Emre Bey , iyi dilekleriniz için çok teşekkür ederim Botnet veya diğer zararlı içerikli domainlerin kısa sürede tespit edilmesinde iki önemli avantajdan yararlanıyoruz.
1- DNS Protokolünü kullanma : Zombi bilgisayarlar komuta merkezine sürekli bağlantı içerisinde kalabilmek için Emre Beyinde bahsettiği gibi DGA ( Domain Generation algorithm ) ile sürekli domain üretir. Komuta merkezi zombi makinelere herhangi bir komut göndermediği zamanlarda, domain register masrafına girmemek icin domainleri register etmez Dolayısı ile bu domainler sadece DNS sorgusu içerisinde görülebilir. Zombi bilgisayarlarin %99.9+ pasif durumda kaldıklarını düşünürsek DNS 'in oldukça avantajlı olduğunu söyleyebiliriz Roksit DB 'nin avantajı : Roksit DNS sunucularına Türkiye 'den 33 farklı kurumdan günlük yaklaşık 70-80 Milyon A kaydı sorgulaması gelmektedir. Bu sorguların %99.5 oranında Roksit DB 'de kategorize edilmiş domainlerden oluşmaktadır. Toplamda bir günde kategorize edilmemiş domain sayısı 3000 domaini geçmemektedir. Otomatik kategorizasyon engini ve SOC tarafından çalışan arkadaşların incelemeleri ile Yeni bir botnet, Phishing/Fraud domainler dakikalar içerisinde tespit edilebilmektedir. olayı kısaca özetlemeye çalıştım fakat bunlar dışında da birçok kriteri incelemk gerekebiliyor Örneğin aşağıdaki domainler son 15 dk içerisinde kullanılan domainler . birden fazla DGA kullanılmış ayrıca 1m2h864ljwezfeiq1so9d6zt9.com ile answerobject.net aynı kişi tarafından register edilmiş ve aynı Komuta merkezine yönlendiriliyor . crawler erişmeye calistiğinda içerik gelmeden dosya indirilme gibi şüpheli davranışlarda bulunuyor. [image: Inline image 2] Bu tarz olaylar siber istihbarat servislerinin yerli bakış açısına sahip olmasının önemini daha net görmemizi sağlıyor . iyi çalışmalar dilerim 2016-10-30 0:54 GMT+03:00 Emre Tinaztepe <[email protected]>: > Merhaba, > > Roksit çözümünü dün inceleme fırsatım oldu. Şahsen aynı soruyu ben de > kendime sordum fakat sonrasında "üye kurumların public iplerini" bidikleri > için hangi DNS sorgusunun hangi kurumdan geldiğini rahatlıkla tespit > edebileceklerini anladım. > > Dolayısıyla, yapılan DNS sorgularını process eden bir sistem random > generated bir DNS sorgusunu ayırt edebildiği sürece ki bu basit bir > algoritma ile bile yapılabilir, sistem botnetleri tespit edebilir. Üretilen > domain nameler legitimate görünen adresler bile olsa bir çoğu register > edilmediği için bu da ayrı bir indicator olarak kullanılabilir. > > Velhasıl, sistemin çalışma mantığı ve kullanım kolaylığı çok hoşuma gitti. > UX ile ilgili yorumlarımı ayrıca arkadaşlarla paylaşmak istedim. > > Roksit ekibinin başarılarının devamını diliyorum. > > -- > Emre TINAZTEPE > Lead Software Architect > > Zemana Ltd. > USA: +1 650 265 7763 (Direct Line) > Turkey: +90 312 219 5660 > www.zemana.com > > 2016-10-29 23:51 GMT+03:00 Fatih Ekrem Genç <[email protected]>: > >> merhaba, >> >> dns tabanli bir çözümle botlari nasil tespit edebiliyorsunuz. >> kac farkli agda test etme sansiniz oldu? >> >> On Oct 28, 2016 9:16 PM, "Erhan Yüksel" <[email protected]> wrote: >> >> Merhaba Arkadaşlar , >> >> Ülke genelini etkileyecek türde bu akşam itibariyle aktif olan bir >> zararlı yazılım aktivitesini bildirmek için yazıyorum. >> >> Roksit DNS Firewall, botnet trafiğini tespiti konusunda DNS protokolünden >> yararlanarak aktif veya pasif durumdaki botnetleri tespit edebilmektedir. >> Zombi bilgisayarlar uyku modunda iken en kolay şekilde DNS analizi ile >> tespit edilebilmektedir. Sebeplerini ekteki pdf dosyadan okuyabilirsiniz. >> >> Botnet komuta merkezleri zombi bilgisayarlara bir görev atayacağı zaman >> bir kısmını uyandırıp gerekli işlemleri yaptıktan sonra >> kapatabilmektediler. Fakat bugünki aktivite geçmiştekilerden farklı olarak >> tüm müşterilerimizde aynı anda aynı komuta merkezine doğru bir aktivite >> tespit ettik. >> >> Roksit kullanıcıları dışında da birçok kurumda benzer aktiviteler >> olduğunu düşündüğümüz için olası büyük çaplı bir saldırının parçası olmamak >> veya ulusal güvenliğimizi tehdit edecek bir saldırının önüne geçebilmek >> adına tüm siber güvenlik alanındaki arkadaşları uyarmak istedik. >> >> Şuanda devam etmekte olan Botnet CC bağlantı talepleri aşağıdaki şekilde >> görebilirsiniz. Domainlerin tespit edilip bloklanmasını engellemek için DGA >> ile sürekli olarak domain üretmeye devam etmektedirler. Bu yüzden >> domainleri tek tek bloklamak oldukça zahmetli bir yöntem olacaktır. Şuana >> kadar 1000 den fazla domain üretilmiş, register edilmiş ve edilmeye devam >> ediliyor. Fakat işin iyi tarafı tüm domainler aynı ip adresini >> kullanıyorlar >> >> Ip adresi: 192.42.116.41 >> >> Roksit DNS Firewall müşterilerinin Malware/Virüs kategorisini bloklaması >> yeterli olacaktır. >> >> Diğer arkadaşların mevcut Firewall ürününde hedef ip adresi 192.42.116.41 >> bloklanmasi ve bağlantı kurmaya calışan bilgisayarların incelenmesini >> tavsiye ediyoruz. >> >> >> >> >> >> >> Siber Güvenlik Kış Kampı Başvuruları Açıldı! >> >> http://siberkamp.eventbrite.com/ >> >> >> >> Siber Güvenlik Kış Kampı Başvuruları Açıldı! >> >> http://siberkamp.eventbrite.com/ >> > > > Siber Güvenlik Kış Kampı Başvuruları Açıldı! > > http://siberkamp.eventbrite.com/ >
--------------------------------------- Siber Güvenlik Kış Kampı Başvuruları Açıldı! http://siberkamp.eventbrite.com/
