Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
OĞUZCAN PAMUK
SYSINTERNALS ARAÇLARI İLE
SİBER TEHDİT AVCILIĞI
AJANDA
▸ Zararlı yazılım nedir ?
▸ Zararlı yazılım nasıl bulaşabilir ?
▸ Analiz türleri
▸ Dinamik zararlı yazılım analizin...
ZARARLI YAZILIM NEDİR ?
▸ Zararlı yazılım; bilgisayar sistemlerine sızmak yada zarar
vermek amacıyla kullanılan her türlü ...
ZARARLI YAZILIM BULAŞMA YOLLARI
▸ Mail yoluyla gönderilen pdf,exe,py,sh gibi farklı dosyaların
indirilip açılması (sosyal ...
ZARARLI YAZILIM ANALİZ TEKNİKLERİ
▸ Statik analiz
Kod seviyesinde yapılan analiz (disassembler)
▸ Dinamik analiz
Davranış ...
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR)
▸ Windows işletim sistemi üzerinde çalışır
▸ Dinamik zararlı yaz...
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR)
▸ Hangi bilgileri edinebiliriz ?
Process creations
File modificat...
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KURULUMU
▸ https://technet.microsoft.com/en-us/sysinternals/sysmon
▸ Basit Kurulu...
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KONFİGÜRASYON ÖRNEĞİ
<Sysmon schemaversion="3.20">
<HashAlgorithms>MD5,SHA1,SHA25...
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON
DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS CREATE
DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS TERMINATE
DİNAMİK ZARARLI YAZILIM ANALİZİ - PARENT / CHILD PROCESS
TEMEL SEVİYEDE ÖRNEKLER
ÖRNEK 1 - TANIM
▸ X şirketinde, çalışanlardan biri internet üzerinde arama
yaparken bir word (Office uygulaması) dosyası in...
ÖRNEK 2 - TANIM
▸ Y şirketinde çalışan güvenlik görevlisi mesai saatleri
dışında kendine tahsis edilen bilgisayarı kullana...
ÖRNEK 3 - TANIM
▸ Z kurumsal şirketinde çalışan biri, kurumsal e-posta
adresini kullanarak, yeni bir sosyal medya hesabı a...
SORULARINIZ ?
Upcoming SlideShare
Loading in …5
×

Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)

911 views

Published on

Gebze Teknik Üniversitesi Bilgisayar Mühendisliği Topluluğunun düzenlemiş olduğu etkinlikte yapmış olduğum sunumdur.

Published in: Engineering
  • Hello! Who wants to chat with me? Nu photos with me here http://bit.ly/helenswee
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)

  1. 1. OĞUZCAN PAMUK SYSINTERNALS ARAÇLARI İLE SİBER TEHDİT AVCILIĞI
  2. 2. AJANDA ▸ Zararlı yazılım nedir ? ▸ Zararlı yazılım nasıl bulaşabilir ? ▸ Analiz türleri ▸ Dinamik zararlı yazılım analizine giriş ▸ Sysmon nedir ? Nasıl kullanılır ? ▸ Temel seviyede örnekler
  3. 3. ZARARLI YAZILIM NEDİR ? ▸ Zararlı yazılım; bilgisayar sistemlerine sızmak yada zarar vermek amacıyla kullanılan her türlü yazılım ürünüdür. ▸ Karmaşık yada basit kodlar halinde bulunabilirler. ▸ Farklı türde birçok dosya yoluyla bulaşabilir ve yayılabilirler.
  4. 4. ZARARLI YAZILIM BULAŞMA YOLLARI ▸ Mail yoluyla gönderilen pdf,exe,py,sh gibi farklı dosyaların indirilip açılması (sosyal mühendislik) ▸ Pdf dosyasına gömülen zararlı javascript kodları ▸ Office dökümanlarına gömülen makro yazılımları ▸ Dosya paylaşımları ▸ Tarayıcı eklentileri
  5. 5. ZARARLI YAZILIM ANALİZ TEKNİKLERİ ▸ Statik analiz Kod seviyesinde yapılan analiz (disassembler) ▸ Dinamik analiz Davranış analizi
  6. 6. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR) ▸ Windows işletim sistemi üzerinde çalışır ▸ Dinamik zararlı yazılım analizinde kullanılır ▸ Loglara nasıl ulaşabiliriz ? Windows Event Viewer - Microsoft / Sysmon / Operational
  7. 7. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR) ▸ Hangi bilgileri edinebiliriz ? Process creations File modifications Network connections Process hash value Parent - child process
  8. 8. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KURULUMU ▸ https://technet.microsoft.com/en-us/sysinternals/sysmon ▸ Basit Kurulum : Sysmon.exe -i ▸ Konfigürasyon : Sysmon.exe -c conf.xml ▸ Sysmon servisinin çalıştığının kontrolü yapılmalıdır
  9. 9. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KONFİGÜRASYON ÖRNEĞİ <Sysmon schemaversion="3.20"> <HashAlgorithms>MD5,SHA1,SHA256</HashAlgorithms> <EventFiltering> <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <ProcessCreate onmatch="exclude"> <Image condition="contains">splunk</Image> <Image condition="contains">nxlog</Image> </ProcessCreate> <NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> <Image condition="contains">cmd.exe</Image> <Image condition="contains">powershell</Image> </NetworkConnect> </EventFiltering> </Sysmon>
  10. 10. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON
  11. 11. DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS CREATE
  12. 12. DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS TERMINATE
  13. 13. DİNAMİK ZARARLI YAZILIM ANALİZİ - PARENT / CHILD PROCESS
  14. 14. TEMEL SEVİYEDE ÖRNEKLER
  15. 15. ÖRNEK 1 - TANIM ▸ X şirketinde, çalışanlardan biri internet üzerinde arama yaparken bir word (Office uygulaması) dosyası indirir ve onu çalıştırır. Şirketin siber güvenlik birimi Sysmon üzerinde office protokolünün yeni ve tanımlanamayan bir process ürettiğini görür ve bu durumu yorumlamaya çalışır. ▸ Muhtemel sorular; Office dökümanının yeni bir process oluşturması normal midir ? Oluşan bu process makine üzerinde ne gibi bir işlem gerçekleştirmektedir ?
  16. 16. ÖRNEK 2 - TANIM ▸ Y şirketinde çalışan güvenlik görevlisi mesai saatleri dışında kendine tahsis edilen bilgisayarı kullanarak, yasal olmayan bir web sitesinden süper lig maçı izlemek ister. Fakat bu yasal olmayan web sitesine girmeye çalıştığında, site üzerinden anlamlandırılamayan bir dosya iner. Görevli dosyanın ne olduğunu merak eder ve bu dosyaya tıklar. Nöbetçi olarak bekleyen siber güvenlik analisti Sysmon üzerinden bir betik process’inin işletim sisteminde .encrypted uzantılı yeni dosyalar oluşturduğunu görür. ▸ Bu zararlı yazılım ne gibi bir işleve sahip olabilir ?
  17. 17. ÖRNEK 3 - TANIM ▸ Z kurumsal şirketinde çalışan biri, kurumsal e-posta adresini kullanarak, yeni bir sosyal medya hesabı açar. Hacker ise bu sosyal medya üzerinden kişinin e-posta adresine ve mesleğine ulaşır. Bu bilgileri kullanarak e- posta adresine sosyal mühendislik tekniklerini kullanarak yeni bir e-posta gönderir. E-posta içeriğini gören çalışan, durumu anlamaz ve ekte bulunan betiği çalıştırır. Çalışan betik yeni bir Scheduled Task oluşturur. ▸ Bu zararlı yazılımın amacı ne olabilir ? Tartışalım.
  18. 18. SORULARINIZ ?

×