Kurum içi red teaming testleriyle uğraşıyor veya Hack the Box, TryHackMe türü platformlarda antreman yapıyorsanız terminal ekranını yoğun şekilde kullanmanın gerektiği yadsınamaz bir gerçek. Bu noktada, bahse konu aktivitelerin verimliliğini arttırmak için terminal özelleştirmede kullandığım Arsenal, Terminator ve yazdığım basit bir scripti sizlere aktarmak istedim. İlk aracımız ile başlayalım. 1.Arsenal msfvenom, impacket, mimikatz türü yaygın”Red“Red Team Aktiviteleri İçin Terminal Özelleştirme” yazısının devamını oku
Yazar arşivleri: Fatih
Trace Labs OSINT VM ile OSINT Lab. Ortamı Oluşturulması
Açık kaynak istihbaratı (OSINT) için sıklıkla kullandığım Linux dağıtımı olan Buscador’un güncellenmesinin durdurulması üzerine bir süredir test ettiğim ve Buscador’un eksikliğini hissettirmeyen Trace Labs’a geçme kararı aldım. Kali’nin oldukça kırpılmış ve OSINT ile ilgili olarak özelleştirilmiş bir versiyonu olan bu dağıtım sayesinde ilgili uygulama ve scriptleri tek tek güncelleştirmenize de gerek kalmıyor. Ek olarak, Buscador’daki”Trace“Trace Labs OSINT VM ile OSINT Lab. Ortamı Oluşturulması” yazısının devamını oku
Intel Owl ile Tehdit İstihbaratı Elde Edilmesi
Herhangi bir zararlıya ait hashin veya ilgili zararlı dosyanın iletişim kurduğu düşünülen IP veya URL’in tehdit içerip içermediğini tespit etmek amacıyla birçok açık kaynaktan bilgi elde etmek mümkün. Fakat farklı açık kaynaklardan toplanan tehdit istihbaratı bilgilerinin merkezileştirilmesi ve/veya analiz edilmesi süreçleri oldukça zaman alan bir süreç olabiliyor. Bu noktada, şayet biriminizde incelemeniz gereken hash bilgileri,”Intel“Intel Owl ile Tehdit İstihbaratı Elde Edilmesi” yazısının devamını oku
Sysmon ile Process, DNS, TCP Conns ve Port Özet Bilgileri
Bir sunucunun günlük, haftalık veya aylık oluşturduğu logların benzer şekilde üretiliyor olması ihtimal dahilindeyken, kurumsal ortamda bulunan istemcilerin farklı gereksinimlerine göre kullanılması nedeniyle belli bir kullanıcı analiz verisi elde etmek oldukça güç (User and Entity Behaviour Analytics’in kapsamına giren bu konu ilginizi çektiyse, şu bağlantıdan daha detaylı bilgilere erişebilirsiniz). Bir istemcide hızlıca Sysmon loglarına bakarak,”Sysmon“Sysmon ile Process, DNS, TCP Conns ve Port Özet Bilgileri” yazısının devamını oku
Windows Defender Group Policy Ayarları, Event Logları ve İncelenmesi
İstemci ve sunucularda sadece antivirüs yazılımı kullanarak güvenlik sağlanabilir düşüncesinin üzerinden yıllar geçse de, antivirus yazılımları hala uç nokta güvenliğinde yüksek derecede öneme sahipler. Bu nedenle antivirus uygulamalarından alınacak ve sonrasında izlenecek loglar da büyük önem arz ediyor. Örneğin AV-TEST’in test sonuçlarına göre aşağıdaki ekran alıntısından da göreceğiniz üzere Windows Defender’in performans sonuçları ortalamanın oldukça”Windows“Windows Defender Group Policy Ayarları, Event Logları ve İncelenmesi” yazısının devamını oku
Olay Müdahalesi Süreçlerinde LolBins Analizi
LolBin’leri işletim sisteminde önyüklü şekilde gelen (MMC, Bitsadmin, Event Viewer vd.) ve işletim sistemine atanan görevlerin yerine getirilmesi noktasında kullanılan çalıştırılabilir dosyalar olarak adlandırılabilir. Örneğin sistem yöneticisi bir sorunla karşılaştığında, event logları incelemek amacıyla Event Viewer’ı açarken, saldırgan taraf Event Viewer’ı UAC bypass için kullanmakta. Diğer bir örnek olarak Windows tarafında netsh network interfaceleri yönetmek”Olay“Olay Müdahalesi Süreçlerinde LolBins Analizi” yazısının devamını oku
APT / Malware Analiz Raporlarında Detaylı Arama Yapılması
Advanced Persistent Threat (APT) veya malware gruplarının yaptıkları saldırıların ayrıntılı analizlerini ve hangi taktik / tekniklerin saldırganlar tarafından kullanıldığına dair bilgileri içeren raporlar savunma noktasında oldukça önemli bilgiler içeriyor. Saldırganların kullandıkları taktik ve teknikleri içeren, ayrıca malware analiz bilgilerini de içeren bahse konu raporları tek tek okumak çok mümkün gözükmese de özellikle çalışılan benzer sektör”APT“APT / Malware Analiz Raporlarında Detaylı Arama Yapılması” yazısının devamını oku
Sigma Kurallarının İncelenmesiyle Atak-Savunma Bağlantısının Kurulması
Kurumlarda kullanılan SIEM’lerin sadece log toplama çözümü olarak değil, aynı zamanda oluşturulan korelasyon kurallarıyla aktif tehdit izleme merkezi haline getirilmesi oldukça önemli. Bu noktada, Sigma kurallarının SIEM’lere entegre edilmesi, SIEM’i daha verimli hale getirirken, diğer taraftan savunma tarafını da aynı şekilde güçlendirmekte. Bahse konu Sigma kurallarına bu bağlantıdan erişebilir veya bu videoyu izleyerek daha ayrıntılı”Sigma“Sigma Kurallarının İncelenmesiyle Atak-Savunma Bağlantısının Kurulması” yazısının devamını oku
Active Directory Ortamı İçin Honeypotların Oluşturulması
Network ortamına honeypotların kurulması ve kullanılmasına ek olarak Active Directory (AD) ortamına da honeypot tuzaklarının oluşturulması mümkün. Öncelikle AD ortamı için bu yazı kapsamında yer almayan daha farklı honeypot senaryoları oluşturmanın mümkün olduğunu dile getirdikten sonra aşağıdaki şekilde yer alan beş farklı honeypot senaryosuna odaklanmaya çalışalım. Bahsettiğim senaryoları aşağıdaki şekilden inceleyebilirsiniz. Honeypot AD User: Honeypot”Active“Active Directory Ortamı İçin Honeypotların Oluşturulması” yazısının devamını oku
OpenCVE ile CVE Takibi ve İlgili Raporların Oluşturulması
Bir organizasyonda kullanılan ürün ve cihaz sayısı arttıkça, bahse konu ürün veya cihazlardaki güvenlik açıklıklarının takibi ve sonrasında yamanmasının takibi de o kadar zorlaşmakta. Bu bağlamda, CVE’lerin (Common Vulnerabilities and Exposures ) ve CWE’lerin (Common Weakness Enumeration) takip edilmesinin önemi de artmakta. Bu yazı kapsamında CVE ve CWE’leri efektik olarak takip edebileceğiniz bir platform olan”OpenCVE“OpenCVE ile CVE Takibi ve İlgili Raporların Oluşturulması” yazısının devamını oku
CSEC ZONE 