PowerShell Artifact Analizi
Hepinize selamlar. 🙂 Bu makalemde sizlere Incident Response süreçlerinde analiz edilmesi gereken en önemli kısımlardan birine değineceğim. Powershell kullanılarak yazılan komutları bu aşamada tespit etmek büyük bir önem arz etmektedir. Bunun sonucunda ise eğer sistemler üzerinde zararlı bir PowerShell komutu çalışmış ise bu sayede tespit edilerek gerekli önlemler rahatlıkla alınabilmektedir. Saldırganlar Neden Powershell Kullanır ? Saldırganların PowerShell kullanarak atak yapmalarının bir çok nedeni bulunmaktadır. Bunlardan bazıları şunlardır; Sistemler üzerinde iz bırakmadan sistemleri uzaktan kontrol edebilirler. Klasik güvenlik ürünleri tarafından tespit edilmesi zordur. Burada kullanılan betiklerin karmaşık hale getirilmesi daha kolaydır. Kullanımı ve öğrenimi kolaydır. Saldırganlar PowerShell kullanarak sistemler üzerinde hak yükseltebilirler. Sistem üzerinde yer alan verileri çalabilir ya da bozabilirler. Powershell üzerinden sistemlerde kalıcılık sağlayabilirler. Geçmiş PowerShell Kayıtları Tespiti Bu senaryoda sırası ile; Geçmiş PowerShell komutlarının tutulduğu konuma gideceğiz. Burada yer alan geçmişte kullanılan komutları inceleyeceğiz. Ardından PowerShell üzerinde kendimiz birkaç komut çalıştıracağız. Son olarak kendi çalıştırmış olduğumuz komutların görüntülenmesini…
Incident Response Sürecinde Bilinmesi Gereken Windows Komutları
Hepinize selamlar, Bu makalemde sizlere Windows sistemlerde inceleme yaparken bilinmesi gereken komutlardan bahsedeceğim. Burada bahsedeceğim komutlar olay müdahalesi yapan analistin bilmesi gereken temel komutlardır. Makalede sırası ile şu konulara değineceğim. Kullanıcı hesapları, Processler, Servisler, Görev Zamanlayıcısı, Çalıştırmak, Registy Girişleri, Aktif TCP ve UDP bağlantı noktaları, Dosya Paylaşımları, Dosyalar, Güvenlik Duvarı Ayarları, Açık Oturumlar, Log Girişleri Kullanıcı Girişleri Incident Response sürecinde kullanıcı etkinliklerini araştırmak çok önemlidir. Herhangi bir şüpheli kullanıcı hesabı olup olmadığını veya bir kullanıcıya herhangi bir kısıtlama işlemi yapılım yapılmadığını bulmak amacıyla kullanılır. Aynı zamanda kullanıcı hesabını kontrol ederek, hangi kullanıcının şu anda oturum açtığını ve ne tür bir kullanıcı hesabına sahip olduğu buradan görüntülenebilmektedir. Kullanıcı hesapları şu şekilde görüntülenmektedir: GUI ekranında kullanıcı hesaplarını görüntülemek için “Win+R” tuşlarına basıyoruz ve aşağıdaki komutu yazıyoruz. lusrmgr.msc Sistem üzerinde kullanıcı hesaplarını ve bu hesapların ne tür hesaplar olduğunu görüntülemek için, komut istemini açıyoruz ve şu komutu yazıyoruz. net user Sistem üzerinde yerel…
“LOKI” ile Incident Response Süreçlerinde IOC Tespiti
Hepinize selamlar, Bu makalemde Open Source bir ürün olan IOC tarama toolu LOKI‘den ve kullanım amaçlarından bahsedeceğim. Umarım faydalı olur, şimdiden iyi okumalar. Tehdit istihbaratı ve olay müdahalesi süreçlerinde saldırganlar tarafından kullanılan araçların veya uygulamaların hash değerlerinin, domain adlarının, IP bilgilerinin kısacası ağ üzerindeki bıraktıkları izlerin takip edilmesi oldukça önemlidir. Gelişmiş saldırı tehditlerinin(APT), TTP (Tactics, Techniques and Procedures) kısmında işler oldukça zorlaşmaktadır. Saldırganların savunan kişiler tarafından tespit edilmek istememesinden dolayı işleri çok daha fazla karmaşıklaştırmaları ve zorlaştırmaları gerekmektedir. Bunun sonucunda ise savunma yapan kişilerin de bunları tespit etmesi oldukça zorlaşmaktadır. Sonuç olarak savunma yapan kişilerin, saldırı yapan kişilerden gerisinde kalması olasıdır. Bu durumda savunan kişilerin saldırganların kullandığı araçlar, yazılımlar ve dosyaların tespiti önem arz etmektedir. Yara kuralları ile belirli zararlı yazılımların tespit edilmesi mümkündür. İşte tam da bu noktada devreye makalemizin konusu olan LOKI aracı girmektedir. LOKI LOKI, ücretsiz ve basit bir IOC tarama aracıdır. Tam donanımlı bir APT tarayıcı…
Incident Response Sürecinde Bilinmesi Gereken Linux Komutları
Hepinize selamlar. 🙂 Bu makalemde sizlere Linux sistemler üzerinde olay müdahale süreçleri sırasında bilinmesi gereken aşağıdaki komutlardan bahsedeceğim; user account komutları, log girdi komutları, sistem kaynakları, servisler, processler, network ayarları komutları Ve olay müdahalesi sırasında bu konumlarda yer alan anormal durumların nasıl tespit edileceği konularına değineceğiz. Sistemler üzerinde herhangi bir saldırıyı tespit edebilmek, Incident Response açısından çok önemli bir adımdır. Incident Response adımları çok geniştir. Bu nedenle küçük adımlarla başlamak daha iyidir. Olay müdahalesi gerçekleştirirken her zaman saldırganların ihlal edebileceğini düşündüğünüz alanlara odaklanmamız gerekmektedir. Bu şekilde olay müdahalesi sırasında saldırıları tespit etmek oldukça kolaylaşmaktadır. Ben de bu makalemde Linux Sistemlerde temel olarak olay müdahalesinin nasıl gerçekleştirildiği konusuna odaklanacağım. Şimdiden iyi okumalar. Olay Müdahalesi Nedir? Olay müdahalesi, bir bilgisayar veya ağ güvenliği olayları meydana geldiğinde öncesinde ya da anında gerçekleştirilen eylem planı olarak tanımlanmaktadır. Bu nedenle olay müdahalesi yapacak kişilerin sistemler üzerinde gerçekleştirilen normal durumları bilmesi çok önemlidir. Normal durumları bilmesi…
WAZUH – Host Tabanlı Saldırı Tespit Sistemi(HIDS)
Hepinize merhabalar, yeni makalemde sizlere Host tabanlı bir saldırı tespit sistemi olan Wazuhtan bahsettim. Umarım faydalı olur. 🙂 Wazuh Nedir? Wazuh açık kaynaklı bir Host Detection System (HIDS) sistemidir. Wazuh, tehdit algılama, bütünlük izleme, olay yanıtı ve uyumluluk için ücretsiz, açık kaynaklı ve kurumsal kullanıma hazır bir güvenlik izleme çözümüdür. Wazuh, güvenlik verilerini toplamak, toplamak, indekslemek ve analiz etmek için kullanılır ve kuruluşların izinsiz girişleri, tehditleri ve davranışsal anormallikleri tespit etmesine yardımcı olur. Wazuh, Windows kayıt defteri izleme, rootkit tespit etme, dosya bütünlük denetimi yapma, anlık olarak uyarı ve response gibi özelliklere sahiptir. Wazuh Dağıtım Türleri Wazuh için iki farklı dağıtım seçeneği mevcuttur: Hepsi bir arada dağıtım : Wazuh ve Elasticsearch için Açık Dağıtım aynı ana bilgisayara kurulur. Dağıtılmış dağıtım : Her bileşen, tek düğümlü veya çok düğümlü bir küme olarak ayrı bir ana bilgisayara kurulur. Bu dağıtım türü, ürünün yüksek düzeyde kullanılabilirliğini ve ölçeklenebilirliğini sağlar ve geniş çalışma ortamları için uygundur. Wazuh…
Mail Header Analizi
Herkese Selamlar. 🙂 Bu makalemde sizlere, e-posta başlık alanlarını ve adli bilişim açısından öneminden bahsetmeye çalıştım. Gmail, e-posta başlıklarını görüntülenmesi ve analizinin yapılmasını adım adım anlatmaya çalıştım. E-postaları kullanarak siber saldırı yapmak isteyen saldırganlar ve suçlarla alakalı vakaları araştırmak için uzmanlar ilgili olan e-postaları tararlar. Saldırganlar tespit edilmekten kaçınmak için sahte mesajlar oluşturduğundan, uzmanlar önemli kanıtları çıkarmak ve toplamak için e-posta başlığı analizi yapmalıdır. E-posta başlıkları, mesajın hedefine ulaşmadan önce geçtiği yolun önemli bilgilerini içerisinde barındırır. Bu bilgiler, alıcıların ve gönderenlerin adlarını, e-posta mesajı gönderme/alma zamanını, e-posta istemcisini, internet servis sağlayıcısını (ISS), gönderenin IP adresini vb. içerir. Bu bilgiler ve diğer e-posta başlık alanları, e-posta iletisinin içeriğini belirlemede yardımcı olabilir. E-posta Başlıkları nelerdir? E-posta başlığı gönderilen e-postanın gövdesini oluşturan iletimin temel bir parçasıdır. Bu temel içeriğin önünde gönderen, alıcı, konu satırı ve tarih gibi bilgileri içeren başlık satırları bulunur. Bu bilgi parçaları e-posta istemcisi tarafından ayrıştırılır ve mesajın içeriğini…
Nedir Bu Log4j RCE (Log4Shell)
Hepinize merhabalar yeni makalemde sizlere son birkaç gündür çok fazla konuşulan bir zafiyetten bahsedeceğim. Umarım faydalı olur. 🙂 Remote Code Execution (RCE) CVE-2021-44228 kodu ile yayınlanan zafiyet, kötü niyetli kişilerin Apache Log4j bulunan sistemleri Remote Code Execution (RCE) ile ele geçirmesine imkan tanımaktadır. Uzaktan kod çalıştırma olarak tabir edilen RCE, kötü niyetli kişilerin sistemde tam erişim yetkisi elde etmesini sağlamaktadır. Log4j Nedir? Log4j Apache Software Foundation ın geliştirmiş olduğu bir loglama kütüphanesidir. Java programcıları tarafından kullanılmaktadır. Log4j isteğe göre seviye bazlı loglama yapar ve Java kullanan bir çok uygulama içerisinde yer almakta ve kullanılmaktadır. Bu zafiyetin diğer zafiyetlerden önemi ise Log4j’nin bir kütüphane olmasıdır. Bu nedenle bir çok uygulama ve program bu zafiyetten etkilenmektedir. Örneğin; Bir uygulamada çıkan bir zafiyet sadece bu uygulamayı etkiliyorsa bu uygulama üzerinde bir yama yapılabilir ve zafiyetin sömürülmesinin önüne geçilir. Ancak Log4j bir kütüphane olduğu için birden fazla uygulamayı etkileyerek çok geniş bir saldırı yüzeyi olmasına…
T-POT Honeypot Kurulumu, Konfigürasyonu ve Kibana Üzerinden Görüntülenmesi
Hepinize Merhabalar. 🙂 Bu makalemde sizlere sanallaştırma üzerine nasıl T-POT honeypot kurulumunu yapacağınızdan ve buradaki logları inceleyeceğinizden bahsedeceğim. Bal Küpü (Honeypot) Nedir? Bal küpü bir sistemi ele geçirmeye çalışan ya da sistem hakkında bilgi toplamaya çalışan saldırganları tuzağa düşürmeyi amaçlayan sistemlerdir. Bal küpleri içerisinde bulundukları ağın bir parçasıymış gibi görünen bir bilgisayar veya sunucu olabilmektedir. Honeypotlar saldırganlara hedef bir cihazmış gibi görünen ancak izole edilmiş olarak saldırganların hareketlerini izlemeyi amaçlayan önemli bir kaynaktır. T-POT Honeypot T-POT Debian tabanlı, birden fazla honeypot aracını yapılandırılmış halde içerisinde barındıran Docker altyapısıyla servise sunulduğu honeypot sistemi bütünüdür. T-POT özellikleri şu şekilde sıralanabilir; Saldırganlar tarafından portların taranması sonucunda bu saldırganlara ait araçlar veya IP tespit edilmesi sonucunda istihbarat veritabanı oluşturulabilir. Saldırganların sistemde denediği kullanıcı adı, parola vb. tespit edilebilir ve veritabanı oluşturulabilmektedir. İç networkte saldırganların yapacağı hareketler tespit edilebilir. Kurulum Gereksinimleri 8GB RAM 128GB SSD DHCP üzerinden ağ Çalışan, proxy olmayan bir internet sayfası Kurulum…
Security Onion-Kibana Üzerinden Brute Force ve Nmap Logları Görüntüleme
Hepinize merhabalar. 🙂 Bu makalemde sizlere sanal makine üzerine kurmuş olduğum Security Onion ve Security Union üzerinde bulunan Kibana’yı kullanarak log izleme yapacağım. Burada sırası ile şunları yapacağım; nmap ile port taraması, hydra ile ssh servisine BruteForce saldırısı, security onion ve kibana üzerinde bu aktivitelerin tespiti ve logların izlenmesi. Yukarıdaki başlıklar dahilinde sırası ile işlemlerimi gerçekleştireceğim. Security Onion Nedir? Security Onion, saldırı tespiti, ağ güvenliğini izlemek ve log kayıt yönetimini sağlayan ücretsiz ve açık kaynaklı bir Linux dağıtımıdır. Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, Wazuh, Sguil, Squert, CyberChef, NetworkMiner ve diğer birçok güvenlik araçlarını içermektedir. Daha fazla detay ve bilgiye buradan ulaşabilirisiniz. İlk olarak aşağıdaki gibi sanal makinam üzerine kurulmuş Security Onion’u görüyorsunuz. Nmap ile Port Taraması Burada nmap aracını kullanarak aşağıdaki komutu yazıyoruz. Burada hedef IP adresi kısmına tarama yapacağınız IP adresini yazabilirsiniz. Servisleri taramamız sonucunda SSH servisinin açık olduğunu gördük. Ben burada SSH servisine BruteForce atağı…
Siber Saldırı Yaşam Döngüsü, Cyber Kill Chain
Cyber Kill Chain “Kill Chain” Türkçe olarak Ölüm Zinciri askeri bir terim olarak ortaya çıkarılmıştır. Ve amacı da askeriyeler tarafından hedeflenen belirli bir yere saldırı aşamalarının tanımlanmasında kullanılmaktadır. Siber saldırılar öncesinde saldırganlar ya da hacker grupları detaylı araştırmalar gerçekleştirmektedirler. Siber güvenlik araştırmacılarının geliştirdikleri ve üzerinde çalıştıkları modellerden bir tanesi de “Cyber Kill Chain” modelidir. Cyber Kill Chain modelini Locheed Martin firması hedefli saldırıları (APT) analiz edebilmek ve tespiti kolaylaştırabilmek amacıyla geliştirmiştir. Bir siber saldırı da hedeflenen sisteme ulaşmak ve hedefledikleri motivasyonlara ulaşabilmek için bir saldırı planı oluşturulmaktadır. Hedefli saldırılarda izlenen adımlar genel olarak benzerlik göstermektedir. Bu adımların yer aldığı genel modele de Cyber Kill Chain modeli denilmektedir. Bu model kullanılarak da yukarıda bahsettiğim gibi saldırıların tespitini ve analizini kolaylaştırmak amaçlanmaktadır. Keşif aşamasından saldırı aşamasına kadar tanımlanan bu model 7 aşamadan oluşmaktadır. Bu 7 aşama da şu şekildedir; Reconnaissance (Keşif) Weaponization (Silahlanma) Delivery (İletme) Exploitation (Sömürme) Installation (Yükleme) Command &…