DeepBlueCLI: Powershell Modülü ile Threat Hunting
Hepinize selamlar. 🙂 Bu makalemde sizlere Eric Conrad‘ın geliştirmiş olduğu DeepBlueCLI modülünü kullanarak Tehdit Avcılığı uygulaması yapacağım. DeepBlueCLI , Windows’ta (PowerShell modülü) veya ELK’da (Elasticsearch) Windows olay günlüklerini otomatik olarak ayrıştırmak ve Windows Olay Günlükleri aracılığıyla Tehdit Avcılığı yapabilmek için kullanılan bir PowerShell modülüdür. İlk olarak sistemimizde terminal açarak başlıyoruz. Ardından DeepBlueCLI modülümüzün olduğu konuma gidiyoruz. C:\tools>cd \tools\DeepBlueCLI-master DeepBlueCLI bir Powershell modülüdür, bu nedenle ilk olarak bu modülü başlatmamız gerekiyor. Bunun için de aşağıdaki komutu kullanıyoruz. C:\tools\DeepBlueCLI-master>powershell Bu aracı, herhangi bir güvenlik duvarı ya da antivirüs engeli olmadan çalıştırmak için şu komutu çalıştırmamız gerekmektedir. Daha fazla bilgi için Set-Execution Policy Readme inceleyebilirsiniz. PS C:\tools\DeepBlueCLI-master> Set-ExecutionPolicy unrestricted Saldırganların ele geçirdikleri sistemlerde yaygın olarak kullandıkları yöntemlerden bir tanesi de sistemlere kullanıcı eklemektir. Bu sayede sistemlere zararlı yazılımlarla sağlamayacakları bir kalıcılık sağlamaktadır. Şimdi yeni bir kullanıcı eklemek için .evtx dosyalarını bir kontrol edelim. C:\tools\DeepBlueCLI-master>.\DeepBlue.ps1 .\evtx\new-user-security.evtx Çok az SIEM tarafından tespit edilen diğer…
PowerShell Artifact Analizi
Hepinize selamlar. 🙂 Bu makalemde sizlere Incident Response süreçlerinde analiz edilmesi gereken en önemli kısımlardan birine değineceğim. Powershell kullanılarak yazılan komutları bu aşamada tespit etmek büyük bir önem arz etmektedir. Bunun sonucunda ise eğer sistemler üzerinde zararlı bir PowerShell komutu çalışmış ise bu sayede tespit edilerek gerekli önlemler rahatlıkla alınabilmektedir. Saldırganlar Neden Powershell Kullanır ? Saldırganların PowerShell kullanarak atak yapmalarının bir çok nedeni bulunmaktadır. Bunlardan bazıları şunlardır; Sistemler üzerinde iz bırakmadan sistemleri uzaktan kontrol edebilirler. Klasik güvenlik ürünleri tarafından tespit edilmesi zordur. Burada kullanılan betiklerin karmaşık hale getirilmesi daha kolaydır. Kullanımı ve öğrenimi kolaydır. Saldırganlar PowerShell kullanarak sistemler üzerinde hak yükseltebilirler. Sistem üzerinde yer alan verileri çalabilir ya da bozabilirler. Powershell üzerinden sistemlerde kalıcılık sağlayabilirler. Geçmiş PowerShell Kayıtları Tespiti Bu senaryoda sırası ile; Geçmiş PowerShell komutlarının tutulduğu konuma gideceğiz. Burada yer alan geçmişte kullanılan komutları inceleyeceğiz. Ardından PowerShell üzerinde kendimiz birkaç komut çalıştıracağız. Son olarak kendi çalıştırmış olduğumuz komutların görüntülenmesini…