DeepBlueCLI: Powershell Modülü ile Threat Hunting
Hepinize selamlar. 🙂 Bu makalemde sizlere Eric Conrad‘ın geliştirmiş olduğu DeepBlueCLI modülünü kullanarak Tehdit Avcılığı uygulaması yapacağım. DeepBlueCLI , Windows’ta (PowerShell modülü) veya ELK’da (Elasticsearch) Windows olay günlüklerini otomatik olarak ayrıştırmak ve Windows Olay Günlükleri aracılığıyla Tehdit Avcılığı yapabilmek için kullanılan bir PowerShell modülüdür. İlk olarak sistemimizde terminal açarak başlıyoruz. Ardından DeepBlueCLI modülümüzün olduğu konuma gidiyoruz. C:\tools>cd \tools\DeepBlueCLI-master DeepBlueCLI bir Powershell modülüdür, bu nedenle ilk olarak bu modülü başlatmamız gerekiyor. Bunun için de aşağıdaki komutu kullanıyoruz. C:\tools\DeepBlueCLI-master>powershell Bu aracı, herhangi bir güvenlik duvarı ya da antivirüs engeli olmadan çalıştırmak için şu komutu çalıştırmamız gerekmektedir. Daha fazla bilgi için Set-Execution Policy Readme inceleyebilirsiniz. PS C:\tools\DeepBlueCLI-master> Set-ExecutionPolicy unrestricted Saldırganların ele geçirdikleri sistemlerde yaygın olarak kullandıkları yöntemlerden bir tanesi de sistemlere kullanıcı eklemektir. Bu sayede sistemlere zararlı yazılımlarla sağlamayacakları bir kalıcılık sağlamaktadır. Şimdi yeni bir kullanıcı eklemek için .evtx dosyalarını bir kontrol edelim. C:\tools\DeepBlueCLI-master>.\DeepBlue.ps1 .\evtx\new-user-security.evtx Çok az SIEM tarafından tespit edilen diğer…
DeepBlueCLI Metasploit PowerShell Tehdit Avcılığı Threat Hunting