Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının Yazılması

@BGASecurity

Windows Sistemler için Sysmon ve Wazuh Kullanarak Mitre ATT&CK Kurallarının Yazılması

- NetSec 2019 -

@BGASecurity

BGA Bilgi Güvenliği A.Ş

BGA Security Hakkında

Siber güvenlik dünyasına yönelik, yenilikçi profesyonel çözümleri ile katkıda bulunmak amacı ile 2008 yılında kurulan BGA Bilgi Güvenliği A.Ş. stratejik siber

güvenlik danışmanlığı ve güvenlik eğitimleri

konularında büyük ölçekli çok sayıda kuruma hizmet vermektedir.

Gerçekleştirdiği vizyoner danışmanlık projeleri ve

nitelikli eğitimleri ile sektörde saygın bir yer kazanan BGA Bilgi Güvenliği, kurulduğu günden bugüne kadar alanında lider finans, enerji, telekom ve kamu

kuruluşları ile 1.000'den fazla eğitim ve danışmanlık projelerine imza atmıştır.

ARGE

EĞİTİM

MSSP

PENTEST SOME / SOC

SECOPS

BGA | Hakkında

@BGASecurity

Musab YARDIM

Kıdemli Güvenlik Danışmanı

musabyardim.com

@musabyardim

@BGASecurity

Ajanda

Sysmon

Wazuh

Mitre ATT&CK

➢ Yapısı ve yetenekleri

➢ Örnek kural yazılması ve Sysmon kurulumu

➢ Sysmon loglarının takip edilmesi

➢ Neden Sysmon?

➢ Wazuh ile Sysmon loglarının toplanması

➢ Log analizi ve alarm oluşturulması

➢ Alarmların görüntülenmesi ve görselleştirilmesi

➢ Wazuh nedir?

➢ Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması

➢ Örnek Mitre ATT&CK senaryosu

➢ Nedir?

Uygulama

Ekstra

Kaynaklar

➢ PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi

➢ Logların Wazuh ile toplanması ve alarm üretilmesi

➢ Alarmları görselleştirme ve olay analizi

➢ Windows 10 Sysmon kurulumu

➢ Sysmon loglarını alternatif toplama yöntemleri (nxlog)

➢ Wazuh-SIEM entegrasyon senaryoları

➢ https://documentation.wazuh.com

➢ https://attack.mitre.org/

➢ https://docs.microsoft.com/en-us/sysinternals/

@BGASecurity

Sysmon

Sysmon nedir, yetenekleri ve kurulumu

@BGASecurity

Sysmon

Sysmon nedir?

BGA | NETSEC

System Monitor (Sysmon) sistem üzerinde gerçekleştirilen olaylara ait ön tanımlı olarak kayıt edilmeyen olayları kayıt etmeyi sağlayan Windows Sysinternals ailesi içerisinde

yer alan ücretsiz bir araçtır.

Sysmon güncel versiyon: Sysmon v10.0 (Haziran 11, 2019) Client: Windows 7 and higher.

Server: Windows Server 2008 R2 and higher.

Geliştiriciler: Mark Russinovich and Thomas Garnier

https://docs.microsoft.com/tr-tr/sysinternals/downloads/sysmon

@BGASecurity

Sysmon

Neden Sysmon?

BGA | NETSEC

@BGASecurity

Sysmon

Yapısı ve yetenekleri

BGA | NETSEC

➢ Komut satırı loglama (current ve parent proccess)

➢ İşlemlere ait dosya özet değeri alma (SHA1 (the default), MD5, SHA256 or IMPHASH)

➢ Birden fazla hash değerini aynı anda kaydedebilme

➢ İşlemlere ait (current ve parent proccess) GUID değerlerini kaydedebilme (korelasyon için)

➢ Driver, DLL yükleme olaylarını imza ve hash değeri ile birlikte kaydedebilme

➢ DNS loglama

➢ Ağ bağlantılarını takip edebilme

➢ Dosya oluşturma zamanındaki değişiklikleri algılama

@BGASecurity

Sysmon

Yapısı ve yetenekleri

BGA | NETSEC

Event ID 1: Process creation

Event ID 2: A process changed a file creation time Event ID 3: Network connection

Event ID 4: Sysmon service state changed Event ID 5: Process terminated

Event ID 6: Driver loaded Event ID 7: Image loaded

Event ID 8: CreateRemoteThread Event ID 9: RawAccessRead

Event ID 10: ProcessAccess

Event ID 11: FileCreate

Event ID 12: RegistryEvent (Object create and delete) Event ID 14: RegistryEvent (Key and Value Rename) Event ID 15: FileCreateStreamHash

Event ID 17: PipeEvent (Pipe Created)

Event ID 18: PipeEvent (Pipe Connected)

Event ID 19: WmiEvent (WmiEventFilter activity detected)

Event ID 20: WmiEvent (WmiEventConsumer activity detected)

Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected)

Event ID 22: DNSEvent (DNS query)

@BGASecurity

Sysmon

Örnek Sysmon kuralı

BGA | NETSEC

<Sysmon schemaversion="4.2">

<HashAlgorithms>md5</HashAlgorithms>

<EventFiltering>

<ProcessCreate onmatch="include">

<Image condition="contains">bitsadmin.exe</Image>

<Image condition="contains">control.exe</Image>

<Image condition="contains">net.exe</Image>

<Image condition="end with">cmd.exe</Image>

</ProcessCreate>

<ProcessCreate onmatch="exclude">

<CommandLine condition="contains">user</CommandLine>

</ProcessCreate>

</EventFiltering>

</Sysmon>

@BGASecurity

Sysmon

Örnek Sysmon kuralı

BGA | NETSEC

<Sysmon schemaversion="4.2">

<HashAlgorithms>md5</HashAlgorithms>

<EventFiltering>

<DriverLoad onmatch="include" />

<DriverLoad onmatch="exclude">

<Signature condition="begin with">Intel</Signature>

<Signature condition="contains">microsoft</Signature>

<Signature condition="contains">windows</Signature>

</DriverLoad>

</EventFiltering>

</Sysmon>

@BGASecurity

Sysmon

Örnek Sysmon kuralı

BGA | NETSEC

<Sysmon schemaversion="4.2">

<HashAlgorithms>md5</HashAlgorithms>

<EventFiltering>

<NetworkConnect onmatch="include">

<Image condition="image">opera.exe</Image>

<Image condition="contains">powershell.exe</Image>

<Image condition="contains">cmd.exe</Image>

<Image condition="contains">putty.exe</Image>

<DestinationPort>22</DestinationPort>

<DestinationPort>3389</DestinationPort>

</NetworkConnect>

</EventFiltering>

</Sysmon>

@BGASecurity

Sysmon

Sysmon kurulumu

BGA | NETSEC

Download linki: https://download.sysinternals.com/files/Sysmon.zip

@BGASecurity

Sysmon

Sysmon kurulumu

BGA | NETSEC

Sysmon, takip ettiği olaylarla ilgili analiz yapmaz ve kendisini saldırganlardan korumaya ya da saklamaya çalışmaz.

@BGASecurity

Sysmon

Sysmon config görüntüleme

BGA | NETSEC

@BGASecurity

Sysmon

Sysmon loglarının takip edilmesi

BGA | NETSEC

@BGASecurity

Wazuh

Wazuh ile Sysmon loglarının alınması ve analiz edilmesi

@BGASecurity

Wazuh

Wazuh nedir?

BGA | NETSEC

Açık kaynak kodlu, lisans ücreti olmayan host tabanlı saldırı tespit sistemidir.

Wazuh, tehdit algılama, bütünlük izleme, olaya müdahale, uyumluluk takibi

gibi birçok özelliği içerisinde barındıran güvenlik izleme çözümüdür.

@BGASecurity

Wazuh

Wazuh ile Sysmon loglarının alınması

BGA | NETSEC

❖ System

❖ Security

❖ Application

❖ Sysmon

@BGASecurity

Wazuh

Wazuh ile Sysmon loglarının alınması

BGA | NETSEC

@BGASecurity

Wazuh

Wazuh - Sysmon kuralı

BGA | NETSEC

@BGASecurity

Wazuh

Log analizi ve alarm oluşturulması

BGA | NETSEC

@BGASecurity

Wazuh

Log analizi ve alarm oluşturulması

BGA | NETSEC

@BGASecurity

Wazuh

Alarmların görüntülenmesi ve görselleştirilmesi

BGA | NETSEC

@BGASecurity

Wazuh

Alarmların görüntülenmesi ve görselleştirilmesi

BGA | NETSEC

@BGASecurity

Wazuh

Alarmların görüntülenmesi ve görselleştirilmesi

BGA | NETSEC

@BGASecurity

Wazuh

Alarmların görüntülenmesi ve görselleştirilmesi

BGA | NETSEC

@BGASecurity

Mitre ATT&CK

Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması

@BGASecurity

Mitre ATT&CK

Mitre ATT&CK nedir?

BGA | NETSEC

MITRE ATT&CK ™ Framework, saldırıları daha iyi sınıflandırmak, ve bir kurumun riskini değerlendirmek için tehdit avcıları, kırmızı ve mavi takımların kullandığı kapsamlı taktik

ve tekniklerin yer aldığı matristir.

ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) Framework, yaklaşık olarak beş yıldır MITRE Corp. tarafından geliştirilmektedir.

https://attack.mitre.org/

@BGASecurity

Mitre ATT&CK

Mitre ATT&CK nedir?

BGA | NETSEC

@BGASecurity

Mitre ATT&CK

Mitre ATT&CK nedir?

BGA | NETSEC

@BGASecurity

Mitre ATT&CK

Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması

BGA | NETSEC

Sysmon Rules

<!-- Event ID 1 == Process Creation. -->

<ProcessCreate onmatch="include">

<Image name="technique_id=T1197,technique_name=BITS Jobs" condition="contains">bitsadmin.exe</Image>

<Image name="technique_id=T1087,technique_name=Account Discovery" condition="contains">net.exe</Image>

</ProcessCreate>

@BGASecurity

Mitre ATT&CK

Mitre ATT&CK kurallarının Sysmon ve Wazuh ile yazılması

BGA | NETSEC

Wazuh Rules

<rule id="100003" level="5">

<if_group>sysmon_event1</if_group>

<match>technique_id=T1197</match>

<description>T1197 - BITS Jobs</description>

<group>Defense Evasion,Persistence,</group>

</rule>

<rule id="100004" level="9">

<if_sid>100003</if_sid>

<field name="sysmon.commandline">/transfer</field>

<description>T1197 - BITS Jobs Transfer</description>

<group>Defense Evasion,Persistence,</group>

</rule>

@BGASecurity

Mitre ATT&CK

Örnek Mitre ATT&CK senaryosu

BGA | NETSEC

@BGASecurity

Uygulama

Windows 10 Sysmon kurulumu ve logların analizi

@BGASecurity

Uygulama

Windows 10 Sysmon kurulumu

BGA | NETSEC

Download linki: https://download.sysinternals.com/files/Sysmon.zip

@BGASecurity

Uygulama

PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi

BGA | NETSEC

PLATINUM is an activity group that has targeted victims since at least 2009. The group has focused on targets associated with

governments and related organizations in South and Southeast Asia.

https://www.microsoft.com/security/blog/2016/04/26/digging-deep-for- platinum/

@BGASecurity

Uygulama

PLATINUM grubuna ait aktivitelerin Sysmon ile tespit edilmesi

BGA | NETSEC

Sysmon Rules

@BGASecurity

Uygulama

PLATINUM grubuna ait aktivitelerin Sysmon ile tespiti ve Wazuh ile anlamlandırılması

BGA | NETSEC

@BGASecurity

Uygulama

Logların Wazuh ile toplanması ve alarm üretilmesi

BGA | NETSEC

@BGASecurity

Uygulama

Logların Wazuh ile toplanması ve alarm üretilmesi

BGA | NETSEC

@BGASecurity

Uygulama

Alarmları görselleştirme ve olay analizi

BGA | NETSEC

@BGASecurity

Ekstra

Sysmon ve Wazuh ile yapılanlara ek olarak yapılabilecekler

@BGASecurity

Ekstra

Wazuh-SIEM entegrasyon senaryoları

BGA | NETSEC

SIEM’s

Alert-level: >8 forward SIEM (alert level:1-15)

@BGASecurity

Ekstra

Sysmon loglarını alternatif toplama yöntemleri (nxlog)

BGA | NETSEC

@BGASecurity

Kaynaklar

@BGASecurity

Kaynaklar

➢ https://attack.mitre.org/

➢ https://docs.microsoft.com/en-us/sysinternals/

➢ https://documentation.wazuh.com

@BGASecurity

-Teşekkürler-

bgasecurity.com | @bgasecurity