Tryhackme : Pyramid Of Pain Walkthrough

Tryhackme : Pyramid Of Pain Walkthrough

Merhabalar !

Bu odada, saldırganların kullandığı yaygın taktik ve teknikleri anlamak için kritik bir çerçeve olan Pyramid of Pain ’in derinliklerine iniyoruz. Bu makalede, Pyramid of Pain odasının çözümünü adım adım ele alacak ve siber güvenlik dünyasında ne tür bilgilerin önemli olduğunu keşfedeceğiz. Hazır mısınız? Öyleyse, Pyramid of Pain ’e doğru bir yolculuğa çıkalım ve siber güvenlikteki temel kavramları güçlendirelim!

Task 1: Introduction

Bu çok bilinen bir kavram, Cisco Security, SentinelOne ve SOCRadar gibi siber güvenlik çözümlerine uygulanıyor ve CTI (Siber Tehdit İstihbaratı), tehdit avcılığı ve olay yanıtı çalışmalarının etkinliğini artırmak için kullanılıyor.

Pyramid of Pain kavramını Tehdit Avcısı, Olay Yanıt Uzmanı veya SOC Analisti olarak anlamak önemlidir.

Pyramid of Pain’in içinde neler saklandığını keşfetmeye hazır mısınız?”

Task 2: Hash Values (Trivial)

Microsoft’a göre, bir hash değeri, verileri benzersiz bir şekilde tanımlayan sabit uzunluktaki bir sayısal değerdir. Hash değeri, bir hashing algoritmasının çıktısıdır. En yaygın kullanılan hashing algoritmaları arasında MD5, SHA-1 ve SHA-2 bulunmaktadır. MD5, 128-bitlik bir hash değeri sağlar, ancak güvenli kabul edilmez. SHA-1, 160-bitlik bir hash değeri sağlar, ancak 2011'den itibaren güvenlik açıkları nedeniyle önerilmez. SHA-2, daha güçlü bir alternatif olarak önerilir ve SHA-256 en yaygın kullanılan varyantıdır. Güvenlik uzmanları, hash değerlerini kötü amaçlı yazılım örneklerini ve şüpheli dosyaları incelemek ve tanımlamak için kullanırlar. Hash değerleri genellikle güvenlik raporlarında paylaşılır. Örneğin, The DFIR Report ve FireEye Tehdit Araştırma Blogları gibi kaynaklar, hash değerlerinin paylaşıldığı raporlar sunarlar. VirusTotal ve Metadefender Cloud — OPSWAT gibi çevrimiçi araçlar, hash değerlerini sorgulamak için kullanılabilir.

Yukarıdaki ekran görüntüsünde hash’in altında dosya adını görebilirsiniz. Bu durumda, “m_croetian.wnry”

Görüldüğü gibi, hash değerini elimizde bulundurduğumuzda kötü amaçlı bir dosyayı kolayca tespit etmek gerçekten basittir. Ancak, bir saldırgan olarak, bir dosyayı yalnızca bir bit bile değiştirerek değiştirmek oldukça basittir ve bu da farklı bir hash değeri üretir. Bilinen kötü amaçlı yazılım veya fidye yazılımının birçok varyasyonu ve örneği olduğundan, dosya hash’lerini IOC (Saldırı Belirteçleri) olarak kullanarak tehdit avı yapmak zorlaşabilir.

Basitçe bir dizeyi dosyanın sonuna ekleyerek bir dosyanın hash değerini nasıl değiştirebileceğinize dair bir örnek inceleyelim: Dosya Hash Değeri (Değiştirilmeden Önce)

“b8ef959a9176aef07fdca8705254a163b50b49a17217a4ff0107487f59d4a35d” hash’i ile ilişkili raporu burada analiz edin. Numunenin dosya adı nedir?

raporun hash kısmının altında dosya adımız bulunuyor

Task 3: IP Address (Easy)

“Networking Nedir?” odasında IP adresinin önemini öğrendiniz. IP adresleri, ağa bağlı cihazları tanımlamak için kullanılır ve bilgi alışverişi için kritik öneme sahiptir. Pyramid of Pain’in bir parçası olarak, IP adreslerinin tehdit göstergesi olarak nasıl kullanıldığını ele alacağız.

Pyramid of Pain’de, IP adresleri yeşil renkle gösterilir. Savunma amaçlı, saldırganların kullandığı IP adreslerini bilmek önemlidir. Ancak, IP tabanlı savunma taktikleri her zaman etkili olmayabilir çünkü saldırganlar kolayca yeni IP adresleri kullanabilirler.

Malicious IP bağlantıları ( app.any.run ):

Yukarıda gösterilen IP adresleri ile etkileşimde bulunmaya çalışmayın.

Saldırganın IP engelleme işlemini başarıyla gerçekleştirmesini zorlaştırmanın bir yolu, Fast Flux olarak bilinir.

Akamai’ye göre, Fast Flux, phishing, web proxy, kötü amaçlı yazılım dağıtımı ve kötü amaçlı yazılım iletişim faaliyetlerini gizlemek için bot ağları tarafından kullanılan bir DNS tekniğidir. Hedef, kötü amaçlı yazılım ile komuta ve kontrol sunucusu (C&C) arasındaki iletişimi güvenlik profesyonelleri tarafından keşfedilmesi zor hale getirmektir.

Bu nedenle, Fast Flux ağının temel kavramı, sürekli değişen bir alan adıyla ilişkilendirilmiş çoklu IP adresine sahip olmaktır. Palo Alto, Fast Flux’u açıklamak için harika bir kurgusal senaryo oluşturdu: “ Fast Flux 101: Siber Suçlular Nasıl Altyapılarının Dayanıklılığını Artırır ve Algılama ve Hukuk Uygulama Müdahalelerinden Kaçınır? ”

Soruyu cevaplamak için bu raporu okuyun. malicious process (PID 1632) ile iletişim kurmaya çalıştığı ilk IP adresi nedir?

Raporu incelediğimde ilk bağlantı kurmaya çalıştığı ip adresini buldum

Bu soruyu yanıtlamak için bu raporu okuyun. Malicious processin ((PID 1632) iletişim kurmaya çalıştığı ilk domain name nedir?

Raporu incelediğimde ilk iletişim kurmaya çalıştığı ip adresinin yanında domain name olduğunu farkettim

Task 4:Domain Names (Simple)

Pain Piramidi’nde bir adım daha yukarı çıkalım ve Domain Names e geçelim.Domain Names IP adreslerini metin dizilerine eşleştirmek için kullanılır. DNS sistemi detaylarına girmeden, saldırganların alan adlarını değiştirmesi zor olabilir çünkü bu genellikle alım, kayıt ve DNS kayıtlarının değiştirilmesini gerektirir. Ancak, birçok DNS sağlayıcısı, saldırganların alan adlarını değiştirmesini kolaylaştıran API’ler sağlar.

Malicious Sodinokibi C2 (Command and Control Infrastructure) domains:

Yukarıdaki ekran görüntüsünde kötü niyetli bir şey görebiliyor musunuz? Şimdi, aşağıdaki yasal web sitesi görünümüyle karşılaştırın:

Saldırganların kullanıcıları ilk bakışta meşru görünen kötü amaçlı bir etki alanına yönlendirmek için kullandığı Punycode saldırılarından biri budur.

Punycode nedir? Wandera’ya göre, “Punycode, ASCII’de yazılamayan kelimeleri Unicode ASCII kodlamasına dönüştürmenin bir yoludur.”

Yukarıdaki URL’de gördüğünüz şey adıdas.de, Punycode’u ise http://xn--addas-o4a.de/ şeklindedir.

İnternet Explorer, Google Chrome, Microsoft Edge ve Apple Safari artık bulanıklaştırılmış karakterleri tam Punycode etki alanı adına çevirme konusunda oldukça iyidirler.

Kötü amaçlı etki alanlarını tespit etmek için proxy günlükleri veya web sunucusu günlükleri kullanılabilir.

Saldırganlar genellikle kötü amaçlı etki alanlarını URL kısaltıcılarının altına gizlerler. Bir URL kısaltıcısı, başlangıç ​​adımı sırasında belirtilen belirli bir web sitesine yönlendirecek kısa ve benzersiz bir URL oluşturan bir araçtır. Cofense’e göre, saldırganlar kötü amaçlı bağlantılar oluşturmak için aşağıdaki URL kısaltma hizmetlerini kullanırlar:

bit.ly goo.gl ow.ly s.id smarturl.it tiny.pl tinyurl.com x.co

Kısaltılmış bağlantının sizi yönlendirdiği gerçek web sitesini görebilirsiniz “+” karakterini ekleyerek (aşağıdaki örnekleri görün). Yönlendirme URL’sini görmek için kısaltılmış URL’yi web tarayıcısının adres çubuğuna yazın ve yukarıdaki karakterleri ekleyin.

NOT: Aşağıdaki kısaltılmış bağlantı örnekleri vardır

Any.run’da Bağlantıları Görüntüleme:

Any.run örneği yürüten bir sandboxing hizmeti olduğundan, HTTP istekleri, DNS istekleri veya bir IP adresiyle iletişim kuran işlemler gibi tüm bağlantıları inceleyebiliriz. Bunu yapmak için, makinenin anlık görüntüsünün hemen altında bulunan “ağ” sekmesine bakabiliriz.

Lütfen dikkat: bir raporda yapılan IP adreslerinden veya HTTP isteklerinden herhangi birini ziyaret etme konusunda son derece dikkatli olmalısınız. Sonuçta, bunlar kötü amaçlı yazılım örneğinden gelen davranışlardır — yani muhtemelen tehlikeli bir şey yapıyorlar!

HTTP İstekleri:

Bu sekme, örneğin patlamasından bu yana kaydedilen HTTP isteklerini gösterir. Bu, bir web sunucusundan damlalık veya geri arama gibi hangi kaynakların alındığını görmek için yararlı olabilir.

Bağlantılar:

Bu sekme, örneğin patlatılmasından bu yana yapılan tüm iletişimleri gösterir. Bu, bir işlemin başka bir ana bilgisayarla iletişim kurup kurmadığını görmek için yararlı olabilir. Örneğin, bu C2 trafiği, FTP üzerinden dosya yükleme/indirme vb. olabilir.

DNS İstekleri:

Bu sekme, örneğin patlamasından bu yana yapılan DNS isteklerini gösterir. Kötü amaçlı yazılımlar genellikle internet bağlantısını kontrol etmek için DNS istekleri yapar (yani, internete ulaşamıyorsa/evini arayamıyorsa, muhtemelen korumalı alana alınmıştır veya işe yaramaz).

Aşağıdaki soruları yanıtlayın

app.any.run adresindeki bu rapora gidin ve gördüğünüz ilk şüpheli URL isteğini sağlayın, bu görevin geri kalan sorularını yanıtlamak için bu raporu kullanacaksınız.

Bağlantıya gittiğimde ilk şüpheli url Domain Names du

Hangi terim web sitelerine erişmek için kullanılan bir adresi ifade eder?

Hangi saldırı türü bilinen bir alan adını taklit etmek için alan adında Unicode karakterleri kullanır?

Konu anlatımı bölümünde Punycode attack türünden bahsetmiştik

Bir önizleme kullanarak kısaltılmış URL için yönlendirilen web sitesini bulun : https://tinyurl.com/bw7t8p4u

Bağlantının sonuna + ekleyerek siteyi önizlemede açalım

Task 5 : Host Artifacts (Annoying)

Sarı bölgeye doğru bir adım daha atalım.

Bu seviyede, saldırıyı tespit edebilirseniz saldırgan biraz daha sinirlenecek ve hayal kırıklığına uğrayacaktır. Saldırganın bu tespit seviyesinde geri dönmesi ve saldırı araçlarını ve metodolojilerini değiştirmesi gerekecektir. Bu saldırgan için çok zaman alıcıdır ve muhtemelen düşman araçlarına daha fazla kaynak harcaması gerekecektir.

Ana bilgisayar eserleri, saldırganların sistemde bıraktığı kayıt defteri değerleri, şüpheli işlem yürütme, saldırı kalıpları veya IOC’ler (Uzlaşma Göstergeleri), kötü amaçlı uygulamalar tarafından bırakılan dosyalar veya mevcut tehdide özel herhangi bir şey gibi izler veya gözlemlenebilir verilerdir.

Word’den şüpheli işlem yürütme:

malicious actor tarafından değiştirilmiş dosyalar

Aşağıdaki soruları yanıtlamak için buradaki raporu inceleyin.

Regidle.exe adlı bir işlem, 8080 numaralı bağlantı noktasından Amerika Birleşik Devletleri (ABD) merkezli bir IP adresine POST isteği gönderir. IP adresi nedir?

Raporu incelediğimde 8080 e post isteği atan Regidle.exe nin ip adresi

malicious actor kötü amaçlı bir yürütülebilir dosya (EXE) bırakır. Bu yürütülebilir dosyanın adı nedir?

cevap:G_jugk.exe

Virustotal tarafından yayınlanan bu rapora bir göz atalım. Kaç tedarikçi bu ana bilgisayarın kötü niyetli olduğuna karar veriyor?

Task 6:Network Artifacts (Annoying)

Ağ Artefaktları da Acı Piramidi’ndeki sarı bölgeye aittir. Bu, tehdidi tespit edip yanıt verebilirseniz, saldırganın geri dönüp taktiklerini değiştirmek veya araçları değiştirmek için daha fazla zamana ihtiyaç duyacağı anlamına gelir; bu da size yanıt vermek ve yaklaşan tehditleri tespit etmek veya mevcut olanları düzeltmek için daha fazla zaman verir.

Bir ağ artifaktı, HTTP POST istekleri tarafından takip edilen bir kullanıcı aracısı dizesi, C2 bilgileri veya URI kalıpları olabilir. Bir saldırgan, ortamınızda daha önce gözlemlenmemiş veya sıra dışı görünen bir Kullanıcı Aracısı dizesi kullanabilir. User-Agent, RFC2616 tarafından isteği oluşturan kullanıcı aracısı hakkında bilgi içeren istek başlığı alanı olarak tanımlanır.

Ağ artefaktları Wireshark PCAP’lerinde (bir ağın paket verilerini içeren dosya) TShark gibi bir ağ protokolü analizörü kullanılarak veya Snort gibi bir kaynaktan IDS (Saldırı Tespit Sistemi) günlüğü incelenerek tespit edilebilir.

Şüpheli dizeler içeren HTTP POST istekleri:

Aşağıdaki komutu kullanarak Kullanıcı Aracısı dizelerini filtrelemek için TShark’ı kullanalım:

Bunlar Emotet Downloader Truva Atı için bulunan en yaygın User-Agent dizeleridir

Saldırganın kullandığı özel User-Agent dizelerini tespit edebilirseniz, bunları engelleyebilir, daha fazla engel oluşturabilir ve ağı tehlikeye atma girişimlerini daha can sıkıcı hale getirebilirsiniz.

Aşağıdaki soruları yanıtlayın Yukarıdaki ekran görüntüsünde gösterilen User-Agent dizesini hangi tarayıcı kullanır?

Resimde bulunan user agentı bu bağlatnıya attığımda

Pcap dosyasından alınan ekran görüntüsünde kaç tane POST isteği var?

Resimde bulunan post isteklerini saydım.

Task 7 Tools (Challenging)

Tebrikler! en zorlu bölüme geldik!

Bu aşamada, artefaktlara karşı tespit yeteneklerimizi geliştirdik. Saldırgan büyük olasılıkla ağınıza girmeye çalışmaktan vazgeçecek ya da geri dönüp aynı amaca hizmet eden yeni bir araç oluşturmaya çalışacaktır. Yeni bir araç oluşturmak için biraz para yatırmaları (eğer bunu yapabiliyorlarsa), aynı potansiyele sahip bir araç bulmaları veya hatta belirli bir araçta nasıl yetkin olacaklarını öğrenmek için biraz eğitim almaları gerekeceğinden, saldırganlar için oyun bitmiş olacaktır.

Saldırganlar bu yardımcı programları kullanarak spearphishing girişimleri için kötü niyetli makro belgeler (maldocs), C2 (Komuta ve Kontrol Altyapısı) kurmak için kullanılabilecek bir arka kapı, herhangi bir özel .EXE ve .DLL dosyası, faydalı yükler veya şifre kırıcılar oluşturabilir.

Bir Truva atı Temp klasörüne şüpheli “Stealer.exe” dosyasını bıraktı:

Şüpheli ikili dosyanın yürütülmesi:

Antivirüs imzaları, tespit kuralları ve YARA kuralları bu aşamada saldırganlara karşı kullanabileceğiniz harika silahlar olabilir.

MalwareBazaar ve Malshare örneklere, zararlı yayınlara ve YARA sonuçlarına erişmenizi sağlayan iyi kaynaklardır — bunların hepsi tehdit avcılığı ve olay müdahalesi söz konusu olduğunda çok yardımcı olabilir.

Tespit kuralları için SOC Prime Threat Detection Marketplace, güvenlik uzmanlarının, düşmanlar tarafından vahşi doğada istismar edilen en son CVE’ler de dahil olmak üzere farklı tehdit türleri için tespit kurallarını paylaştıkları harika bir platformdur.

Fuzzy hashing aynı zamanda saldırganların araçlarına karşı güçlü bir silahtır. Fuzzy hashing benzerlik analizi yapmanıza yardımcı olur — fuzzy hash değerlerine dayalı olarak küçük farklılıkları olan iki dosyayı eşleştirir. Fuzzy hashing’in örneklerinden biri SSDeep’in kullanımıdır; SSDeep resmi web sitesinde fuzzy hashing için tam bir açıklama da bulabilirsiniz.

VirusTotal’dan SSDeep örneği:

Aşağıdaki soruları yanıtlayın Dosyalar arasındaki benzerliği belirlemek için kullanılan yöntemi belirtin

Kısaltma olmadan fuzzy hashes için alternatif ad sağlayın

Task 8 TTPs (Tough)

Henüz bitmedi. Ama iyi haber, Acı Piramidi’nin son aşamasına ya da zirvesine ulaştık!

TTP’ler Taktikler, Teknikler ve Prosedürler anlamına gelmektedir. Bu, MITRE ATT&CK Matrisinin tamamını içerir, yani bir düşman tarafından hedefine ulaşmak için kimlik avı girişimlerinden başlayarak kalıcılık ve veri sızıntısına kadar atılan tüm adımlar anlamına gelir.

TTP’leri hızlı bir şekilde tespit edebilir ve bunlara yanıt verebilirseniz, düşmanlara neredeyse hiç karşılık verme şansı bırakmamış olursunuz. Örneğin, Windows Olay Günlüğü İzleme’yi kullanarak bir Pass-the-Hash saldırısını tespit edip düzeltebilirseniz, güvenliği ihlal edilmiş ana bilgisayarı çok hızlı bir şekilde bulabilir ve ağınızdaki yanal hareketi durdurabilirsiniz. Bu noktada saldırganın iki seçeneği olacaktır:

Geri dönün, daha fazla araştırma ve eğitim yapın, özel araçlarını yeniden yapılandırın Vazgeçin ve başka bir hedef bulun 2. Seçenek kesinlikle daha az zaman ve kaynak tüketiyor gibi görünüyor.

Aşağıdaki soruları yanıtlayın ATT&CK Matrix web sayfasına gidin. Exfiltration kategorisine kaç teknik giriyor?

Attack.mitre.org sitesinden Exfiltration kategorisinde 9 teknik bulunuyor

Chimera, 2018'den beri aktif olan Çin merkezli bir bilgisayar korsanlığı grubudur. C2 işaretçileri ve veri sızıntısı için kullandıkları ticari, uzaktan erişim aracının adı nedir?

Mitre sitesinde Chimera gurubunu aradım ve C2 işaretçilerini kullandıkları bölümü buldum . Kullandıkları araç Cobalt Strike

Task 9 Practical: The Pyramid of Pain

Bu göreve ekli statik siteyi dağıtın ve istemleri acı piramidindeki doğru katmanlara yerleştirin!

Emin olduğunuzda, bir flag almak için cevabınızı statik siteye gönderin!

Aşağıdaki soruları yanıtlayın Statik siteyi tamamlayın. flag nedir

Soruları cevaplarıyla eşleştirdiğimizde flağa ulaşıyoruz