Tag Archives: Artifact

2,

Hepinize selamlar. 🙂 Bu makalemde sizlere Incident Response süreçlerinde analiz edilmesi gereken en önemli kısımlardan birine değineceğim. Powershell kullanılarak yazılan komutları bu aşamada tespit etmek büyük bir önem arz etmektedir. Bunun sonucunda ise eğer sistemler üzerinde zararlı bir PowerShell komutu çalışmış ise bu sayede tespit edilerek gerekli önlemler rahatlıkla alınabilmektedir. Saldırganlar Neden Powershell Kullanır ?  Saldırganların PowerShell kullanarak atak yapmalarının bir çok nedeni bulunmaktadır. Bunlardan bazıları şunlardır; Sistemler üzerinde iz bırakmadan sistemleri uzaktan kontrol edebilirler. Klasik güvenlik ürünleri tarafından tespit edilmesi zordur. Burada kullanılan betiklerin karmaşık hale getirilmesi daha kolaydır. Kullanımı ve öğrenimi kolaydır. Saldırganlar PowerShell kullanarak sistemler üzerinde hak yükseltebilirler. Sistem üzerinde yer alan verileri çalabilir ya da bozabilirler. Powershell üzerinden sistemlerde kalıcılık sağlayabilirler. Geçmiş PowerShell Kayıtları Tespiti Bu senaryoda sırası ile; Geçmiş PowerShell komutlarının tutulduğu konuma gideceğiz. Burada yer alan geçmişte kullanılan komutları inceleyeceğiz. Ardından PowerShell üzerinde kendimiz birkaç komut çalıştıracağız. Son olarak kendi çalıştırmış olduğumuz komutların görüntülenmesini…

Read more

1/1