WMIC-WMI for Incident Response and Threat Hunting
Hepinize selamlar, bu makalemde sizlere Olay Müdahale, Threat Hunting ve saldırıları tespit etme süreçlerinde önemli bir yeri olan WMI ve WMIC nedir, burada kullanılan komutlardan ve görevlerinden bahsedeceğim. Umarım faydalı olur, şimdiden iyi okumalar. 🙂 İlk olarak şu 2 önemli terimi açıklayalım; WMIC = Windows Management Instrumentation Command-line – Windows Yönetim Araçları Komut Satırı WMI = Windows Management Instrumentation (WMI) – Windows Yönetim Araçları Windows Yönetim Araçları Komut Satırı (WMIC) , kullanıcıların bir komut istemiyle Windows Yönetim Araçları (WMI) işlemlerini gerçekleştirmesine olanak tanıyan bir yazılım yardımcı programıdır. WMI Windows Yönetim Araçları (WMI), sistem yöneticilerine sistem izleme araçlarına erişim sağlayan bir PowerShell alt sistemidir. Bu sistem, hızlı ve verimli bir şekilde sistem yönetimine izin verecek şekilde tasarlanmıştır. Genel olarak yöneticiler sistemler üzerinde WMI’yı kullanarak şu işlemleri yaparlar. sistemleri yapılandırma, işlemleri veya komut dosyalarını yürütme, görevleri otomatikleştirme… Ancak normalde WMI bu işlemleri gerçekleştirmek için tasarlanmış olsa da, saldırganlar ve hacker grupları tarafından…
Incident Response Sürecinde Bilinmesi Gereken Windows Komutları
Hepinize selamlar, Bu makalemde sizlere Windows sistemlerde inceleme yaparken bilinmesi gereken komutlardan bahsedeceğim. Burada bahsedeceğim komutlar olay müdahalesi yapan analistin bilmesi gereken temel komutlardır. Makalede sırası ile şu konulara değineceğim. Kullanıcı hesapları, Processler, Servisler, Görev Zamanlayıcısı, Çalıştırmak, Registy Girişleri, Aktif TCP ve UDP bağlantı noktaları, Dosya Paylaşımları, Dosyalar, Güvenlik Duvarı Ayarları, Açık Oturumlar, Log Girişleri Kullanıcı Girişleri Incident Response sürecinde kullanıcı etkinliklerini araştırmak çok önemlidir. Herhangi bir şüpheli kullanıcı hesabı olup olmadığını veya bir kullanıcıya herhangi bir kısıtlama işlemi yapılım yapılmadığını bulmak amacıyla kullanılır. Aynı zamanda kullanıcı hesabını kontrol ederek, hangi kullanıcının şu anda oturum açtığını ve ne tür bir kullanıcı hesabına sahip olduğu buradan görüntülenebilmektedir. Kullanıcı hesapları şu şekilde görüntülenmektedir: GUI ekranında kullanıcı hesaplarını görüntülemek için “Win+R” tuşlarına basıyoruz ve aşağıdaki komutu yazıyoruz. lusrmgr.msc Sistem üzerinde kullanıcı hesaplarını ve bu hesapların ne tür hesaplar olduğunu görüntülemek için, komut istemini açıyoruz ve şu komutu yazıyoruz. net user Sistem üzerinde yerel…