Interview mit Entwickler: Emir Erdogan
Wir führen weiterhin Interviews mit den Mitgliedern des Threat Bounty Program (https://my.socprime.com/en/tdm-developers), und heute möchten wir Ihnen Emir Erdogan vorstellen. Emir nimmt seit September 2019 an dem Programm teil, er hat über 110 Sigma-Regeln auf seinen Namen veröffentlicht, aber Emir veröffentlicht auch YARA-Regeln, um tatsächliche Bedrohungen zu erkennen. Seine Regeln werden oft in unseren Blogbeiträgen gefunden: Regelzusammenfassungen, Threat-Hunting-Inhalte, und Regel der Woche.
Emir, erzähl uns ein bisschen über dich und deine Erfahrung in der Cybersicherheit.
Nachdem ich 2015 die Universität abgeschlossen hatte, begann ich bei dem von der Regierung unterstützten OS-Projekt (Pardus) als Business Analyst zu arbeiten.
Dann habe ich meinen Job gewechselt, weil ich mich als Cybersicherheitsspezialist verbessern wollte. Ich habe in vielen verschiedenen Bereichen der Cybersicherheit gearbeitet, als SIEM-Ingenieur, SOC-Betriebsspezialist, Projektmitglied beim Aufbau von Informationssicherheits- und Managementsystemen in einem Zivilluftfahrtunternehmen in der Türkei.
Jetzt arbeite ich noch immer als SOC-Analyst und SOC-Teamleiter bei einem der wichtigsten Unternehmen in der Türkei.
Wie lange hat es gedauert, bis du das Schreiben von Sigma-Regeln gemeistert hast? Welcher technische Hintergrund ist erforderlich, um es zu beherrschen? Und wie viel Zeit benötigst du im Durchschnitt, um eine neue IOC Sigma-Regel und eine Threat-Hunting Sigma-Regel zu schreiben?
Ich schreibe seit 6 Monaten Sigma-Regeln. Tatsächlich ist es notwendig, viele Sigma-Regeln in verschiedenen Log-Quellen zu schreiben, um ein Meister zu werden. Meiner Meinung nach ist es nicht zeitabhängig. Log-Arten von verschiedenen Betriebssystemen und Sicherheitsprodukten müssen jedem bekannt sein, der ein Meister in Sigma werden möchte.
Die Zeit, die zum Schreiben einer Sigma-Regel erforderlich ist, hängt von der Komplexität der Regel ab. Im Allgemeinen, wenn eine Sigma-Regel komplexer ist und verschiedene Log-Typen enthält, dauert es etwa eine halbe Stunde.
Welche Art von Bedrohungen sind am schwierigsten zu erkennen? Emir, kannst du vielleicht ein Beispiel aus dem wirklichen Leben geben?
Jeder weiß, dass einige Arten von Malware wie Rootkits wirklich schwer zu erkennen sind. Allerdings haben sich die Verwendung von Vermeidungstechniken und Verschleierungsmethoden in letzter Zeit erhöht, und einige von ihnen sind kompliziert zu erkennen. Daher möchte ich diese Techniken erwähnen.
Traditionelle Erkennungstools können leicht von verschleierter Malware und Dateien überwunden werden. Ich bin sicher, dass jeder Cybersicherheitsspezialist auf eine verschleierte PowerShell-Skript oder Malware gestoßen ist. Es ist nicht einfach, diese Dateien zu analysieren.
Es gibt viele Vermeidungstechniken, um Sicherheitskontrollen zu umgehen. Zum Beispiel sind viele Menschen auf Erpressungs-Bitcoin-Erpressung gestoßen. Die E-Mails besagen, dass sie in Ihren Computer eingebrochen sind und Sie bei adulten Websites aufgenommen haben. Sie drohen, das Video innerhalb von Stunden an Ihre Freunde und Familie zu verteilen, es sei denn, Sie zahlen auf ihr Bitcoin-Konto. Die effektivste Lösung ist das Erstellen von Inhaltsfilterregeln auf einem sicheren Mail-Gateway, um solche E-Mails zu schützen. Auch wenn die Regel nach einigen Schlüsselwörtern wie Bitcoin und Hack geschrieben ist, können Angreifer ihren Erpressungstext als Anhang, passwortgeschütztes PDF, Bilddatei im Textkörper senden. Auf diese Weise umgehen sie die Inhaltsfilterregeln.
Die Pandemie ist eine weitere Herausforderung für einen Cybersicherheitsexperten. Erzählen Sie uns, wie sie Ihre tägliche Arbeit beeinflusst hat. Vielleicht können Sie uns einige Lebenshacks für zu Hause mitteilen?Â
Man kann sagen, dass ich jetzt härter arbeite, da die Cyberangriffe täglich zunehmen. Zum Beispiel hat die Anzahl der Phishing-Angriffe auf die Lieferung von Frachtunternehmen und COVID-19-Kampagnen zugenommen.
Wie in der ganzen Welt setze ich meine Arbeit zu Hause fort. Ich denke nicht, dass dies ein Problem für Cybersicherheitsexperten ist, denn wir lieben es, zu Hause vor unserem Computer zu sein.
Ich hoffe, dass ich noch keine negativen Auswirkungen außer soziologischen beobachtet habe. Dank dieser Frage wünsche ich jedem ein gesundes Leben.
Welche Tools werden am häufigsten von verschiedenen Bedrohungsakteuren verwendet und was würden Sie empfehlen, um die Verteidigung gegen diese Tools zu verbessern? Beispiele wären großartig!
Tatsächlich gibt es viele gebräuchliche Tools, die von verschiedenen Bedrohungsakteuren verwendet werden.
Ich denke, PowerShell wäre ein gutes Beispiel. Es ist legitim und wirklich mächtig. Nicht nur Angreifer, sondern auch die meisten Systemadministratoren benötigen PowerShell und verwenden in der Regel PS-Skripte, um ihre täglichen Aufgaben zu erledigen. Aus diesem Grund ist es schwierig zu verstehen, ob es für bösartige Zwecke verwendet wird; jedoch gibt es einige Hinweise, um bösartige Aktivitäten zu erkennen. Wenn PowerShell für eine Aufgabe nicht erforderlich ist, bitte deaktivieren Sie es. Wenn es notwendig ist, muss PowerShell-Protokollierung aktiviert und von SOC überwacht werden. PowerShell SIEM-Regeln sollten geschrieben und immer angereichert werden.
Abgesehen von PowerShell wird Webshell häufig von verschiedenen Bedrohungsakteuren verwendet. Webshells sind bösartige Skripte, die auf ein Ziel hochgeladen werden, um kompromittierte Server remote zuzugreifen. Es ist bekannt, dass Webshell eines der häufigsten und effektivsten Hintertüren ist. Angreifer nutzen zunächst eine Schwachstelle auf einem Webserver aus, um eine Webshell hochzuladen, oder sie können sie von einem anderen Server/Host hochladen, der zuvor kompromittiert wurde. Daher ist das Wichtigste sicherzustellen, dass alle Server/Hosts mit Sicherheitspatches auf dem neuesten Stand sind. Mit Sysmon-Logs von allen überwachten Webservern können Sie Korrelationsregeln entwickeln, um Webshell zu erkennen. Es gibt viele Sigma-Regeln im TDM, um Webshells zu erkennen. Ich möchte ein kurzes Beispiel geben. Wenn der IIS-Prozess (w3wp.exe) cmd.exe aufruft, sollte dies als verdächtig markiert und von einem SOC-Analysten analysiert werden.
Viele von Ihnen zur Threat Detection Marketplace beigetragene Bedrohungserkennungsinhalte sind kostenlos verfügbar und helfen Cybersicherheitsspezialisten weltweit, Bedrohungen zu erkennen. Was motiviert Sie, Ihre Inhalte mit der Community zu teilen?
Angreifer sind immer einen Schritt voraus. Daher ist es notwendig, ihre Methoden, Taktiken und Techniken zu lernen, um ihre Angriffe zu verhindern.
Meiner Meinung nach ist das Teilen von Informationen und Wissen zwischen Forschern und Institutionen sehr wichtig, um Cyberangriffe zu verhindern und materielle und moralische Verluste zu vermeiden.
Tatsächlich, wenn ich sehe, dass einige Gruppen während der Pandemie Krankenhäuser angreifen und Angreifer von der Panikstimmung der Menschen profitieren, werde ich mehr motiviert, meine Inhalte mit der Community zu teilen.
Emir, was denkst du ist der größte Vorteil des SOC Prime Threat Bounty Program?
Es gibt viele Vorteile des Threat Bounty Program für Unternehmen und Entwickler. Neue SIEM-Regeln zu entwickeln, indem neue Bedrohungen verfolgt werden, ist eine große Herausforderung für alle Unternehmen. Mit der Hilfe des Threat Bounty Program können Unternehmen viele Erkennungen für spezifische und aktuelle Bedrohungen erreichen. Diese Inhalte könnten leicht in eine SIEM-Lösung implementiert werden. Darüber hinaus folgen Entwickler der neuen Bedrohung und entwickeln neue Inhalte. Dieses Programm bietet Entwicklern eine große Chance, ihre Inhalte zu veröffentlichen, sich selbst zu verbessern, ausgezeichnet und von SOC Prime geehrt zu werden.
Â
Lesen Sie mehr Interviews mit Teilnehmern des Threat Bounty Programs auf unserem Blog: https://socprime.com/en/tag/interview/
Â
