Security Onion-Kibana Üzerinden Brute Force ve Nmap Logları Görüntüleme
Hepinize merhabalar. 🙂 Bu makalemde sizlere sanal makine üzerine kurmuş olduğum Security Onion ve Security Union üzerinde bulunan Kibana’yı kullanarak log izleme yapacağım. Burada sırası ile şunları yapacağım; nmap ile port taraması, hydra ile ssh servisine BruteForce saldırısı, security onion ve kibana üzerinde bu aktivitelerin tespiti ve logların izlenmesi. Yukarıdaki başlıklar dahilinde sırası ile işlemlerimi gerçekleştireceğim. Security Onion Nedir? Security Onion, saldırı tespiti, ağ güvenliğini izlemek ve log kayıt yönetimini sağlayan ücretsiz ve açık kaynaklı bir Linux dağıtımıdır. Elasticsearch, Logstash, Kibana, Snort, Suricata, Bro, Wazuh, Sguil, Squert, CyberChef, NetworkMiner ve diğer birçok güvenlik araçlarını içermektedir. Daha fazla detay ve bilgiye buradan ulaşabilirisiniz. İlk olarak aşağıdaki gibi sanal makinam üzerine kurulmuş Security Onion’u görüyorsunuz. Nmap ile Port Taraması Burada nmap aracını kullanarak aşağıdaki komutu yazıyoruz. Burada hedef IP adresi kısmına tarama yapacağınız IP adresini yazabilirsiniz. Servisleri taramamız sonucunda SSH servisinin açık olduğunu gördük. Ben burada SSH servisine BruteForce atağı…
Hydra Nedir, TryHackMe Hydra Walkthrough
Hydra aracı, Kali Linux üzerinde yüklü olarak gelen ve Brute-Force (kaba kuvvet) saldırıları yapmak için kullanılan bir saldırı aracıdır. Hydra aracı ile daha önceden oluşturulmuş bir wordlist kullanılarak deneme yanılma yöntemi yani Brute-Force atağı yapılır. Bunun sonucunda ise kimlik doğrulama isteyen giriş panellerini atlatmış oluruz. Örnek olarak bir giriş paneli sayfasında parolasını bilmediğimiz bir kullanıcının parolasını tek tek denemek yerine bir wordlist içerisine bu parolaları yazarak Hydra aracını kullanarak parolaları daha hızlı bir şekilde denetebiliriz. Hydra‘nın desteklediği protokoller: Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-POST, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTPS-POST, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MEMCACHED, MONGODB, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, Radmin, RDP, Rexec, Rlogin, Rsh, RTSP, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH (v1 and v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP. Hydra Kurulumu Hydra aracı Kali…
Siber Saldırı Yaşam Döngüsü, Cyber Kill Chain
Cyber Kill Chain “Kill Chain” Türkçe olarak Ölüm Zinciri askeri bir terim olarak ortaya çıkarılmıştır. Ve amacı da askeriyeler tarafından hedeflenen belirli bir yere saldırı aşamalarının tanımlanmasında kullanılmaktadır. Siber saldırılar öncesinde saldırganlar ya da hacker grupları detaylı araştırmalar gerçekleştirmektedirler. Siber güvenlik araştırmacılarının geliştirdikleri ve üzerinde çalıştıkları modellerden bir tanesi de “Cyber Kill Chain” modelidir. Cyber Kill Chain modelini Locheed Martin firması hedefli saldırıları (APT) analiz edebilmek ve tespiti kolaylaştırabilmek amacıyla geliştirmiştir. Bir siber saldırı da hedeflenen sisteme ulaşmak ve hedefledikleri motivasyonlara ulaşabilmek için bir saldırı planı oluşturulmaktadır. Hedefli saldırılarda izlenen adımlar genel olarak benzerlik göstermektedir. Bu adımların yer aldığı genel modele de Cyber Kill Chain modeli denilmektedir. Bu model kullanılarak da yukarıda bahsettiğim gibi saldırıların tespitini ve analizini kolaylaştırmak amaçlanmaktadır. Keşif aşamasından saldırı aşamasına kadar tanımlanan bu model 7 aşamadan oluşmaktadır. Bu 7 aşama da şu şekildedir; Reconnaissance (Keşif) Weaponization (Silahlanma) Delivery (İletme) Exploitation (Sömürme) Installation (Yükleme) Command &…
FTK Imager ile Silinen Dosyaları Geri Getirme
Hepinize Merhabalar. 🙂 Bu makalemde sizlere bir Flash Disk üzerinden yanlışlıkla ya da bilinmeyen bir nedenden dolayı silinen dosyarınızın, FTK Imager programı ile basit bir şekilde nasıl kurtarılacağından bahsedeceğim. Öncelikle ilk yapmamız gereken şey kurtarmak istediğimiz dosyayı kendi USB sürücümden siliyorum. Kendi USB sürücümden aşağıda gördüğünüz gibi cybermen.jpg adlı resim dosyasını kalıcı olarak sildim. Sildiğimiz dosyamızı kurtarmak için AccessData FTK Imager programını kullanacağım. Programı indirdikten ve gerekli ayarlamaları yaptıktan sonra, çalıştırıyoruz. İlk olarak karşımıza gelen ekranda görseldeki gibi “File> Add Evidence Item” seçeneğini seçiyoruz. Karşımıza gelen bu ekranda alacağımız imajın türünü belirtmemizi istiyor. Biz Physical Drive(fiziksel drive) seçeneğini seçerek devam ediyoruz. Diğer görselde Fiziksel imajını alacağımız diski seçmemiz gerekiyor. Ben burada kendi takmış olduğum USB belleği seçiyorum ve ardından finish diyerek fiziksel imajın alınasını sağlıyorum. Bu kısımda almış olduğumuz imaj dosyası karşımıza çıkmaktadır. Artık sildiğimiz dosyaya nasıl erişebileceğimiz kısmına geçebiliriz. Burada “Physical Drive>Partition>”USB adı”>root” seçeneklerini…
Windows Log Analizi Önemli Kavramlar
Hepinize Merhabalar. 🙂 Bu makalemde sizlere Windows Log Analizi sırasında bizler için önemli olan olay günlükleri, Event ID’ler, ve bu ID numaralarının bizler için neden ve ne kadar önemli olduğu hakkında bilgiler vermeye çalışacağım. Olay Günlüğü(Event Log) Nedir? Windows İşletim sistemlerinde log kayıtlarının tutulduğu yere Olay günlükleri (Event Log) denmektedir. Herhangi bir işletim sisteminin çalışması sırasında arka planda birden fazla işlem gerçekleşmektedir. Bu sistemler üzerinde gerçekleşen tüm işlem ve olaylar kayıt altına alınmaktadır. Alınan bu kayıtlar kimi zaman bizler için çok kritik bir öneme sahiptir. Bunun nedeni ise sistem üzerinde herhangi bir anormal durumun tespit edilmesi sonucunda ya da saldırı sonucunda kayıtların incelenerek sistem hakkında bilgi edinilmesine olanak sağlamasıdır. Bu olay günlüklerine alınan kayıtların kronolojik olarak sıralanması da sistem yöneticilerinin daha rahat şekilde analiz yapmalarını kolaylaştırmaktadır. Olay Görüntüleyici (Event Viewer) Windows Sistemlerde gerçekleşen olaylar ve işlemler Event Log sisteminde kayıt altına alınmaktadır. Kayıt alınan bu logları Event Viewer (Olay Görüntüleyici)…
Web Sunucu Türleri ve LOG Kayıtlarının İncelenmesi
Günümüzde en çok kullanılan web sunucu türleri genel olarak Apache, ISS ve Nginx sunucu türleridir. APACHE Web Sunucusu ve Log Kayıtları Açık kaynak kodlu, esnek, sağlam ve performanslı olduğu için Apache en çok tercih edilen web sunucu türleri arasında bulunmaktadır. Çok kapsamlı ve esnek loglama imkanına sahiptir. Apache Web Server da Error Log ve Access Log adlı iki günlük dosyası bulunmaktadır. Access Log (Erişim Logları): Web sunucusu üzerinde yer alan internet sitesine gelen ziyaretçilerin kayıt altına alındığı günlük dosyasıdır. Kullanıcıların hangi dizinlere eriştiği, web sunucuların kullanıcılardan gelen isteklere nasıl yanıt verdiği ve ziyaretçilerin hangi tür web tarayıcı bilgilerini kullandığını ve bir çok farklı bilgilere buradan ulaşabiliriz. Erişim günlüğünün biçimi son derece yapılandırılabilir. Erişim günlüğünün konumu ve içeriği CustomLog yönergesi tarafından kontrol edilir . Varsayılan apache erişim günlüğü dosyası konumu: /var/log/httpd/access_log: RHEL / Red Hat / CentOS / Fedora Linux Apache erişim dosyası konumu bu günlük içerisinde bulunmaktadır. /var/log/apache2/access.log: Debian / Ubuntu Linux Apache erişim günlüğü…
PCI/DSS
PCI/DSS Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kredi kartı bilgilerini kabul eden, işleyen, depolayan veya ileten tüm şirketlerin güvenli bir ortam sağlamasını sağlamak için tasarlanmış bir dizi güvenlik standardıdır. Bu Veri Güvenliği Standartları, Visa, MasterCard, American Express ve Discover gibi kurumsal üyelerin yer aldığı Güvenlik Standartları Konseyi tarafından, veri ihlallerini, kimlik hırsızlıklarını ve diğer dolandırıcılıklarla birlikte suç aktivitelerini azaltmak için belirlenmiştir. Bu standartlara tüm boyutlardaki şirketlerin uyması zorunludur. Bu nedenle PCI DSS günümüzde çok yaygın şekilde devam eden sanal dolandırıcılığın engellenmesi için oldukça önemli bir yere sahiptir. Bu kurallar internet üzerinden yapılacak alışverişlerde tüketicilerin ve firmaların güvenliğini sağlamayı amaçlamaktadır. PCI DSS Sertifikası, güvenli alışveriş için standartları belirleyen ve farklı seviyelerde derecelendirilen bir yapıdır. PCI DSS sertifikası ve uyumluluğu neden önemlidir? PCI DSS danışmanlığı ile internet üzerinden ürün ve hizmet sunan firmaların ödeme güvenliği alanında uluslararası standartlara ulaşması mümkündür. Yukarıda bahsettiğimiz bu sistem ve kurallar sayesinde kart sahiplerinin kişisel verileri…
Kaynak Kodundan Linux Çekirdeği 5.12.12 nasıl derlenir ve kurulur ?
Hepinize Merhabalar. 🙂 Bu makalemde sizlere Linux çekirdeğinin son sürümünü kullanarak bunu derlemekte sorun yaşayanlar için nasıl derlenebileceğinden bahsedeceğim. Bunun için gerekli olan bilgiler ve komutlara değineceğim. Özel bir çekirdeği derlemenin avantaj ve dezavantajları bulunmaktadır. Ben yazımın devamında Linux çekirdeğinin 5.12.12 sürümünün Ubuntu üzerinde derlenmesinden adım adım bahsedeceğim. Bunun için adımlarımız sırasıyla şöyledir: kernel.org‘dan en son çekirdeğinin alınması, Çekirdeği doğrulanması, tar.xz dosyasının çıkarılması Mevcut Linux çekirdek yapılandırma dosyasının kopyalanması, Linux çekirdeğinin derlenmesi ve oluşturulması 5.12.12, Linux çekirdeğinin ve modüllerinin (sürücüler) kurulması, Grub yapılandırmasının güncellenmesi, Sistemin yeniden başlatılması. 1) En son Linux çekirdeğinin kaynak koduna erişme İlk kısımda resmi proje sitesini ziyaret ederek en son kayna kodunu indiriyoruz. “Latest Release” yazan sarı kısımdan indirme yapabilirsiniz. Burada wget komutunu kullanarak da linux-5.12.12.tar.xz dosyasını indirebilirsiniz. Bu komutu görselde gördüğünüz gibi kullanabilirsiniz. wget https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-5.12.12.tar.xz 2) tar.xz dosyasının ayıklanması /usr/src içindeki kaynak kodunu gerçekten çıkarmanız gerekmez. Aşağıdaki unzx komutunu veya xz komutunu kullanarak $HOME dizininizdeki…
Active Directory Loglarını Olay Görüntüleyici Üzerinde Görüntüleme
Hepinize Selamlar 🙂 Active Directory(AD), hem bilgisayar hem de kullanıcı hesapları dahil olmak üzere hesap yönetimi açısından çok önemli bir yer tutmaktadır. Özellikle Active Directory hizmeti, dosya sunucularında ve ağ üzerindeki bileşenlere, uygulamalara ve verilere ulaşarak erişimi kontrol etmenizi sağlamaktadır. Burada bizler için en önemli kısımlardan biri ise altyapıları ve verilerin güvenliğini sağlamak için Active Directory üzerindeki değişiklikleri kontrol ve tespit etmek, herhangi bir kötü amaçlı yazılım veya anormal durumları önleyebilmek çok önemlidir. Olay Görüntüleyici, güvenlik günlüklerini takip etmek için en önemli çözümdür. Ücretsizdir ve her Microsoft Windows sisteminin yönetim araçları paketinde varsayılan olarak yer almaktadır. Active Directory üzerinde denetimimizi etkinleştirdikten sonra Windows Server, olayları etki alanı denetleyicisindeki “Güvenlik” günlüğüne yazar. Güvenlik olay günlüğü şu bilgileri kaydeder: Eylem yapıldı İşlemi gerçekleştiren kullanıcı Etkinliğin başarı durumu ve meydana gelen hatalar vb. Olayın gerçekleştirilme zamanı Eğer Active Directory kavramını daha detaylı bir şekilde öğrenmek isterseniz bu bağlantıdan daha önceki makaleme ulaşabilirsiniz. 1)…
Linux Sistemlerde Log Dosyaları
Hepinize merhabalar. 🙂 Bu makalemde sizlere sırası ile şu konulardan bahsedeğim; Log Kayıtları Neden Log Kayıtları Tutulur? Linux Sistem Logları Linux Sistem Log Dosyaları 1) Log Kayıtları Kullanılan sistemlerde meydana gelen hatalar, yapılan işlemler, oluşan sorunlar, eklenen dosyalar vb. yani kısacası sistem üzerindeki tüm bu işlemler kayıt altına alınarak saklanmaktadır. Bahsettiğimiz üzere kayıt altına alınan tüm her şey bizler için Log tanımına uymaktadır. 2) Neden Log Kayıtları Tutulur? Sistemler üzerinde kayıt altına alınan her şeyin bizim için log niteliği taşıdığından bahsettik. Peki bu log kayıtlarının neden tutulduğunu açıklayalım. Sistemler üzerinde herhangi bir istenmeyen durumla karşılaşıldığında, yani anormal olarak gerçekleşebilen ya da sistem için olumsuz olabilecek durumlar oluşması durumunda; Sorunun neden oluştuğu, Kim tarafından ne amaçla oluşturulduğu… Gibi birçok soruya yanıt verebilmek için tutulmaktadır. Bunun sonucunda ise sistemlerin güvenliğinin sağlanması, gerektiğinde veri kurtarma ve Adli Bilişim gibi alanlarda başvurulması gereken en önemli kısımlardan birisi de log dosyaları olmaktadır. Yani sistem…