SANS DFIR Summit 2021 kapsamında Wietze Beukema tarafından tarafından anlatılan “Exploring Windows Command-Line Obfuscation” konusu, SIGMA kurallarının yazımında dikkat edilmesi gereken hususlar konusunda oldukça önemli detaylar içeriyor. Saldırganların, savunma tarafında yazılan alarm kurallarını atlatmak için kullanabileceği tekniklerden biri olan “Windows Command Line obfuscation” ile SIEM tarafında yazılan SIGMA kuralların atlatılmasının önüne geçilebilmesi için aşağıdaki videonun”Command“Command Line Obfuscation Teknikleri Kapsamında SIGMA Kuralları” yazısının devamını oku
Yazar arşivleri: Fatih
Windows ve Office Uygulamaları İçin Sıkılaştırma Kontrolleri
Saldırganların kullandıkları taktik ve tekniklerle baş edebilme noktasında Windows işletim sistemlerinin ve anılan işletim sistemlerinde çalışan Microsoft Office gibi uygulamaların güvenlik sıkılaştırmalarının yapılmasının iki noktada oldukça önem arz ettiğini düşünüyorum. Bu noktalardan ilki, herkesin kabul edeceği üzere saldırı tarafının işini zorlaştırmak olarak değerlendirilebilirken, ikincisiyse saldırganların yaptıkları ataklar sonrasında oluşturdukları gürültüleri tespit edebilmek olarak değerlendirilebilir. Her”Windows“Windows ve Office Uygulamaları İçin Sıkılaştırma Kontrolleri” yazısının devamını oku
Mitre Caldera İle Red Team Simülasyonları
Farklı atak senaryoları kapsamında kullanılan tekniklerin sistemlerde bıraktıkları izlerin takip edilmesi ve bahse konu ataklara karşı proaktif şekilde önlemler alınması hususu her geçen gün daha da önem kazanmakta. Bu yazıda, Mitre’nin MITRE ATT&CK™ temeli üzerine kurduğu ve red team çalışmaları için kullanılabilecek otomatik bir simülasyon sistemi olan Caldera ile neler yapabileceğimize değinmek istiyorum. Lab ortamında”Mitre“Mitre Caldera İle Red Team Simülasyonları” yazısının devamını oku
Powershell Kullanarak Spesifik Event Log Toplama
Applied Incident Response kitabına ait web sitesinde yer alan Event Log Analyst Reference bölümünü okuduktan sonra Powershell ile basit bir script yazarak bahse konu logları SIEM türü ürünlerin indeksleyebileceği şekilde toplamaya karar verdim. Aşağıdaki maddelerde scripti nasıl kullanabileceğinize dair detayları bulabilirsiniz. Toplanması gereken event log sayısı arttıkça, toplama süresinin oldukça uzayacağını belirtmek isterim. Şu adresten”Powershell“Powershell Kullanarak Spesifik Event Log Toplama” yazısının devamını oku
AD Ortamında Sysmon, Command Line Process Auditing, Powershell Logging ile Process Takibi
İki yazı olarak planladığım yazı serisinin ilk bölümünde Active Directory (AD) ortamında yer alan istemci veya sunucularda oluşan processlerin takibi için üç konu başlığı altında Group Policy (GP) ayarlarının nasıl yapılacağına değindikten sonra, bir sonraki bölümde Empire, Powersploit türü araçlarla yapılan saldıların oluşturdukları gürültülerin bahse konu ayarlarla nasıl tespit edileceğine değineceğim. Özellikle Powershell saldırı vektörleri”AD“AD Ortamında Sysmon, Command Line Process Auditing, Powershell Logging ile Process Takibi” yazısının devamını oku
T-Pot Honeypot ile Tehdit İstihbaratı
T-Pot Debian tabanlı, birden fazla honeypot aracının içinde yapılandırılmış halde yüklü geldiği ve tüm honeypot araçlarının Docker altyapısıyla servise sunulduğu “all-in-one” olarak adlandırılabilecek bir honeypot sistemler bütünü olarak tanımlanabilir. Kurulumu ve yönetiminin oldukça basit olması ve dashboard ekranlarının oldukça tatmin edici olması da T-Pot’u öne çıkaran etmenlerden birkaçı olarak sıralanabilir. T-Pot veya T-Pot’la önyüklü gelen”T-Pot“T-Pot Honeypot ile Tehdit İstihbaratı” yazısının devamını oku
Group Policy Object Analizi (Policy Analyzer)
Sıra tabanlı oyunların başyapıtı olduğunu düşündüğüm Age of Empires (Aoe) oynayanların da bileceği üzere oyun, temelde kaynak yönetimi ve yönetilen kaynakların hangi birimlere aktarılacağı konusunda strateji sevenlerin yirmi yılı aşkındır oynadığı bir strateji türü. Açıkçası AoE’nin kaynak yönetimi bölümününün log toplama ve yönetimi konusuyla kesiştiği noktalar olduğu da bana göre aşikar. Zira populasyon limitinin 200″Group“Group Policy Object Analizi (Policy Analyzer)” yazısının devamını oku
Live Incident Response (Velociraptor)
SIEM’e düşen bir uyarı kapsamında; daha önce sistemde karşılaşılmayan yeni bir processin başlaması veya servisin ayağa kalkması, zamanlanmış görevlere eklenen ve anomali oluşturduğu düşünülen bir zamanlanmış görev veya komuta kontrol sunucusuna paket gönderdiği düşünülen bir istemcinin tespiti… Dikkat çeken bu senaryolar kapsamında, “Nedir bu anomali?” sorusuna cevap ararken, “Sunucu veya istemciye Domain Admin haklarıyla RDP”Live“Live Incident Response (Velociraptor)” yazısının devamını oku
Microsoft Office Macro Güvenliği
Macrolar her ne kadar son kullanıcıların işlerini otomatize etmede önemli faydalar sunsa ve iş hayatında kullanım kolaylığı sağlasa da saldırganların hedef sistemlere sızmalarında ve güvenlik sistemlerini aşmada kullandıkları önemli bir saldırı vektörü. Bu noktada, farklı ülkelerin siber güvenlik birimlerinin makro güvenliğiyle ilgili rehberleri konuyla ilgili neler yapılabileceğine dair aydınlatıcı bilgiler içeriyor. Australian Cyber Security Centre’nin”Microsoft“Microsoft Office Macro Güvenliği” yazısının devamını oku
Windows 10 Telemetry Sıkılaştırma
Microsoft her ne kadar telemetry verilerini analiz ve Windows özelliklerinin kalitesini arttırmak için kullandığını belirtse de kurumsal teşebbüslerin dış dünyaya minimum seviyede veri göndermek istedikleri de yadsınamaz bir gerçek. Son kullanıcılara ait bir çok verinin Microsoft sunucularına gitmesini istemiyorsanız, telemetry ayarlarını yapmanız da fayda var. Telemetry kapsamında Microsoft sunucularına gönderilen verileri Microsoft dört ana katmanda”Windows“Windows 10 Telemetry Sıkılaştırma” yazısının devamını oku
CSEC ZONE 