SlideShare a Scribd company logo

Siber tehdit avcılığı 1

Kurtuluş Karasu
Kurtuluş Karasu

Siber Tehdit Avcılığı Cyber threat hunting

1 of 22
Siber Tehdit Avcılığı – 1 PsExec
Siber Tehdit Avcılığı ● Siber saldırılar çeşitli yöntemler ve taktikler kullanılarak gerçekleştirilmektedir. ● Herhangi bir siber saldırı durumuyla karşılaştığınızda veya şüphelendiğinizde bir çok noktanın araştırılması gerekmektedir. – Bu tür durumlarda kritik logları kapsamlı bir şekilde analiz ederek siber saldırı durumunun genel resmini olabildiğince doğru tespit etmek gerekir. – Analiz sonucunda iyileştirici tedbirler almak için gerekli olan bilgiler ortaya çıkarılmalıdır.
Siber Tehdit Avcılığı ● Bu dokümanda siber saldırı yöntemleri arasında kullanılan psexec aracını inceleyeceğiz. ● PsExec kullanıldığında – Sunucu tarafından oluşması beklenen loglar nelerdir? – Istemci tarafında oluşması beklenen loglar nelerdir? – Sistemler üzerindeki default ayarlar, oluşması beklenen loglar için yeterli mi? – Değilse? – Yeterli bilgi içeren logları elde etmek için yapılması gereken ayarlar nelerdir?
Siber Tehdit Avcılığı ● Amaç-1: – PsExec aracını kullanan saldırganların arkada bıraktıkları izleri analiz ederek, saldırganların tespit edilmesini sağlamaktır. ● Amaç-2: – Siber olaylara müdahale kapsamında alınan SIEM ürünleri yeterli seviyede kurgulanmadığında, saldırıların tespit edilemeyeceğini göstermek.
PsExec Avcılığı ● Bu çalışma sanal yapıda bulunan Windows 2012R2 Domain controller ve Windows-7 istemciden oluşan bir yapı üzerinde gerçekleştirilmiştir. – Kaynak makine (Source host): Windows-7 – Hedef makine (Destination host): Win2012R2 ● PsExec çalıştırıldığından kaynak ve hedef makine üzerinden oluşan bir takım loglar analiz edilecektir.
Windows-7 Log Analizi Sysmon ● Event ID : 1 (Process Create) – PsExec64.exe – Uzaktan çalıştırılan komut “CommandLine” bölümünde görülmektedir.
Windows-7 Log Analizi Sysmon ● Event ID : 5 (Process Terminated) – PsExec64.exe
Windows-7 Log Analizi Security ● Event ID : 4688 (A new process has been created) ● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde edilebilmektedir.
Windows-7 Log Analizi Security ● Event ID : 4689 (A process has exited) ● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde edilebilmektedir.
Windows-7 Log Analizi Registry ● PsExec kayıt defteri bilgisi ● Bilgisayar üzerinde PsExec daha önce çalıştırılmışsa, kayıt defterinde bir değişiklik görülmeyecektir.
Windows 2012R2 Log analizi Sysmon ● Event ID : 1 (Process Create) ● PsExec hedef makine üzerinde çalıştırdığı process "C:WindowsPSEXESVC.exe" ● Kullanıcı bilgiside görülmektedir.
Windows 2012R2 Log analizi Sysmon ● Event ID : 5 (Process Terminated) ● "C:WindowsPSEXESVC.exe" sonlandırılmıştır.
Windows 2012R2 Log analizi System ● Event ID : 7045 (A service was installed in the system) ● Yüklenen servisin adı ve yerini görebiliyoruz.
Windows 2012R2 Log analizi System ● Event ID : 7036 (The service entered the running state) ● Servis çalışır durumunu gösteren logu görüyoruz.
Windows 2012R2 Log analizi System ● Event ID : 7036 (The service entered the stopped state) ● Servisin durduğunu gösteren logu görüyoruz.
Windows 2012R2 Log analizi Security ● Event ID : 5156 (The Windows Filtering Platform has permitted a connection) ● Port 445 üzerinden bağlantı bilgileri
Windows 2012R2 Log analizi Security ● Event ID : 5156 (The Windows Filtering Platform has permitted a connection) ● Port 135 üzerinden bağlantı bilgileri
Windows 2012R2 Log analizi Security ● Event ID : 5140 (A network share object was accessed) ● Bağlantı yapan kullanıcı bilgisi ● ip adres bilgisi ● Paylaşım bilgisi gibi bilgiler görülmektedir.
Windows 2012R2 Log analizi Security ● Event ID : 4672 (Special privileges assigned to new logon) ● Bağlantı yapan kullanıcı bilgisi ● Atanmış yetkiler gibi bilgiler görünmektedir.
Windows 2012R2 Log analizi Security ● Event ID : 5145 (A network share object was checked to see whether client can be granted desired access) ● Event ID: 5145 logu birden fazla oluşabilir. ● ip adres bilgisi ● Bağlantı yapan kullanıcı bilgisi ● Hedef bilgisi gibi bilgiler görülmektedir.
Sonuç ● Varsayılan Windows ayarları ile yeterli miktarda log tutulmadığını unutmayın. ● Ayrıntılı log elde etmek için önceden yapılandırılması gerekenler – Gerekli denetim ilkesi logları – Sysmon ● Bu ayarlar yapıldığında sistemler üzerinde oluşan log kayıtlarındaki artış, yapı kurulurken dikkate alınmalıdır. ● Siber saldırılar oldukça/arttıkça veya şüpheli durumlarda izleri takip edebilmek ve ayrıntılı inceleme yapabilmek önemlidir. Bundan dolayı eğer verimli bir yapı oluşturulmazsa, olay incelemeleri çözülemeyebilir. – Saldırgan ne yaptı? ● PsExec kullanıldığında burada analiz edilen loglar dışında çıkabilecek ek loglar olabilir.
İletişim Bilgileri Kurtuluş Karasu – kurtuluskarasu@gmail.com

Recommended

SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
Kurtuluş Karasu
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığı
Kurtuluş Karasu
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
 
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve Öneriler
BGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
Ahmet Gürel
 

Recommended

SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
Kurtuluş Karasu
 
Suricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığıSuricata ile siber tehdit avcılığı
Suricata ile siber tehdit avcılığı
Kurtuluş Karasu
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
Oğuzcan Pamuk
 
Sandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve ÖnerilerSandbox Atlatma Teknikleri ve Öneriler
Sandbox Atlatma Teknikleri ve Öneriler
BGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
BGA Cyber Security
 
SIEM Neden Gerekli?
SIEM Neden Gerekli?SIEM Neden Gerekli?
SIEM Neden Gerekli?
Ertugrul Akbas
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
Ertugrul Akbas
 
Mobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim DökümanıMobil Pentest Eğitim Dökümanı
Mobil Pentest Eğitim Dökümanı
Ahmet Gürel
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Kurtuluş Karasu
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim Araçları
Ahmet Gürel
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
BGA Cyber Security
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
Nagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringNagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network Monitoring
BilgiO A.S / Linux Akademi
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
Ertugrul Akbas
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA Cyber Security
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
 
DNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit GörünürlüğüDNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit Görünürlüğü
BGA Cyber Security
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
BGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
BGA Cyber Security
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
BilgiO A.S / Linux Akademi
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
Kart Güvenliği İçin Teknik Güvenlik Cihazları
Kart Güvenliği İçin Teknik Güvenlik CihazlarıKart Güvenliği İçin Teknik Güvenlik Cihazları
Kart Güvenliği İçin Teknik Güvenlik Cihazları
BGA Cyber Security
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiBGA Cyber Security
 
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini AtlatmaISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
BGA Cyber Security
 
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Ertugrul Akbas
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 

More Related Content

What's hot

Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Kurtuluş Karasu
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
BilgiO A.S / Linux Akademi
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
BGA Cyber Security
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim Araçları
Ahmet Gürel
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
BGA Cyber Security
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
Nagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringNagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network Monitoring
BilgiO A.S / Linux Akademi
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
Ertugrul Akbas
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA Cyber Security
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
BGA Cyber Security
 
DNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit GörünürlüğüDNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit Görünürlüğü
BGA Cyber Security
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
BGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
BGA Cyber Security
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
BilgiO A.S / Linux Akademi
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
Ertugrul Akbas
 
Kart Güvenliği İçin Teknik Güvenlik Cihazları
Kart Güvenliği İçin Teknik Güvenlik CihazlarıKart Güvenliği İçin Teknik Güvenlik Cihazları
Kart Güvenliği İçin Teknik Güvenlik Cihazları
BGA Cyber Security
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiBGA Cyber Security
 
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini AtlatmaISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
BGA Cyber Security
 

What's hot (20)

Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2Log Yönetimi ve Saldırı Analizi Eğitimi - 2
Log Yönetimi ve Saldırı Analizi Eğitimi - 2
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Adli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim AraçlarıAdli Bilişim ve Adli Bilişim Araçları
Adli Bilişim ve Adli Bilişim Araçları
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleri
 
Nagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network MonitoringNagios ile Sistem ve Network Monitoring
Nagios ile Sistem ve Network Monitoring
 
Log yönetimi ve siem farkı
Log yönetimi ve siem farkıLog yönetimi ve siem farkı
Log yönetimi ve siem farkı
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
BGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması ÇözümleriBGA CTF Ethical Hacking Yarışması Çözümleri
BGA CTF Ethical Hacking Yarışması Çözümleri
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
 
DNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit GörünürlüğüDNS Tabanlı Tehdit Görünürlüğü
DNS Tabanlı Tehdit Görünürlüğü
 
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri YakalamaWindows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
Windows Sistemlerde Yetkili Hesapları İzleyerek Yanal Hareketleri Yakalama
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
 
Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!Log Yönetimi SIEM Demek Değildir!
Log Yönetimi SIEM Demek Değildir!
 
Kart Güvenliği İçin Teknik Güvenlik Cihazları
Kart Güvenliği İçin Teknik Güvenlik CihazlarıKart Güvenliği İçin Teknik Güvenlik Cihazları
Kart Güvenliği İçin Teknik Güvenlik Cihazları
 
Snort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) EğitimiSnort IPS(Intrusion Prevention System) Eğitimi
Snort IPS(Intrusion Prevention System) Eğitimi
 
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini AtlatmaISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
ISTSEC 2013 - Kurumsal Ağlarda Kullanılan Güvenlik Sistemlerini Atlatma
 

Similar to Siber tehdit avcılığı 1

Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Ertugrul Akbas
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
BGA Cyber Security
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Prtg Network Monitor
Prtg Network MonitorPrtg Network Monitor
Prtg Network Monitor
Kavi International
 
G F I Events Manager
G F I Events ManagerG F I Events Manager
G F I Events Managerlogyonetimi
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
Ertugrul Akbas
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
BGA Cyber Security
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
BGA Cyber Security
 
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriFatih Ozavci
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
Ertugrul Akbas
 
Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework
Mehmet Ince
 
Adli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme SüreçleriAdli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme Süreçleri
İsmail ŞEN
 
ProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim SistemiProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim Sistemi
kkargi
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Ertugrul Akbas
 
Android Processes, Threads
Android Processes, ThreadsAndroid Processes, Threads
Android Processes, Threads
Huseyin Ozer
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
BGA Cyber Security
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
Burak Oğuz
 

Similar to Siber tehdit avcılığı 1 (20)

Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin AnaliziBilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
Bilgi Güvenliği ve Log Yönetimi Sistemlerinin Analizi
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
 
Prtg Network Monitor
Prtg Network MonitorPrtg Network Monitor
Prtg Network Monitor
 
G F I Events Manager
G F I Events ManagerG F I Events Manager
G F I Events Manager
 
Log yonetimi tecrubeleri
Log yonetimi tecrubeleriLog yonetimi tecrubeleri
Log yonetimi tecrubeleri
 
Yazılım Güvenliği
Yazılım GüvenliğiYazılım Güvenliği
Yazılım Güvenliği
 
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma sonAçık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
Açık kaynak kodlu uygulamalar ile adli bilişim labaratuarı kurma son
 
Audit Policy
Audit PolicyAudit Policy
Audit Policy
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Ozgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri YontemleriOzgur Yazilimlar ile Saldiri Yontemleri
Ozgur Yazilimlar ile Saldiri Yontemleri
 
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework
 
Adli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme SüreçleriAdli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme Süreçleri
 
ProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim SistemiProNMS Ağ İzleme ve Log Yönetim Sistemi
ProNMS Ağ İzleme ve Log Yönetim Sistemi
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleriLog yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
Log yönetimi ve siem projelerindeki en önemli kriter EPS değerleri
 
Android Processes, Threads
Android Processes, ThreadsAndroid Processes, Threads
Android Processes, Threads
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux 2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
2010 Kocaeli Linux Günleri - Linux Güvenlik UygulamalarıLinux
 

More from Kurtuluş Karasu

Pardus Kurulum Dokümanı
Pardus Kurulum DokümanıPardus Kurulum Dokümanı
Pardus Kurulum Dokümanı
Kurtuluş Karasu
 
Ubuntu Kurulum Dokümanı
Ubuntu Kurulum DokümanıUbuntu Kurulum Dokümanı
Ubuntu Kurulum Dokümanı
Kurtuluş Karasu
 
Centos kurulumu
Centos kurulumuCentos kurulumu
Centos kurulumu
Kurtuluş Karasu
 
Linux Sistem Yönetimi
Linux Sistem YönetimiLinux Sistem Yönetimi
Linux Sistem Yönetimi
Kurtuluş Karasu
 
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
Kurtuluş Karasu
 
WordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
WordPress Sitelerde xmlrpc.php Zafiyeti ve ÇözümüWordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
WordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
Kurtuluş Karasu
 
USB Kablosuz Ağ Adaptörü
USB Kablosuz Ağ AdaptörüUSB Kablosuz Ağ Adaptörü
USB Kablosuz Ağ Adaptörü
Kurtuluş Karasu
 
linux-enterprise-cluster
linux-enterprise-clusterlinux-enterprise-cluster
linux-enterprise-cluster
Kurtuluş Karasu
 
Ossec kurulumu
Ossec kurulumuOssec kurulumu
Ossec kurulumu
Kurtuluş Karasu
 

More from Kurtuluş Karasu (9)

Pardus Kurulum Dokümanı
Pardus Kurulum DokümanıPardus Kurulum Dokümanı
Pardus Kurulum Dokümanı
 
Ubuntu Kurulum Dokümanı
Ubuntu Kurulum DokümanıUbuntu Kurulum Dokümanı
Ubuntu Kurulum Dokümanı
 
Centos kurulumu
Centos kurulumuCentos kurulumu
Centos kurulumu
 
Linux Sistem Yönetimi
Linux Sistem YönetimiLinux Sistem Yönetimi
Linux Sistem Yönetimi
 
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
Ms Windows Privilege Escalation Zafiyeti Testi (cve 2017-0213)
 
WordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
WordPress Sitelerde xmlrpc.php Zafiyeti ve ÇözümüWordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
WordPress Sitelerde xmlrpc.php Zafiyeti ve Çözümü
 
USB Kablosuz Ağ Adaptörü
USB Kablosuz Ağ AdaptörüUSB Kablosuz Ağ Adaptörü
USB Kablosuz Ağ Adaptörü
 
linux-enterprise-cluster
linux-enterprise-clusterlinux-enterprise-cluster
linux-enterprise-cluster
 
Ossec kurulumu
Ossec kurulumuOssec kurulumu
Ossec kurulumu
 

Siber tehdit avcılığı 1

  • 2. Siber Tehdit Avcılığı ● Siber saldırılar çeşitli yöntemler ve taktikler kullanılarak gerçekleştirilmektedir. ● Herhangi bir siber saldırı durumuyla karşılaştığınızda veya şüphelendiğinizde bir çok noktanın araştırılması gerekmektedir. – Bu tür durumlarda kritik logları kapsamlı bir şekilde analiz ederek siber saldırı durumunun genel resmini olabildiğince doğru tespit etmek gerekir. – Analiz sonucunda iyileştirici tedbirler almak için gerekli olan bilgiler ortaya çıkarılmalıdır.
  • 3. Siber Tehdit Avcılığı ● Bu dokümanda siber saldırı yöntemleri arasında kullanılan psexec aracını inceleyeceğiz. ● PsExec kullanıldığında – Sunucu tarafından oluşması beklenen loglar nelerdir? – Istemci tarafında oluşması beklenen loglar nelerdir? – Sistemler üzerindeki default ayarlar, oluşması beklenen loglar için yeterli mi? – Değilse? – Yeterli bilgi içeren logları elde etmek için yapılması gereken ayarlar nelerdir?
  • 4. Siber Tehdit Avcılığı ● Amaç-1: – PsExec aracını kullanan saldırganların arkada bıraktıkları izleri analiz ederek, saldırganların tespit edilmesini sağlamaktır. ● Amaç-2: – Siber olaylara müdahale kapsamında alınan SIEM ürünleri yeterli seviyede kurgulanmadığında, saldırıların tespit edilemeyeceğini göstermek.
  • 5. PsExec Avcılığı ● Bu çalışma sanal yapıda bulunan Windows 2012R2 Domain controller ve Windows-7 istemciden oluşan bir yapı üzerinde gerçekleştirilmiştir. – Kaynak makine (Source host): Windows-7 – Hedef makine (Destination host): Win2012R2 ● PsExec çalıştırıldığından kaynak ve hedef makine üzerinden oluşan bir takım loglar analiz edilecektir.
  • 6. Windows-7 Log Analizi Sysmon ● Event ID : 1 (Process Create) – PsExec64.exe – Uzaktan çalıştırılan komut “CommandLine” bölümünde görülmektedir.
  • 7. Windows-7 Log Analizi Sysmon ● Event ID : 5 (Process Terminated) – PsExec64.exe
  • 8. Windows-7 Log Analizi Security ● Event ID : 4688 (A new process has been created) ● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde edilebilmektedir.
  • 9. Windows-7 Log Analizi Security ● Event ID : 4689 (A process has exited) ● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde edilebilmektedir.
  • 10. Windows-7 Log Analizi Registry ● PsExec kayıt defteri bilgisi ● Bilgisayar üzerinde PsExec daha önce çalıştırılmışsa, kayıt defterinde bir değişiklik görülmeyecektir.
  • 11. Windows 2012R2 Log analizi Sysmon ● Event ID : 1 (Process Create) ● PsExec hedef makine üzerinde çalıştırdığı process "C:WindowsPSEXESVC.exe" ● Kullanıcı bilgiside görülmektedir.
  • 12. Windows 2012R2 Log analizi Sysmon ● Event ID : 5 (Process Terminated) ● "C:WindowsPSEXESVC.exe" sonlandırılmıştır.
  • 13. Windows 2012R2 Log analizi System ● Event ID : 7045 (A service was installed in the system) ● Yüklenen servisin adı ve yerini görebiliyoruz.
  • 14. Windows 2012R2 Log analizi System ● Event ID : 7036 (The service entered the running state) ● Servis çalışır durumunu gösteren logu görüyoruz.
  • 15. Windows 2012R2 Log analizi System ● Event ID : 7036 (The service entered the stopped state) ● Servisin durduğunu gösteren logu görüyoruz.
  • 16. Windows 2012R2 Log analizi Security ● Event ID : 5156 (The Windows Filtering Platform has permitted a connection) ● Port 445 üzerinden bağlantı bilgileri
  • 17. Windows 2012R2 Log analizi Security ● Event ID : 5156 (The Windows Filtering Platform has permitted a connection) ● Port 135 üzerinden bağlantı bilgileri
  • 18. Windows 2012R2 Log analizi Security ● Event ID : 5140 (A network share object was accessed) ● Bağlantı yapan kullanıcı bilgisi ● ip adres bilgisi ● Paylaşım bilgisi gibi bilgiler görülmektedir.
  • 19. Windows 2012R2 Log analizi Security ● Event ID : 4672 (Special privileges assigned to new logon) ● Bağlantı yapan kullanıcı bilgisi ● Atanmış yetkiler gibi bilgiler görünmektedir.
  • 20. Windows 2012R2 Log analizi Security ● Event ID : 5145 (A network share object was checked to see whether client can be granted desired access) ● Event ID: 5145 logu birden fazla oluşabilir. ● ip adres bilgisi ● Bağlantı yapan kullanıcı bilgisi ● Hedef bilgisi gibi bilgiler görülmektedir.
  • 21. Sonuç ● Varsayılan Windows ayarları ile yeterli miktarda log tutulmadığını unutmayın. ● Ayrıntılı log elde etmek için önceden yapılandırılması gerekenler – Gerekli denetim ilkesi logları – Sysmon ● Bu ayarlar yapıldığında sistemler üzerinde oluşan log kayıtlarındaki artış, yapı kurulurken dikkate alınmalıdır. ● Siber saldırılar oldukça/arttıkça veya şüpheli durumlarda izleri takip edebilmek ve ayrıntılı inceleme yapabilmek önemlidir. Bundan dolayı eğer verimli bir yapı oluşturulmazsa, olay incelemeleri çözülemeyebilir. – Saldırgan ne yaptı? ● PsExec kullanıldığında burada analiz edilen loglar dışında çıkabilecek ek loglar olabilir.
  • 22. İletişim Bilgileri Kurtuluş Karasu – kurtuluskarasu@gmail.com