Category Archives: Windows Forensic

1,

Hepinize selamlar, ben Mehmet Kadir CIRIK. Microsoft, Ekim 2021’de Office kullanıcıları için XL4 ve VBA makroları varsayılan olarak engellemeye başlayacağını, sırasıyla Şubat 2022’de başlatacağını duyurmuştu. Bu değişiklikler 2022 yılında etkinleştirilmeye başlandı. 2022 Temmuz ayında VBA makro engelleme uygulamasıyla ilgili bazı karmaşa yaşandı, ancak Microsoft bunun devam edeceğini duyurdu. Tehdit aktörleri, bu değişikliklere tepki olarak makro temelli tehditlerden uzaklaşmaya başladı. Araştırmacılar bu açıklamadan sonra Ekim 2021‘den bu yana kadar olan kampanya verilerine göre, tehdit aktörleri, kötü amaçlı yazılımı iletmek için doğrudan mesajlara eklenen makro etkinleştirilmiş belgelerden uzaklaştı ve giderek daha fazla ISO ve RAR ekleri ile Windows Kısayolu (LNK) dosyaları kullandı. Bir çok rapordan çıkardığım sonuçlara göre tehdit araştırmacıları tarafından manuel olarak analiz edilen ve içerikleri bağlamsallaştırılan kampanya tehditlerinin analizine göre, tehdit aktörlerinin makro etkinleştirilmiş eklerini kullanma oranı oldukça azaldı. Tehdit aktörleri, kullanıcılar Office uygulamalarında makroları etkinleştirdiğinde kötü niyetli içeriği otomatik olarak çalıştırmak için VBA makrolarını kullanır. XL4 makroları Excel uygulamasına…

Read more

1,

Techniques and Tools for Detecting Malicious Activities Microsoft Outlook is a popular email client used by millions of people worldwide. However, it has also become a common target for attackers seeking to gain access to target systems and steal sensitive data. In this article, we will explore the various techniques and tools available for forensic investigators to analyze Outlook logs, identify malicious activities, and investigate related phishing attacks. Outlook forensic analysis tools are software programs used by forensic investigators to analyze Outlook logs and detect malicious activities. These tools can help investigators identify and investigate security breaches, phishing attacks, and other malicious activities related to the use of Microsoft Outlook. Some of the most commonly used Outlook forensic analysis tools include: Message Header Analyzer – a free online tool provided by Microsoft that can extract and display information from email headers, such as IP addresses and domain names. Outlook Rules…

Read more

WMIC,

Hepinize selamlar, bu makalemde sizlere Olay Müdahale, Threat Hunting ve saldırıları tespit etme süreçlerinde önemli bir yeri olan WMI ve WMIC nedir, burada kullanılan komutlardan ve görevlerinden bahsedeceğim. Umarım faydalı olur, şimdiden iyi okumalar. 🙂 İlk olarak şu 2 önemli terimi açıklayalım; WMIC = Windows Management Instrumentation Command-line – Windows Yönetim Araçları Komut Satırı WMI = Windows Management Instrumentation (WMI) – Windows Yönetim Araçları Windows Yönetim Araçları Komut Satırı (WMIC) , kullanıcıların bir komut istemiyle Windows Yönetim Araçları (WMI) işlemlerini gerçekleştirmesine olanak tanıyan bir yazılım yardımcı programıdır. WMI Windows Yönetim Araçları (WMI), sistem yöneticilerine sistem izleme araçlarına erişim sağlayan bir PowerShell alt sistemidir. Bu sistem, hızlı ve verimli bir şekilde sistem yönetimine izin verecek şekilde tasarlanmıştır. Genel olarak yöneticiler sistemler üzerinde WMI’yı kullanarak şu işlemleri yaparlar. sistemleri yapılandırma, işlemleri veya komut dosyalarını yürütme, görevleri otomatikleştirme… Ancak normalde WMI bu işlemleri gerçekleştirmek için tasarlanmış olsa da, saldırganlar ve hacker grupları tarafından…

Read more

Hepinize selamlar, bu makalemde sizlere saldırganların hedef sistemlerde kalıcılık sağlamak için kullandıkları, MITRE ATT&CK matrisinde T1547.001 ATT&CK ID’sine karşılık gelen Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder tekniğini anlatmaya çalışacağım. Saldırganlar sistemlerde ilk erişimlerini sağladıktan sonra, sistemler üzerine erişimlerini devam ettirebilmek için kendilerini koruma altına almak isterler. Kısacası sistemler üzerinde kalıcılıklarını devam ettirmeyi amaçlarlar. Persistence (kalıcılık) Kalıcılık, saldırgan kişi ya da grupların hedef sistemlere initial access (ilk erişim) sağladıktan sonra erişimlerinin kesintiye uğramasını engellemek için kullandıkları yöntemler olarak adlandırılmaktadır. Hedef sistemlerde persistence(kalıcılık) sağlamak için kullanılan yöntemleri araştırdığınız zaman çok fazla teknik olduğunu göreceksiniz. Bunun için MITRE ATT&CK sayfasını ziyaret ederek detaylı araştırmalar yapabilirsiniz.   Registry Run Keys / Startup Folder Registry ve Startup Folder, saldırganlar tarafından kalıcılık sağlanmak için kullanılan eski ama en etkili yöntemlerden biridir. Run Key’lere yeni bir giriş eklemek veya Startup Folder içeriğine bir kısayol oluşturmak kullanıcı oturum açtığında kötü amaçlı kodlarımızı çalıştırmamız…

Read more

1,

Hello everyone, in this article I will give you information about the Task Scheduler, which was created to ensure persistence on Windows Systems. Let’s start. 🙂 Scheduled Tasks are available on all Windows operating systems. It is simple to use and most users are not aware of the existence of scheduled tasks. Therefore, it is a very good weapon for attackers. Most people working in this field do not know which applications are normal or abnormal when loading operating systems. Task Scheduled  Scheduled tasks keep a task or job running periodically. Or a command to be executed when certain events occur are program files. For example; “Run every time the computer boots up.” or “Run at 8:00 every Monday. Users such as system administrators use scheduled tasks to automatically create and run tasks. Ensuring persistence in the target system is the most important goal of the enemies. If the attackers…

Read more

Hepinize selamlar. 🙂 Bu makalemde sizlere Eric Conrad‘ın geliştirmiş olduğu DeepBlueCLI modülünü kullanarak Tehdit Avcılığı uygulaması yapacağım. DeepBlueCLI , Windows’ta (PowerShell modülü) veya  ELK’da (Elasticsearch) Windows olay günlüklerini otomatik olarak ayrıştırmak ve Windows Olay Günlükleri aracılığıyla Tehdit Avcılığı yapabilmek için kullanılan bir PowerShell modülüdür. İlk olarak sistemimizde terminal açarak başlıyoruz. Ardından DeepBlueCLI modülümüzün olduğu konuma gidiyoruz. C:\tools>cd \tools\DeepBlueCLI-master DeepBlueCLI bir Powershell modülüdür, bu nedenle ilk olarak bu modülü başlatmamız gerekiyor. Bunun için de aşağıdaki komutu kullanıyoruz. C:\tools\DeepBlueCLI-master>powershell Bu aracı, herhangi bir güvenlik duvarı ya da antivirüs engeli olmadan çalıştırmak için şu komutu çalıştırmamız gerekmektedir. Daha fazla bilgi için  Set-Execution Policy Readme  inceleyebilirsiniz. PS C:\tools\DeepBlueCLI-master> Set-ExecutionPolicy unrestricted Saldırganların ele geçirdikleri sistemlerde yaygın olarak kullandıkları yöntemlerden bir tanesi de sistemlere kullanıcı eklemektir.  Bu sayede sistemlere zararlı yazılımlarla sağlamayacakları bir kalıcılık sağlamaktadır. Şimdi yeni bir kullanıcı eklemek için .evtx dosyalarını bir kontrol edelim. C:\tools\DeepBlueCLI-master>.\DeepBlue.ps1 .\evtx\new-user-security.evtx   Çok az SIEM tarafından tespit edilen diğer…

Read more

  Herkese Selamlar. 🙂 Bu makalemde sizlere, e-posta başlık alanlarını ve adli bilişim açısından öneminden bahsetmeye çalıştım. Gmail, e-posta başlıklarını görüntülenmesi ve analizinin yapılmasını adım adım anlatmaya çalıştım. E-postaları kullanarak siber saldırı yapmak isteyen saldırganlar ve suçlarla alakalı vakaları araştırmak için uzmanlar ilgili olan e-postaları tararlar.  Saldırganlar tespit edilmekten kaçınmak için sahte mesajlar oluşturduğundan, uzmanlar önemli kanıtları çıkarmak ve toplamak için e-posta başlığı analizi yapmalıdır. E-posta başlıkları, mesajın hedefine ulaşmadan önce geçtiği yolun önemli bilgilerini içerisinde barındırır. Bu bilgiler, alıcıların ve gönderenlerin adlarını, e-posta mesajı gönderme/alma zamanını, e-posta istemcisini, internet servis sağlayıcısını (ISS), gönderenin IP adresini vb. içerir. Bu bilgiler ve diğer e-posta başlık alanları, e-posta iletisinin içeriğini belirlemede yardımcı olabilir. E-posta Başlıkları nelerdir? E-posta başlığı gönderilen e-postanın gövdesini oluşturan iletimin temel bir parçasıdır. Bu temel içeriğin önünde gönderen, alıcı, konu satırı ve tarih gibi bilgileri içeren başlık  satırları bulunur. Bu bilgi parçaları e-posta istemcisi tarafından ayrıştırılır ve mesajın içeriğini…

Read more

Hepinize Selamlar. 🙂 Yeni makalemde sizlere PowerShell kullanılarak çalıştırılan komutların nerede tutulduğu ve nasıl görüntülenebileceği hakkında bilgi aktaracağım. Devamında ise kullandığınız sistem üzerinde tutulan logların PowerShell kullanılarak görüntülenmesi ve nasıl daha anlaşılır olabileceğinden bahsedeceğim. PowerShell Geçmiş Kayıtları PowerShell kullanılarak çalıştırılan komutlar delil niteliği taşımaktadır. Bu nedenle PowerShell üzerinde çalıştırılan komutların incelenmesi ve araştırılması önemli bir husustur. Bu komutlar kullanılarak bir saldırgan sisteminize sızmış mı? Eğer sızmışsa bu saldırganların içerde neler yaptığını herhangi bir zararlı yazılım çalıştırıp çalıştırmadığını, yeni bir kullanıcı oluşturulmuş mu ya da yetkilendirme yapılmış mı gibi bir çok soruya ve cevaba buradan ulaşabilmektedir. PowerShell istenilen logları elde etme ve inceleme sürecini kolaylaştırabilecek “Get-EventLog” komutu yer almaktadır. PowerShell üzerinde çalıştırılan komutlar “.txt” uzantılı olarak aşağıdaki konumunda bulunmaktadır. İçeriğine göz atabilirsiniz. Konum: C:\Users\User\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt Altında geçmiş PowerShell kayıtları tutulmaktadır.   Powershell ile Logların İncelenmesi PowerShell log inceleme süreçlerinde Get-Eventlog komutu kullanılmaktadır. İlk olarak “List” parametresi ile loglar ve kayıt sayıları görüntülenebilmektedir.…

Read more

39,

Hepinize Merhabalar. 🙂 Bu makalemde sizlere “MFT nasıl parse edilir?” konusundan bahsedeceğim. MFT kayıtlarını parse edebilmek için kullanılan bir çok araç mevcuttur. Ben bu makalemde MFT parse işlemini gerçekleştirirken üç tane araç kullandım. FTKImager: Bu araç Adli Bilişim açısından bir çok farklı nedenle ve amaçla kullanılabilmektedir. Benim buradaki kullanma amacım ilk olarak bilgisayarımın sabit disklerinden birini içeri aktaracağım. Daha sonrasında da buradan $MFT kaydını bir klasöre çıkaracağım. MFTECmd.exe: İkinci olarak EricZimmerman‘ın Github adresinde bulunan MFTECmd.exe aracını kullanacağım. Bu araç ile klasöre çıkarmış olduğum $MFT kaydını parse etmek için kullanacağım. Ayrıca EricZimmerman’ın Github hesabında bu alanda kullanılan bir çok araç bulunmaktadır. Timeline Explorer: MFT parse işlemini yaptıktan sonra Excel kullanarak inceleme yapmak yerine bu aracı kullanarak daha düzenli inceleme, daha hızlı arama ve daha hızlı indexleme işlemi yapabilirsiniz.   $MFT Parse İşlemi  İlk olarak yapmamız gereken şey Gizlilik ayarlarını açmak olacaktır. Bunun için klasörler üzerinde “görünüm>seçenekler” kısmına gidiyoruz. Daha sonra açılan…

Read more

46,

Adli bilişim alanında herhangi bir suçu ya da olayı tespit etmek için disk analizi yapılmaktadır. Daha önceki makalelerimde bahsettiğim dosya sistemleri kısmında bir çok farklı dosya sistemi olduğunu öğrendik. Farklı dosya sistemi olmasının yanında bu farklı dosya sistemlerinin analiz yöntemleri de farklı olmaktadır. Bu makalemde NTFS dosya sistemi içerisinde yer alan MFT(Master File Table)’nin adli bilişim açısından önemine ve analizi kısımlarına değineceğim. MFT(Master File Table) MFT İşletim sistemleri üzerinde oluşturulan tüm dosyalar için kendi içerisinde bir kayıt barındırmaktadır. MFT, NTFS dosyasının temelini oluşturur ve NTFS’in kalbi olarak bilinmektedir. Daha anlaşılır olabilmesi için şu şekilde anlatabilirim; Örneğin işletim sistemi üzerinde yeni oluşturulan herhangi bir dosya(kadir.txt, rapor.docx, foto.jpeg…) için MFT üzerinde bir kayıt açılır. Ve bu oluşturulan dosyalar buraya kayıt edilir. İstenilen yani talep edilen dosyaların kullanıcılara sunulması için yerlerinin belirli olması gerekmektedir. MFT ise bu dosyaları kendi üzerine kayıt ediyor ve istenilen yanıtı bizlere getiriyor. MFT tablosu üzerinde yer alan dosyaların…

Read more

10/14