suikastçılar kiralayan her türlü web sayfasından oluşur. Bunlar, Surface Web’deki varlıklarını engelleyen gizli ağlardır ve genelde .onion uzantılıdır. “.onion” alan, alan adları normal arama motorları tarafından indekslenmez, bu yüzden Dark web’e yalnızca TOR olarak adlandırılan özel bir yazılımla erişilir. TOR ücretsiz bir yazılımdır.
Deep Web arama motorlarına örnek;
- The WWW Virtual Library
- Deep Web Research Tools
- Surfwax
- IceRocket
- Stumpedia
- Freebase
- TechDeepWeb
Dark Web arama motorlarına örnek;
- Onion.City
- Onion.to
- Not Evil
- Memex Deep Web Search Engine
Web Servisleri İle Veri Toplama
Bir web servisi, kendisini internet üzerinden erişilebilir kılan ve standart bir XML mesajlaşma sistemi kullanan herhangi bir yazılımdır.
Üst Düzey Etki Alanlarını ve Alt Etki Alanlarını Bulma
Eteki alanı web sitenizinin benzersiz adı/unvanıdır.
Üst Düzey Etki Alanı-Top Level Domain yani TLD, bir domainin son kelime ve harf dizisidir. En çok kullanılan TDL’lerin bazıları .com, .uk, .net, .org, .edu’dur. Atanan isimler ve numaralar için Internet Corporation ve ICANN yönetiminde, her bir TLD belirli bir kuruluş tarafından kayıt altındadır. ICANN, tüm TLD’leri dört ayrı kategoriye ayırmaktadır;
- gTLD (Generic top-level domains/Genel üst düzey etki alanları): Bunlar en çok bilinen uzantılardır. .com, .org, .edu benzeri uzantıları kapsar.
- ccTLD (Country code top-level domains/Ülke kodu üst düzey etki alanları): Ülke kodu TLD’leri özel olarak işletilir ve belirli ülkeler için özel olarak tasarlanmıştır. Topluluklara hizmet etmek için ayrılmıştır. ,tr, .us, .uk, .cn, .au örnek verilebilir.
- Uluslararası ülke kodu üst düzey etki alanları: Bu alanlar ccTLD’lere benzer ancak Arap alfabesi ve Japon alfabesi gibi alfabetik olmayan yazı sistemlerini kullanan ülkelere yöneliktir.
- Altyapı üst düzey etki alanları: Bu grup yalnızca bir etki alanından, Adres ve Yönlendirme Parametre Alanı’ndan (ARPA) oluşur. Yalnızca teknik altyapı amaçları için kullanılır.
İş Siteleri Üzerinden Veri Toplama
İnsanlar iş arama sayfaları ve arama motorları üzerinden takip edilebilir izler bırakabilirler. Örneğin iş aramakta olan biri aşağıda örneği verilmiş sayfalar veya bunlardan daha fazla sayıdaki diğer iş arama siteleri üzerinden CV ve iş arama ilanı bırakabilirler. Bu CV’lerden telefon numarası, mail adresi, ev adresi, nitelikler, hobiler, ilgilendikleri teknik ve teknik olmayan alanlar ile ilgili bilgiler çıkarılabilir. Bunlar üzerinden kişinin zayıf noktası belirlenip sosyal mühendislik saldırıları için kullanılabilir.
Örnek iş arama sayfaları;
- Indeed
- Glassdoor
- Handshake
- SimplyHired
- ZipRecruiter
- Monster
- CareerBuilder Job Board
Gruplar, Forumlar ve Bloglar aracılığıyla Veri Toplama
İnsanların gruplar, forumlar ve bloglar üzerinde bıraktıkları yorumları, yazıları, iletişimleri üzerinden kişilik analizi yapılabilir ve analiz sonucunda elde edilen bilgiler mızrak avı saldırısı ve başka amaçlar için kullanılabilir.
Sosyal Ağ Siteleri Üzerinden Veri Toplama
Sosyal medya neredeyse hayatımızın her yönünü kaplayan bir yapı haline gelmektedir. Sosyal medyanı düzenli olarak kullanıyoruz; verimlilik, etkileşim kurma, eğitim, oyunlat, müzik, navigasyon ve daha birçok işlev için kullanılmaktadır.
Sosyal medyadaki her konuşma, gönderi ve uygulama ziyaretinde, kullanıcı geride kendi hakkına bilgi parçacıkları bırakır. Bu bilgiler kişilerin tercihler, niyetleri, duyarlılık seviyeleri, kişilik yapısı, dini inancı, potansiyel eylemleri gibi kritik veriler sunabilir.
Kara Listeli ve Beyaz Listeli Sitelerle İlgili Veri Toplama
Bireysel bilgisayar sistemlerini ve örgütsel ağları kötü niyetli yazılımların etkilerinden ve yetkisiz kullanıcıların ve uygulamaları izinsiz girişlerinden korumak etkili bir erişim kontrolü yöntemi ile başlar
Kötü amaçlı ve şüpheli tehdit aktörlerinin bulunduğu listeye kara liste denir. Bu listelerde çeşitli varlıklar bulunabilir. Bu varlıklar virüsler, truva atları, solucanlar, casus yazılımlar, keyloggerlar ve diğer kötü amaçlı yazılımları içerir. Bunların haricinde IP adresleri ve blogları, domain adları, ID numaraları gibi bilgiler barındırır. Karşımızdaki tehdit konusunda bir fikrimiz yoksa eğer, daha önceden yakalanan tehdit veya tehdit aktörlerinin içinde bulunup bulunmadığını kontrol etmek için bakabileceğimiz bir veritabanıdır.
Bir sisteme ve ağa erişmesine izin verilen kabul edilebilir varlıkların bulunduğu listeye beyaz liste denir. Örneğin erişim yetkisi kısıtlı olan bir ağa sadece giriş izni olanların listesini ekleyip, bunun haricindeki girişlerin red edilmesini sağlayabilirsiniz.
Web Sitesi Ayakizi ile Veri Toplama
Ayak izi (keşif olarak da bilinir), bilgisayar sistemleri ve ait oldukları varlıklar hakkında bilgi toplamak için kullanılan tekniktir. Bu bilgiyi almak için bir bilgisayar korsanı çeşitli araçlar ve teknolojiler kullanabilir. Bu bilgi bütün bir sistemi kırmaya çalışan bir bilgisayar korsanı için çok yararlıdır.
Bilgisayar güvenlik sözlüğünde kullanıldığında, “Ayak izi” genellikle saldırı öncesi aşamalardan birini ifade eder; Gerçek saldırı yapmadan önce gerçekleştirilen görevleri kapsar.
Bir bilgisayar korsanının hedef sistem hakkında bilgi edinmesini sağlar. Bu bilgi sisteme daha fazla saldırı yapmak için kullanılabilir. Saldırının tam ve başarılı bir şekilde çözülebilmesi için tüm bilgiler gözden geçirildiğinden dolayı ön saldırı olarak adlandırılabilir.
Web Sitesi Trafiğini İzleme Yoluyla Veri Toplama
//Hedef organizasyon hakkında bilgi toplamak için kullanılan bu yöntem, hedefle ilgili ilgili bilgileri sosyal medyadan, arama motorlarından, çeşitli web sitelerinden toplanılan pasif bilgi toplama sürecidir.
Web sitesi trafiğini izleme, web sitesinin kullanıcı trafiğini ve genel performansını değerlendirmek amacıyla web sitesi trafiğini inceleme ve analiz etme işlemidir.
Web sitesinin giriş ve çıkış trafiğini incelemek, analiz etmek ve hareket etmek amacıyla manuel ve otomatik trafik izleme tekniklerinin kombinasyonu kullanılarak yapılır.
Web Sitesi Yansıtma ile Veri Toplama
Ayna web siteleri veya aynalar , orjinal web sitelerinin kopyalarıdır . Bu tür web siteleri , orjinal siteden farklı URL’lere sahiptir, ancak aynı içerikleri barındırır. İyi huylu aynaların temel amacı genellikle ağ trafiğini azaltmak , erişim hızını artırmak, orijinal sitenin kullanılabilirliğini artırmak veya orijinal sitenin gerçek zamanlı yedeklemesini sağlamaktır. Kötü amaçlı ayna siteleri, diğer kullanımların yanı sıra, kullanıcı bilgilerini çalmaya, kötü amaçlı yazılım dağıtmaya veya orijinal sitenin içeriğinden faydalanmaya çalışabilir.
Web Sitesi Bilgilerini archive.org adresinden çıkarmak
Archive.org veya daha yaygın olarak bildiği gibi Wayback Makinesi , internetin tarihi arşivlemesi için web sayfalarına yönelik bir web tarayıcısı ve indeksleme sistemidir.
İnternetin büyük bir yüzdesini taradığı için, web sitenizin kendi web tarayıcısı tarafından taranması çok olasıdır. Herkese açık olan bu verileri alarak, önceden taşınan web sitesinin site yapısının ne olduğuna dair bilgi sahibi olabiliriz.
Genel Belgelerin Meta Verilerini Çıkarma
Metadata, metaveri ya da üst veri, bir kaynağın ya da verinin öğelerini tanımlayan bilgilerdir. Kısaca veri hakkında veri/bilgi olarak özetlenebilir. Pratikte kütüphanelerdeki kart kataloğu ya da bibliyografya ile benzerlik gösterirler. Kitapları birer veri kaynağı olarak düşünürsek kütüphane kartları nasıl kitaplar hakkında bilgi veriyorsa üst veri da data (veri) hakkında bilgi verir.
Mesela Web sayfalarında HTML kodu içerisine eklenen meta etiketleri (tag) ile o sayfa hakkında ek bilgiler elde edilebilir. Ya da dijital fotoğraf makineleri ile çekilen fotoğraflarda, fotoğraf dosyası içerisine kaydedilen EXIF bilgileri (fotoğrafın çekildiği tarih, fotoğraf makinesinin markası, modeli ve ayarları, fotoğrafın çekildiği yerin GPS koordinatları v.s.) birer üst veridir.
Whois Lookup ile Veri Toplama
WHOIS (“kim” olarak ifade edilir.) yaygın olarak kullanılan bir alan adı , bir IP adres bloğu veya özerk bir sistem gibi bir İnternet kaynağının kayıtlı kullanıcılarını depolayan veritabanlarını sorgulamak için kullanılan bir sorgu ve cevap protokolüdür. Bu protokol, ayrıntıları bir veritabanında depolamak ve ayrıntıları, insan tarafından okunabilir bir biçimde veritabanına aktarmak için kullanılır. WHOIS’in tüm belgelerini RFC 3912’de bulabilirsiniz.
Bir alanın, IP bloğunun, ve benzeri veritabanının WHOIS detaylarını alma işlemine WHOIS araması denir. Birden çok yoldan yapılabilir. WHOIS araması yapmak için pek çok çevrimiçi araç bulunmaktadır.
DNS Sorgulaması ile Veri Toplama
DNS, kolay ve akılda kalıcı olan alan adlarını , temel ağ protokollerine sahip bilgisayar servislerini ve cihazlarını bulmak ve belirlemek için gereken sayısal IP adreslerine çevirir.
DNS Araması ve Ters DNS Araması ile Veri Toplama
Alışveriş, bankacılık, sosyal medya, e-kitap; hepimiz interneti her gün çeşitli işler için kullanmaktayız. Bunu yaparken geride bıraktığımız izleri göremiyoruz. Ziyaret ettiğiniz her web sitesi, doldurduğunuz form ve aldığınız e-posta, sizinle, bulunduğunuz yerle ve ilgi alanlarınızla ilgili bilgilerle doludur. Kötü niyetli aktörler DNS sorgularıyla, bu kişisel verilerinize erişmek isteyebilir.
DNS, genellikle bir etki alanı adını bir IP adresine çözmek için kullanılır. Bu hareket ileriye dönük bir çözüm olarak bilinir ve internette bir siteyi her ziyaret ettiğinizde yürürlüğe girer. Ters DNS (rDNS), adından da anlaşılacağı gibi, bir IP adresini bir etki alanı adına çözümleme yöntemidir.
Bir IP adresini etki alanı adına çözümlemek için kullanılan DNS kayıtları, işaretçi (PTR) kayıtları olarak bilinir. Ters DNS girişlerini saklamak için belirli bir PTR kaydı kullanılır. PTR kaydının isim kısmı, bölümlerin tersine çevrilmiş IP adresidir ve kaydın sonuna “.in-addr.arpa” eklenmiştir. Kaydın “.in-addr.arpa” kısmı “adres ve yönlendirme parametresi alanı” (arpa) anlamına gelir. rDNS, IPv4 için “in-addr.arpa” ve IPv6 adresleri için “ip6.arpa” kullanılır.
Örneğin, IPv4 IP “1.2.3.4” için ters DNS girişi “4.3.2.1.in-addr.arpa” olacaktır.
Fast-Flux DNS Bilgi Toplama
Fast-Flux, botnetler tarafından , kimlik avı yapan kötü amaçlı ana bilgisayar ağının arkasındaki kimlik avı ve kötü amaçlı yazılım dağıtım sitelerini gizlemek için kullanılan bir DNS tekniğidir . Ayrıca, kötü amaçlı yazılım ağlarını keşif ve karşı önlemlere daha dayanıklı hale getirmek için kullanılan eşler arası ağ iletişimi , dağıtılmış komut ve denetim, web tabanlı yük dengeleme ve vekil yeniden yönlendirme kombinasyonuna da yardımcı olur .
Fast-Flux’un arkasındaki temel fikir , IP adreslerinin çok yüksek sıklıkta değiştirilip DNS kayıtları değiştirilerek, tam bir tek etki alanı adıyla ilişkili sayısız IP adresinin bulunmasıdır .
Dinamik DNS (DDNS) Bilgi Toplama
DDNS olarak da bilinen Dinamik DNS, pahalı bir statik IP almanıza gerek kalmadan, adresinizi tutarlı bir etki alanı adı ile ilişkilendirerek, konut IP adreslerini değiştirme sorununu çözer.
DNS Zone Transfer İle Bilgi Toplama
DNS Zone Transfer, yöneticilerin DNS veritabanlarını bir grup DNS sunucusunda çoğaltmak için kullanabilecekleri birçok yöntemden biridir. Bir DNS’ten başka bir DNS’e kayıtların aktarılması işlemidir.
OSINT’i Otomatikleştiren Araçlar, Yapılar ve Komut Dosyaları
MALTEGO
Maltego, Paterva tarafından geliştirilen, açık kaynaklı, bilgi toplamaya yarayan, Java dilinde yazılmış bir yazılımdır. Maltego, açık kaynaktan gelen verileri bulmak için bir dönüşüm kütüphanesi sağlamayı ve bu bilgiyi link analizi ve veri madenciliği için uygun bir grafik biçiminde görselleştirmeyi amaçlar.
Uygulamanın temel odağı, insanlar, gruplar, web sayfaları, alan adları, ağlar, internet altyapısı ve sosyal medya gibi çevrimiçi hizmetlere sahip bağlantılar arasındaki gerçek dünyadaki ilişkileri analiz etmektir. Veri kaynakları arasında DNS kayıtları, whois kayıtları, arama motorları, çevrimiçi sosyal ağlar, çeşitli API’ler ve çeşitli meta veriler bulunmaktadır.
OSTrICa
OSTrICa Açık Kaynak Tehdit İstihbarat Toplayıcısı anlamına gelir ve Tehdit İstihbarat Bilgilerini toplamak ve görselleştirmek için kullanılan ücretsiz bir Framework’dür. Toplanan istihbarat analistler tarafından analiz edilebilir ve bağlantı analizi için bir grafik formatında da görselleştirilebilir. Görselleştirilmiş bilgiler dinamik olarak filtrelenebilir ve birden fazla kötü amaçlı yazılım arasındaki bağlantıları gösterebilir.
OSRFramework
OSRFramework, i3visio tarafından Açık Kaynak İstihbarat görevlerini yerine getirmek için geliştirilen bir GNU AGPLv3 + kütüphanesidir. Kullanıcı adı kontrolü, DNS aramaları, bilgi sızıntıları araştırması, dark web araması, düzenli ifadelerin çıkarılması gibi işlemleri gerçekleştirir. Aynı zamanda, geçici Maltego dönüşümleri sayesinde, OSRFramework, bu sorguları grafiksel olarak dökmenin yanında, benzer OSRFConsole ve bir web arayüz ile etkileşime geçmek için çeşitli arayüzler de sağlar.
FOCA
FOCA (Fingerprinting Organizations with Collected Archives), taramalarında belgelerde meta verileri ve gizli bilgileri bulmak için kullanılan bir araçtır. Bu belgeler web sayfalarında olabilir ve FOCA ile indirilip analiz edilebilir.
GOSINT
GOSINT (Open Source Threat Intelligence Gathering and Processing Framework), IoC verilerinin toplanması, işlenmesi ve paylaşılması için kullanılan bir projedir. Go ve JavaScript dilleri ile yazılmıştır. GOSINT, güvenlik analistlerinin yapılandırılmış ve yapılandırılmamış tehdit istihbaratını toplamasını ve standartlaştırması sağlar.
İnsan Zekası İle Veri Toplama (HUMINT)
İnsan istihbaratı-HUMIT sinyal istihbaratı (SIGINT), görüntü istihbaratı (IMINT) ve ölçüm ve imza istihbaratı gibi daha teknik istihbaratı toplama disiplinlerinin aksine, kişiler arası temas yoluyla toplanan zekâdır.
NATO HUMINT’i “insan kaynakları tarafından toplanan ve sağlanan bilgilerden türetilen bir istihbarat kategorisi” olarak tanımlamaktadır. Tipik HUMINT aktiviteleri sorgulama ve bilgiye erişimi olan kişilerle yapılan konuşmalardan oluşur.
HUMINT işlemlerinin yürütülme şekli hem resmi protokol hem de bilgi kaynağının niteliği tarafından belirlenir. ABD ordusu bağlamında , çoğu HUMINT faaliyeti gizli faaliyetleri içermez. Hem casusluk istihbaratı hem de HUMINT, gizli HUMINT ve gizli HUMINT operasyonel teknikleri içerir .
HUMINT birkaç çeşit bilgi sağlayabilir. Seyahat sırasında veya seyahat edenlerden, mültecilerden, kaçan arkadaş canlısı POW’lardan vb. diğer olaylar sırasında gözlemler sağlayabilir. Konunun belirli bir bilgiye sahip olduğu, başka bir insan konusu olabileceği veya hakaret ve casuslar hakkında bilgi verebilir.Kişile rarası ilişkiler ve ilgilenilen ağlar hakkında bilgi sağlayabilir.
HUMINT, hem olumlu bir istihbarat kaynağı hem de güçlü karşı-istihbarat değeri bilgisidir . Görüşmeler, istihbarat toplama rehberliği ve karşı istihbarat zorunluluklarının bilinen tüm bilgi gereksinimlerini dengelemelidir.
İnsan Tabanlı Sosyal Mühendislik Teknikleri ile Veri Toplama
İnsan tabanlı bir bilgi toplama yöntemi olan sosyal mühendislik , bilgi güvenliği bağlamında , insanların eylemleri yerine getirmelerine veya gizli bilgileri açığa çıkarmaya yönelik psikolojik manipülasyonlarını ifade eder . Bu gizli bilgilerin ifşa edilmesini içermeyen sosyal bilimler içindeki sosyal mühendislikten farklıdır. Bilgi toplama, sahtekarlık veya sisteme erişim amaçlı bir tür güven hilesi , genellikle daha karmaşık bir sahtekarlık şemasındaki birçok adımdan biridir.
Aynı zamanda “bir kişiyi kendi çıkarları doğrultusunda olabilecek veya olmayabilecek bir eylemde bulunmasını etkileyen herhangi bir eylem” olarak tanımlanmıştır.
Sosyal Mühendislik Araçları
Social Engineer Toolkit, çevrimiçi sosyal mühendislik saldırılarını gerçekleştirmek için açık kaynaklı bir araçtır. Bu araç, mızrak avcılığı ve web sitesi saldırı vektörleri dahil olmak üzere çeşitli saldırı senaryoları için kullanılabilir. Sosyal Mühendislik Aracı Metasploit ile entegre bir şekilde çalışır. İstemci tarafı saldırıların yürütülmesini ve kimlik bilgilerinin kesintisiz olarak toplanmasını sağlar. Social Engineer Toolkit ile, bir çalıştırılabilir dosya arka kapıya girip kurbana gönderilebilir.
Cyber Counterintelligence (CCI) ile Veri Toplama
Honeypots ile Veri Toplama
Honeypots, saldırıya uğraması veya tehlikeye girmesi beklenen bir kaynak olarak özellikle dağıtılan bilgisayarlardır. Saldırganın tuzak sistemlere yaptıkları saldırılar ile saldırganı ve saldırı yöntemlerini öğrenebiliriz. Saldırılar hakkında edinilen bilgilerden güvenlik sistemlerimizi ne yönde sıkılaştırmamız gerektiğini çıkarabiliriz.
Pasif DNS İzleme ile Veri Toplama
Pasif DNS, gerçek zamanlı olarak ana bilgisayarda gösterilen, sürekli güncellenen bir veri kümesidir. Pasif DNS, DNS işlemlerini yeniden birleştirmek için DNS’ler arası trafiği pasif olarak ele geçirerek toplanan verilerdir.
Pasif DNS’in Avantajları:
- Uyuşmaları tespit etmek
- Yöneticilerin şüpheli yeni alan adlarını engelleme kararına yardımcı olmak
- Potansiyel veri/bilgi ihlallerinin belirlenmesi
- Kötü amaçlı eylemi engellemek
- Domain adlarını tanımlamak
- Tehdit istihbaratı toplsmak
YARA Kuralları ile Veri Toplama
YARA, kötü amaçlı yazılım araştırmacılarına, kötü amaçlı yazılım örneklerini tanımlama ve sınıflandırma konusunda yardımcı olmayı amaçlayan (ancak bunlarla sınırlı olmayan) bir araçtır. YARA kuralları, hedefli saldırıları ve ortamınıza özgü güvenlik tehditlerini tanımlamak için tamamen özelleştirilebilen kötü amaçlı yazılım algılama kalıplarıdır. YARA ile, metinsel veya ikili desenlere dayanarak kötü amaçlı yazılım ailelerinin (veya ne tanımlamak istediğinizi) açıklamalarını oluşturabilirsiniz. Her açıklama, her kural, bir dizi dizeden ve mantığını belirleyen bir boolean ifadesinden oluşur.
YARA’yı, Windows, Linux ve Mac OS X üzerinde çalışan çok platformlu ve komut satırı arayüzü veya yara-python uzantılı kendi Python komut dosyalarınızdan kullanılabilirsiniz.
Uzlaşma Göstergeleriyle Veri Toplama (IoC)
Dış Kaynaklarla IoC Veri Toplama
Ticari ve Endüstri IoC Kaynakları;
IT-ISAC
IT-ISAC (Bilgi Teknolojileri Bilgi Paylaşımı ve Analiz Merkezi) Ocak 2001’de BT endüstrisi şirketi (Oracle, IBM, EDS ve Computer Sciences dahil) tarafından güvenlikle ilgili bilgilerin merkezi bir deposu olarak hizmet veren bir tesistir. Grubun amacı, her kuruluşun güvenlik saldırıları ve güvenlik açıkları hakkındaki bilgilerini tüm üyeler arasında paylaşmaktır. Üye şirketlerden, sahip oldukları güvenlik sorunları veya buldukları bu sorunlara çözümler hakkında bilgi vermeleri beklenir. IT-ISAC, – FBI tahminlerine göre – ortalama güvenlik saldırısının bir kuruluşa 400.000 $ ‘a mal olabileceği belirtmektedir.
Ücretsiz IoC Kaynakları
AlienVault OTX
AlienVault OTX, tehdit araştırmacıları ve güvenlik uzmanları topluluğuna açık küresel bir erişim sağlar. Şu anda 140 ülkede, günde 19 milyondan fazla tehdit göstergesine katkıda bulunan 100.000’den fazla katılımcısı bulunmaktadır. Topluluğun oluşturduğu tehdit verilerini sağlar, ortak araştırmalar gerçekleştirir ve güvenlik altyapınızı herhangi bir kaynaktan gelen tehdit verileriyle güncelleme işlemini otomatikleştirir. OTX, güvenlik topluluğundaki herhangi birisinin, diğerlerinin de aynısını yapmasına yardım ederken savunmanızı güçlendirerek aktif bir şekilde tartışmasını, araştırmasını, onaylamasını ve paylaşmasını sağlar.
Blueliv Threat Exchange Network
Blueliv Tehdit Değişim Ağı topluluğu günümüzün en son tehditlerine karşı koruma sağlamak için IP’ler, URL’ler ve dosya karmaları gibi IoC’leri paylaşmak için tasarlanmıştır. Topluluk kullanıcıları tek bir platformdan, Cyber Threat Map, Kötü Amaçlı Yazılım Analiz Sandbox, Kötü Amaçlı IP Sorgu ve yeni Tehdit İstihbarat Değişim Ağı gibi sistemlere erişebilirler.
MISP
MISP, siber güvenlik göstergeleri, siber güvenlik olayları analizi ve kötü amaçlı yazılım analizleri hakkında tehdit toplamak, depolamak, dağıtmak ve paylaşmak için geliştirilmiş açık kaynaklı yazılımdır.
Bu güvenilir platformun amacı, hedeflenen saldırılara karşı kullanılan karşı önlemlerin geliştirilmesine yardımcı olmak ve önleyici eylemler oluşturmaktır. Yapılandırılmış bilgileri verimli bir şekilde paylaşmak için günlük operasyonları desteklemek üzere, olay analistleri, güvenlik ve ICT uzmanları tarafından tasarlanmaktadır.
Asıl amacı güvenlik grupları arasında bilgilerin paylaşılmasını teşvik etmektir. Bilgi alışverişini desteklemek için işlevsellik sağlar. Aynı zamanda Network Detection Intrusion System (NIDS), LIDS, günlük analiz araçları, SIEM’ler için tüketilecek, işlenecek veri sağlar.
threat_note
threat_note, Savunma Noktası Güvenliği tarafından güvenlik araştırmacılarına araştırmalarıyla ilgili göstergeler ekleme ve alma kabiliyetini sağlamak için oluşturulmuş bir web uygulamasıdır.
Cacador
Cacador, metin bloklarından IoC göstergelerini çıkartmak için kullanılan bir araçtır.
IOC Bucket
IOC Bucket, topluluk destekli ve açık kaynak bir tehdit istihbaratı paylaşım platformudur. Amacı tehdit istihbaratının basit ve etkili bir şekilde paylaşılmasını sağlamaktır.
Dahili Kaynaklarla IoC Veri Toplama Araçları
Splunk Enterprise
Splunk , San Francisco , California merkezli bir Amerikan kamuya ait çok uluslu şirkettir ve makine tarafından üretilen büyük verileri Web tarzı bir arabirim üzerinden aramak, izlemek ve analiz etmek için yazılımlar üretir. Splunk, grafikler, raporlar, uyarılar, gösterge panoları ve görselleştirmeler üretebileceği gibi aranabilir bir depodaki gerçek zamanlı verileri yakalar, indeksler ve ilişkilendirir.
Splunk’un misyonu, veri kalıplarını tanımlayarak, ölçümler sağlayarak, sorunları tanımlayarak ve ticari işlemler için istihbarat sağlayarak makine verilerini bir kuruluş genelinde erişilebilir hale getirmektir . Splunk, işletme yönetimi ve web analitiğinin yanı sıra uygulama yönetimi , güvenlik ve uyumluluk için kullanılan yatay bir teknolojidir.
Valkyrie Bilinmeyen Dosya Avcısı
Gelişmiş bir kalıcı tehditi (APT), geleneksel bir virüsten koruma yazılımının yakalayabilmesi aylar alabilmektedir. Bu süre zarfında, tehdit kurbanın bilgisayarında kalmaya devam etmekte ve planlarını sürdürmektedir.
Comodo Bilinmeyen Dosya Avcısı-Unknown File Hunter (UFH), ağınızdaki bilinmeyen ve potansiyel olarak zararlı dosyaları tanımlayan bir tarayıcıdır. Sistemlerinizi taradıktan sonra, denetlenen tüm dosyaları ‘Güvenli’, ‘Kötü Amaçlı’ veya ‘Bilinmeyen’ olarak sınıflandırır. ‘Güvenli’ dosyalar iyi durumdaki dosyalardır, ‘Kötü Amaçlı’ dosyalar yok edilmesi gereken dosyalardır, zero-day tehditlerin çoğu ‘Bilinmeyen’ kategorisindedir. UFH, bu dosyaları, zararlı olup olmadıklarını ortaya çıkarmak için tasarlanmış bir çalışma süresi testine tabi tutulacakları Valkyrie sunucularımıza yüklemenizi sağlar. Bu testlerin sonuçlarını UFH arayüzünde görebiliriz.
IOC Finder
FireEye Uzlaşma Göstergeleri (IOC) Bulucu, ana bilgisayar sistem verilerini toplamak ve IOC’lerin varlığını bildirmek için kullanılan ücretsiz bir araçtır. IOC’ler olay yanıt verenlerin tehditler hakkında çeşitli bilgiler yakalamasına yardımcı olan açık standart XML belgeleridir.
IOC Bulucu özellikleri:
- Genel IoC eşleştirme gereklilikleri için yeterli olan tüm verilerin toplanması
- Birden fazla ana bilgisayardan toplama için taşınabilir bir depolama cihazının kullanımı
- IoC verilerini, HTML ve MS Word XML formatlarında raporlama
- Belirli ana bilgisayarlar veya tüm ana bilgisayarlar için rapor oluşturma
RedLine
FireEye’nin ücretsiz uç nokta güvenlik aracı olan Redline, kullanıcılara hafıza ve dosya analizi ve bir tehdit değerlendirme profilinin geliştirilmesi yoluyla kötü niyetli etkinlik belirtileri bulma konusunda araştırma yetenekleri sunar.
Redline ile şunları yapabilirsiniz:
- Bellek, dosya sistemi meta verileri, kayıt defteri verileri, olay günlükleri, ağ bilgileri, hizmetler, görevler ve web geçmişinden çalışan tüm işlemleri ve sürücüleri denetleyip toplamak.
- TimeWrinkle ve TimeCrunch özellikleriyle Redline’ın Zaman Çizelgesi işlevini kullanarak belirli bir zaman dilimindeki sonuçları filtreleme yeteneği de dahil olmak üzere içe aktarılan denetim verilerini analiz edip ve görüntülemek.
- Göreceli önceliğe dayalı kötü amaçlı yazılımları analiz etmek için kanıtlanmış bir iş akışıyla bellek analizini kolaylaştırmak.
- Uzlaşma Göstergeleri (IOC) analizi yapmak. Bir dizi IOC ile birlikte verilen Redline Portable Agent, IOC analizi ve bir IOC hit sonuç incelemesi için gereken verileri toplamak üzere otomatik olarak yapılandırmak.
Özel IoC’ler Oluşturmak suretiyle Veri Toplama
IOC Editör
FireEye Uzlaşma Göstergeleri (IOC) Editör, IOC’lerin mantıksal yapılarını yönetmek ve verileri yönetmek için bir arayüz sağlayan ücretsiz bir araçtır. IOC’ler, olay yanıtlayanların kötü niyetli dosyaların öznitelikleri, kayıt defteri değişikliklerinin özellikleri ve bellekteki eserler gibi tehditler hakkında çeşitli bilgiler yakalamasına yardımcı olan XML belgeleridir. IOC Editör şunları içerir:
- IOC’yi tanımlayan mantıksal yapıların manipülasyonu
- Ayrıntılı açıklamalar veya isteğe bağlı etiketler dahil olmak üzere, meta-bilgilerin IOC’lere uygulanması
- IOC’lerin XPath filtrelerine dönüştürülmesi
- IOC’lerde kullanılan “terim” listelerinin yönetimi
Tehdit Göstergesi için Tehdit Göstergelerinin (IoC’ler) etkin kullanımı için adımlar…
Kötü Amaçlı Yazılım Analiziyle Veri Toplama
Hassas verilerin kötü amaçlı yazılımlar tarafından ele geçirilmesi, dünya genelinde işletmeler, araştırma kuruluşları, ulusal güvenlik ve bireyler üzerinde felaket etkisi olan ciddi bir siber tehdittir. Her gün binlerce siber suçlu, önemli verileri ihlal etmek, verilere zarar vermek veya manipüle etmek veya yasadışı finansal transferler yapmak amacıyla kötü amaçlı yazılımlar kullanarak bilgisayar sistemlerine saldırmaya çalışmaktadır. Bu nedenle bu verilerin korunması araştırma toplulukları için kritik bir konudur. Hassas veriyi veri madenciliği ve makine öğrenmesi sınıflandırma tekniklerini kullanarak kötü amaçlı tehditlere karşı korumak için kötü amaçlı yazılımları sınıflandırmak ve tespit etmek için kapsamlı bir çalışma yapılmalıdır. Bu işte, hem imza temelli hem de anomali temelli özellikleri analiz ederek kötü amaçlı yazılım sınıflandırması ve tespiti için sağlam ve etkili bir yaklaşım kullanılmalıdır.
Statik Kötü Amaçlı Yazılım Analiziyle Veri Toplama
Statik analiz, kötü amaçlı yazılım kodunu gerçekten çalıştırmadan ikili kod analiz etme işlemidir. Statik analiz genellikle, ikili dosya için benzersiz bir tanım olan ikili dosyanın imzasını belirleyerek yapılır ve dosyanın şifreleme karmasını hesaplayarak ve her bir bileşeni anlayarak yapılabilir.
Kötü amaçlı yazılım ikili dosyası, yürütülebilir dosyayı IDA gibi bir parçalayıcıya yükleyerek tersine mühendislik yapılabilir. Makinede çalıştırılabilir kod, derleme dili koduna dönüştürülebilir, böylece insanlar tarafından kolayca okunabilir ve anlaşılabilir. Analistler daha sonra bu bilgileri gözden geçirmek isteyebilirler.
Dinamik Kötü Amaçlı Yazılım Analiziyle Veri Toplama
Dinamik analiz, kötü amaçlı yazılım örneğini çalıştırmayı ve bu etkiyi gidermek veya diğer sistemlere yayılmasını durdurmak için sistemdeki davranışını gözlemlemeyi içerir. Sistemden kapalı, yalıtılmış bir sanal ortamda kurulur, böylece kötü amaçlı yazılım örneği sisteminize zarar verme riski olmadan ayrıntılı bir şekilde çalışabilir.
Gelişmiş dinamik analizde, diğer tekniklerin kullanılmasıyla elde edilmesi zor olan zararlı yazılımın işlevselliğini belirlemek için bir hata ayıklayıcı kullanılabilir. Statik analizin aksine, davranışa dayalı olduğundan dolayı önemli davranışları kaçırmak zordur.
Kötü Amaçlı Yazılım Analiz Araçları
Blueliv Tehdit Değişim Ağı
Valkyrie: Valkyrie, kötü niyetli hareketleri belirlemek için bilinmeyen dosyaları çeşitli statik ve davranışsal kontrollerle test eden çevrimiçi bir dosya karar sistemidir. Valkyrie bir dosyanın tüm çalışma zamanı davranışını analiz ettiğinden, klasik antivirüs ürünlerinin imza temelli algılama sistemleri tarafından kaçırılan 0-day tehditlerin tespit edilmesinde daha etkilidir.
Kötü Amaçlı Yazılım Veri Toplama Araçları
SysAnalyze: SysAnalyzer, sistemin ve işlem durumlarının çeşitli yönlerini izleyen otomatik bir malcode çalışma zamanı analiz uygulamasıdır. SysAnalyzer, analistlerin bir ikili sistemin gerçekleştirdiği eylemler hakkında hızlı bir şekilde kapsamlı bir rapor oluşturmalarını sağlamak için tasarlanmıştır.
Regshot 1.9.0: Regshot, kayıt defterinizin hızlı bir şekilde anlık görüntüsünü almanızı ve daha sonra sistem değişikliklerini yaptıktan veya yeni bir yazılım ürünü yükledikten sonra yapılan ikinciyi karşılaştırmanızı sağlayan açık kaynaklı (GPL) bir kayıt karşılaştırma aracıdır.
Wireshark: Wireshark bir ağ paket analizörüdür. Bu ağ paketi analizörü, ağ paketlerini yakalamaya çalışacak ve bu paket verilerini mümkün olduğu kadar ayrıntılı göstermeye çalışacaktır.
Robtex Online Hizmet: IP, Etki Alanları, Ağ Yapısı Analizi aracıdır.
VirusTotal: Virustotal, şüpheli dosyaları ve URL’leri analiz eden ve virüslerin, solucanların, truva atlarının ve antivirüs motorları tarafından tespit edilen her türlü kötü amaçlı yazılımın hızlı bir şekilde algılanmasını kolaylaştıran bir hizmettir.
Mobile-Sandbox: Mobile-Sandbox.com Android işletim sistemi akıllı telefonları için statik ve dinamik kötü amaçlı yazılım analizi sağlar.
Malzilla: MalZilla, kötü niyetli sayfaları araştırmak için kullanışlı bir programdır. Kendi kullanıcı temsilcinizi ve yönlendiricinizi seçmenize izin verir ve proxy kullanma yeteneğine sahiptir. Size web sayfalarının tamamını ve tüm HTTP başlıklarını gösterir.
Volatility: Volatility, dijital verilerin uçucu bellek (RAM) örneklerinden çıkarılarak, çalışma zamanı analizi için kullanılmasını sağlayan açık kaynak bir yazılımdır.
Yazar: Cyber Intelligence Analyst Gurbet Başakçi
Bölüm -9 “Veri Yığını Toplamayı Anlama“