Dosya yolu: C:\Users\USERNAME\AppData\Roaming\Mozilla\Firefox\Profiles\****.default-release Önemli tablolar: moz_places: Kullanıcının tarayıcı geçmininin tamamını gösteren tablo, tarihler Unix timestampt formatında ve dönüştürülmeleri gerekmekte. SELECT *, datetime(last_visit_date / 1000000, ‘unixepoch’, ‘localtime’) AS last_visit_date_local FROM moz_places; moz_bookmarks: Yer imleri (bookmarks) tablosuna ait verilerin yer aldığı tablo. Tarihler yine Unix timestampt formatında olduğu için çevirme işlemi gerekli. SELECT *, datetime(dateAdded / 1000000,”Mozilla“Mozilla Firefox Browser Forensics” yazısının devamını oku
Kategori arşivleri: DFIR
AD Ortamında AdFind ve SharpHound ile Yapılan Keşiflerin Oluşturduğu Loglar
Takip etmenizi önemle tavsiye ettiğim The Dfir Report sitesinde yazılan olay müdahale raporları oldukça öğretici ögeler içermekte. İlgili raporları okurken sıklıkla gördüğüm adFind.exe aracının saldırganlar tarafından AD (Active Directory) ortamının keşfi için kullanılmasının da dikkat çekici bir husus olduğunu düşünüyorum. Bu noktada, hem adFind hem de SharpHound araçlarının ağda oluşturdukları gürültülerin nasıl tespit edilebileceğine dair”AD“AD Ortamında AdFind ve SharpHound ile Yapılan Keşiflerin Oluşturduğu Loglar” yazısının devamını oku
Command Line Obfuscation Teknikleri Kapsamında SIGMA Kuralları
SANS DFIR Summit 2021 kapsamında Wietze Beukema tarafından tarafından anlatılan “Exploring Windows Command-Line Obfuscation” konusu, SIGMA kurallarının yazımında dikkat edilmesi gereken hususlar konusunda oldukça önemli detaylar içeriyor. Saldırganların, savunma tarafında yazılan alarm kurallarını atlatmak için kullanabileceği tekniklerden biri olan “Windows Command Line obfuscation” ile SIEM tarafında yazılan SIGMA kuralların atlatılmasının önüne geçilebilmesi için aşağıdaki videonun”Command“Command Line Obfuscation Teknikleri Kapsamında SIGMA Kuralları” yazısının devamını oku
Live Incident Response (Velociraptor)
SIEM’e düşen bir uyarı kapsamında; daha önce sistemde karşılaşılmayan yeni bir processin başlaması veya servisin ayağa kalkması, zamanlanmış görevlere eklenen ve anomali oluşturduğu düşünülen bir zamanlanmış görev veya komuta kontrol sunucusuna paket gönderdiği düşünülen bir istemcinin tespiti… Dikkat çeken bu senaryolar kapsamında, “Nedir bu anomali?” sorusuna cevap ararken, “Sunucu veya istemciye Domain Admin haklarıyla RDP”Live“Live Incident Response (Velociraptor)” yazısının devamını oku
Olay Müdahalesi Süreçlerinde LolBins Analizi
LolBin’leri işletim sisteminde önyüklü şekilde gelen (MMC, Bitsadmin, Event Viewer vd.) ve işletim sistemine atanan görevlerin yerine getirilmesi noktasında kullanılan çalıştırılabilir dosyalar olarak adlandırılabilir. Örneğin sistem yöneticisi bir sorunla karşılaştığında, event logları incelemek amacıyla Event Viewer’ı açarken, saldırgan taraf Event Viewer’ı UAC bypass için kullanmakta. Diğer bir örnek olarak Windows tarafında netsh network interfaceleri yönetmek”Olay“Olay Müdahalesi Süreçlerinde LolBins Analizi” yazısının devamını oku
Olay Müdahalesi Süreçlerinde IOC Tespiti (The Pyramid of Pain, Yara Rules, Loki)
Tehdit istihbaratı ve olay müdahalesi süreçlerinde saldırganlar tarafından kullanılan araçlara veya uygulamalara ait hash değerlerinin, IP / Domain adlarının, ağ üzerinde bıraktıkları izlerin veya kullandıkları araçların bıraktıkları izlerin tespiti büyük önem arz ediyor. Bu noktada, bahse konu izlerin (IOC (Incident of Compromise) ne şekilde sınıflandırılabileceği ve önem dereceleri 2013 yılında David J Bianco tarafından oldukça”Olay“Olay Müdahalesi Süreçlerinde IOC Tespiti (The Pyramid of Pain, Yara Rules, Loki)” yazısının devamını oku
CSEC ZONE 