Network'ün Karanlık Yüzü : WireShark Analiz Serisi 1

Günümüz saldırı örneklerinde bir çok alanda karşılabilecek saldırıların network üzerinde bir çok alanada izleri kalmaktadır. İnternette atılan her bir hamle kaydedilmektedir. Bu yazımda SQUIL aracında bulunan alarmları kullanarak örnek bir pcap dosyası ile olay incelemesin gerçekleştireceğiz olayımız sistem üzerinde oluşan bir alarmın incelenmesi sonucunda kritik veri aktarımı tespiti yapmak üzerinedir. Keyifli okumalar dilerim.

Network'ün Karanlık Yüzü : WireShark Analiz Serisi 1

SQUIL, birden çok kaynaktan gelen uyarıları zaman damgalı bir kuyruğa entegre eden bir konsol sağlar. Bir siber güvenlik analisti, uyarıları araştıran, sınıflandıran, yükselten veya kullanımdan kaldıran güvenlik kuyruğu üzerinden çalışabilir. Security Onion işletim sisteminde çalışır.

İlk olarak squil aracımızı açıyorum ve orada bulunan belirlediğim hazır dosya üzerinde inceleme yapmak üzere işlemlerime başlıyorum.

Burada kullanmış olduğumuz incelemeler hali hazırda yapılandırılmış olan bir cihaz üzerinde bulunduğu için alarmlarını hemen karşımda görebiliyorum. Buradan bir alarm ID’sini  seçerek ağ trafiğini açmak için  wireshark seçeneğini seçiyorum. Bu kısımda başka bir araç olan network miner seçeneğini de seçip inceleme yapabilirim veya transcript diyerekte gönderilen ağ paketlerini direkt olarak da görebilirim.

Wireshark ile ilk paket analizime başlarken SQUIL üzerinden wireshark seçeneğini seçiyorum ve pcap dosyasını otomatik olarak wireshark üzerinden açıyor.

Wireshark aracını açtıktan sonra istatistik üst başlığı içerisini açıp incelemeler için başlıkları kontrol ediyorum. 

ilk olarak paketlerin boyutlarını öğrenebilmek için paket uzunluğu seçeneğini seçiyorum. Paket büyüklüklerinin ortalamaları ile bilgileri paket uzunluğu başlığı altından inceleyebiliyorum.

İşlemime  IO grafiği ile paketlerin hangi zaman aralıklarında gönerildiğiyle ilgili bilgilere erişerek devam ediyorum ve burda paketlerin hangi süre aralıklarıyla gönderildiğini grafik olarak gösteriyor.

Sonrasında ise Protokol hiyerarşisini incelediğimde paketlerin yüzdelik olarak hangi protokolleri kullandığını görüntülüyorum. İncelediğim pcap dosyasında TCP protokolü altında data paketlerinin %51 oranında kullanıldığını görüyorum.   

Tekrardan ana panele geçip data araması gerçekleştiriyorum ve arama alanına data kelimesi ile arama yaptığımda bana tcp-data paketlerini getiriyor.

Herhangi bir paketin üzerine gelip sağ tıkladığımda karşıma paketle ilgili bir çok seçenek çıkıyor. Bu seçenekler içerisinden FALLOW  seçeneğini seçiyorum .

Takip seçeneğinde alt seçenek olarak  tcp stream seçeneğini seçerek tcp içerisinde gönderilen tüm paket iletişimini tek bir alandan takip etme imkanı sağlıyor.

Paketleri takip etmem sonucunda metasaploitable makinasına root olarak erişim sağlandığını ve bu yetkisiz erişim sonucunda kullanıcıların şifrelerinin hashlarinin çekildiğini görüyorum. Bu alarımın kritik bir alarm olduğunu ve gerekli önlemlerin alınması gerektiğini düşünüyorum.

Saldırgan bu saldırıda metasploitable makinasında yetkisiz erişim sağlayarak yeni bir kullanıcı eklemiş. Bu işlem devamında ilk olarak echo komutu ile /etc/shadow dosyasının içerisine myroot adında bir kullanıcı eklemiş ve bu kullanıcıya  echo komutu ile /etc dizini altında bulunan /passwd içerisine root yetkilerini tanımlamıştır.

Bu alarmın oluştuğu cihaz üzerindeki yapılandırılmaların kontrol edilmek üzere yetkililere bildirilmesi ile bu inceleme sonuçlanmaktadır. 

Daha fazlası için : https://www.youtube.com/@_msulker19_

İyi çalışmalar...

I am studying Forensic Informatics Engineering at Firat University. I am a three-year student who actively enjoys working in communities, is compatible with teamwork, open to learning, participates in trainings and conferences, and takes an active part in community work. I have been interested in cybersecurity for more than 2 years and have been dealing with CTF and similar issues. I am interested in system analysis and log analysis. I am working in the pentest field and also improving myself in the network field.