Intervista con lo Sviluppatore: Emir Erdogan

Continuiamo a intervistare i membri del Threat Bounty Program (https://my.socprime.com/en/tdm-developers), e oggi vogliamo presentarvi Emir Erdogan. Emir partecipa al programma da settembre 2019, ha pubblicato oltre 110 regole Sigma a suo nome, ma Emir pubblica anche regole YARA per rilevare le minacce effettive. Le sue regole si trovano spesso nei nostri post del blog: Sintesi delle regole, Contenuto per Threat Hunting, e Regola della settimana.

Emir, parlaci un po’ di te e della tua esperienza nella cybersecurity.

Dopo essermi laureato all’università nel 2015, ho iniziato a lavorare al progetto OS (Pardus) supportato dal governo come Business Analyst.

Poi ho cambiato lavoro perché volevo migliorarmi come specialista in sicurezza informatica. Ho lavorato in molti settori diversi nella cybersecurity come SIEM Engineer, specialista delle operazioni SOC, membro del progetto per la costruzione di sistemi di gestione e sicurezza delle informazioni in una compagnia di aviazione civile in Turchia.

Ora, lavoro ancora come analista SOC e team leader SOC in una delle aziende più importanti in Turchia

Quanto tempo ti ci è voluto per padroneggiare la scrittura delle regole Sigma? Quale background tecnico è necessario per dominarlo? E quanto tempo impieghi mediamente per scrivere una nuova regola IOC Sigma e una regola Sigma per il threat-hunting?

Scrivo regole Sigma da 6 mesi. In effetti, è necessario scrivere molte regole Sigma in diverse fonti di log per diventare esperti. A mio avviso, non è una questione di tempo. Tipi di log di diversi OS e prodotti di sicurezza devono essere noti da chiunque voglia diventare esperto di Sigma.

Il tempo necessario per scrivere una regola Sigma dipende dalla complessità della regola. Generalmente, se una regola Sigma è più complessa e include diversi tipi di log, ci vuole circa mezz’ora.

Quali tipi di minacce sono i più complicati da rilevare? Emir, forse puoi darci un esempio reale?

Tutti sanno che alcuni tipi di malware come i rootkit sono davvero difficili da rilevare. Tuttavia, l’uso di tecniche di evasione e metodi di offuscamento è recentemente aumentato e alcuni di essi sarebbero complicati da rilevare. Pertanto, voglio menzionare queste tecniche.

Gli strumenti di rilevamento tradizionali possono essere facilmente elusi da malware offuscati e file. Sono sicuro che ogni specialista di sicurezza informatica ha incontrato script di PowerShell offuscati o malware. Non è facile analizzare questi file.

Ci sono molte tecniche di evasione per bypassare i controlli di sicurezza. Ad esempio, molte persone hanno incontrato il ricatto bitcoin estorsivo. Le email dicono che hanno hackerato il tuo computer e ti hanno registrato mentre visitavi siti per adulti. Minacciano di distribuire il video ai tuoi amici e familiari entro poche ore a meno che tu non paghi nel loro conto Bitcoin. La soluzione più efficace è scrivere regole di filtraggio del contenuto su un gateway di posta sicuro per proteggersi da questo tipo di email. Anche se la regola è scritta secondo alcune parole chiave come bitcoin e hack, gli attaccanti possono inviare il loro testo di ricatto come allegato, pdf protetto da password, file immagine nel corpo. Quindi, bypassano in questo modo le regole di filtraggio del contenuto.

La pandemia è un’altra sfida per un praticante di cybersecurity. Dicci come ha influenzato il tuo lavoro quotidiano. Forse puoi condividere con noi dei trucchi casalinghi? 

Si può dire che ora lavoro più duramente perché gli attacchi informatici aumentano ogni giorno. Ad esempio, il numero di attacchi di phishing sulle consegne delle compagnie di trasporto e la campagna a tema COVID-19 è aumentato.

Come in tutto il mondo, continuo a lavorare da casa. Non penso che sia un problema per gli esperti di sicurezza informatica, perché amiamo stare a casa davanti al nostro computer.

Spero di non aver ancora osservato effetti negativi, oltre a quelli sociologici. Grazie a questa domanda, auguro a tutti una vita sana.

Quali strumenti sono più comunemente usati da diversi attori di minacce e quale sarebbe la tua raccomandazione per migliorare la difesa contro quegli strumenti? Sarebbero ottimi degli esempi!

In realtà, ci sono molti strumenti comuni utilizzati da diversi attori delle minacce.

Penso che PowerShell sia un ottimo esempio. È legittimo e veramente potente. Non solo gli attaccanti ma anche la maggior parte degli amministratori di sistema hanno bisogno di PowerShell e generalmente usano script PS per svolgere i loro compiti quotidiani. Per questo motivo, è difficile capire se è usato per scopi malevoli; tuttavia, ci sono alcuni indizi per rilevare attività malevola. Se PowerShell non è necessario per svolgere un lavoro, per favore disabilitalo. Se è necessario, il logging di PowerShell deve essere abilitato e monitorato da SOC. Le regole SIEM di PowerShell dovrebbero essere scritte e dovrebbero sempre essere arricchite.

Oltre a PowerShell, il webshell è comunemente usato da diversi attori delle minacce. I Webshell sono script malevoli caricati sul bersaglio per accedere da remoto ai server compromessi. È noto che il webshell è una delle backdoor più comuni ed efficaci. Gli attaccanti sfruttano prima una vulnerabilità su un server web per caricare webshell o possono caricarlo da server/host diversi che erano stati compromessi precedentemente. Pertanto, la cosa più importante è garantire che tutti i server/host siano aggiornati con le patch di sicurezza. Con i log sysmon di tutti i server web monitorati, puoi sviluppare regole di correlazione per rilevare webshell. Ci sono molte regole Sigma su TDM per rilevare i webshell. Voglio dare un rapido esempio. Se il processo IIS (w3wp.exe) chiama cmd.exe, questo dovrebbe essere etichettato come sospetto e analizzato da un analista SOC.

Una gran parte del contenuto di rilevamento delle minacce contribuito da te al Threat Detection Marketplace è disponibile gratuitamente e aiuta gli specialisti della sicurezza informatica di tutto il mondo a rilevare le minacce, cosa ti motiva a condividere il tuo contenuto con la comunità?

Gli attacchi sono sempre un passo avanti. Pertanto, è necessario conoscere i loro metodi, tattiche e tecniche per prevenire i loro attacchi.

A mio avviso, condividere l’intelligenza e la conoscenza tra ricercatori e istituzioni è molto importante per prevenire attacchi informatici ed evitare qualsiasi perdita materiale e morale.

In effetti, quando vedo che alcuni gruppi attaccano gli ospedali durante la pandemia e gli attaccanti traggono vantaggio dallo stato di panico delle persone, mi sento più motivato a condividere il mio contenuto con la comunità.

Emir, qual è secondo te il più grande beneficio del SOC Prime Threat Bounty Program?

Ci sono molti benefici del Threat Bounty Program per aziende e sviluppatori. Sviluppare nuove regole SIEM seguendo le nuove minacce è una grande sfida per tutte le aziende. Con l’aiuto del Threat Bounty Program, le aziende possono accedere a molte rilevazioni per minacce specifiche e attuali. Questo contenuto può essere facilmente implementato nella soluzione SIEM. Inoltre, gli sviluppatori seguono la nuova minaccia e sviluppano nuovo contenuto. Questo programma offre una grande opportunità per gli sviluppatori di pubblicare i loro contenuti, migliorarsi, essere premiati e onorati da SOC Prime.

Leggi più interviste con i partecipanti al Threat Bounty Program sul nostro blog: https://socprime.com/en/tag/interview/