Herkese selam! Bu yazımda ele aldığım konu Wazuh ile SFX Arşivlerini İzleme , keyifli okumalar.  🙂

Kendiliğinden açılan arşivler (SFX), içlerinde yerleşik bir kod bulunduran sıkıştırılmış veriler içeren yürütülebilir dosyalardır. Genellikle yazılım yükleyicilerini, taşınabilir uygulamaları, sistem kurtarma veya yedekleme dosyalarını paketlemek ve dağıtmak, aynı zamanda sıkıştırılmış ve şifrelenmiş dosyaları güvenli bir şekilde iletmek için kullanılırlar. Bu tür arşivler, kullanımı kolaydır ve meşru bir yazılım gibi görünebilir, bu nedenle siber saldırganlar tarafından kötü amaçlı yazılım dağıtım mekanizması olarak kullanılabilirler.

SFX arşivlerinin uzun yıllardır yaygın ve zararsız kullanımları olmuştur. Ancak son zamanlarda, bu tür arşivlerde güvenlik açıklarını veya tespit edilemeyen kötü amaçlı işlevleri içerebilecek potansiyel tehlikelerin farkına varılmıştır. Araştırmacılar, boş bir SFX arşiv dosyasının bile zararlı olabileceğini keşfetmişlerdir, çünkü bilgisayar korsanlarına kurbanın sistemine kalıcı bir arka kapı açma fırsatı verebilir.

Kötü amaçlı SFX arşivlerinin yaygın davranışları şunlar olabilir:

1. Dosyaların izinsiz olarak beklenmedik konumlara çıkarılması: Kötü amaçlı SFX arşivleri, kullanıcının onayı olmadan sistemden dosyaları çıkarabilir veya değiştirebilir.
2. Şüpheli ağ bağlantıları kurmak: Saldırganlar, kötü amaçlı SFX arşivlerini kullanarak komuta ve kontrol sunucularına bağlantılar kurarak kötü amaçlı faaliyetleri yönlendirebilirler.
3. Sistem yapılandırmalarını değiştirmek: Kalıcılığı sağlamak ve tespit edilmemek için kötü amaçlı SFX arşivleri, sistem yapılandırmalarını değiştirerek veya zararlı kodları gizlemek için teknikler kullanabilirler.
4. Kaçamak tekniklerin kullanılması: Saldırganlar, gizlenmek veya tespit edilmekten kaçınmak için dosyaları şifreleyebilir veya gizleyebilirler.
5. Yetkisiz kod yürütmek ve kötü amaçlı işlemler başlatmak: Kötü amaçlı SFX arşivleri, sistem üzerinde yetkisiz kodların yürütülmesini ve zararlı işlemlerin başlatılmasını kolaylaştırabilir.
6. Yazılım açıklarından faydalanmak: Saldırganlar, yazılım açıklarını kullanarak sistemlere sızabilir ve yasal dosyaları kötü amaçlı dosyalarla değiştirebilir veya değiştirebilirler.

Bu davranışlar, sistemin bütünlüğünü tehlikeye atmayı, hassas verilerin sızmasını veya kötü amaçlı yazılımların yayılmasını amaçlayabilir. Bu nedenle, şüpheli SFX arşivlerinin tehditlerini tespit etmek ve azaltmak için etkili güvenlik önlemlerinin benimsenmesi ve sistemin sürekli izlenmesi son derece önemlidir.

Bu yazımızda ise Wazuh ile bunu nasıl algılayabiliriz bunu gerçekleştireceğiz.

Öncelikle Wazuh’a sysmonu entegre etmemiz gerekli daha önceki yazımdan link üzerinden ulaşabilirsiniz. Bu adımları izleyerek, Wazuh ile Sysmon günlüklerini entegre ederek SFX arşivlerinin hedef sistemlerdeki etkinliklerini izleyebilir ve tespit edebilirsiniz. Bu sayede potansiyel güvenlik ihlallerini daha iyi tespit edebilir ve gerektiğinde müdahale edebilirsiniz. Ardından SFX arşivleri kullanılarak gerçekleştirilen etkinlikleri tespit etmek için aşağıdaki kuralları /var/ossec/etc/rules/local_rules.xml Wazuh sunucusundaki dosyaya ekleyin yada wazuh arayüzünden Management/Rules altına gelin

Ve search yerine local_rules.xml dosyasını aratın Aşağıdaki kuralı yapıştırın

<group name=”sfx_archive”>

  <rule id=”100102″ level=”10″>

    <if_sid>61603</if_sid>

    <field name=”win.eventdata.CommandLine” type=”pcre2″>(?i)[C-Z]:.*.\\[7ZipRar_].*sfx.*\\*|.*\\7z.*</field>

    <description>SFX archive command, $(win.eventdata.CommandLine) invoked the application $(win.eventdata.OriginalFileName).</description>

    <mitre>

      <id>T1490</id>

    </mitre>

  </rule>

  <rule id=”100103″ level=”10″>

    <if_sid>61603</if_sid>

    <field name=”win.eventdata.CurrentDirectory” type=”pcre2″>(?i)[C-Z]:.*.\\[7ZipRar_].*sfx.*\\*|.*\\7z.*</field>

    <description>SFX archive command, $(win.eventdata.CommandLine) executed from $(win.eventdata.CurrentDirectory).</description>

    <mitre>

      <id>T1490</id>

    </mitre>

  </rule>

  <rule id=”100104″ level=”10″>

    <if_sid>61613</if_sid>

    <field name=”win.eventdata.targetFilename” type=”pcre2″>(?i)[C-Z]:.*.\\[7ZipRar_].*sfx.*\\*|.*\\7z.*</field>

    <description>The file $(win.eventdata.targetFilename) has been created by $(win.eventdata.image). SFX archive activity detected.</description>

    <mitre>

      <id>T1486</id>

    </mitre>

  </rule>

  <rule id=”100105″ level=”10″>

    <if_sid>92213</if_sid>

    <field name=”win.eventdata.targetFilename” type=”pcre2″>(?i)[C-Z]:.*.\\[7ZipRar_].*sfx.*\\*|.*\\7z.*</field>

    <description>The file $(win.eventdata.targetFilename) has been created by $(win.eventdata.image). SFX archive activity detected.</description>

    <mitre>

      <id>T1486</id>

    </mitre>

  </rule>

  <rule id=”100106″ level=”10″>

    <if_sid>61615</if_sid>

    <field name=”win.eventdata.eventType” type=”pcre2″ >^SetValue$</field>

    <field name=”win.eventdata.Image” type=”pcre2″>(?i)[C-Z]:.*.\\[7ZipRar].*sfx.*\\.*</field>

    <description>The image, $(win.eventdata.image) made a change to the registry at $(win.eventdata.targetObject). SFX archive activity.</description>  

    <mitre>

      <id>T1543</id>

    </mitre>

  </rule>

  <rule id=”100107″ level=”10″>

    <if_sid>61609</if_sid>

    <field name=”win.eventdata.ImageLoaded” type=”pcre2″>(?i)[C-Z]:.*.\\[7ZipRar].*sfx.*exe</field>

    <description>The image $(win.eventdata.image) loaded a file $(win.eventdata.imageLoaded). SFX archive activity detected.</description>

  </rule>

  <rule id=”100108″ level=”10″>

    <if_sid>61609</if_sid>

    <field name=”win.eventdata.Image” type=”pcre2″>(?i)[C-Z]:.*.\\[7ZipRar].*sfx.*exe</field>

    <description>The suspicious image, $(win.eventdata.image), loaded the executable $(win.eventdata.imageLoaded). SFX archive activity detected.</description>

  </rule>

</group>

Kural Kimliği 100102: Bir SFX arşivinin Windows uç noktasında komut satırı talimatlarını yürüttüğünü algılar.

Kural Kimliği 100103: Bir SFX arşivinin Windows uç noktasında çeşitli komutları çalıştırdığını algılar.

Kural Kimliği 100104: Bir SFX arşivinin Windows uç noktasında dosyalar oluşturduğunu algılar.

Kural Kimliği 100105: Bir SFX arşivinin Windows uç noktasında dosyalar oluşturduğunu algılar.

Kural Kimliği 100106: Bir SFX arşivinin Windows uç noktasındaki kayıt defteri ayarlarını değiştirdiğini algılar.

Kural Kimliği 100107ve Kural Kimliği , bir SFX arşivinin Windows uç noktasına 100108 bir görüntü dosyası yüklediğini algılar

Ardından değişikliklerin olması için PowerShell de “systemctl restart wazuh-manager” komutu ile wazuhu yeniden başlatın.

Şimdi ise Winrar ile SFX – EXE Dosyası Oluşturma işlemine geçelim.

Masaüstünüzde bir tane dosya oluşturup içine görsel vb. bir şey atabilirsiniz.

Ardından sağ tıklayıp arşive ekle diyoruz.

Ardından sfx arşiv oluştur dediğimiz zaman arşiv adı yazan yerde dosyamız. exe uzantısına dönüşüyor

Bu kısımda sadece exe. dosyası yaratmak açıldığında içindeki dosyanın olduğu yere çıkmasını istiyorsanız başka bir ayar yapmanıza gerek yoktur.

Ama biz gelişmiş seçeneğini seçip sfx seçneklerini seçiyoruz

Buradan da ayıklanacak yolu adlandırıp klasörün nerede oluşmasını isterseniz belirtebilirsiniz.

Deneme klasörü dedikten sonra şu anki klasörde oluştur seçeneğini seçiyorum ve işlemi tamamlıyorum.

Dosyam oluşturulmuş oluyor ardından dosyayı çalıştıyorum.

Ayıkla dedikten sonra da masaüstüne dosyamızın belirttiğimiz gibi oluştuğunu görmekteyiz.

Şimdi ise bu yapılan işlemlerin ardından wazuh ara yüzünde bize 100102 kural id’li event oluşturmasını göreceğiz. Diğerlerinin oluşmama sebebi sfx dosyası oluştururken herhangi bir arka planda kayıt defteri veya dosya oluşturulması vb. gibi bir sfx.exe uzantılı bir yürütülebilir dosya oluşturmadığımız içindir. Eğer siz sfx dosyasını cihazınızda değişiklikler yapması için oluşturursanız diğer kural id’leri de görmüş olacaksınız.

Özetle, Bu tür kendiliğinden açılabilen (SFX) arşivler kişisel kullanım için uygundur, ancak ağda dosya dağıtımı için güvenli değildir. Bilinmeyen kaynaklardan bu tür dosyaları indirmek önerilmez. Bu dosyaların yönetici hakları ile çalıştırılması, antivirüs programlarının SFX modülünü etkisiz hale getirebilir ve sisteminizin dosyalarına erişebilir. Zararsız görünen bir SFX dosyası bile, işlemi “aç ve ardından dosyaları sil” olarak tasarlanmışsa, kullanıcının tüm verilerini silmek için kötü amaçlı olarak kullanılabilir.

Umarım Wazuh ile SFX Arşivlerini İzleme ile ilgili bu yazımı faydalı bulmuşsunuzdur. Okuduğunuz için teşekkürler.  🙂