Güvenlik ve Rule Engine Kavramı

Kurumsal/kişisel bilgisayar ağ veya sistemlerinin korunması için farklı amaçlarla geliştirilmiş onlarca güvenlik ürünü bulunmakta. IPS, IDS ve SIEM ürünleri gibi kritik öneme sahip birçok güvenlik katmanının yanı sıra, saldırganlara karşı bir adım önde olmak için edinilmesi gereken önemli yeteneklerden birisi de zararlı yazılımlara kurban gitmeden önce istihbarat veya analiz yöntemleri ile tehlikeden haberdar olabilmektir. Bu amaçla geliştirilen birçok analiz programı ve beraberinde ticari veya kar amacı gütmeyen tehdit istihbaratı platformları güvenlik sektöründe bolca yer almakta. Bahsettiğimiz bu platformlarda ve genel olarak güvenlik yaklaşımlarındaki “kural tabanlı” yönelimi, RulePipe içerisine entegre ederek rule engine’ler ile güvenlik analizlerine katkıda bulunacağız. Bu yazımızda, verilen bir hash bilgisi için ilk aşamada entegre ettiğimiz bir tehdit istihbaratı paylaşım platformu üzerinde RulePipe kullanarak tehdit istihbaratı ve/veya güvenlik analizi gerçekleştireceğiz.

RulePipe ve Birkaç Önemli Detay

RulePipe projesi için geliştirmekte olduğumuz hash/dosya veya analizi istenen benzer veriler için kural tabanlı güvenlik analizi yeteneği, birçok önemli güvenlik platformunun tek yerden yönetilebilmesi ve istenilen formatta anlamlı sonuçlar elde edilebilmesi noktasında önemli rol oynayacaktır. Rulepipe üzerindeki “rule” ve “ruleset” yapıları ile benzer şekilde kullanıcılar, analiz edilmesi gereken bir veri için kullanmak istedikleri analiz platformunlarını gerekli parametreler ile kural ekler gibi ekleyip, ihtiyaca yönelik güçlü sorgular gerçekleştirebilecek. RulePipe’ı güvenlik noktasında getirmek istediğimiz aşamaya baktığımızda, tabiri caizse orkestre edebileceğimiz birçok güvenlik aracıyla elde edilecek kazanım her kullanıcı için oldukça değerli olacaktır.

AlienVault OTX

Tehdit istihbaratı veya dosya/hash analizi sağlayıcı platformlar içerisinde en çok kullanılan ve 17 milyondan fazla indicator bulunduran AlienVault OTX(Open Threat Exchange) platformu, RulePipe için entegre etmeye sabırsızlandığımız bir platformdu. OTX ağında bulunan bütün kullanıcıların birbirleri ile paylaşımda bulunması ve ağdaki diğer kullanıcıların tehlikelerden haberdar edilmeye çalışılması sayesinde, analiz edilecek hash için herhangi tek bir uygulamadan alınacak analiz verisine kıyasla çok daha realist ve detaylı analiz sonucu elde edilebilmekte.

Örnek Kullanım ve Uygulama

</figure>

Yukarıda Postman aracından alınan ekran görüntüsünde görüldüğü gibi, test amaçlı oluşturduğumuz istek kısmında yapmamız gereken, ücretsiz olarak elde edeceğimiz OTX API KEY’ini ve analiz etmek istediğimiz hash bilgisini POST metodu ile JSON formatında yollamak olacaktır. RulePipe’a OTX için eklediğimiz API entegrasyonu ve anlamlandırma özellikleri sayesinde ilk aşamada analizde bir karara varmak için yeterli olacak tüm yanıt ögelerini cevap olarak alabilmekteyiz.

İsteğimize aldığımız yanıt kısmımızı incelemek gerekirse, analiz edilen veriye ait; içerdiği dosya boyutu, dosya tipi, tehlikeli olup olmadığı, OTX ağında varsa kaç kez zararlı olarak tespit edildiğini belirten pulse sayısı, bu pulse’lar arasından bir örnek ve sistemde kayıtlı analizlere ulaşabileceğimiz referans linkler yanıt olarak elde edilebilmekte. Temel yanıt yapısının anlaşılabilmesi için pulse örneğini boş dönen bir örnek ekran görüntüsü üzerinden yapıyı anlatmaya çalıştık. Aşağıda bir tespit(pulse) örneğini de içeren tam yanıtı ve içerdiği detaylı analizi görebiliriz:

{
    "response": {
        "otx_response": {
            "file_size": "",
            "file_type": "PE32 executable (GUI) Intel 80386, for MS Windows",
            "is_dangerous": true,
            "pulse_count": 6,
            "pulse_example": {
                "TLP": "white",
                "adversary": "",
                "attack_ids": [],
                "author": {
                    "avatar_url": "https://otx20-web-media.s3.amazonaws.com/media/avatars/user_2/resized/80/avatar_dacfad0ca8.png",
                    "id": "2",
                    "is_following": false,
                    "is_subscribed": true,
                    "username": "AlienVault"
                },
                "cloned_from": null,
                "comment_count": 1,
                "created": "2019-12-02T16:44:11.287000",
                "description": "Small collection of H-Worm VBS Rat samples with Arabic themed malicious documents.",
                "downvotes_count": 0,
                "export_count": 32,
                "follower_count": 0,
                "groups": [],
                "id": "5de53f5b1bfee056b62561b5",
                "in_group": false,
                "indicator_count": 17,
                "indicator_type_counts": {
                    "FileHash-MD5": 2,
                    "FileHash-SHA256": 7,
                    "IPv4": 2,
                    "URL": 5,
                    "hostname": 1
                },
                "industries": [],
                "is_author": false,
                "is_modified": true,
                "is_subscribing": null,
                "locked": 0,
                "malware_families": [
                    {
                        "display_name": "H-Worm",
                        "id": "H-Worm",
                        "target": null
                    }
                ],
                "modified": "2019-12-05T19:34:08.080000",
                "modified_text": "8 days ago ",
                "name": "H-Worm Samples Targeting Middle East",
                "public": 1,
                "pulse_source": "web",
                "references": [
                    "https://twitter.com/HONKONE_K/status/1118035160362913792"
                ],
                "subscriber_count": 97540,
                "tags": [
                    "h-worm"
                ],
                "targeted_countries": [],
                "threat_hunter_has_agents": 1,
                "threat_hunter_scannable": true,
                "upvotes_count": 0,
                "validator_count": 0,
                "vote": 0,
                "votes_count": 0
            },
            "references": [
                "https://ti.qianxin.com/blog/articles/anatomy-of-moonLight-attack-on-the-middle-east/",
                "https://twitter.com/HONKONE_K/status/1118035160362913792"
            ],
            "sample": "75ea74251fa57750681c8e6f99696b1b"
        }
    }
}