Category Archives: Adli Bilişim

citrix,

Hello to all of you. 🙂 Introduction: The recently discovered Citrix Bleed vulnerability (CVE-2023-4966) poses a serious threat to computer security. Stemming from a security flaw in Citrix products, this vulnerability has the potential to allow malicious actors to infiltrate systems and gain access to sensitive information. Vulnerability Description: Citrix Bleed points to a specific security vulnerability in Citrix products. This flaw, by permitting unauthorized access, enables attackers to breach systems and access user data. Exploiting this vulnerability, adversaries can infiltrate corporate networks and compromise confidential information. CVE-2023-4966 Details: The Citrix Bleed vulnerability is identified by the CVE-2023-4966 number. Originating from a code weakness in specific Citrix products, Citrix recommends users promptly address this issue by applying security patches. Affected Products/Versions: The Citrix Bleed vulnerability impacts specific Citrix products. The following versions of NetScaler ADC and Gateway devices are affected by this security flaw: NetScaler ADC and NetScaler Gateway 14.1-pre-14.1-8.50…

Read more

1,

Hepinize selamlar, ben Mehmet Kadir CIRIK. Microsoft, Ekim 2021’de Office kullanıcıları için XL4 ve VBA makroları varsayılan olarak engellemeye başlayacağını, sırasıyla Şubat 2022’de başlatacağını duyurmuştu. Bu değişiklikler 2022 yılında etkinleştirilmeye başlandı. 2022 Temmuz ayında VBA makro engelleme uygulamasıyla ilgili bazı karmaşa yaşandı, ancak Microsoft bunun devam edeceğini duyurdu. Tehdit aktörleri, bu değişikliklere tepki olarak makro temelli tehditlerden uzaklaşmaya başladı. Araştırmacılar bu açıklamadan sonra Ekim 2021‘den bu yana kadar olan kampanya verilerine göre, tehdit aktörleri, kötü amaçlı yazılımı iletmek için doğrudan mesajlara eklenen makro etkinleştirilmiş belgelerden uzaklaştı ve giderek daha fazla ISO ve RAR ekleri ile Windows Kısayolu (LNK) dosyaları kullandı. Bir çok rapordan çıkardığım sonuçlara göre tehdit araştırmacıları tarafından manuel olarak analiz edilen ve içerikleri bağlamsallaştırılan kampanya tehditlerinin analizine göre, tehdit aktörlerinin makro etkinleştirilmiş eklerini kullanma oranı oldukça azaldı. Tehdit aktörleri, kullanıcılar Office uygulamalarında makroları etkinleştirdiğinde kötü niyetli içeriği otomatik olarak çalıştırmak için VBA makrolarını kullanır. XL4 makroları Excel uygulamasına…

Read more

1,

Techniques and Tools for Detecting Malicious Activities Microsoft Outlook is a popular email client used by millions of people worldwide. However, it has also become a common target for attackers seeking to gain access to target systems and steal sensitive data. In this article, we will explore the various techniques and tools available for forensic investigators to analyze Outlook logs, identify malicious activities, and investigate related phishing attacks. Outlook forensic analysis tools are software programs used by forensic investigators to analyze Outlook logs and detect malicious activities. These tools can help investigators identify and investigate security breaches, phishing attacks, and other malicious activities related to the use of Microsoft Outlook. Some of the most commonly used Outlook forensic analysis tools include: Message Header Analyzer – a free online tool provided by Microsoft that can extract and display information from email headers, such as IP addresses and domain names. Outlook Rules…

Read more

This vulnerability causes command injection by mismanaging a $file =~ /\|$/ check in lib/Image/ExifTool.pm in ExifTool prior to 12.38. #!/usr/bin/python3 from pwn import * import base64 import sys class ExploitExiftools: def __init__(self,ip,port): self.ip = ip self.port = port self.p = log.progress(“”) def printBanner(self): print(“”” _____ __ __ ______ ___ ___ ___ ___ ___ ____ ___ ____ _____ / ____|\ \ / /| ____| |__ \ / _ \|__ \ |__ \ |__ \ |___ \ / _ \|___ \ | ____| | | \ \ / / | |__ ______ ) || | | | ) | ) |______ ) | __) || (_) | __) || |__ | | \ \/ / | __||______|/ / | | | | / / / /|______|/ / |__ < \__, ||__ < |___ \ | |____ \ / | |____ / /_ | |_| |/ /_ / /_ / /_ ___) |…

Read more

WMIC,

Hepinize selamlar, bu makalemde sizlere Olay Müdahale, Threat Hunting ve saldırıları tespit etme süreçlerinde önemli bir yeri olan WMI ve WMIC nedir, burada kullanılan komutlardan ve görevlerinden bahsedeceğim. Umarım faydalı olur, şimdiden iyi okumalar. 🙂 İlk olarak şu 2 önemli terimi açıklayalım; WMIC = Windows Management Instrumentation Command-line – Windows Yönetim Araçları Komut Satırı WMI = Windows Management Instrumentation (WMI) – Windows Yönetim Araçları Windows Yönetim Araçları Komut Satırı (WMIC) , kullanıcıların bir komut istemiyle Windows Yönetim Araçları (WMI) işlemlerini gerçekleştirmesine olanak tanıyan bir yazılım yardımcı programıdır. WMI Windows Yönetim Araçları (WMI), sistem yöneticilerine sistem izleme araçlarına erişim sağlayan bir PowerShell alt sistemidir. Bu sistem, hızlı ve verimli bir şekilde sistem yönetimine izin verecek şekilde tasarlanmıştır. Genel olarak yöneticiler sistemler üzerinde WMI’yı kullanarak şu işlemleri yaparlar. sistemleri yapılandırma, işlemleri veya komut dosyalarını yürütme, görevleri otomatikleştirme… Ancak normalde WMI bu işlemleri gerçekleştirmek için tasarlanmış olsa da, saldırganlar ve hacker grupları tarafından…

Read more

Hepinize selamlar, bu makalemde sizlere saldırganların hedef sistemlerde kalıcılık sağlamak için kullandıkları, MITRE ATT&CK matrisinde T1547.001 ATT&CK ID’sine karşılık gelen Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder tekniğini anlatmaya çalışacağım. Saldırganlar sistemlerde ilk erişimlerini sağladıktan sonra, sistemler üzerine erişimlerini devam ettirebilmek için kendilerini koruma altına almak isterler. Kısacası sistemler üzerinde kalıcılıklarını devam ettirmeyi amaçlarlar. Persistence (kalıcılık) Kalıcılık, saldırgan kişi ya da grupların hedef sistemlere initial access (ilk erişim) sağladıktan sonra erişimlerinin kesintiye uğramasını engellemek için kullandıkları yöntemler olarak adlandırılmaktadır. Hedef sistemlerde persistence(kalıcılık) sağlamak için kullanılan yöntemleri araştırdığınız zaman çok fazla teknik olduğunu göreceksiniz. Bunun için MITRE ATT&CK sayfasını ziyaret ederek detaylı araştırmalar yapabilirsiniz.   Registry Run Keys / Startup Folder Registry ve Startup Folder, saldırganlar tarafından kalıcılık sağlanmak için kullanılan eski ama en etkili yöntemlerden biridir. Run Key’lere yeni bir giriş eklemek veya Startup Folder içeriğine bir kısayol oluşturmak kullanıcı oturum açtığında kötü amaçlı kodlarımızı çalıştırmamız…

Read more

1,

Hello everyone, in this article I will give you information about the Task Scheduler, which was created to ensure persistence on Windows Systems. Let’s start. 🙂 Scheduled Tasks are available on all Windows operating systems. It is simple to use and most users are not aware of the existence of scheduled tasks. Therefore, it is a very good weapon for attackers. Most people working in this field do not know which applications are normal or abnormal when loading operating systems. Task Scheduled  Scheduled tasks keep a task or job running periodically. Or a command to be executed when certain events occur are program files. For example; “Run every time the computer boots up.” or “Run at 8:00 every Monday. Users such as system administrators use scheduled tasks to automatically create and run tasks. Ensuring persistence in the target system is the most important goal of the enemies. If the attackers…

Read more

Hepinize selamlar. 🙂 Bu makalemde sizlere Eric Conrad‘ın geliştirmiş olduğu DeepBlueCLI modülünü kullanarak Tehdit Avcılığı uygulaması yapacağım. DeepBlueCLI , Windows’ta (PowerShell modülü) veya  ELK’da (Elasticsearch) Windows olay günlüklerini otomatik olarak ayrıştırmak ve Windows Olay Günlükleri aracılığıyla Tehdit Avcılığı yapabilmek için kullanılan bir PowerShell modülüdür. İlk olarak sistemimizde terminal açarak başlıyoruz. Ardından DeepBlueCLI modülümüzün olduğu konuma gidiyoruz. C:\tools>cd \tools\DeepBlueCLI-master DeepBlueCLI bir Powershell modülüdür, bu nedenle ilk olarak bu modülü başlatmamız gerekiyor. Bunun için de aşağıdaki komutu kullanıyoruz. C:\tools\DeepBlueCLI-master>powershell Bu aracı, herhangi bir güvenlik duvarı ya da antivirüs engeli olmadan çalıştırmak için şu komutu çalıştırmamız gerekmektedir. Daha fazla bilgi için  Set-Execution Policy Readme  inceleyebilirsiniz. PS C:\tools\DeepBlueCLI-master> Set-ExecutionPolicy unrestricted Saldırganların ele geçirdikleri sistemlerde yaygın olarak kullandıkları yöntemlerden bir tanesi de sistemlere kullanıcı eklemektir.  Bu sayede sistemlere zararlı yazılımlarla sağlamayacakları bir kalıcılık sağlamaktadır. Şimdi yeni bir kullanıcı eklemek için .evtx dosyalarını bir kontrol edelim. C:\tools\DeepBlueCLI-master>.\DeepBlue.ps1 .\evtx\new-user-security.evtx   Çok az SIEM tarafından tespit edilen diğer…

Read more

13,

  Hepinize Selamlar. 🙂 Günümüzde genelleşmiş siber güvenlik çözümlerinin kullanıldığı yapılarda siber güvenlik amacı ile alarm değerlendirme sistemleri bulunmaktadır. Merkezi olarak log toplayan ve korelasyon işlemleri için SIEM (Security Information and Event Management), ağ güvenliği için IDS/IPS (Intrusion Detection System) ve bunlar dışında kullanılan bir çok siber güvenlik ürünü yer almaktadır. Bu ürünlerle birlikte spesifik olarak karşılaşılan durumlar tespit edilebilmekte ve önlem alınabilmektedir. Bu şekilde sistem güvenliğini arttırmak mümkün olmaktadır. Ancak gün geçtikçe siber tehditler de artarak devam etmektedir. Son yıllarda kurumların daha hassas verilerini elde etmek ve itibar kaybetmesine neden  olan daha gelişmiş ve kalıcılık amaçlanarak yapılan saldırılar yapılmaktadır. Bu saldırıların büyük kısmı otomatize araçlar kullanılarak yapılan risk seviyesi yüksek saldırılardır. Saldırganların yapacakları ya da yaptıkları bu gelişmiş saldırıları tespit etme noktasında Threat Hunting yani Tehdit Avcılığı çok önemli bir görev üstlenmektedir. M-Trends 2015 raporunda bir saldırganın sisteme sızdıktan sonra keşfedilme süresi ortalama 146 gün olarak belirtilmişken 2016 yılında bu…

Read more

6,

Hepinize Selamlar. 🙂 Bu makalemde sizlere Siber Tehdit İstihbaratı için MITRE ATT&CK matrisinden nasıl yararlanılır konusundan bahsedeceğim. Son yıllarda güvenlik uzmanları siber tehditleri tahmin etmenin ve önlem almanın yollarını aramaktadırlar. Böyle durumlar tehdit istihbaratı kaynaklarının ve ihtiyacının ne kadar önemli olduğunu vurgulamaktadır. Bu nedenle, güvenlik ekipleri, kuruluşlarının karşı karşıya olduğu riskleri analiz etmelerine ve azaltmalarına yardımcı olabilecek stratejilere veya çerçevelere ihtiyaç duymaktadırlar. Mitre ATT&CK Matrisini Anlamak ATT&CK Framework, siber alanda saldırganların sistemlere yapabileceği eylemleri gösteren teknik, taktik ve prosedürleri gösteren bir bilgi tabanıdır.  Mitre ATT&CK (Adversarial Tacticks, Techniques and Common Knowledge) 2013 yılından itibaren Mitre firması tarafından geliştirilmektedir.  Bu bilgi tabanı saldırganların davranışlarını sistematik olarak kategorize etme ihtiyacı amacıyla gerçek dünyada meydana gelen ataklar gözlemlenerek oluşturulmuştur. Bu bilgi tabanı sayesinde siber saldırganların bir sonraki hamleleri tahmin edilebilmektedir. Bu matriste saldırganların yapabilecekleri eylemleri gösteren, sistemlere nasıl eriştikleri, sistemlere nasıl sızdıkları, bu işlemleri nasıl yaptıkları, bu işlemleri gerçekleştirirken izledikleri yollar ve kullandıkları…

Read more

10/50