ݺߣ

ݺߣShare a Scribd company logo

Siber tehdit avcılığı 1

Kurtuluş Karasu
Kurtuluş Karasu

Siber Tehdit Avcılığı Cyber threat hunting

1 of 22
Siber Tehdit Avcılığı – 1 PsExec
Siber Tehdit Avcılığı ● Siber saldırılar çeşitli yöntemler ve taktikler kullanılarak gerçekleştirilmektedir. ● Herhangi bir siber saldırı durumuyla karşılaştığınızda veya şüphelendiğinizde bir çok noktanın araştırılması gerekmektedir. – Bu tür durumlarda kritik logları kapsamlı bir şekilde analiz ederek siber saldırı durumunun genel resmini olabildiğince doğru tespit etmek gerekir. – Analiz sonucunda iyileştirici tedbirler almak için gerekli olan bilgiler ortaya çıkarılmalıdır.
Siber Tehdit Avcılığı ● Bu dokümanda siber saldırı yöntemleri arasında kullanılan psexec aracını inceleyeceğiz. ● PsExec kullanıldığında – Sunucu tarafından oluşması beklenen loglar nelerdir? – Istemci tarafında oluşması beklenen loglar nelerdir? – Sistemler üzerindeki default ayarlar, oluşması beklenen loglar için yeterli mi? – Değilse? – Yeterli bilgi içeren logları elde etmek için yapılması gereken ayarlar nelerdir?
Siber Tehdit Avcılığı ● Amaç-1: – PsExec aracını kullanan saldırganların arkada bıraktıkları izleri analiz ederek, saldırganların tespit edilmesini sağlamaktır. ● Amaç-2: – Siber olaylara müdahale kapsamında alınan SIEM ürünleri yeterli seviyede kurgulanmadığında, saldırıların tespit edilemeyeceğini göstermek.
PsExec Avcılığı ● Bu çalışma sanal yapıda bulunan Windows 2012R2 Domain controller ve Windows-7 istemciden oluşan bir yapı üzerinde gerçekleştirilmiştir. – Kaynak makine (Source host): Windows-7 – Hedef makine (Destination host): Win2012R2 ● PsExec çalıştırıldığından kaynak ve hedef makine üzerinden oluşan bir takım loglar analiz edilecektir.
Windows-7 Log Analizi Sysmon ● Event ID : 1 (Process Create) – PsExec64.exe – Uzaktan çalıştırılan komut “CommandLine” bölümünde görülmektedir.
Windows-7 Log Analizi Sysmon ● Event ID : 5 (Process Terminated) – PsExec64.exe
Windows-7 Log Analizi Security ● Event ID : 4688 (A new process has been created) ● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde edilebilmektedir.
Windows-7 Log Analizi Security ● Event ID : 4689 (A process has exited) ● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde edilebilmektedir.
Windows-7 Log Analizi Registry ● PsExec kayıt defteri bilgisi ● Bilgisayar üzerinde PsExec daha önce çalıştırılmışsa, kayıt defterinde bir değişiklik görülmeyecektir.
Windows 2012R2 Log analizi Sysmon ● Event ID : 1 (Process Create) ● PsExec hedef makine üzerinde çalıştırdığı process "C:WindowsPSEXESVC.exe" ● Kullanıcı bilgiside görülmektedir.
Windows 2012R2 Log analizi Sysmon ● Event ID : 5 (Process Terminated) ● "C:WindowsPSEXESVC.exe" sonlandırılmıştır.
Windows 2012R2 Log analizi System ● Event ID : 7045 (A service was installed in the system) ● Yüklenen servisin adı ve yerini görebiliyoruz.
Windows 2012R2 Log analizi System ● Event ID : 7036 (The service entered the running state) ● Servis çalışır durumunu gösteren logu görüyoruz.
Windows 2012R2 Log analizi System ● Event ID : 7036 (The service entered the stopped state) ● Servisin durduğunu gösteren logu görüyoruz.
Windows 2012R2 Log analizi Security ● Event ID : 5156 (The Windows Filtering Platform has permitted a connection) ● Port 445 üzerinden bağlantı bilgileri
Windows 2012R2 Log analizi Security ● Event ID : 5156 (The Windows Filtering Platform has permitted a connection) ● Port 135 üzerinden bağlantı bilgileri
Windows 2012R2 Log analizi Security ● Event ID : 5140 (A network share object was accessed) ● Bağlantı yapan kullanıcı bilgisi ● ip adres bilgisi ● Paylaşım bilgisi gibi bilgiler görülmektedir.
Windows 2012R2 Log analizi Security ● Event ID : 4672 (Special privileges assigned to new logon) ● Bağlantı yapan kullanıcı bilgisi ● Atanmış yetkiler gibi bilgiler görünmektedir.
Windows 2012R2 Log analizi Security ● Event ID : 5145 (A network share object was checked to see whether client can be granted desired access) ● Event ID: 5145 logu birden fazla oluşabilir. ● ip adres bilgisi ● Bağlantı yapan kullanıcı bilgisi ● Hedef bilgisi gibi bilgiler görülmektedir.
Sonuç ● Varsayılan Windows ayarları ile yeterli miktarda log tutulmadığını unutmayın. ● Ayrıntılı log elde etmek için önceden yapılandırılması gerekenler – Gerekli denetim ilkesi logları – Sysmon ● Bu ayarlar yapıldığında sistemler üzerinde oluşan log kayıtlarındaki artış, yapı kurulurken dikkate alınmalıdır. ● Siber saldırılar oldukça/arttıkça veya şüpheli durumlarda izleri takip edebilmek ve ayrıntılı inceleme yapabilmek önemlidir. Bundan dolayı eğer verimli bir yapı oluşturulmazsa, olay incelemeleri çözülemeyebilir. – Saldırgan ne yaptı? ● PsExec kullanıldığında burada analiz edilen loglar dışında çıkabilecek ek loglar olabilir.
İletişim Bilgileri Kurtuluş Karasu – kurtuluskarasu@gmail.com

More Related Content

Siber tehdit avcılığı 1

  • 2. Siber Tehdit Avcılığı ● Siber saldırılar çeşitli yöntemler ve taktikler kullanılarak gerçekleştirilmektedir. ● Herhangi bir siber saldırı durumuyla karşılaştığınızda veya şüphelendiğinizde bir çok noktanın araştırılması gerekmektedir. – Bu tür durumlarda kritik logları kapsamlı bir şekilde analiz ederek siber saldırı durumunun genel resmini olabildiğince doğru tespit etmek gerekir. – Analiz sonucunda iyileştirici tedbirler almak için gerekli olan bilgiler ortaya çıkarılmalıdır.
  • 3. Siber Tehdit Avcılığı ● Bu dokümanda siber saldırı yöntemleri arasında kullanılan psexec aracını inceleyeceğiz. ● PsExec kullanıldığında – Sunucu tarafından oluşması beklenen loglar nelerdir? – Istemci tarafında oluşması beklenen loglar nelerdir? – Sistemler üzerindeki default ayarlar, oluşması beklenen loglar için yeterli mi? – Değilse? – Yeterli bilgi içeren logları elde etmek için yapılması gereken ayarlar nelerdir?
  • 4. Siber Tehdit Avcılığı ● Amaç-1: – PsExec aracını kullanan saldırganların arkada bıraktıkları izleri analiz ederek, saldırganların tespit edilmesini sağlamaktır. ● Amaç-2: – Siber olaylara müdahale kapsamında alınan SIEM ürünleri yeterli seviyede kurgulanmadığında, saldırıların tespit edilemeyeceğini göstermek.
  • 5. PsExec Avcılığı ● Bu çalışma sanal yapıda bulunan Windows 2012R2 Domain controller ve Windows-7 istemciden oluşan bir yapı üzerinde gerçekleştirilmiştir. – Kaynak makine (Source host): Windows-7 – Hedef makine (Destination host): Win2012R2 ● PsExec çalıştırıldığından kaynak ve hedef makine üzerinden oluşan bir takım loglar analiz edilecektir.
  • 6. Windows-7 Log Analizi Sysmon ● Event ID : 1 (Process Create) – PsExec64.exe – Uzaktan çalıştırılan komut “CommandLine” bölümünde görülmektedir.
  • 7. Windows-7 Log Analizi Sysmon ● Event ID : 5 (Process Terminated) – PsExec64.exe
  • 8. Windows-7 Log Analizi Security ● Event ID : 4688 (A new process has been created) ● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde edilebilmektedir.
  • 9. Windows-7 Log Analizi Security ● Event ID : 4689 (A process has exited) ● Ayrıntılar bölümünde: Kullanıcı, Domain ve process gibi bilgiler elde edilebilmektedir.
  • 10. Windows-7 Log Analizi Registry ● PsExec kayıt defteri bilgisi ● Bilgisayar üzerinde PsExec daha önce çalıştırılmışsa, kayıt defterinde bir değişiklik görülmeyecektir.
  • 11. Windows 2012R2 Log analizi Sysmon ● Event ID : 1 (Process Create) ● PsExec hedef makine üzerinde çalıştırdığı process "C:WindowsPSEXESVC.exe" ● Kullanıcı bilgiside görülmektedir.
  • 12. Windows 2012R2 Log analizi Sysmon ● Event ID : 5 (Process Terminated) ● "C:WindowsPSEXESVC.exe" sonlandırılmıştır.
  • 13. Windows 2012R2 Log analizi System ● Event ID : 7045 (A service was installed in the system) ● Yüklenen servisin adı ve yerini görebiliyoruz.
  • 14. Windows 2012R2 Log analizi System ● Event ID : 7036 (The service entered the running state) ● Servis çalışır durumunu gösteren logu görüyoruz.
  • 15. Windows 2012R2 Log analizi System ● Event ID : 7036 (The service entered the stopped state) ● Servisin durduğunu gösteren logu görüyoruz.
  • 16. Windows 2012R2 Log analizi Security ● Event ID : 5156 (The Windows Filtering Platform has permitted a connection) ● Port 445 üzerinden bağlantı bilgileri
  • 17. Windows 2012R2 Log analizi Security ● Event ID : 5156 (The Windows Filtering Platform has permitted a connection) ● Port 135 üzerinden bağlantı bilgileri
  • 18. Windows 2012R2 Log analizi Security ● Event ID : 5140 (A network share object was accessed) ● Bağlantı yapan kullanıcı bilgisi ● ip adres bilgisi ● Paylaşım bilgisi gibi bilgiler görülmektedir.
  • 19. Windows 2012R2 Log analizi Security ● Event ID : 4672 (Special privileges assigned to new logon) ● Bağlantı yapan kullanıcı bilgisi ● Atanmış yetkiler gibi bilgiler görünmektedir.
  • 20. Windows 2012R2 Log analizi Security ● Event ID : 5145 (A network share object was checked to see whether client can be granted desired access) ● Event ID: 5145 logu birden fazla oluşabilir. ● ip adres bilgisi ● Bağlantı yapan kullanıcı bilgisi ● Hedef bilgisi gibi bilgiler görülmektedir.
  • 21. Sonuç ● Varsayılan Windows ayarları ile yeterli miktarda log tutulmadığını unutmayın. ● Ayrıntılı log elde etmek için önceden yapılandırılması gerekenler – Gerekli denetim ilkesi logları – Sysmon ● Bu ayarlar yapıldığında sistemler üzerinde oluşan log kayıtlarındaki artış, yapı kurulurken dikkate alınmalıdır. ● Siber saldırılar oldukça/arttıkça veya şüpheli durumlarda izleri takip edebilmek ve ayrıntılı inceleme yapabilmek önemlidir. Bundan dolayı eğer verimli bir yapı oluşturulmazsa, olay incelemeleri çözülemeyebilir. – Saldırgan ne yaptı? ● PsExec kullanıldığında burada analiz edilen loglar dışında çıkabilecek ek loglar olabilir.
  • 22. İletişim Bilgileri Kurtuluş Karasu – kurtuluskarasu@gmail.com