WMIC-WMI for Incident Response and Threat Hunting
Hepinize selamlar, bu makalemde sizlere Olay Müdahale, Threat Hunting ve saldırıları tespit etme süreçlerinde önemli bir yeri olan WMI ve WMIC nedir, burada kullanılan komutlardan ve görevlerinden bahsedeceğim. Umarım faydalı olur, şimdiden iyi okumalar. 🙂 İlk olarak şu 2 önemli terimi açıklayalım; WMIC = Windows Management Instrumentation Command-line – Windows Yönetim Araçları Komut Satırı WMI = Windows Management Instrumentation (WMI) – Windows Yönetim Araçları Windows Yönetim Araçları Komut Satırı (WMIC) , kullanıcıların bir komut istemiyle Windows Yönetim Araçları (WMI) işlemlerini gerçekleştirmesine olanak tanıyan bir yazılım yardımcı programıdır. WMI Windows Yönetim Araçları (WMI), sistem yöneticilerine sistem izleme araçlarına erişim sağlayan bir PowerShell alt sistemidir. Bu sistem, hızlı ve verimli bir şekilde sistem yönetimine izin verecek şekilde tasarlanmıştır. Genel olarak yöneticiler sistemler üzerinde WMI’yı kullanarak şu işlemleri yaparlar. sistemleri yapılandırma, işlemleri veya komut dosyalarını yürütme, görevleri otomatikleştirme… Ancak normalde WMI bu işlemleri gerçekleştirmek için tasarlanmış olsa da, saldırganlar ve hacker grupları tarafından…
DeepBlueCLI: Powershell Modülü ile Threat Hunting
Hepinize selamlar. 🙂 Bu makalemde sizlere Eric Conrad‘ın geliştirmiş olduğu DeepBlueCLI modülünü kullanarak Tehdit Avcılığı uygulaması yapacağım. DeepBlueCLI , Windows’ta (PowerShell modülü) veya ELK’da (Elasticsearch) Windows olay günlüklerini otomatik olarak ayrıştırmak ve Windows Olay Günlükleri aracılığıyla Tehdit Avcılığı yapabilmek için kullanılan bir PowerShell modülüdür. İlk olarak sistemimizde terminal açarak başlıyoruz. Ardından DeepBlueCLI modülümüzün olduğu konuma gidiyoruz. C:\tools>cd \tools\DeepBlueCLI-master DeepBlueCLI bir Powershell modülüdür, bu nedenle ilk olarak bu modülü başlatmamız gerekiyor. Bunun için de aşağıdaki komutu kullanıyoruz. C:\tools\DeepBlueCLI-master>powershell Bu aracı, herhangi bir güvenlik duvarı ya da antivirüs engeli olmadan çalıştırmak için şu komutu çalıştırmamız gerekmektedir. Daha fazla bilgi için Set-Execution Policy Readme inceleyebilirsiniz. PS C:\tools\DeepBlueCLI-master> Set-ExecutionPolicy unrestricted Saldırganların ele geçirdikleri sistemlerde yaygın olarak kullandıkları yöntemlerden bir tanesi de sistemlere kullanıcı eklemektir. Bu sayede sistemlere zararlı yazılımlarla sağlamayacakları bir kalıcılık sağlamaktadır. Şimdi yeni bir kullanıcı eklemek için .evtx dosyalarını bir kontrol edelim. C:\tools\DeepBlueCLI-master>.\DeepBlue.ps1 .\evtx\new-user-security.evtx Çok az SIEM tarafından tespit edilen diğer…
Cyber Threat Hunting and Hunt the IOC
Hepinize Selamlar. 🙂 Günümüzde genelleşmiş siber güvenlik çözümlerinin kullanıldığı yapılarda siber güvenlik amacı ile alarm değerlendirme sistemleri bulunmaktadır. Merkezi olarak log toplayan ve korelasyon işlemleri için SIEM (Security Information and Event Management), ağ güvenliği için IDS/IPS (Intrusion Detection System) ve bunlar dışında kullanılan bir çok siber güvenlik ürünü yer almaktadır. Bu ürünlerle birlikte spesifik olarak karşılaşılan durumlar tespit edilebilmekte ve önlem alınabilmektedir. Bu şekilde sistem güvenliğini arttırmak mümkün olmaktadır. Ancak gün geçtikçe siber tehditler de artarak devam etmektedir. Son yıllarda kurumların daha hassas verilerini elde etmek ve itibar kaybetmesine neden olan daha gelişmiş ve kalıcılık amaçlanarak yapılan saldırılar yapılmaktadır. Bu saldırıların büyük kısmı otomatize araçlar kullanılarak yapılan risk seviyesi yüksek saldırılardır. Saldırganların yapacakları ya da yaptıkları bu gelişmiş saldırıları tespit etme noktasında Threat Hunting yani Tehdit Avcılığı çok önemli bir görev üstlenmektedir. M-Trends 2015 raporunda bir saldırganın sisteme sızdıktan sonra keşfedilme süresi ortalama 146 gün olarak belirtilmişken 2016 yılında bu…