Cumartesi, Ocak 25, 2025
Ana SayfaYazılarSiber GüvenlikÜcretsiz ve Açık Kaynak Threat Hunting Araçları

Ücretsiz ve Açık Kaynak Threat Hunting Araçları

Geleneksel güvenlik yaklaşımları, genellikle tehditler ortaya çıktıktan sonra araştırma yapma eğilimindedir. Ancak tehdit takibi stratejisi, proaktif bir yaklaşım benimseyerek şu adımları içerir:

  1. Ağları Detaylı İnceleme: Geleneksel savunma yöntemlerinin aksine, tehdit takibi ağlarda önceden belirlenmiş zayıf noktaları araştırma sürecini içerir. Bu, saldırıları engelleme ve 0. aşamada müdahale etme amacını taşır.
  2. Tehditleri Tespit ve İzolasyon: Tehdit takibi stratejisi, ağ üzerinde potansiyel tehditleri tespit etme ve bu tehditleri izole etme süreçlerini içerir. Bu, saldırıları sınırlı tutma ve yayılmasını engelleme amacını güder.
  3. Erken Müdahale: Geleneksel uyarı sistemleri genellikle tehditler gerçekleştikten sonra devreye girerken, tehdit takibi stratejisi, saldırıları engellemek ve yayılmasını durdurmak için hızlı bir erken müdahaleyi hedefler.

Tehdit avcıları, genellikle üç farklı hipotezi değerlendirir:

  1. Analitik Odaklı: Kullanıcı ve varlık davranış analitiği (UEBA) ve makine öğrenmesi gibi teknolojileri kullanarak risk skorları oluşturarak ve teoriler geliştirerek analitik bir yaklaşım benimserler.
  2. İstihbarat Odaklı: Tehdit istihbarat raporları, kötü amaçlı yazılım analizi ve vulnerability taramaları gibi kaynakları kullanarak bilgi toplayan ve bu bilgileri değerlendiren bir strateji izlerler.
  3. Durumsal Farkındalık Odaklı: Şirket veya bireyin kurumsal risk değerlendirmelerine dayanarak, mevcut ve gelecekteki tehditlere karşı durumsal farkındalık geliştirirler.

Tabiki Threat Hunting’de asla bir araca bağlı kalmak,bir toola bağlı kalmak savunulamaz.Bu süreçte, çeşitli araçlar ve yöntemler kullanılır.

Oyüzden, bir tehdit takibi aracı seçerken şu özelliklere dikkat etmek önemlidir:

  • Event bilgilerini tehdit avcılarına sağlayan bir veri toplama servisi olması.
  • Event kayıtlarını birleştirmek ve standartlaştırmak için veri formatını düzenleyen bir özellik.
  • Satın almadan önce test etme imkanı.
  • Tehdit tespitini yöneten bir güvenlik politikası.
  • Manuel analiz seçenekleri.
  • Otomatik reponse ayarları.
  • Ücretsiz ve Açık Kaynak Tehdit Avı Araçları: 10 Öneri

1- APT-Hunter

Ahmed Khlief tarafından geliştirilen APT-Hunter, Windows event loglarındaki şüpheli faaliyetleri tespit edebilen ve APT (Advanced Persistent Threat) hareketlerini izleyebilen bir tehdit avcı aracıdır. Bu araç, tehdit avcıları, olay yanıt uzmanları ve adli inceleme uzmanları için son derece faydalıdır. APT-Hunter’ın varsayılan kuralları, Mitre ATT&CK taktik ve tekniklerini Windows olay günlüğü etkinlik kimlikleriyle eşleştirir ve APT tekniklerini içeren saldırı belirleyicilerini algılar.

Ücretsiz ve açık kaynaklı olan APT-Hunter, sistemde daha önce keşfedilmiş APT saldırılarına dayanarak bu tür hareketleri tanımlayabilir. Daha hızlı saldırı tespiti, tepki süresini kısaltarak saldırıları hızla kontrol altına almayı ve ortadan kaldırmayı mümkün kılar. Bu araç, milyonlarca olay arasında sadece önemli olanları filtreleyerek kullanıcıların verilere daha etkili bir şekilde erişmelerine yardımcı olur.

Araç hakkında ve nasıl kullanıldıgıyla ilgili detaylara bakmak için burayı ziyaret edebilrisiniz:

https://github.com/ahmedkhlief/APT-Hunter

2- BotScout

BotScout, otomatik web scriptlerini, yani “bot”ları, web sitelerinde form doldurma, spam gönderme ve forumlara kayıt olma gibi eylemlerden koruyan bir tehdit avı aracıdır.

Bu görevi, botların adlarını, IP adreslerini ve e-posta adreslerini takip ederek gerçekleştirir ve bunları gelecekteki kullanımlar için benzersiz imzalar olarak depolar. BotScout tarafından sağlanan imza verilerini, web sitenizde gönderilen formları değerlendirmek için kullanabilirsiniz.

Ayrıca, forumlardaki botları manuel olarak aramaya ek olarak, kullanıcılar iletişim formları veya diğer web uygulamalarını kullanarak botları test edebilir ve bunları derhal reddedip yasaklayabilirler. Günlük 1000’den fazla otomatik sorgulama ihtiyacı olan kullanıcılar ücretsiz bir API anahtarı alabilirler. Ayrıca, tanınmış forumlar için anti-bot eklentileri de mevcuttur.

Oracle Corporation, Deutsche Bank, Banco di Napoli, Washington Üniversitesi, Milano Üniversitesi gibi dünya genelinde birçok şirket ve üniversite tarafından kullanılan bu araç, botları tanımlamak ve kaldırmak için etkili bir çözüm sunmaktadır. BotScout API, birçok kuruluşun çevrimiçi varlıklarını güvende tutmak için tercih ettiği basit ve güçlü bir araçtır.

Bu aracı kullanarak, dünya genelinde Oracle Corporation, Deutsche Bank, Banco di Napoli, Washington Üniversitesi, Milano Üniversitesi ve diğerleri tarafından kullanılan kişiler, işletmeler ve üniversiteler tarafından oluşturulan botları tanımlayabilir ve kaldırabilirsiniz.

https://botscout.com/

3- CrowdFMS

CrowdFMS,telif hakkı CrowdStrike’a ait olan phishing e-postaları hakkında bilgi yayınlayan bir web sitesinden örnekleri otomatik olarak toplayan ve işleyen bir uygulamadır. Bir phishing e-postası networke ulaştığında, kullanıcının YARA bildirim beslemesinde bir uyarı tetiklenir.

Peki Yara kısaca nedir?

YARA, kötü amaçlı yazılımları (malware) ve diğer zararlı yazılımları tanımlamak için kullanılan bir açık kaynaklı bir tehdit avı ve analiz aracıdır. YARA, özellikle güvenlik uzmanları ve tehdit avcıları tarafından kullanılan kural tabanlı bir motor içerir. Bu motor, belirli davranışları, özellikleri veya desenleri tespit etmek için kullanıcı tarafından tanımlanan kuralları uygular.

Kullanıcılar, YARA kullanarak belirli kötü amaçlı yazılımları veya tehditleri tanımlamak için kendi kurallarını oluşturabilirler. Bu kurallar, dosya adları, dosya boyutları, belirli metin dizileri, yapısal özellikler ve diğer belirleyici özellikleri içerebilir. YARA’nın esnek yapısı, çeşitli kötü amaçlı yazılım türlerini ve tehditleri tanımlamak için kullanılmasını sağlar.

Private API mimarisini kullanarak, CrowdFMS, VirusTotal’den örnekleri otomatik olarak toplamak ve işlemek için bir çerçeve sunar. Çerçeve, son örnekleri indirdiğinde kullanıcının YARA bildirim beslemesine proaktif bir şekilde uyarı gönderir. Ayrıca, kullanıcılar YARA kimlikleri üzerinden bu örnekleri çalıştırmak için belirli bir komut belirleyebilirler. CrowdFMS, VirusTotal’in örnek verileriyle sorunsuz entegrasyon sağlayarak phishing tehditlerini zamanında tanımlama ve yanıtlama konusunda güçlü bir çözüm sunar.

https://github.com/CrowdStrike/CrowdFMS

4- Phishing Catcher

Bu araç, Certificate Transparency Log’a (CTL) gönderilen şüpheli TLS sertifika verme işlemlerini kontrol ederek potansiyel phishing alanlarını keşfetmenizi sağlar. En önemli avantajı neredeyse gerçek zamanlı çalışmasıdır. Python dilinde yazılmış olup Yaml konfigürasyonu kullanması, kullanımını oldukça kolaylaştırır.

GitHub’a göre, Phishing Catcher, bir TLS sertifikasının genel adında veya SAN alanında bulunan dize örnekleri için sayısal bir skor atamak için Yaml konfigürasyon dosyası kullanır. Eğer fazla konfigürasyonla uğraşmak istemiyorsanız ve hemen faydalanmak istiyorsanız, varsayılan konfigürasyonu indirip çalıştırabilirsiniz.(Subject Alternative Name” (SAN), bir TLS/SSL sertifikasının bir uzantısıdır ve bu uzantı, sertifika üzerinde birden fazla alan adını veya IP adresini destekleme yeteneği sağlar. Yani, bir sertifika üzerinde bulunan SAN alanı, sadece bir tek alan adına veya IP adresine bağlı olmayabilir, birden çok farklı alan adını veya IP adresini kapsayabilir.)

Ancak, güvenlik açısından en iyisi varsayılan konfigürasyonu şirketinizin ihtiyaçlarına göre ayarlamaktır. macOS veya başka bir işletim sistemi için kurulum zor olabilir. Bu durumda, aracı dockerize etmeyi düşünmelisiniz.

https://github.com/x0rz/phishing_catcher

5- Machinae

Machinae, IOC’ler hakkında hashler, URL’ler, IP’ler ve e-postalar gibi temel bilgileri toplamak için kullanılan bir python aracıdır.İstihbarat toplamak için daha çok public siteleri kullanır. Çalıştırıldıktan sonra Machinae, bu kaynaklardan topladığı tüm OSINT verilerini içeren bir liste oluşturuyor.

https://github.com/HurricaneLabs/machinae?tab=readme-ov-file#machinae-security-intelligence-collector

6-Automater

TekDefense’in bir tehdit avı aracı olan Automater, simplify intrusion analizini basitleştirmek için URL’leri, hashleri analiz eder. Automater kullanarak bir hedef seçebilir ve bu hedefle ilgili bilgileri bilinen kaynaklardan toplayabilirsiniz.

Bu uygulamanın arayüzü yeni başlayanlar için bile oldukça kullanıcı dostudur ve onu kullanmak için Python kodunu değiştirmek gerekli değildir. Ayrıca hangi kaynakların kontrol edileceğini ve bu kaynaklardan hangi bilgilerin alınacağını da seçebilirsiniz.

Automater kullanarak IP adresleri, MD5 hashleri ve domainler üzerinde arama yapabilirsiniz. Automater aracının işlettiği güvenilir web sitelerinden bazıları Unshorten.me, Urlvoid.com, IPvoid.com, Robtex.com, Fortiguard.com, Labs.alienvault.com, ThreatExpert, VxVault ve VirusTotal’dir. Automater, GitHub platformunda sunulan, ücretsiz, açık kaynaklı ve GitHub üzerinden erişilebilen bir Python tabanlı araçtır.

https://github.com/1aN0rmus/TekDefense-Automater

7- Maltego CE

Maltego CE (Community Edition), Maltego’nun ücretsiz ve topluluk tarafından kullanılan sürümüdür. Maltego, bir veri keşif ve link analizi aracıdır ve birçok farklı kaynaktan veri toplamak, bu verileri analiz etmek ve görselleştirmek için kullanılır.

Maltego CE, kullanıcıların farklı veri kaynakları arasında bağlantıları görselleştirmelerine olanak tanır. Kullanıcılar, bir hedef varlık (örneğin bir IP adresi, e-posta adresi veya alan adı) etrafında dönen çeşitli ilişkili verileri inceleyebilir. Bu, sosyal medya profilleri, DNS kayıtları, WHOIS bilgileri, bağlantılı web siteleri ve daha fazlasını içerebilir.

https://www.maltego.com/blog/beginners-guide-to-maltego-setting-up-maltego-community-edition-ce/

8-Attacker KB

Bir rapid7 projesidir. “Attacker KB” (Attacker Knowledge Base), siber güvenlik uzmanları ve tehdit avcıları için bilgi kaynağı sağlayan bir platformdur. Bu platform, siber saldırıları anlamak, tehditleri değerlendirmek ve savunma stratejilerini geliştirmek isteyen profesyoneller için tasarlanmıştır.

Attacker KB, güvenlik araştırmacıları tarafından keşfedilen saldırı teknikleri, kötü niyetli yazılımlar, vulnerabilityler ve saldırı senaryoları gibi bilgileri içerir. Bu bilgiler, güvenlik uzmanlarının saldırıları daha iyi anlamalarına ve karşı tedbirler geliştirmelerine yardımcı olabilir.

Platformun temel özellikleri arasında:

  1. Saldırı Teknikleri ve Senaryoları: Gerçekleştirilen saldırılarla ilgili detaylı bilgiler içerir.
  2. Vulnerabilityler ve Zarodayler: Keşfedilen güvenlik açıkları ve bunlarla ilgili detaylar.
  3. Kötü Niyetli Yazılımlar: Analiz edilmiş kötü niyetli yazılımların özellikleri ve davranışları.
  4. Güvenlik Araçları: Kullanılan güvenlik araçları ve bunların detaylı açıklamaları.

Attacker KB, siber güvenlik topluluğuna bilgi paylaşımını teşvik etmeyi amaçlayan bir kaynaktır ve güvenlik uzmanlarının birbirleriyle deneyim ve bilgi paylaşmalarını sağlamak için tasarlanmıştır.

https://attackerkb.com/

9-DeepBlue CLI

“DeepBlue CLI” (Command Line Interface), Windows event loglarını Linux/Unix sistemlerinde çalışan ELK (Elasticsearch, Logstash ve Kibana) veya Windows (PowerShell sürümü) (Python sürümü) üzerinde otomatik olarak analiz eden açık kaynaklı bir araçtır. Eric Conrad tarafından oluşturulan bu araç, GitHub üzerinde mevcuttur.

DeepBlue CLI, Windows Security, System, Application, PowerShell ve Sysmon loglarında bulunan belirli olayları hızlı bir şekilde tespit etmeye olanak tanır. Ayrıca, kaydedilmiş veya arşivlenmiş EVTX dosyaları ile çalışırken de etkilidir. Aktif olay günlüğü hizmetini sorgulamak biraz daha uzun sürebilir, ancak yine de etkilidir.( EVTX dosyaları, Microsoft Windows işletim sistemi tarafından oluşturulan ve Windows event loglarını içeren özel bir dosya türüdür. “EVTX” terimi, “Event XML” kısaltmasından türetilmiştir. Bu dosyalar, sistemde gerçekleşen çeşitli olayları ve aktiviteleri kaydeden Windows olay günlüğü servisi tarafından oluşturulur. Windows işletim sistemi, kullanıcılarının ve sistem bileşenlerinin etkileşimleri, hatalar, güvenlik ihlalleri, uygulama olayları ve diğer çeşitli bilgiler gibi bir dizi olayı kaydedebilir. Bu olaylar, güvenlik analizi, hata ayıklama ve sistem izleme gibi amaçlarla incelenebilir.

EVTX dosyaları genellikle XML tabanlı bir formatta depolanır ve bu dosyalar, event loglarını düzenlemek, analiz etmek ve raporlamak için kullanılan araçlar tarafından okunabilir. Özellikle siber güvenlik uzmanları, event logları üzerinde analiz yaparak potansiyel tehditleri tespit etmeye çalışır ve bu dosyaların içeriğini inceleyerek güvenlik olaylarına dair bilgiler elde edebilirler.)

Bu araç, Windows event loglarını otomatik olarak analiz etme yeteneği ile bilinir ve bu sayede siber güvenlik uzmanlarına ve analistlere hızlı bir şekilde belirli olayları tespit etme imkanı sunar.

https://github.com/sans-blue-team/DeepBlueCLI

10-YETI

YETI, “Trusted Automated eXchange of Indicator Information” bir açık kaynaklı bir tehdit istihbaratı platformudur. YETI’nin amacı, güvenlik topluluğu arasında tehdit bilgilerini paylaşmayı ve işbirliği yapmayı kolaylaştırmaktır.

YETI, güvenlik endüstrisindeki farklı organizasyonlar arasında güvenilir bir şekilde tehdit bilgilerini değiştirmek için tasarlanmış bir altyapı sunar. Bu platform, çeşitli güvenlik verilerini (indikatörler, IOC’ler – Indicator of Compromise, tehdit istihbaratı vb.) depolamak, paylaşmak ve analiz etmek için kullanılır. Ayrıca, güvenlik araştırmacıları ve analistleri arasında işbirliğini artırmak ve tehditlere karşı daha hızlı ve etkili bir yanıt vermeyi amaçlar.

https://github.com/TAXIIProject/yeti

Referanslar:

  • https://www.sangfor.com/blog/cybersecurity/best-open-source-threat-hunting-tools
  • https://inquest.net/blog/retrohunting-with-inquest/
  • https://www.comparitech.com/net-admin/best-threat-hunting-tools/
  • https://infrasos.com/top-10-best-threat-hunting-tools-in-cyber-security/
İLGİLİ PAYLAŞIMLAR

En Popüler Yazılar

Son Gönderiler