Linkedin Twitter

C&C TRAFİĞİNİ ALGILAMAK İÇİN TEHDİT İSTİHBARATINI KULLANMA

Kendi ekibiniz tarafından üretilen veya tehdit paylaşım grupları aracılığıyla aldığınız tehdit istihbaratını kullanarak günlük kaynaklarınızdaki C&C trafiğini tespit edebilirsiniz.

Bu istihbarat, diğer bilgilerin yanı sıra, günlüklerde aramanız gereken göstergeleri ve kalıpları içerir.

Proxy'nizde, DNS'de veya diğer günlük kaynaklarınızda bu göstergelerin varlığını doğrulamak çok pratik bir yaklaşım olacaktır.

Diğer bir yaklaşım, günlük kaynaklarınızdaki bilgilerle ilgili istatistikler oluşturmak ve anormallikleri ve zamansal korelasyonları aramaktır.

Aranacak şeyler şunları içerir

  • Doğrudan IP bağlantıları, tipik olarak DNS kullanmayan kötü amaçlı yazılımlar için uygundur.

  • Olağandışı bir HTTP protokol sürümüne sahip web isteklerini incelenmelidir.

  • Kuruluşunuzda yaygın olarak kullanılmayan kullanıcı panalleri kontrol edilmelidir.

  • HTTP isteklerinin boyutunda aşırı boyut veya yinelenen bir model göstergesi bulunuyor mu bulunmuyor mu bunlar kontrol edilebilir.

  • Normal çalışma saatleri dışında bile internetteki HTTP sunucularına kalıcı bağlantılar kontrol edilmelidir.

  • Muhtemelen farklı etki alanlarında, benzer bir parametre biçimiyle aynı web kaynağı için tekrarlanan isteklere bakılmalıdır.

  • Normal çalışma saatleri dışında bir sosyal ağ sitesine yapılan istekler kontrol edilmelidir.

Saldırganlar, komutlarını bir sosyal ağdaki bir sayfada metin olarak kodlayabilir ve bunları yasal mesajlar gibi sunabilir;

  • Yakın zamanda kaydedilmiş etki alanları için DNS sorguları ile ilgili uyarılar,

  • Yaşam süresi çok kısa olan DNS yanıtları (TTL),

  • Dinamik bir DNS hizmetine ait etki alanları için tekrarlanan istekler veya URL kısaltıcı etki alanları için istekler.

İkinci düzey etki alanına odaklanan tam nitelikli etki alanı adındaki (FQDN) DNS sorguları için istatistikler. Bunun, Content delivery network (içerik dağıtım ağları) (CDN'ler) nedeniyle çok sayıda true false oluşturabileceğini unutmayın.

Çok sayıda bağlantı veya akış oluşturan iş istasyonları için net akış istatistikleri ve Giden IRC veya P2P trafiğini gösteren güvenlik duvarı günlük girişleri takip edilmelidir.

Uygun günlük toplama ve korelasyon araçlarına sahip değilseniz, C&C trafiğini tespit etmek, üstesinden gelinmesi gereken karmaşık bir sorun olabilir. Bunlara sahip olduğunuzda, C&C trafiğine ve göstergelere dayalı olarak önceden tespit edilmemiş kötü amaçlı yazılım olaylarını araştırmak için kendi analizinizden elde ettiğiniz sonuçları ve eşlerden alınan bilgileri kullanmaya başlayabilirsiniz.

PreviousC&C İLETİŞİMİ

Last updated