APT / Malware Analiz Raporlarında Detaylı Arama Yapılması

Yazan:FatihYazı kategorisi Red TeamEtiketler:, ,

Advanced Persistent Threat (APT) veya malware gruplarının yaptıkları saldırıların ayrıntılı analizlerini ve hangi taktik / tekniklerin saldırganlar tarafından kullanıldığına dair bilgileri içeren raporlar savunma noktasında oldukça önemli bilgiler içeriyor. Saldırganların kullandıkları taktik ve teknikleri içeren, ayrıca malware analiz bilgilerini de içeren bahse konu raporları tek tek okumak çok mümkün gözükmese de özellikle çalışılan benzer sektör ve kurumlara (finans, enerji, kamu kurumları vd.) ne tür saldırıların geldiğini bilmenin de oldukça önemli olduğunu düşünüyorum. Raporlarda ve IOC’lerde hızlıca arama yapmanın birçok yöntemi olsa da bu yazıda, raporlarının nasıl indirileceği, indeksleneceği ve sonrasında anahtar kelimelerle benzer raporların nasıl karşılaştırılabildiğine dair bir rehber hazırlayarak süreci kolaylaştırmaya çalıştım.

Dilerseniz başlayalım.

Bu bağlantıdan erişebileceğiniz GitHub reposunda yer alan ve yıllara göre indekslenen APT / malware analiz raporlarını daha önce oluşturduğumuz klasöre indirelim. Her ne kadar parola korumalı olsalar da ziplenmiş sample malware dosyalarını da sonrasında silmeyi ihmal etmeyelim.

mkdir aptReports
cd aptReports
git clone https://github.com/CyberMonitor/APT_CyberCriminal_Campagin_Collections.git

//Repodan indirilen zip uzantılı malware sample dosyalarını silmek için:
find . -name "*.zip" -exec rm -rf {} \;

Bir sonraki aşamada PDF ve metin belgelerinde ayrıntılı arama yapabilmek için recoll aracınının kurulumunu gerçekleştirelim.

sudo su
add-apt-repository ppa:recoll-backports/recoll-1.15-on
apt-get update
sudo apt-get install recoll -y

recoll aracını çalıştırmadan önce recoll’un öntanımlı ayarlarında yer alan araçları kuralım. Aşağıdaki araçlar PDF, text, ofis dökümanlarının görüntülenmesi için kurulmakta. Kurulumları Kali’de yaptığım için bazı uygulamalar kullandığınız Linux dağıtımıyla birlikte yüklü gelebilir.

 apt-get install poppler-utils -y
 apt install evince -y
 apt-get install dolphin -y
 apt-get install emasclient -y
 apt install emacs -y 
 apt-get install vlc -y 
 apt install libreoffice -y

İhtiyaç duyduğunuz takdirde “Native Viewer” menusunden ilgili uygulamaları kurmadan da ayarlarınızı gerçekleştirebilirsiniz.

recoll‘u çalıştırdıktan sonra “Indexing Configuration” menusunden ilk ayarları yapalım.

Index Settings > Top Directories > aptReports yolunu takip ederek indirdiğimiz reponun yolunu indesklemesi için recoll‘a gösterelim.

İndeksleme işlemi bittikten sonra istatistikleri kontrol edelim.

Bazı arama sonuçlarına dair ekran görüntüleriyle devam edelim.

  • “Powershell Empire” ve “rdp” kelimeleri geçen arama sonuçları…
  • “metasploit 4444” arama sonucu…
  • “whatsapp”, “telegram” veya “signal” geçen raporlar.
  • Sonuçların tablo olarak görüntülenmesi…

Faydalı olması dileğiyle…

Yorum bırakın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.