SlideShare a Scribd company logo

Power shell saldırılarının ayak i̇zleri

Adeo Security
Adeo Security

Adeo tarafından Microsoft İstanbul ve Ankara ofislerinde gerçekleştirilen SOME Etkinliğinde Halil Öztürkci'ye ait sunum

Technology
1 of 25
Download to read offline
PowerShell Saldırılarının Ayak İzleri HALİL ÖZTÜRKCİ ADEO BİLİŞİM DANIŞMANLIK HİZMETLERİ A.Ş
Ben Kimim ADEO Kurucu Ortağı ve Güvenlik Birimi Yöneticisi Türkiye Bilişim Vakfı Yönetim Kurulu Üyesi Bahçeşehir & Bilgi & TOBB Üniversiteleri Öğretim Görevlisi Adli Bilişim Uzmanı Beyaz Şapkalı Hacker Adli Bilişim Derneği & USMED Microsoft MVP, Enterprise Security SANS Mentor (www.sans.org) CISSP, GPEN, GCFA, GREM, CHFI, CEH... ww.halilozturkci.com
ADEO Hakkında 2008 yılında kuruldu. İstanbul ve Ankara’da iki ofisi var. Siber güvenlik konusunda Türkiye’de bir çok şirkete ve kuruma hizmet veriyor. Ankara’da CyberCrime Center ismiyle açtığı Türkiye’nin ilk özel adli bilişim laboratuvarına sahip. Siber Güvenlik hizmetlerimizin detayları www.adeosecurity.com adresinde mevcut. halilozturkci
Ajanda PowerShell Nedir PowerShell Saldırı Araçları PowerShell İle Saldırgan Neler Yapabilir PowerShell Saldırılarının Ayak İzlerinin Analizi
PowerShell Nedir? Windows PowerShell, Microsoft tarafından Windows komut satırı Cmd.exe ve Windows Script Host'a alternatif olarak geliştirilen yeni nesil bir komut satırı uygulamasıdır. Windows PowerShell 1.0 sürümü Windows XP, Windows Server 2003 ve Windows Vista için ücretsiz olarak indirilebilmektedir. Windows 7'den itibaren Windows PowerShell 2.0 işletim sistemi ile beraber gelmektedir. Yan taraftaki tabloda PowerShell sürümlerini işletim sistemleri bazında görebilirsiniz.
PowerShell Saldırı Araçları PowerSploit- A PowerShell Post-ExploitationFramework (https://github.com/PowerShellMafia/PowerSploit)
Deep in Thought: Chinese Targeting of National Security Think Tanks Çin hükümeti destekli en gelişmiş siber saldırı ekibi olan DEEP PANDA ele geçirdikleri sisteme zamanlanmış görev olarak Powershell.exe’yi ekliyorlar. Base64 olarak encode edilmiş kod parçası C&C sunucularından çalıştırılabilir zararlı kodu indirip hafızadan çalıştırıyor. Diğer sistemlere bu PowerShell scriptini WMI üzerinden kopyalıyorlar. Bütün bu işlemlerde standart Windows araçlarını ve sistemlerde geçerli kullanıcı hesaplarını kullanıyorlar.
PowerShell İle Saldırgan Neler Yapabilir? Bir Windows sistemi ele geçiren saldırgan PowerShell üzerinden neredeyse bütün kötü amaçlı işlemleri gerçekleştirebilir. ◦Hak Yükseltme (Privilege Escalation) ◦Kimlik Çalma (Credential Theft) ◦Ağ Üzerinde Diğer Hedeflere Atlama (Lateral Movement) ◦Veri Bozma (Data Destruction) ◦Sistemde Kalıcılık Sağlama (Persistence) ◦Veri Çalma (Data Exfiltration)
PowerShell Saldırısının İzleri Nerelerde Olabilir? Event Logs Prefetch Registry Network Memory PowerShell saldırılarına ait ayak izlerine rastlayabileceğimiz bileşenler.
PowerShell İzleri – Event Logs Saldırganların Powershellkullanarak neler yaptıklarını tam olarak öğrenememizintemel sebeplerin başında ilgili sistemler üzerinde yeteri seviyede loglamanınyapılmaması geliyor. Windows Server 2012R2 ile birlikte Process Trackingaudit altında yeni bir group policyayarı geldi ve bu ayar sayesinde ilgili prosesin tam komut satırı detayları loglanabiliyor. Bu ayar ilk çıktığında sadece Windows 8.1 ve Server 2012R2 sistemlerinde uygulanabilirken sonrasında çıkan yamaların yardımıyla Windows 7 ve sonrası işletim sistemlerinde de kullanılabilir duruma geldi. Bu ayarın aktif olması için Audit Policytanımlarında Process Tracking’in de aktif edilmiş olması gerekiyor. Bu tanımlardan sonra ilgili sistem üzerinde oluşturulan her proses için Event ID değeri 4688 olan bir log kaydı Security loglarına düşer.
PowerShell İzleri – Event Logs Audit Process Creation 1 Oluşturulan her bir prosese ilişkin detayların Security loglarında yer almasını sağlayan Audit politikası
PowerShell İzleri – Event Logs Include Command Line In Process Creation Events 2 3 Oluşturulan prosesin komut satırından aldığı parametreler de loglanabiliyor
PowerShell İzleri – Event Logs Yerelden olsun uzaktan olsun PowerShellüzerinden bir komut yada script çalıştırılması durumunda aşağıdaki üç log dosyasında bu işlemle alakalı kayıtlar oluşturulabilir. ◦ • Windows PowerShell.evtx ◦ • Microsoft-Windows-PowerShell-Operational.evtx ◦ • Microsoft-Windows-PowerShell-Analytic.etl Aşağıdaki iki log dosyasında ise Windows Remote Management (WinRM) servisi üzerinden gerçekleştirilen PowerShell aktivitelerine ait bilgiler yer alır. ◦ • Microsoft-Windows-WinRM-Operational.evtx ◦ • Microsoft-Windows-WinRM-Analytic.etl
PowerShell İzleri – Event Logs Windows PowerShell.evtx Bu log dosyasında PowerShell her başlatıldığında ve sonlandırıldığında bir kayıt oluşturulur. ◦ Event ID 400: “Engine state is changed from None to Available.” ◦ Event ID 403: “Engine state is changed from Available to Stopped.” ◦ Event ID 600: “Provider "<provider name>" is <state>” Bu kayıtların hiç birinde ilgili eylemi gerçekleştiren kullanıcı hesabı hakkında bilgi yer almaz. Analiz sırasında bu kayıtlar incelenerek PowerShell üzerinden gerçekleştirilen saldırının ne kadar sürdüğü ve yerel mi uzaktan mı gerçekleştirildiği gibi bilgilere ulaşılabilir.
PowerShell İzleri – Event Logs Microsoft-Windows-PowerShell-Operational.evtx Bu log dosyasında PowerShell işlemlerinin operasyonuyla alakalı olaylar saklanır. ◦ Event ID 40961: “PowerShell console is startingup” ◦ Event ID 40962: “PowerShell console is ready for user input” Bu kayıtlar yerelden çalıştırılan PowerShell konsollarının ne zaman başlatıldığını ve ne zaman kullanıcıdan girdi beklemeye hazır hale geldiğini gösterir. Bu iki olayda da eylemi gerçekleştiren kullanıcı hesabı hakkında bilgi yer alır.
PowerShell İzleri – Event Logs Microsoft-Windows-PowerShell-Analytic.evtx Varsayılan olarak Analytic ve Debug logları tutulmaz ve gösterilmez. Detaylı analytic loglarını görüntülemek için Event Viewer’daki View menüsünden Show Analytic and Debug Log seçeneğini seçmeli. Ardından Analytic loglarını toplamak istediğiniz bileşen üzerinde Enable Log seçeneğini aktif ederek logların toplanmasını sağlamalısınız.
PowerShell İzleri – Event Logs Microsoft-Windows-PowerShell-Analytic.evtx Analyticlogları tutulmaya başladıktan sonra aşağıdaki ID’lere sahip kayıtlar üzerinde analiz yapılabilir. Event ID 32850:Uzaktan komut çalıştırma işleminin hangi kullanıcı hesabı üzerinden gerçekleştirildiğini gösterir. Event ID 32867/32868: Uzaktan çalıştırılan PowerShell komutunun ve bu komutun çıktısının (payload) neler olduğunun yer aldığı kayıtlardır. Decode edildikten sonra çalıştırılan komut ve çıktıları hakkında bilgi verir.
PowerShell İzleri - Prefetch Prefetch kavramı, uygulamaların daha hızlı açılmasını sağlamak için Windows XP ile birlikte duyurulan bir kavramdır. Sık kullanılan uygulamaların henüz çalıştırılmadan önce ilgili uygulamanın kodlarının hafızaya yüklenerek ihtiyaç duyulması halinde hızlıca çalışması esasına dayanır. Windows tarafından bu uygulamaya ait .PF uzantılı bir prefetch dosyası oluşturulur. Bu dosyalar %windir%Prefetch klasöründe yer alırlar ve bu dizin altında en fazla 128 dosya yer alabilir. Bu klasörde yer alan Layout.ini dosyası sistemin açılışı sırasında yüklenen dosyalar ve klasörler hakkında bilgiler içerir. Prefetch dosyasının kendisi bir binary dosyadır ve uygulamaya ilişkin bilgiler içerir. Bu dosyanın içerisinde uygulamanın en son ne zaman çalıştırıldığı,kaç kez çalıştırıldığı ve uygulama yüklenirken ilk 10 saniye içinde erişilen diğer dosyaların hangileri olduğu bilgisi yer alır. Bunun yanında, uygulamanın adı ve uygulama tarafından yüklenen sürücülerin bilgisi de bu dosyanın içeriğinde bulunur. Bununla birlikte ilgili prefetch dosyasının oluşturulma zamanına bakarak uygulamanın ilk kez ne zaman çalıştırıldığı bilgisi de elde edilebilir. Windows Vista ve sonrasındaki işletim sistemlerinde prefetch dosyalarının biraz daha gelişmiş hali olan superfetch dosyaları kullanılmaktadır.
PowerShell İzleri - Prefetch Çağrılan PowerShell scriptin ilk 10 saniye içinde yüklenmesi durumunda ilgili script hakkında bilgilere ulaşılabiliyor. Bununla birlikte PowerShell’in interaktif modda çalıştırılması durumunda çağırılan script bilgisine prefetch dosyası üzerinden ulaşılamaz.
PowerShell İzleri - Registry Normal şartlarda PowerShell üzerinden gerçekleştirilen saldırılarda registry üzerinde herhangi bir ize rastlanmaz. Bunun yanında saldırgan tarafından ele geçirilen sistemlerde PowerShell’in çalışmasını etkileyecek değişiklikler yapılmış olabilir. PowerShell Execution Policy sayesinde bir sistemde hangi türden PowerShell scriptlerinin çalışabileceği belirlenir ve saldırganlar tarafından bu ayarlar değiştirilerek ele geçirilen sistemler üzerinde yetkisiz scriptler çalıştırılabilir. Windows PowerShell ortamında 5 farklı çalıştırma politikası mevcuttur. ◦ Restricted – Herhangi bir script çalışmaz. Windows PowerShell sadece interaktif modda çalışabilir. Varsayılan olarak Windows Server 2012 R2 haricindekiler bu modda çalışır. ◦ AllSigned – Sadece güvenilen yayıncılar tarafından imzalanmış scriptler çalışabilir. ◦ RemoteSigned – İndirilen scriptler güvenilen yayıncılar tarafından imzalandıktan sonra çalışabilir. Windows Server 2012 R2 sistemler için varsayılan mod budur. ◦ Unrestricted – Herhangi bir sınırlama olmadan bütün Windows PowerShell scriptleri çalıştırılır. İnternetnet indirilen scriptler içinse kullanıcının karşısında scripti çalıştırmak için izin isteyen bir ekran çıkar. ◦ Bypass- Herhangi bir sınırlama olmadan bütün Windows PowerShell scriptleri çalıştırılır ve kullanıcılardan herhangi bir onay istenmez.
PowerShell İzleri - Registry PowerShell Execution Policy ile ilgili ayarlar registry içinde HKLMSOFTWAREMicrosoftPowerShell1ShellIdsMicrosoft.PowerShellanahtarı altında yer alan ExecutionPolicy isimli değer altında saklanır. Bu değer beş farklı şekilde yer alabilir. Bunlar ◦ Restricted ◦ AllSigned ◦ RemoteSigned ◦ Unrestricted ◦ Bypass Bu anahtar saldırgan tarafından PowerShellscriptleri çalıştırılmadan önce değiştirilmiş olabilir ve bu anahtarın son değiştirilme zamanı saldırının başlangıcı hakkında bize bilgi verebilir. Hatırlatma! Saldırgan bu ayarı değiştirmeden ilgili PowerShell scriptinin çalıştırırken komut satırına ekleyeceği ExecutionPolicy Bypass parametresi ile çalıştırma politikasını script bazlı değiştirebilir.
PowerShell İzleri - Registry
PowerShell İzleri - Network Uzak sistemler üzerinde de PowerShell script çalıştırılabiliyor. (PowerShell Remoting) PowerShell 2.0 ve sonrasında iletişim için kullanılan iki port var. Bunlar; ◦ 5985 (HTTP) ◦ 5986 (HTTPS) İki iletişimde de payload şifreli taşınır. HTTPS iletişiminde başlık bilgisi de şifreli taşınır. HTTP üzerinden gerçekleşmesi durumundabaşlıkbilgisi içinde sadece ilgili komutun hangi kullanıcı tarafındançalıştırıldığı ve PowerShell sürüm bilgisi yer alır. (NTLMSSP kimlik doğrulamasındaki Authorizationbaşlığı) İçerik şifreli taşındığı için ham paket verisi üzerinden analiz yapmak yerine flow üzerinden bir analiz gerçekleştirip anormallikleri tespit etmek daha doğru bir yaklaşımdır.
PowerShell İzleri - Memory PowerShell üzerinden gerçekleştirilen saldırılarda ilgili sistemin hafızasının imajı alınarak da saldırganın izi sürülebilir. Powershell remoting ile uzak sistem üzerinde çalıştırılan scriptler c:windowssystem32wsmprovhost.exe prosesi tarafından host edilir. Bu prosesten sonra olacaklar çalıştırılacak PowerShell komutuna bağlıdır. ◦ Eğer native cmdlet komutlarından birisi çalıştırılacaksa bu durumda wsmprovhost.exe prosesi üzerinden işlemler devam eder ayrı bir powershell.exe child prosesi oluşturulmaz. Komut tamamlandıktan sonra da wsmprovhost.exe prosesi sonlandırılır. ◦ Eğer PowerShell tarafından ayrı bir binary dosya yüklenip çalıştırılacaksa(örneğin diskteki bir çalıştırılabilir dosya) bu durumda ilgili yeni proses wsmprovhost.exe’nin child prosesi olarak sistemde çalıştırılır. Uygulamanın sonlanması durumunda wsmprovhost.exe de sonlandırılır. ◦ Eğer komut interaktif bir PowerShell oturumu açacaksa (örneğin Enter-PSSession üzerinden) bu durumda komut direkt olarak wsmprovhost.exe konteksinde çalışır ve wsmprovhost.exe prosesi PSSession oturumu sonlanınca sonlanır. Hafıza imajı alındıktan sonra karakter dizilerini çıkartılıp bu karakter dizileri arasında PowerShell komutları aranabilir.
Teşekkürler ADEO Security Labs @2016 www.adeosecurity.com

Recommended

DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hackingAlper Başaran
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
TCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkTCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkBGA Cyber Security
 
Bilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 

Recommended

DHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiDHCP SERVER Logları ve SNMP ile Kimlik Takibi
DHCP SERVER Logları ve SNMP ile Kimlik TakibiErtugrul Akbas
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 
Siber güvenlik ve hacking
Siber güvenlik ve hackingSiber güvenlik ve hacking
Siber güvenlik ve hackingAlper Başaran
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 1BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
TCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkTCP/IP Ağlarda İleri Seviye Paket Analizi – Tshark
TCP/IP Ağlarda İleri Seviye Paket Analizi – TsharkBGA Cyber Security
 
Bilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBilişim Suçlarında IP Adres Analizi
Bilişim Suçlarında IP Adres AnaliziBGA Cyber Security
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıSüleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımı
Süleyman Özarslan - Cyber kill chain modeli güvenlik denetim yaklaşımıKasım Erkan
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Ağ Temelleri
Ağ TemelleriAğ Temelleri
Ağ TemelleriAydın Özen
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3BGA Cyber Security
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El KitabıBGA Cyber Security
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriPentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
Linux Sistem Yönetimi
Linux Sistem YönetimiLinux Sistem Yönetimi
Linux Sistem YönetimiKurtuluş Karasu
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıAhmet Gürel
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİBGA Cyber Security
 
Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Mehmet Ince
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden YolKurtuluş Karasu
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siemErtugrul Akbas
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 
Microsoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarMicrosoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarAdeo Security
 
Hacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShellHacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShellAdeo Security
 

More Related Content

What's hot

Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3BGA Cyber Security
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıBGA Cyber Security
 
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriPentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıAhmet Gürel
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriErtugrul Akbas
 
Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Mehmet Ince
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)BGA Cyber Security
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleriosmncht
 

What's hot (20)

Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 2
 
Ağ Temelleri
Ağ TemelleriAğ Temelleri
Ağ Temelleri
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 1, 2, 3
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El Kitabı
 
Hping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif ÇalışmalarıHping Kullanarak Ağ Keşif Çalışmaları
Hping Kullanarak Ağ Keşif Çalışmaları
 
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik TestleriPentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
Pentest Çalışmalarında Kablosuz Ağ Güvenlik Testleri
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
 
Linux Sistem Yönetimi
Linux Sistem YönetimiLinux Sistem Yönetimi
Linux Sistem Yönetimi
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
 
Temel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş DökümanıTemel Ağ Sızma Testine Giriş Dökümanı
Temel Ağ Sızma Testine Giriş Dökümanı
 
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans VerileriLog Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
Log Korelasyon/SIEM Kural Örnekleri ve Korelasyon Motoru Performans Verileri
 
VERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİVERİTABANI SIZMA TESTLERİ
VERİTABANI SIZMA TESTLERİ
 
Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101Web Uygulama Güvenliği 101
Web Uygulama Güvenliği 101
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
 
Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)Derinlemesine Paket İnceleme (Deep Packet Inspection)
Derinlemesine Paket İnceleme (Deep Packet Inspection)
 
SIEM Başarıya Giden Yol
SIEM Başarıya Giden YolSIEM Başarıya Giden Yol
SIEM Başarıya Giden Yol
 
Log yönetimi ve siem
Log yönetimi ve siemLog yönetimi ve siem
Log yönetimi ve siem
 
Ağ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit SistemleriAğ tabanlı Saldırı Tespit Sistemleri
Ağ tabanlı Saldırı Tespit Sistemleri
 

Viewers also liked

Microsoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarMicrosoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarAdeo Security
 
Hacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShellHacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShellAdeo Security
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriAdeo Security
 
Microsoft Avanced Threat Analytics
Microsoft Avanced Threat AnalyticsMicrosoft Avanced Threat Analytics
Microsoft Avanced Threat AnalyticsAdeo Security
 
Saldırı Tespiti Sonrası Zararlı Kod ve İzlerinin Temizliği
Saldırı Tespiti Sonrası Zararlı Kod ve İzlerinin TemizliğiSaldırı Tespiti Sonrası Zararlı Kod ve İzlerinin Temizliği
Saldırı Tespiti Sonrası Zararlı Kod ve İzlerinin TemizliğiAdeo Security
 
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBeyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBGA Cyber Security
 
Hüseyin körbalta veri_kurtarma
Hüseyin körbalta veri_kurtarmaHüseyin körbalta veri_kurtarma
Hüseyin körbalta veri_kurtarmaCelal Karaca
 
Getting Started with Business Continuity
Getting Started with Business ContinuityGetting Started with Business Continuity
Getting Started with Business ContinuityStephen Cobb
 
Malware is Called Malicious for a Reason: The Risks of Weaponizing Code
Malware is Called Malicious for a Reason: The Risks of Weaponizing CodeMalware is Called Malicious for a Reason: The Risks of Weaponizing Code
Malware is Called Malicious for a Reason: The Risks of Weaponizing CodeStephen Cobb
 
The mobile health IT security challenge: way bigger than HIPAA?
The mobile health IT security challenge: way bigger than HIPAA?The mobile health IT security challenge: way bigger than HIPAA?
The mobile health IT security challenge: way bigger than HIPAA?Stephen Cobb
 
Malware and the risks of weaponizing code
Malware and the risks of weaponizing codeMalware and the risks of weaponizing code
Malware and the risks of weaponizing codeStephen Cobb
 
The Year Ahead in Cyber Security: 2014 edition
The Year Ahead in Cyber Security: 2014 editionThe Year Ahead in Cyber Security: 2014 edition
The Year Ahead in Cyber Security: 2014 editionStephen Cobb
 
A Career in Cybersecurity
A Career in CybersecurityA Career in Cybersecurity
A Career in Cybersecuritylfh663
 
Using Technology and Techno-People to Improve your Threat Resistance and Cybe...
Using Technology and Techno-People to Improve your Threat Resistance and Cybe...Using Technology and Techno-People to Improve your Threat Resistance and Cybe...
Using Technology and Techno-People to Improve your Threat Resistance and Cybe...Stephen Cobb
 
Global threat landscape
Global threat landscapeGlobal threat landscape
Global threat landscapeJynette Reed
 
Cybercrime and the Hidden Perils of Patient Data
Cybercrime and the Hidden Perils of Patient DataCybercrime and the Hidden Perils of Patient Data
Cybercrime and the Hidden Perils of Patient DataStephen Cobb
 
HIPAA, Privacy, Security, and Good Business
HIPAA, Privacy, Security, and Good BusinessHIPAA, Privacy, Security, and Good Business
HIPAA, Privacy, Security, and Good BusinessStephen Cobb
 
Using Technology and People to Improve your Threat Resistance and Cyber Security
Using Technology and People to Improve your Threat Resistance and Cyber SecurityUsing Technology and People to Improve your Threat Resistance and Cyber Security
Using Technology and People to Improve your Threat Resistance and Cyber SecurityStephen Cobb
 

Viewers also liked (20)

Microsoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif SaldirilarMicrosoft Active Directory'deki En Aktif Saldirilar
Microsoft Active Directory'deki En Aktif Saldirilar
 
Hacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShellHacker’ların Yeni Gozdesi - PowerShell
Hacker’ların Yeni Gozdesi - PowerShell
 
Some’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim YetkinlikleriSome’lerden Beklenen Adli bilişim Yetkinlikleri
Some’lerden Beklenen Adli bilişim Yetkinlikleri
 
Microsoft Avanced Threat Analytics
Microsoft Avanced Threat AnalyticsMicrosoft Avanced Threat Analytics
Microsoft Avanced Threat Analytics
 
Cyber Weapons
Cyber WeaponsCyber Weapons
Cyber Weapons
 
Saldırı Tespiti Sonrası Zararlı Kod ve İzlerinin Temizliği
Saldırı Tespiti Sonrası Zararlı Kod ve İzlerinin TemizliğiSaldırı Tespiti Sonrası Zararlı Kod ve İzlerinin Temizliği
Saldırı Tespiti Sonrası Zararlı Kod ve İzlerinin Temizliği
 
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders NotlarıBeyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
Beyaz Şapkalı Hacker Eğitimi Yardımcı Ders Notları
 
Hüseyin körbalta veri_kurtarma
Hüseyin körbalta veri_kurtarmaHüseyin körbalta veri_kurtarma
Hüseyin körbalta veri_kurtarma
 
Getting Started with Business Continuity
Getting Started with Business ContinuityGetting Started with Business Continuity
Getting Started with Business Continuity
 
Malware is Called Malicious for a Reason: The Risks of Weaponizing Code
Malware is Called Malicious for a Reason: The Risks of Weaponizing CodeMalware is Called Malicious for a Reason: The Risks of Weaponizing Code
Malware is Called Malicious for a Reason: The Risks of Weaponizing Code
 
The mobile health IT security challenge: way bigger than HIPAA?
The mobile health IT security challenge: way bigger than HIPAA?The mobile health IT security challenge: way bigger than HIPAA?
The mobile health IT security challenge: way bigger than HIPAA?
 
Malware and the risks of weaponizing code
Malware and the risks of weaponizing codeMalware and the risks of weaponizing code
Malware and the risks of weaponizing code
 
The Year Ahead in Cyber Security: 2014 edition
The Year Ahead in Cyber Security: 2014 editionThe Year Ahead in Cyber Security: 2014 edition
The Year Ahead in Cyber Security: 2014 edition
 
A Career in Cybersecurity
A Career in CybersecurityA Career in Cybersecurity
A Career in Cybersecurity
 
Cyber security
Cyber securityCyber security
Cyber security
 
Using Technology and Techno-People to Improve your Threat Resistance and Cybe...
Using Technology and Techno-People to Improve your Threat Resistance and Cybe...Using Technology and Techno-People to Improve your Threat Resistance and Cybe...
Using Technology and Techno-People to Improve your Threat Resistance and Cybe...
 
Global threat landscape
Global threat landscapeGlobal threat landscape
Global threat landscape
 
Cybercrime and the Hidden Perils of Patient Data
Cybercrime and the Hidden Perils of Patient DataCybercrime and the Hidden Perils of Patient Data
Cybercrime and the Hidden Perils of Patient Data
 
HIPAA, Privacy, Security, and Good Business
HIPAA, Privacy, Security, and Good BusinessHIPAA, Privacy, Security, and Good Business
HIPAA, Privacy, Security, and Good Business
 
Using Technology and People to Improve your Threat Resistance and Cyber Security
Using Technology and People to Improve your Threat Resistance and Cyber SecurityUsing Technology and People to Improve your Threat Resistance and Cyber Security
Using Technology and People to Improve your Threat Resistance and Cyber Security
 

Similar to Power shell saldırılarının ayak i̇zleri

SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması Ertugrul Akbas
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Securitymtimur
 
Ofansif ve Defansif Powershell
Ofansif ve Defansif PowershellOfansif ve Defansif Powershell
Ofansif ve Defansif PowershellBGA Cyber Security
 
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriKuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriSparta Bilişim
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıKOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıSparta Bilişim
 
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratYeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratSeyfullah KILIÇ
 
guvenlik yonetim 107.pdf
guvenlik yonetim 107.pdfguvenlik yonetim 107.pdf
guvenlik yonetim 107.pdfYunusEmreKK1
 
guvenlik yonetim 107-last.pdf
guvenlik yonetim 107-last.pdfguvenlik yonetim 107-last.pdf
guvenlik yonetim 107-last.pdfYunusEmreKK1
 
Uçtan Uca Microsoft EMS Nedir? Detaylı Anlatım
Uçtan Uca Microsoft EMS Nedir? Detaylı AnlatımUçtan Uca Microsoft EMS Nedir? Detaylı Anlatım
Uçtan Uca Microsoft EMS Nedir? Detaylı AnlatımMSHOWTO Bilisim Toplulugu
 
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiİstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiBGA Cyber Security
 
Microsoft Azure Active Directory Sunumu
Microsoft Azure Active Directory SunumuMicrosoft Azure Active Directory Sunumu
Microsoft Azure Active Directory SunumuMustafa
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...BGA Cyber Security
 
ServisNET Security Solutions
ServisNET Security SolutionsServisNET Security Solutions
ServisNET Security SolutionsHakki Aydin Ucar
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?BGA Cyber Security
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA Cyber Security
 

Similar to Power shell saldırılarının ayak i̇zleri (20)

SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
SIEM ve KVKK Teknik Tedbirlerinin ANET SureLog SIEM ile uygulanması
 
Dogus University-Web Application Security
Dogus University-Web Application SecurityDogus University-Web Application Security
Dogus University-Web Application Security
 
Ofansif ve Defansif Powershell
Ofansif ve Defansif PowershellOfansif ve Defansif Powershell
Ofansif ve Defansif Powershell
 
Cronom şirket
Cronom şirket Cronom şirket
Cronom şirket
 
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriKuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıKOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
 
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbaratYeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
Yeni Nesil Sosyal Mühendislik Saldırıları ve Siber İstihbarat
 
guvenlik yonetim 107.pdf
guvenlik yonetim 107.pdfguvenlik yonetim 107.pdf
guvenlik yonetim 107.pdf
 
guvenlik yonetim 107-last.pdf
guvenlik yonetim 107-last.pdfguvenlik yonetim 107-last.pdf
guvenlik yonetim 107-last.pdf
 
Uçtan Uca Microsoft EMS Nedir? Detaylı Anlatım
Uçtan Uca Microsoft EMS Nedir? Detaylı AnlatımUçtan Uca Microsoft EMS Nedir? Detaylı Anlatım
Uçtan Uca Microsoft EMS Nedir? Detaylı Anlatım
 
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan HakimiyetiİstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
İstSec 2015 - Bilgi Güvenliği için Açık Kaynak ile 360 Derece Alan Hakimiyeti
 
Cyber Kill Chain
Cyber Kill ChainCyber Kill Chain
Cyber Kill Chain
 
Microsoft Azure Active Directory Sunumu
Microsoft Azure Active Directory SunumuMicrosoft Azure Active Directory Sunumu
Microsoft Azure Active Directory Sunumu
 
Owasp top 10 inceleme
Owasp top 10 incelemeOwasp top 10 inceleme
Owasp top 10 inceleme
 
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
İstSec 2015 - Siber Saldırılara Hazırlık için Güvenlik Ürünlerimizi Nasıl Tes...
 
Mercure
MercureMercure
Mercure
 
ServisNET Security Solutions
ServisNET Security SolutionsServisNET Security Solutions
ServisNET Security Solutions
 
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
Some Tatbikatları ve SIEM Testleri İçin Siber Saldırıları Nasıl Optimize Ederiz?
 
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
BGA SOME/SOC Etkinliği - Ölçemediğin şeyi yönetemezsin: SOC'unuz Siber Saldır...
 

Power shell saldırılarının ayak i̇zleri

  • 4. Ajanda PowerShell Nedir PowerShell Saldırı Araçları PowerShell İle Saldırgan Neler Yapabilir PowerShell Saldırılarının Ayak İzlerinin Analizi
  • 5. PowerShell Nedir? Windows PowerShell, Microsoft tarafından Windows komut satırı Cmd.exe ve Windows Script Host'a alternatif olarak geliştirilen yeni nesil bir komut satırı uygulamasıdır. Windows PowerShell 1.0 sürümü Windows XP, Windows Server 2003 ve Windows Vista için ücretsiz olarak indirilebilmektedir. Windows 7'den itibaren Windows PowerShell 2.0 işletim sistemi ile beraber gelmektedir. Yan taraftaki tabloda PowerShell sürümlerini işletim sistemleri bazında görebilirsiniz.
  • 6. PowerShell Saldırı Araçları PowerSploit- A PowerShell Post-ExploitationFramework (https://github.com/PowerShellMafia/PowerSploit)
  • 7. Deep in Thought: Chinese Targeting of National Security Think Tanks Çin hükümeti destekli en gelişmiş siber saldırı ekibi olan DEEP PANDA ele geçirdikleri sisteme zamanlanmış görev olarak Powershell.exe’yi ekliyorlar. Base64 olarak encode edilmiş kod parçası C&C sunucularından çalıştırılabilir zararlı kodu indirip hafızadan çalıştırıyor. Diğer sistemlere bu PowerShell scriptini WMI üzerinden kopyalıyorlar. Bütün bu işlemlerde standart Windows araçlarını ve sistemlerde geçerli kullanıcı hesaplarını kullanıyorlar.
  • 8. PowerShell İle Saldırgan Neler Yapabilir? Bir Windows sistemi ele geçiren saldırgan PowerShell üzerinden neredeyse bütün kötü amaçlı işlemleri gerçekleştirebilir. ◦Hak Yükseltme (Privilege Escalation) ◦Kimlik Çalma (Credential Theft) ◦Ağ Üzerinde Diğer Hedeflere Atlama (Lateral Movement) ◦Veri Bozma (Data Destruction) ◦Sistemde Kalıcılık Sağlama (Persistence) ◦Veri Çalma (Data Exfiltration)
  • 10. PowerShell İzleri – Event Logs Saldırganların Powershellkullanarak neler yaptıklarını tam olarak öğrenememizintemel sebeplerin başında ilgili sistemler üzerinde yeteri seviyede loglamanınyapılmaması geliyor. Windows Server 2012R2 ile birlikte Process Trackingaudit altında yeni bir group policyayarı geldi ve bu ayar sayesinde ilgili prosesin tam komut satırı detayları loglanabiliyor. Bu ayar ilk çıktığında sadece Windows 8.1 ve Server 2012R2 sistemlerinde uygulanabilirken sonrasında çıkan yamaların yardımıyla Windows 7 ve sonrası işletim sistemlerinde de kullanılabilir duruma geldi. Bu ayarın aktif olması için Audit Policytanımlarında Process Tracking’in de aktif edilmiş olması gerekiyor. Bu tanımlardan sonra ilgili sistem üzerinde oluşturulan her proses için Event ID değeri 4688 olan bir log kaydı Security loglarına düşer.
  • 11. PowerShell İzleri – Event Logs Audit Process Creation 1 Oluşturulan her bir prosese ilişkin detayların Security loglarında yer almasını sağlayan Audit politikası
  • 12. PowerShell İzleri – Event Logs Include Command Line In Process Creation Events 2 3 Oluşturulan prosesin komut satırından aldığı parametreler de loglanabiliyor
  • 13. PowerShell İzleri – Event Logs Yerelden olsun uzaktan olsun PowerShellüzerinden bir komut yada script çalıştırılması durumunda aşağıdaki üç log dosyasında bu işlemle alakalı kayıtlar oluşturulabilir. ◦ • Windows PowerShell.evtx ◦ • Microsoft-Windows-PowerShell-Operational.evtx ◦ • Microsoft-Windows-PowerShell-Analytic.etl Aşağıdaki iki log dosyasında ise Windows Remote Management (WinRM) servisi üzerinden gerçekleştirilen PowerShell aktivitelerine ait bilgiler yer alır. ◦ • Microsoft-Windows-WinRM-Operational.evtx ◦ • Microsoft-Windows-WinRM-Analytic.etl
  • 14. PowerShell İzleri – Event Logs Windows PowerShell.evtx Bu log dosyasında PowerShell her başlatıldığında ve sonlandırıldığında bir kayıt oluşturulur. ◦ Event ID 400: “Engine state is changed from None to Available.” ◦ Event ID 403: “Engine state is changed from Available to Stopped.” ◦ Event ID 600: “Provider "<provider name>" is <state>” Bu kayıtların hiç birinde ilgili eylemi gerçekleştiren kullanıcı hesabı hakkında bilgi yer almaz. Analiz sırasında bu kayıtlar incelenerek PowerShell üzerinden gerçekleştirilen saldırının ne kadar sürdüğü ve yerel mi uzaktan mı gerçekleştirildiği gibi bilgilere ulaşılabilir.
  • 15. PowerShell İzleri – Event Logs Microsoft-Windows-PowerShell-Operational.evtx Bu log dosyasında PowerShell işlemlerinin operasyonuyla alakalı olaylar saklanır. ◦ Event ID 40961: “PowerShell console is startingup” ◦ Event ID 40962: “PowerShell console is ready for user input” Bu kayıtlar yerelden çalıştırılan PowerShell konsollarının ne zaman başlatıldığını ve ne zaman kullanıcıdan girdi beklemeye hazır hale geldiğini gösterir. Bu iki olayda da eylemi gerçekleştiren kullanıcı hesabı hakkında bilgi yer alır.
  • 16. PowerShell İzleri – Event Logs Microsoft-Windows-PowerShell-Analytic.evtx Varsayılan olarak Analytic ve Debug logları tutulmaz ve gösterilmez. Detaylı analytic loglarını görüntülemek için Event Viewer’daki View menüsünden Show Analytic and Debug Log seçeneğini seçmeli. Ardından Analytic loglarını toplamak istediğiniz bileşen üzerinde Enable Log seçeneğini aktif ederek logların toplanmasını sağlamalısınız.
  • 17. PowerShell İzleri – Event Logs Microsoft-Windows-PowerShell-Analytic.evtx Analyticlogları tutulmaya başladıktan sonra aşağıdaki ID’lere sahip kayıtlar üzerinde analiz yapılabilir. Event ID 32850:Uzaktan komut çalıştırma işleminin hangi kullanıcı hesabı üzerinden gerçekleştirildiğini gösterir. Event ID 32867/32868: Uzaktan çalıştırılan PowerShell komutunun ve bu komutun çıktısının (payload) neler olduğunun yer aldığı kayıtlardır. Decode edildikten sonra çalıştırılan komut ve çıktıları hakkında bilgi verir.
  • 18. PowerShell İzleri - Prefetch Prefetch kavramı, uygulamaların daha hızlı açılmasını sağlamak için Windows XP ile birlikte duyurulan bir kavramdır. Sık kullanılan uygulamaların henüz çalıştırılmadan önce ilgili uygulamanın kodlarının hafızaya yüklenerek ihtiyaç duyulması halinde hızlıca çalışması esasına dayanır. Windows tarafından bu uygulamaya ait .PF uzantılı bir prefetch dosyası oluşturulur. Bu dosyalar %windir%Prefetch klasöründe yer alırlar ve bu dizin altında en fazla 128 dosya yer alabilir. Bu klasörde yer alan Layout.ini dosyası sistemin açılışı sırasında yüklenen dosyalar ve klasörler hakkında bilgiler içerir. Prefetch dosyasının kendisi bir binary dosyadır ve uygulamaya ilişkin bilgiler içerir. Bu dosyanın içerisinde uygulamanın en son ne zaman çalıştırıldığı,kaç kez çalıştırıldığı ve uygulama yüklenirken ilk 10 saniye içinde erişilen diğer dosyaların hangileri olduğu bilgisi yer alır. Bunun yanında, uygulamanın adı ve uygulama tarafından yüklenen sürücülerin bilgisi de bu dosyanın içeriğinde bulunur. Bununla birlikte ilgili prefetch dosyasının oluşturulma zamanına bakarak uygulamanın ilk kez ne zaman çalıştırıldığı bilgisi de elde edilebilir. Windows Vista ve sonrasındaki işletim sistemlerinde prefetch dosyalarının biraz daha gelişmiş hali olan superfetch dosyaları kullanılmaktadır.
  • 19. PowerShell İzleri - Prefetch Çağrılan PowerShell scriptin ilk 10 saniye içinde yüklenmesi durumunda ilgili script hakkında bilgilere ulaşılabiliyor. Bununla birlikte PowerShell’in interaktif modda çalıştırılması durumunda çağırılan script bilgisine prefetch dosyası üzerinden ulaşılamaz.
  • 20. PowerShell İzleri - Registry Normal şartlarda PowerShell üzerinden gerçekleştirilen saldırılarda registry üzerinde herhangi bir ize rastlanmaz. Bunun yanında saldırgan tarafından ele geçirilen sistemlerde PowerShell’in çalışmasını etkileyecek değişiklikler yapılmış olabilir. PowerShell Execution Policy sayesinde bir sistemde hangi türden PowerShell scriptlerinin çalışabileceği belirlenir ve saldırganlar tarafından bu ayarlar değiştirilerek ele geçirilen sistemler üzerinde yetkisiz scriptler çalıştırılabilir. Windows PowerShell ortamında 5 farklı çalıştırma politikası mevcuttur. ◦ Restricted – Herhangi bir script çalışmaz. Windows PowerShell sadece interaktif modda çalışabilir. Varsayılan olarak Windows Server 2012 R2 haricindekiler bu modda çalışır. ◦ AllSigned – Sadece güvenilen yayıncılar tarafından imzalanmış scriptler çalışabilir. ◦ RemoteSigned – İndirilen scriptler güvenilen yayıncılar tarafından imzalandıktan sonra çalışabilir. Windows Server 2012 R2 sistemler için varsayılan mod budur. ◦ Unrestricted – Herhangi bir sınırlama olmadan bütün Windows PowerShell scriptleri çalıştırılır. İnternetnet indirilen scriptler içinse kullanıcının karşısında scripti çalıştırmak için izin isteyen bir ekran çıkar. ◦ Bypass- Herhangi bir sınırlama olmadan bütün Windows PowerShell scriptleri çalıştırılır ve kullanıcılardan herhangi bir onay istenmez.
  • 21. PowerShell İzleri - Registry PowerShell Execution Policy ile ilgili ayarlar registry içinde HKLMSOFTWAREMicrosoftPowerShell1ShellIdsMicrosoft.PowerShellanahtarı altında yer alan ExecutionPolicy isimli değer altında saklanır. Bu değer beş farklı şekilde yer alabilir. Bunlar ◦ Restricted ◦ AllSigned ◦ RemoteSigned ◦ Unrestricted ◦ Bypass Bu anahtar saldırgan tarafından PowerShellscriptleri çalıştırılmadan önce değiştirilmiş olabilir ve bu anahtarın son değiştirilme zamanı saldırının başlangıcı hakkında bize bilgi verebilir. Hatırlatma! Saldırgan bu ayarı değiştirmeden ilgili PowerShell scriptinin çalıştırırken komut satırına ekleyeceği ExecutionPolicy Bypass parametresi ile çalıştırma politikasını script bazlı değiştirebilir.
  • 23. PowerShell İzleri - Network Uzak sistemler üzerinde de PowerShell script çalıştırılabiliyor. (PowerShell Remoting) PowerShell 2.0 ve sonrasında iletişim için kullanılan iki port var. Bunlar; ◦ 5985 (HTTP) ◦ 5986 (HTTPS) İki iletişimde de payload şifreli taşınır. HTTPS iletişiminde başlık bilgisi de şifreli taşınır. HTTP üzerinden gerçekleşmesi durumundabaşlıkbilgisi içinde sadece ilgili komutun hangi kullanıcı tarafındançalıştırıldığı ve PowerShell sürüm bilgisi yer alır. (NTLMSSP kimlik doğrulamasındaki Authorizationbaşlığı) İçerik şifreli taşındığı için ham paket verisi üzerinden analiz yapmak yerine flow üzerinden bir analiz gerçekleştirip anormallikleri tespit etmek daha doğru bir yaklaşımdır.
  • 24. PowerShell İzleri - Memory PowerShell üzerinden gerçekleştirilen saldırılarda ilgili sistemin hafızasının imajı alınarak da saldırganın izi sürülebilir. Powershell remoting ile uzak sistem üzerinde çalıştırılan scriptler c:windowssystem32wsmprovhost.exe prosesi tarafından host edilir. Bu prosesten sonra olacaklar çalıştırılacak PowerShell komutuna bağlıdır. ◦ Eğer native cmdlet komutlarından birisi çalıştırılacaksa bu durumda wsmprovhost.exe prosesi üzerinden işlemler devam eder ayrı bir powershell.exe child prosesi oluşturulmaz. Komut tamamlandıktan sonra da wsmprovhost.exe prosesi sonlandırılır. ◦ Eğer PowerShell tarafından ayrı bir binary dosya yüklenip çalıştırılacaksa(örneğin diskteki bir çalıştırılabilir dosya) bu durumda ilgili yeni proses wsmprovhost.exe’nin child prosesi olarak sistemde çalıştırılır. Uygulamanın sonlanması durumunda wsmprovhost.exe de sonlandırılır. ◦ Eğer komut interaktif bir PowerShell oturumu açacaksa (örneğin Enter-PSSession üzerinden) bu durumda komut direkt olarak wsmprovhost.exe konteksinde çalışır ve wsmprovhost.exe prosesi PSSession oturumu sonlanınca sonlanır. Hafıza imajı alındıktan sonra karakter dizilerini çıkartılıp bu karakter dizileri arasında PowerShell komutları aranabilir.