Merhaba arkadaşlar, bir önceki konumuzda Malware Analizi için Malware analizleri için Remnux'un nasıl çalıştığını anlatmıştık. Bugünki konumuz ise Inetsim kullanarak sahte ağ servisleri hazırlamak olacaktır. Hadi konuya geçelim
Inetsim nedir?
Inetsim SMTP,DNS,HTTP gibi internet servislerini simüle eden, malwarelerin ağ davranışlarını internete girmeden analiz eden bir uygulamadır. TLS şifreli protokoller için temel desteği mevcuttur. HTTPS, SMTPS, POP3S ve FTPS başlangıçta yüklenecek tanımlanmış bir X.509 sertifikası gerektirir. Bu sertifikalarda Common Names (CN) istenen sunucu isimleriyle eşleşmediğinden ötürü malwarelerin sonlandırılmasına sebebiyet verebilir. Kurban aygıt hangi siteyi ziyaret ettiğinden bağımsız şekilde aynı sertifikayı alacaktır. INetsim'in TLS şifrelemesi, uygulama katmanı trafiği şifrelendiğinden c2 trafiği ya da spam çalıştırmaları gibi malware yazılımları laboratuvarda yakalanan ağ trafiğinin analizini de engeller.
Inetsimin simüle ettiği ağ servisleri;
Hyper Text Transfer Protocol/Secure Hyper Text Transfer Protocol: HTTP web sayfalarının görüntülenmesine yarayan bir protokoldür, siteye girmek istediğinizde sunucuya iletir ve girmenize yardımcı olur. HTTPS de aynı şekildedir fakat güvenlik seviyeleri biraz daha arttırılmış durumdadır.
Simple Mail Transfer Protocol/Simple Mail Transfer Protocol Secure: SMTP mail yollamak için sunucu - istemci iletişimini sağlayan protokoldür.SMTPS ise SMTP'nin güvenliğini sağlamak için kullanılır.Verilerin gizliliğini ve bütünlüğünü hedefler.
POP3(Post Office Protocol)/POP3S: Maillere erişmek amacı taşıyan bir protokoldür.Mail gönderiminde biraz önce anlattığım SMTP protokolünü uygular. POP3S sunucu-istemci arasındaki veri paylaşımını yaparken şifreli kanallar kullanır.
DNS(Domain Name System):İnternet sunucusu protokolüdür. Alan adlarıyla anlaşılır bir derecede internete erişmemizi sağlar.
FTP/FTPS:FTP bilgisayardaki verilerin bir sunucudan bilgisayar ağındaki istemciye göndermesini sağlamak için kullanılan iletişim protokolüdür.
TFTP(Trivial File Transfer Protocol): Dosya transferi protokolüdür.
IRC(Internet Relay Chat)
NTP(Network Time Protocol):Ağ zaman protokolüdür.Gecikmeli olan paketler üzerinde bilgisayar saatleriyle eş zamanlamasını sağlar.
Ident:TCP bağlantılarının tanımlanmasını sağlayan bir internet protokolüdür.
Finger:Kullanıcı bilgilerinin takasına yönelik basit ağ protokolüdür.
Syslog:Linux sistemlerde raporların tutulduğu log sistemidir.
Inetsim Nasıl İndirilir?
Remnuxun içerisinde kurulu halde gelen bu tool'u Ubuntuda nasıl indiririz başta onu anlatayim.
sudo apt-get update -y
sudo apt-get install -y inetsimİnetsim Conf dosyası nasıl açılır ve ayarları değiştirilir?
Başta Inetsime girmek için Remnux'u sanal makinemizden açalım. Gelen konsola sudo nano /etc/inetsim/inetsim.conf yazalım (/ işaretini basit bir şekilde yapmak için klavyenizi setxkbmap tr komutuyla türkçe klavye yapabilirsiniz.).Gelen kısımda INetsim uygulamasının konfigrasyonlarını göreceksiniz.Çıkan sonuçların hepsini INetsim ile kullanabilirsiniz.Varsayılan olarak başında # işareti olmayan servisler kullanılır. Diğer servislerin de kullanılmasını istiyorsanız başında olan # işaretini kaldırınız. Servislerin altında ayarlamalar mevcuttur. Her bir servisin kendine ayrı ayarlamaları mevcuttur. INetsim 127.0.0.1 kullanır, bunu offline bir ip adresi ile değiştirelim. Aynı şekilde service_bind_adress'i de kullandığımız ip ile değiştirelim.Son olarak start_service_https ve start_service_smtps'nin başına # ekleyerek etkisiz hale getirelim. Ayarlarımızı kaydedelim. Kaydettikten sonra sudo inetsim ile çalıştıralım ve test edelim. Googleden bir siteye girmeye çalıştığımızda aşağıdaki sonucu elde etmiş olursunuz.
Herhangi bir yanlışlık, hata yaparsanız aşağıya bırakacağım kaynağa giderek genel bir laboratuvar ortamı hazırlayabilirsiniz.
Zararlı Yazılım Analizi İçin Lab Ortamı Hazırlama
Zararlı yazılım analizi ve bu alandaki araştırma çalışmaları, Stuxnet, Duqu, Carberp, Zeus ve daha birçok gelişmiş zararlı yazılımın sistemleri etkisi altına aldığı günümüzde, özellikle de zararlı yazılımlara karşı bilindik yöntem ve araçların ne kadar etkisiz kaldığı göz önüne alındığında...
www.turkhackteam.org
Okuduğunuz için teşekkür ederim.
Not: Eksiklerim - yanlışlarım olabilir, düzeltmek istediğiniz bir yer olursa yorumlarda belirtiniz.
