DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
Yasal sorumluklardan dolayı ve güvenlik analizleri için ağ yöneticilerine, belirli tarihte bir IP adresini kimin kullandığı sorusu sık sık sorulur. Eğer bütün kullanıcılar bir hotpot/Proxy/Captive Portal kullanılıyorsa bu soruya cevap vermek kolaydır. Ama kullanılmayan durumlarda diğer yöntemlerden faydalanmak gerekir. Burada 802.1x Ağ Kimlik Denetimi Protokolü ve MAC adresi temelli kimlik denetimi devreye girer. 802.1x kimlik denetimi protokolü OSI’ye göre ikinci katman protokolüdür ve oluşan logda sadece MAC bilgisi bulunur dolayısı ile başka bir networke taşınmaz ayrıca soru IP adresini kim kullandı şeklindedir. MAC adresi temelli kimlik denetimi ise pratikte uygulaması imkansızdır. Mesela MAC adresi değiştiren programlar vs.. . Bu durumda MAC ve IP arasındaki ilişkileri her durumda alıp otomatik korelasyona tabi tutan bir sistem gerekmektedir. Bunun da yolu DHCP Sunucu loğları ile gatewaylerdeki ARP tablosunu takip edip sonuçları korele etmektir.
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
Linux Yaz Kampı 2014 bünyesinde gittiğim Web Uygulam Güvenliği Ve Güvenli Kod Geliştirme Notlarımı içermektedir.
En güncel hali her zaman Github üzerinde olacaktır. En sağlıklısı ordan edinmeniz olur.
Github repo linki: https://github.com/1zinnur9/wGuvenlik_LYK14
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit AşamasıPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Kitabımızın son 4 bölümünü içermektedir.
BÖLÜM 4: MALWARE TEMEL DİNAMİK ANALİZ
• Backdoor Temel Dinamik Analiz
• Kalıcı Meterpreter Dinamik Analiz
• Keylogger Temel Dinamik Analiz
• Reverse Shell Temel Dinamik Analiz
• PMA Lab 03-01 Temel Dinamik Analiz
• PMA Lab 03-02 Temel Dinamik Analiz
• PMA Lab 03-03 Temel Dinamik Analiz
• PMA Lab 03-04 Temel Dinamik Analiz
BÖLÜM 5: ASSEMBLY
• Register Kod Yapısı
• Veri Aktarım Komutları
• Adresleme Modları
• Veri Tanımlamaları
• Kontrol Yapıları ve Döngüler
• String İşlemleri
• Aritmetik Mantık Komutları
• İşletim Sistemi ve BIOS İlişkisi
• Ekran ve Klavye İşlemleri
• Temel Giriş ve Çıkış Teknikleri
• Alt Programlarla Bağlantı Kurma
• Kaydırma ve Yönlendirme İşlemleri
• Aritmetik İşlemler
• Diziler
• Klasör ve Dosya İşlemleri
BÖLÜM 6: İLERİ SEVİYE MALWARE ANALİZ
• IDA ile Disassembly
• Backdoor İleri Seviye Malware Analiz
• IDA Pro ile Keylogger Analiz
• PMA Lab 07-01 Analiz
• PMA Lab 07-02 Analiz
• PMA Lab 07-03 Analiz
• PMA Lab 09-01 Analiz
• PMA Lab 09-02 Analiz
• PMA Lab 09-03 Analiz
BÖLÜM 7: BELLEK DÖKÜM ANALİZİ
• PMA Lab 03-01 Bellek Döküm Analizi
• PMA Lab 03-03 Bellek Döküm Analizi
Kitabımızın ilk 3 bölümünü içermektedir.
BÖLÜM 1: NETWORK FORENSİC
• Port Tarama Trafik Paket Analizi
• Host Keşif Trafik Analizi
• Ağ Trafiğinde Dosya Türleri Tespiti
• HTTP Trafiğinde Filtreler
• HTTP Brute Force Saldırı Analizi
• MITM Saldırı Analizi
• MYSQL Brute Force Saldırı Analizi
• SQL Injection Saldırı Analizi
• Yerel Ağ Sızma Testi Analizi
• Zararlı Dosya Transfer Analizi
• Web Shell Tespiti
BÖLÜM 2: MALWARE KAYNAK KOD ANALİZ
• C Keylogger Kaynak Kod Analizi
• C Reverse Shell Kaynak Kod Analizi
• Python Keylogger Kaynak Kod Analizi
• Python Reverse Shell Kaynak Kod Analizi
BÖLÜM 3: MALWARE TEMEL STATİK ANALİZ
• C Keylogger Temel Statik Analiz
• C Reverse Shell Temel Statik Analiz
• Python Reverse Shell Temel Statik Analiz
• Temel Statik Malware Analiz Teknikleri
• PMA Lab 01-04 Temel Statik Analizi
• PMA Lab 01-02 Temel Statik Analizi
• PMA Lab 01-03 Temel D-Statik Analizi
Web Uygulama Güvenliği Ve Güvenli Kod Geliştirme Eğitim NotlarımNur Yesilyurt
Linux Yaz Kampı 2014 bünyesinde gittiğim Web Uygulam Güvenliği Ve Güvenli Kod Geliştirme Notlarımı içermektedir.
En güncel hali her zaman Github üzerinde olacaktır. En sağlıklısı ordan edinmeniz olur.
Github repo linki: https://github.com/1zinnur9/wGuvenlik_LYK14
Beyaz Şapkalı Hacker CEH Eğitimi - Post Exploit AşamasıPRISMA CSI
Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.
PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
Bu sunum web uygulamalarının kritikliği ne kadar düşük olursa olsun uygulama açıklıklarının sistem ve ağ güvenliğini tehdit edebileceğini göstermektedir.
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSparta Bilişim
Siber Güvenlik Eğitimi, kurumunuza özel veya genele açık olarak düzenlenebilen bir Sparta Bilişim hizmetidir.
Yöneticiler, IT (Bilgi Teknolojileri) personeli, güvenlik uzmanları ya da kuruluş çalışanlarının tümü için tercih edilebilecek farklı kapsam, süre ve fayda sunan 22 farklı eğitim başlığımız bulunmaktadır.
Bu dokümanda Sparta Bilişim olarak vermekte olduğumuz siber güvenlik eğitimlerinin genel amacı ve eğitim içerikleri yer almaktadır.
SPARTA BİLİŞİM siber güvenlik konusunda ihtiyaç duyduğunuz profesyonel hizmetleri sunmak amacıyla 2013 yılından beri sizinle. Bugüne kadar 300’ün üzerinde kuruluşa sızma testi yaptık, olay müdahalesi gerçekleştirdik, danışmanlık yaptık. 4 kıtada, toplamda yüzlerce kişiye eğitimler verdik. İşbirliği yaptığımız kuruluşların mevcut bilgi teknolojileri ve bilgi güvenliği ekiplerinin bir uzantısı gibi çalışmaya özen gösterdik. Ve güvenliğinizi koruyabilmek için her zaman sizden biri olduk…
Kitabımızın son 4 bölümünü içermektedir.
BÖLÜM 4: MALWARE TEMEL DİNAMİK ANALİZ
• Backdoor Temel Dinamik Analiz
• Kalıcı Meterpreter Dinamik Analiz
• Keylogger Temel Dinamik Analiz
• Reverse Shell Temel Dinamik Analiz
• PMA Lab 03-01 Temel Dinamik Analiz
• PMA Lab 03-02 Temel Dinamik Analiz
• PMA Lab 03-03 Temel Dinamik Analiz
• PMA Lab 03-04 Temel Dinamik Analiz
BÖLÜM 5: ASSEMBLY
• Register Kod Yapısı
• Veri Aktarım Komutları
• Adresleme Modları
• Veri Tanımlamaları
• Kontrol Yapıları ve Döngüler
• String İşlemleri
• Aritmetik Mantık Komutları
• İşletim Sistemi ve BIOS İlişkisi
• Ekran ve Klavye İşlemleri
• Temel Giriş ve Çıkış Teknikleri
• Alt Programlarla Bağlantı Kurma
• Kaydırma ve Yönlendirme İşlemleri
• Aritmetik İşlemler
• Diziler
• Klasör ve Dosya İşlemleri
BÖLÜM 6: İLERİ SEVİYE MALWARE ANALİZ
• IDA ile Disassembly
• Backdoor İleri Seviye Malware Analiz
• IDA Pro ile Keylogger Analiz
• PMA Lab 07-01 Analiz
• PMA Lab 07-02 Analiz
• PMA Lab 07-03 Analiz
• PMA Lab 09-01 Analiz
• PMA Lab 09-02 Analiz
• PMA Lab 09-03 Analiz
BÖLÜM 7: BELLEK DÖKÜM ANALİZİ
• PMA Lab 03-01 Bellek Döküm Analizi
• PMA Lab 03-03 Bellek Döküm Analizi
Kitabımızın ilk 3 bölümünü içermektedir.
BÖLÜM 1: NETWORK FORENSİC
• Port Tarama Trafik Paket Analizi
• Host Keşif Trafik Analizi
• Ağ Trafiğinde Dosya Türleri Tespiti
• HTTP Trafiğinde Filtreler
• HTTP Brute Force Saldırı Analizi
• MITM Saldırı Analizi
• MYSQL Brute Force Saldırı Analizi
• SQL Injection Saldırı Analizi
• Yerel Ağ Sızma Testi Analizi
• Zararlı Dosya Transfer Analizi
• Web Shell Tespiti
BÖLÜM 2: MALWARE KAYNAK KOD ANALİZ
• C Keylogger Kaynak Kod Analizi
• C Reverse Shell Kaynak Kod Analizi
• Python Keylogger Kaynak Kod Analizi
• Python Reverse Shell Kaynak Kod Analizi
BÖLÜM 3: MALWARE TEMEL STATİK ANALİZ
• C Keylogger Temel Statik Analiz
• C Reverse Shell Temel Statik Analiz
• Python Reverse Shell Temel Statik Analiz
• Temel Statik Malware Analiz Teknikleri
• PMA Lab 01-04 Temel Statik Analizi
• PMA Lab 01-02 Temel Statik Analizi
• PMA Lab 01-03 Temel D-Statik Analizi
Malware is Called Malicious for a Reason: The Risks of Weaponizing CodeStephen Cobb
Slideshare friendly version of presentation delivered at 6th Annual Conference on Cyber Conflict, NATO Cooperative Cyber Defence Centre of Excellence, Tallinn, Estonia (there are no builds in the slides, use the other version if you want to download .pptx).
The mobile health IT security challenge: way bigger than HIPAA?Stephen Cobb
The potential benefits of mobile medical technology and telemedicine are enormous, from better quality of life to saving lives, not to mention controlling healthcare costs. Yet keeping data safe when it is beyond the confines of hospitals and clinics is a serious challenge, one that cannot be met merely through regulatory compliance. In these slides I show why HIPAA compliant is not the same as being secure, and why protecting health data on mobile devices is a such a big security challenge.
Malware and the risks of weaponizing codeStephen Cobb
Slides based on a paper by Andrew Lee and Stephen Cobb of ESET, delivered at the 6th Annual Conference on Cyber Conflict, NATO Cooperative Cyber Defence Centre of Excellence, Tallinn, Estonia. June 2014.
This slide provides details about cyber security as following;
what is cyber security or computer security?
why cyber security is important?
what is cyber crime?
cyber security problems,
how to prevent from cyber crime?
global scenario of cyber crime?
organisation in world for cyber security,
top companies in cyber security,
career choice in cyber security,
scope of cyber security.
HIPAA, Privacy, Security, and Good BusinessStephen Cobb
HIPAA's implications for privacy and security practices in American businesses, addressed in March of 2001 at the Employers' Summit on Health Care, by Stephen Cobb, CISSP. Uploaded in 2014 for the historical record.
Using Technology and People to Improve your Threat Resistance and Cyber SecurityStephen Cobb
A presentation delivered at the 2014 meeting of the Municipal Information Systems Association of California. Includes suggestions for security awareness programs.
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriSparta Bilişim
Çalıştığınız veya sahibi olduğunuz kuruluşu son teknoloji güvenlik önlemleri, en son çıkan anti-malware ve anti-virüs programları, görüntüleme araçları ve benzerleri ile büyük yatırımlar yaparak donatmış olabilirsiniz ancak bu risk altında olmadığınız veya çalışan olarak kuruluşunuzu risk altında bırakmadığınız anlamına gelmiyor.
Sıklıkla belirttiğimiz gibi: Çalışanlar güvenlik zincirindeki en zayıf halka.
Doğru bir eğitim ve motivasyon ile, çalışanların oltalama saldırılarından ve parola çaldırma olaylarından kurtulabileceğini de her fırsatta vurgulamaya çalışıyoruz.
Kuruluş çalışanlarınız için siber güvenlik önerileri dosyası ile önemli gördüğümüz başlıkları bu dosyada toplamaya çalıştık.
Bunları ufak broşürler veya kısa toplantılar ile tüm çalışanlara (yönetim kurulundan, karşılama bankosundaki görevlilere kadar) iletmek kuruluş açısından küçük, siber güvenliğiniz açısından büyük bir adım olacaktır.
Bu dosya içerisinde bulabileceğiniz başlıklar:
- Parola Seçimleri
- Oltalama Saldırıları
- Hedefli Oltalama ve Sosyal Mühendislik Saldırıları
- Kaybolan ve Çalınan Cihazlar
- Wi-Fi ve Bluetooth
- VPN Kullanımı
- USB Kullanmayın, Kullandırmayın
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıSparta Bilişim
Bilişim Teknolojileri alt yapısının güvenliğini sağlamak karmaşık ve genellikle tecrübeli siber güvenlik uzmanlarını ilgilendiren bir konu. Ancak günümüzde ağ güvenliğinin sağlanabilmesi için çok daha fazla kişinin ağ yapısının bileşenlerini anlamaya ihtiyacı oluyor. Bu “Ağ Güvenliği Raporu”nu oluştururken elimizden geldiğince tüm bilişim teknolojisi çalışanlarına ve sistem yöneticilerine uygun bir çalışma ile karşılaşılan riskler konusunda bilgi vermeye ve farkındalık yaratmaya çalıştık.
Cyber Kill Chain includes 7 stages that are Reconnaissance, Weaponization, Delivery, Exploitation, Installation, C2 and Actions on Objectives.
Askeri anlamda, "Kill Chain" bir saldırının aşamalarını tanımlayan ve bu saldırıyı gerçekleştirmek/önlemek amacıyla çeşitli yöntemlerin geliştirilmesine yarayan bir modeldir.
Lockheed Martin, Kill Chain modelini siber güvenlik olaylarının analizi ve iyileştirme önlemleri belirleme amacıyla uyarlayarak Cyber Kill Chain modelini oluşturmuştur.
Son yıllarda yaygın olarak kullanılan bu modelde,
siber saldırılar yedi adımda modellenmiştir,
kurumların her bir aşamada siber saldırıları tespit etme ve engelleme için yapabilecekleri tartışılmaktadır.
Cyber Kill Chain model 7 aşamadan oluşmaktadır. Bu aşamalar: Keşif, Silahlanma, İletme, Sömürme, Yükleme, Komuta Kontrol, Eyleme Geçme.
Mercure SPM (Security Process Management)
This is the world's first security management system developed by UITSEC. It allows the detection of errors or conflict of interests that may occur and aims to automatically manage all safety procedures within an organization with its comprehensive and manageable structure. It aims to cover everyone from vice president to IT Manager, security experts to outsource companies by combining the information security, IT security, governance, cyber security and service level - service management.
Name / Surname
5. PowerShell Nedir?
Windows PowerShell, Microsoft tarafından
Windows komut satırı Cmd.exe ve Windows
Script Host'a alternatif olarak geliştirilen yeni
nesil bir komut satırı uygulamasıdır.
Windows PowerShell 1.0 sürümü Windows XP,
Windows Server 2003 ve Windows Vista için
ücretsiz olarak indirilebilmektedir.
Windows 7'den itibaren Windows PowerShell
2.0 işletim sistemi ile beraber gelmektedir.
Yan taraftaki tabloda PowerShell sürümlerini
işletim sistemleri bazında görebilirsiniz.
7. Deep in Thought: Chinese Targeting of
National Security Think Tanks
Çin hükümeti destekli en gelişmiş siber saldırı ekibi olan DEEP PANDA ele geçirdikleri sisteme zamanlanmış görev olarak
Powershell.exe’yi ekliyorlar.
Base64 olarak encode edilmiş kod parçası C&C sunucularından çalıştırılabilir zararlı kodu indirip hafızadan çalıştırıyor.
Diğer sistemlere bu PowerShell scriptini WMI üzerinden kopyalıyorlar. Bütün bu işlemlerde standart Windows araçlarını
ve sistemlerde geçerli kullanıcı hesaplarını kullanıyorlar.
10. PowerShell İzleri – Event Logs
Saldırganların Powershellkullanarak neler yaptıklarını tam olarak öğrenememizintemel
sebeplerin başında ilgili sistemler üzerinde yeteri seviyede loglamanınyapılmaması geliyor.
Windows Server 2012R2 ile birlikte Process Trackingaudit altında yeni bir group policyayarı
geldi ve bu ayar sayesinde ilgili prosesin tam komut satırı detayları loglanabiliyor.
Bu ayar ilk çıktığında sadece Windows 8.1 ve Server 2012R2 sistemlerinde uygulanabilirken
sonrasında çıkan yamaların yardımıyla Windows 7 ve sonrası işletim sistemlerinde de
kullanılabilir duruma geldi.
Bu ayarın aktif olması için Audit Policytanımlarında Process Tracking’in de aktif edilmiş olması
gerekiyor.
Bu tanımlardan sonra ilgili sistem üzerinde oluşturulan her proses için Event ID değeri 4688 olan
bir log kaydı Security loglarına düşer.
11. PowerShell İzleri – Event Logs
Audit Process Creation
1
Oluşturulan her bir prosese ilişkin
detayların Security loglarında yer
almasını sağlayan Audit politikası
12. PowerShell İzleri – Event Logs
Include Command Line In Process Creation Events
2
3
Oluşturulan prosesin komut
satırından aldığı parametreler de
loglanabiliyor
13. PowerShell İzleri – Event Logs
Yerelden olsun uzaktan olsun PowerShellüzerinden bir komut yada script
çalıştırılması durumunda aşağıdaki üç log dosyasında bu işlemle alakalı kayıtlar
oluşturulabilir.
◦ • Windows PowerShell.evtx
◦ • Microsoft-Windows-PowerShell-Operational.evtx
◦ • Microsoft-Windows-PowerShell-Analytic.etl
Aşağıdaki iki log dosyasında ise Windows Remote Management (WinRM) servisi
üzerinden gerçekleştirilen PowerShell aktivitelerine ait bilgiler yer alır.
◦ • Microsoft-Windows-WinRM-Operational.evtx
◦ • Microsoft-Windows-WinRM-Analytic.etl
14. PowerShell İzleri – Event Logs
Windows PowerShell.evtx
Bu log dosyasında PowerShell her başlatıldığında ve
sonlandırıldığında bir kayıt oluşturulur.
◦ Event ID 400: “Engine state is changed from None to
Available.”
◦ Event ID 403: “Engine state is changed from Available to
Stopped.”
◦ Event ID 600: “Provider "<provider name>" is <state>”
Bu kayıtların hiç birinde ilgili eylemi gerçekleştiren
kullanıcı hesabı hakkında bilgi yer almaz.
Analiz sırasında bu kayıtlar incelenerek PowerShell
üzerinden gerçekleştirilen saldırının ne kadar sürdüğü ve
yerel mi uzaktan mı gerçekleştirildiği gibi bilgilere
ulaşılabilir.
15. PowerShell İzleri – Event Logs
Microsoft-Windows-PowerShell-Operational.evtx
Bu log dosyasında PowerShell işlemlerinin
operasyonuyla alakalı olaylar saklanır.
◦ Event ID 40961: “PowerShell console is startingup”
◦ Event ID 40962: “PowerShell console is ready for user
input”
Bu kayıtlar yerelden çalıştırılan PowerShell
konsollarının ne zaman başlatıldığını ve ne
zaman kullanıcıdan girdi beklemeye hazır hale
geldiğini gösterir.
Bu iki olayda da eylemi gerçekleştiren kullanıcı
hesabı hakkında bilgi yer alır.
16. PowerShell İzleri – Event Logs
Microsoft-Windows-PowerShell-Analytic.evtx
Varsayılan olarak Analytic ve Debug logları
tutulmaz ve gösterilmez.
Detaylı analytic loglarını görüntülemek için
Event Viewer’daki View menüsünden Show
Analytic and Debug Log seçeneğini
seçmeli.
Ardından Analytic loglarını toplamak
istediğiniz bileşen üzerinde Enable Log
seçeneğini aktif ederek logların
toplanmasını sağlamalısınız.
17. PowerShell İzleri – Event Logs
Microsoft-Windows-PowerShell-Analytic.evtx
Analyticlogları tutulmaya başladıktan sonra aşağıdaki ID’lere sahip kayıtlar üzerinde analiz yapılabilir.
Event ID 32850:Uzaktan komut çalıştırma
işleminin hangi kullanıcı hesabı üzerinden
gerçekleştirildiğini gösterir.
Event ID 32867/32868: Uzaktan çalıştırılan
PowerShell komutunun ve bu komutun çıktısının
(payload) neler olduğunun yer aldığı kayıtlardır.
Decode edildikten sonra çalıştırılan komut ve
çıktıları hakkında bilgi verir.
18. PowerShell İzleri - Prefetch
Prefetch kavramı, uygulamaların daha hızlı açılmasını sağlamak için Windows XP ile birlikte duyurulan bir kavramdır. Sık
kullanılan uygulamaların henüz çalıştırılmadan önce ilgili uygulamanın kodlarının hafızaya yüklenerek ihtiyaç duyulması halinde
hızlıca çalışması esasına dayanır.
Windows tarafından bu uygulamaya ait .PF uzantılı bir prefetch dosyası oluşturulur. Bu dosyalar %windir%Prefetch
klasöründe yer alırlar ve bu dizin altında en fazla 128 dosya yer alabilir.
Bu klasörde yer alan Layout.ini dosyası sistemin açılışı sırasında yüklenen dosyalar ve klasörler hakkında bilgiler içerir.
Prefetch dosyasının kendisi bir binary dosyadır ve uygulamaya ilişkin bilgiler içerir. Bu dosyanın içerisinde uygulamanın en son
ne zaman çalıştırıldığı,kaç kez çalıştırıldığı ve uygulama yüklenirken ilk 10 saniye içinde erişilen diğer dosyaların hangileri
olduğu bilgisi yer alır. Bunun yanında, uygulamanın adı ve uygulama tarafından yüklenen sürücülerin bilgisi de bu dosyanın
içeriğinde bulunur.
Bununla birlikte ilgili prefetch dosyasının oluşturulma zamanına bakarak uygulamanın ilk kez ne zaman çalıştırıldığı bilgisi de
elde edilebilir.
Windows Vista ve sonrasındaki işletim sistemlerinde prefetch dosyalarının biraz daha gelişmiş hali olan superfetch dosyaları
kullanılmaktadır.
19. PowerShell İzleri - Prefetch
Çağrılan PowerShell scriptin ilk 10 saniye içinde yüklenmesi durumunda ilgili script hakkında
bilgilere ulaşılabiliyor. Bununla birlikte PowerShell’in interaktif modda çalıştırılması durumunda
çağırılan script bilgisine prefetch dosyası üzerinden ulaşılamaz.
20. PowerShell İzleri - Registry
Normal şartlarda PowerShell üzerinden gerçekleştirilen saldırılarda registry üzerinde herhangi bir ize
rastlanmaz. Bunun yanında saldırgan tarafından ele geçirilen sistemlerde PowerShell’in çalışmasını etkileyecek
değişiklikler yapılmış olabilir.
PowerShell Execution Policy sayesinde bir sistemde hangi türden PowerShell scriptlerinin çalışabileceği
belirlenir ve saldırganlar tarafından bu ayarlar değiştirilerek ele geçirilen sistemler üzerinde yetkisiz scriptler
çalıştırılabilir.
Windows PowerShell ortamında 5 farklı çalıştırma politikası mevcuttur.
◦ Restricted – Herhangi bir script çalışmaz. Windows PowerShell sadece interaktif modda çalışabilir. Varsayılan olarak
Windows Server 2012 R2 haricindekiler bu modda çalışır.
◦ AllSigned – Sadece güvenilen yayıncılar tarafından imzalanmış scriptler çalışabilir.
◦ RemoteSigned – İndirilen scriptler güvenilen yayıncılar tarafından imzalandıktan sonra çalışabilir. Windows Server 2012 R2
sistemler için varsayılan mod budur.
◦ Unrestricted – Herhangi bir sınırlama olmadan bütün Windows PowerShell scriptleri çalıştırılır. İnternetnet indirilen
scriptler içinse kullanıcının karşısında scripti çalıştırmak için izin isteyen bir ekran çıkar.
◦ Bypass- Herhangi bir sınırlama olmadan bütün Windows PowerShell scriptleri çalıştırılır ve kullanıcılardan herhangi bir onay
istenmez.
21. PowerShell İzleri - Registry
PowerShell Execution Policy ile ilgili ayarlar registry içinde
HKLMSOFTWAREMicrosoftPowerShell1ShellIdsMicrosoft.PowerShellanahtarı altında yer alan
ExecutionPolicy isimli değer altında saklanır. Bu değer beş farklı şekilde yer alabilir. Bunlar
◦ Restricted
◦ AllSigned
◦ RemoteSigned
◦ Unrestricted
◦ Bypass
Bu anahtar saldırgan tarafından PowerShellscriptleri çalıştırılmadan önce değiştirilmiş olabilir ve bu anahtarın
son değiştirilme zamanı saldırının başlangıcı hakkında bize bilgi verebilir.
Hatırlatma! Saldırgan bu ayarı değiştirmeden ilgili PowerShell scriptinin çalıştırırken komut satırına ekleyeceği
ExecutionPolicy Bypass parametresi ile çalıştırma politikasını script bazlı değiştirebilir.
23. PowerShell İzleri - Network
Uzak sistemler üzerinde de PowerShell script çalıştırılabiliyor. (PowerShell Remoting)
PowerShell 2.0 ve sonrasında iletişim için kullanılan iki port var. Bunlar;
◦ 5985 (HTTP)
◦ 5986 (HTTPS)
İki iletişimde de payload şifreli taşınır. HTTPS iletişiminde başlık bilgisi de şifreli taşınır.
HTTP üzerinden gerçekleşmesi durumundabaşlıkbilgisi içinde sadece ilgili komutun hangi
kullanıcı tarafındançalıştırıldığı ve PowerShell sürüm bilgisi yer alır. (NTLMSSP kimlik
doğrulamasındaki Authorizationbaşlığı)
İçerik şifreli taşındığı için ham paket verisi üzerinden analiz yapmak yerine flow üzerinden bir
analiz gerçekleştirip anormallikleri tespit etmek daha doğru bir yaklaşımdır.
24. PowerShell İzleri - Memory
PowerShell üzerinden gerçekleştirilen saldırılarda ilgili sistemin hafızasının imajı alınarak da saldırganın izi
sürülebilir.
Powershell remoting ile uzak sistem üzerinde çalıştırılan scriptler c:windowssystem32wsmprovhost.exe
prosesi tarafından host edilir. Bu prosesten sonra olacaklar çalıştırılacak PowerShell komutuna bağlıdır.
◦ Eğer native cmdlet komutlarından birisi çalıştırılacaksa bu durumda wsmprovhost.exe prosesi üzerinden işlemler
devam eder ayrı bir powershell.exe child prosesi oluşturulmaz. Komut tamamlandıktan sonra da wsmprovhost.exe
prosesi sonlandırılır.
◦ Eğer PowerShell tarafından ayrı bir binary dosya yüklenip çalıştırılacaksa(örneğin diskteki bir çalıştırılabilir dosya) bu
durumda ilgili yeni proses wsmprovhost.exe’nin child prosesi olarak sistemde çalıştırılır. Uygulamanın sonlanması
durumunda wsmprovhost.exe de sonlandırılır.
◦ Eğer komut interaktif bir PowerShell oturumu açacaksa (örneğin Enter-PSSession üzerinden) bu durumda komut
direkt olarak wsmprovhost.exe konteksinde çalışır ve wsmprovhost.exe prosesi PSSession oturumu sonlanınca
sonlanır.
Hafıza imajı alındıktan sonra karakter dizilerini çıkartılıp bu karakter dizileri arasında PowerShell
komutları aranabilir.