SANS DFIR Summit 2021 kapsamında Wietze Beukema tarafından tarafından anlatılan “Exploring Windows Command-Line Obfuscation” konusu, SIGMA kurallarının yazımında dikkat edilmesi gereken hususlar konusunda oldukça önemli detaylar içeriyor. Saldırganların, savunma tarafında yazılan alarm kurallarını atlatmak için kullanabileceği tekniklerden biri olan “Windows Command Line obfuscation” ile SIEM tarafında yazılan SIGMA kuralların atlatılmasının önüne geçilebilmesi için aşağıdaki videonun”Command“Command Line Obfuscation Teknikleri Kapsamında SIGMA Kuralları” yazısının devamını oku
Etiket arşivleri: DFIR
Live Incident Response (Velociraptor)
SIEM’e düşen bir uyarı kapsamında; daha önce sistemde karşılaşılmayan yeni bir processin başlaması veya servisin ayağa kalkması, zamanlanmış görevlere eklenen ve anomali oluşturduğu düşünülen bir zamanlanmış görev veya komuta kontrol sunucusuna paket gönderdiği düşünülen bir istemcinin tespiti… Dikkat çeken bu senaryolar kapsamında, “Nedir bu anomali?” sorusuna cevap ararken, “Sunucu veya istemciye Domain Admin haklarıyla RDP”Live“Live Incident Response (Velociraptor)” yazısının devamını oku
Olay Müdahalesi Süreçlerinde LolBins Analizi
LolBin’leri işletim sisteminde önyüklü şekilde gelen (MMC, Bitsadmin, Event Viewer vd.) ve işletim sistemine atanan görevlerin yerine getirilmesi noktasında kullanılan çalıştırılabilir dosyalar olarak adlandırılabilir. Örneğin sistem yöneticisi bir sorunla karşılaştığında, event logları incelemek amacıyla Event Viewer’ı açarken, saldırgan taraf Event Viewer’ı UAC bypass için kullanmakta. Diğer bir örnek olarak Windows tarafında netsh network interfaceleri yönetmek”Olay“Olay Müdahalesi Süreçlerinde LolBins Analizi” yazısının devamını oku
Olay Müdahalesi Süreçlerinde IOC Tespiti (The Pyramid of Pain, Yara Rules, Loki)
Tehdit istihbaratı ve olay müdahalesi süreçlerinde saldırganlar tarafından kullanılan araçlara veya uygulamalara ait hash değerlerinin, IP / Domain adlarının, ağ üzerinde bıraktıkları izlerin veya kullandıkları araçların bıraktıkları izlerin tespiti büyük önem arz ediyor. Bu noktada, bahse konu izlerin (IOC (Incident of Compromise) ne şekilde sınıflandırılabileceği ve önem dereceleri 2013 yılında David J Bianco tarafından oldukça”Olay“Olay Müdahalesi Süreçlerinde IOC Tespiti (The Pyramid of Pain, Yara Rules, Loki)” yazısının devamını oku
CSEC ZONE 