Bu çalışmada Wazuh ve Apache kullanarak bir web güvenliği laboratuvarı kurdum. SQL Injection, XSS ve port tarama gibi web saldırılarını simüle ederek oluşan logları analiz ettim ve Wazuh üzerinde zararlı aktiviteleri inceledim.

Ubuntu Server

Apache ve Wazuh'u kolay ve stabil bir şekilde kurmak için Ubuntu'yu tercih ettim.

-GUI yok -Daha az RAM kullanır -Daha hızlı çalışır

https://ubuntu.com/download/server/thank-you?version=24.04.4&architecture=amd64&lts=true

None
None
Makineyi başlatıp kurulum aşamasına geçtikten sonra hiçbir şeyi değiştirmeden "Continue" seçeneğine tıklayarak ilerliyoruz.
None
Kullanıcı oluşturuyoruz. Şifreyi basit tutun ben "1234" yaptım.
None
SSH bağlantısı yapabilmek için işaretliyoruz çünkü ileride lazım olacak.

Ardından sırasıyla reboot now → Enter diyerek ilerliyoruz.

None
Kurulum tamamlandı. Belirlediğimiz kullanıcı bilgileriyle giriş yapıyoruz.

Mobaxterm

Bu aşamadan sonra Mobaxterm kullanmak bizim için daha rahat olacak. Bunun için VM makinede birkaç ayar yapmamız gerekiyor.

None
Sanal makineye dışarıdan SSH ile bağlanabilmek için port yönlendirme yapıyoruz.
None
Tarayıcıdan web sitesine erişebilmek için HTTP portu için bir kural daha ekledik.
None

Bağlanıyoruz. Güncelleme yaptıktan sonra Apache kuruyoruz, çalışıyor mu diye kontrol ediyoruz.

sudo apt update
sudo apt install apache2 -y
sudo systemctl status apache2

Sistem tarafından otomatik olarak tanımlanan 127.0.0.1 IP adresine, belirlediğimiz port üzerinden erişim sağlıyoruz.

http://127.0.0.1:8080

None

Ve başarılı bir şekilde eriştik.

Wazuh kurulum

Bunun için ikinci bir VM kuruyorum. Wazuh 24.04'ü desteklemediği için bu makineye 22.04 indiriyorum.

https://ftp.belnet.be/ubuntu-releases/22.04

None
İlk kurulumdaki adımları izliyoruz.
None
Kurulum tamamlandıktan sonra SSH bağlantısı için ayarları bu makine için de tekrar yapıyoruz.(Port çakışması olmaması için farklı portlar kullandım)
None

Bağlandıktan sonra Wazuh kurulum scriptini indiriyoruz.

curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh

Ve çalıştırıyoruz.

sudo bash wazuh-install.sh -a

Kurulum tamamlandıktan sonra aşağıdaki bilgileri veriyor. Bu bilgiler ile Wazuh arayüzüne giriş yapabiliriz.

User: admin Password: xxxxx URL: https://IP

None

VM NAT modunda olduğu için paneli hosttan açabilmek adına 443 portu için de yeni bir kural ekliyoruz.

None

Ardından tarayıcıya adresini giriyoruz.

https://127.0.0.1:4443

None

Başarılı bir şekilde eriştikten sonra bize verilen kullanıcı bilgileriyle giriş yapıyoruz.

Agent Ekleme:

None
LINUX DEB amd64 → Server address 10.0.2.15 → apacheserver → komutları alıyoruz
None
Bu komutu apache olan makinemizde çalıştırıyoruz
None
Agent oluştu fakat aktif değil

Bu aşamada, her iki makinenin birbirini görmesi için küçük bir ayar yapıyoruz. VM makineleri kapatıyoruz ve aşağıdaki ayarı yapıyoruz.

İlk olarak, sanal makinelerin birbiriyle iletişim kurabilmesi için ağ ayarı yapılması gerekiyor. Bunun için her iki VM'i kapatıp ağ ayarlarına ek olarak "Yalnızca-Anamakine Bağdaştırıcısı" tanımlıyoruz.

None

Kısaca:

Bağdaştırıcı 1 Tür: NAT Amaç: SSH + internet Bağdaştırcı 2 Tür: Host-Only (Yalnızca AnaM.B.) Amaç: VM ↔ VM

Apache yüklü VM makinesinin IP adresi değişmediği için agent aktif olmadı. Bu yüzden aşağıdaki komut ile conf dosyasını açarak manuel olarak düzenledim.

sudo nano /var/ossec/etc/ossec.conf
None
None

Ve artık agent başarıyla aktif durumda.

Saldırı simülasyonu ve Wazuh üzerinde tespiti:

Saldırı komutlarını Apache kurulu olan VM makinemizde çalıştırıyoruz.

SQL Injection:

SQL Injection, uygulamanın veritabanına gönderdiği sorgulara zararlı SQL kodları eklenerek yetkisiz veri erişimi veya manipülasyonu yapılmasını sağlayan bir saldırı türüdür.

curl "http://localhost/?id=' OR 1=1--"

XSS:

Web uygulamalarına zararlı JavaScript kodları enjekte edilerek kullanıcıların tarayıcısında çalıştırılmasını sağlayan bir saldırı türüdür.

curl "http://localhost/index.php?id=<script>alert(1)</script>"
None

Burada XSS ve SQL Injection saldırılarını görüyoruz. Ayrıca root kullanıcısıyla oturum açıldığına dair bir uyarı da mevcut.

XSS saldırı logunu incelediğimizde aşağıdaki bilgilere ulaşıyoruz:

None
Wazuh Apache access log üzerinden gelen HTTP isteğini analiz ederek XSS saldırı girişimini tespit etmiş ve saldırıyı MITRE ATT&CK (T1059.007) ile eşleştirmiş.

Saldırının amacına dair daha detaylı bilgiye aşağıdaki linkten ulaşabilirsiniz.

https://attack.mitre.org/techniques/T1059/007/

Port Scanning:

Açık portları ve çalışan servisleri keşfederek olası güvenlik açıklarını belirleyen ve sonraki saldırılar için zemin hazırlayan bir saldırı türüdür.

Bu şekilde Apache kurulu VM makineden saldırı denemeleri yapabilirsiniz.

nmap -sS 192.168.56.101
nmap -Pn -sS -T5 192.168.56.101
 Ya da Zenmap aracılığıyla.

Ya da Zenmap aracılığıyla.

https://nmap.org/zenmap/

None
None

Gerçekleştirilen port taramaları sonucunda kısa zaman diliminde yüksek hacimli trafik oluşmuş ve bu durum Wazuh tarafından attack kategorisinde yoğun log ve alert üretimi olarak gözlemlenmiştir.

Sonuç:

-Wazuh SIEM kurulumu gerçekleştirildi -Ubuntu tabanlı sanal makineler ile bir lab ortamı oluşturuldu -Apache web sunucusu kurularak log üretimi sağlandı -Apache sunucusu Wazuh'a agent olarak bağlandı -NAT ve Host-Only ağ yapılandırması gerçekleştirildi -SSH ve HTTP erişimi için port yönlendirme ayarları yapıldı -Agent bağlantı problemleri tespit edilip çözüldü -SQL Injection ve XSS saldırıları simüle edildi -Nmap ile port tarama gerçekleştirildi -Oluşan loglar Wazuh üzerinden analiz edildi -Wazuh alertleri incelenerek saldırı türleri yorumlandı -MITRE ATT&CK eşleştirmeleri üzerinden saldırı teknikleri gözlemlendi

Referanslar:

Wazuh - Open Source XDR. Open Source SIEM.

Wazuh is a free and open source security platform that unifies XDR and SIEM protection for endpoints and cloud…

wazuh.com

Get Ubuntu | Download | Ubuntu

Download Ubuntu desktop, Ubuntu Server, Ubuntu for Raspberry Pi and IoT devices, Ubuntu Core, and all the Ubuntu…

ubuntu.com

MITRE ATT&CK®

MITRE ATT&CK ® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world…

mitre.org

Zenmap - Official cross-platform Nmap Security Scanner GUI

Zenmap is the official cross-platform GUI for the Nmap Security Scanner. It is free and runs on Linux, Windows, Mac OS…

nmap.org