PowerShell Artifact Analizi

PowerShell Artifact Analizi

Hepinize selamlar. 🙂

Bu makalemde sizlere Incident Response süreçlerinde analiz edilmesi gereken en önemli kısımlardan birine değineceğim. Powershell kullanılarak yazılan komutları bu aşamada tespit etmek büyük bir önem arz etmektedir. Bunun sonucunda ise eğer sistemler üzerinde zararlı bir PowerShell komutu çalışmış ise bu sayede tespit edilerek gerekli önlemler rahatlıkla alınabilmektedir.

Saldırganlar Neden Powershell Kullanır ? 

Saldırganların PowerShell kullanarak atak yapmalarının bir çok nedeni bulunmaktadır. Bunlardan bazıları şunlardır;

  • Sistemler üzerinde iz bırakmadan sistemleri uzaktan kontrol edebilirler.
  • Klasik güvenlik ürünleri tarafından tespit edilmesi zordur.
  • Burada kullanılan betiklerin karmaşık hale getirilmesi daha kolaydır.
  • Kullanımı ve öğrenimi kolaydır.
  • Saldırganlar PowerShell kullanarak sistemler üzerinde hak yükseltebilirler.
  • Sistem üzerinde yer alan verileri çalabilir ya da bozabilirler.
  • Powershell üzerinden sistemlerde kalıcılık sağlayabilirler.

Geçmiş PowerShell Kayıtları Tespiti

Bu senaryoda sırası ile;

  1. Geçmiş PowerShell komutlarının tutulduğu konuma gideceğiz.
  2. Burada yer alan geçmişte kullanılan komutları inceleyeceğiz.
  3. Ardından PowerShell üzerinde kendimiz birkaç komut çalıştıracağız.
  4. Son olarak kendi çalıştırmış olduğumuz komutların görüntülenmesini sağlayacağız.

Windows sistemlerde kullanıcıların daha önceden kullanmış olduğu komutlar şu konumda yer almaktadır. İlk olarak bu konuma gidiyoruz.

C:\Users\Username\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine

1,

Burada yer alan “ConsoleHost_History.txt” dosyamızı açıyoruz.  Dosyamızı açtıktan sonra aşağıda görüldüğü gibi geçmiş PowerShell komutları görüntülenmektedir. Buradan kullanıcıların daha önceden kullanmış olduğu PowerShell komutları detaylı bir şekilde analiz edilebilir ve bunun sonucunda zararlı bir komut kullanıldıysa bu tespit edilebilmektedir.

2,

 

Bu kısımda daha anlaşılır olması adına kendim bir kaç tane Powershell komutu yazıyorum ve çalıştırıyorum.

3,

4,

5,

 

Son olarak tekrardan “ConsoleHost_History.txt” dosyamın içeriğine giriyorum. Aşağıda görüldüğü üzere son çalıştırmış olduğum komutlar sırası ile bu dosyanın içerisinde yer almaktadır.

6,

 

Makalemi buraya kadar okuduğunuz için Teşekkürler. :))

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir