SlideShare uma empresa Scribd logo

Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)

O
Oğuzcan Pamuk

Gebze Teknik Üniversitesi Bilgisayar Mühendisliği Topluluğunun düzenlemiş olduğu etkinlikte yapmış olduğum sunumdur.

Engenharia
1 de 18
Baixar para ler offline
OĞUZCAN PAMUK SYSINTERNALS ARAÇLARI İLE SİBER TEHDİT AVCILIĞI
AJANDA ▸ Zararlı yazılım nedir ? ▸ Zararlı yazılım nasıl bulaşabilir ? ▸ Analiz türleri ▸ Dinamik zararlı yazılım analizine giriş ▸ Sysmon nedir ? Nasıl kullanılır ? ▸ Temel seviyede örnekler
ZARARLI YAZILIM NEDİR ? ▸ Zararlı yazılım; bilgisayar sistemlerine sızmak yada zarar vermek amacıyla kullanılan her türlü yazılım ürünüdür. ▸ Karmaşık yada basit kodlar halinde bulunabilirler. ▸ Farklı türde birçok dosya yoluyla bulaşabilir ve yayılabilirler.
ZARARLI YAZILIM BULAŞMA YOLLARI ▸ Mail yoluyla gönderilen pdf,exe,py,sh gibi farklı dosyaların indirilip açılması (sosyal mühendislik) ▸ Pdf dosyasına gömülen zararlı javascript kodları ▸ Office dökümanlarına gömülen makro yazılımları ▸ Dosya paylaşımları ▸ Tarayıcı eklentileri
ZARARLI YAZILIM ANALİZ TEKNİKLERİ ▸ Statik analiz Kod seviyesinde yapılan analiz (disassembler) ▸ Dinamik analiz Davranış analizi
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR) ▸ Windows işletim sistemi üzerinde çalışır ▸ Dinamik zararlı yazılım analizinde kullanılır ▸ Loglara nasıl ulaşabiliriz ? Windows Event Viewer - Microsoft / Sysmon / Operational
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR) ▸ Hangi bilgileri edinebiliriz ? Process creations File modifications Network connections Process hash value Parent - child process
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KURULUMU ▸ https://technet.microsoft.com/en-us/sysinternals/sysmon ▸ Basit Kurulum : Sysmon.exe -i ▸ Konfigürasyon : Sysmon.exe -c conf.xml ▸ Sysmon servisinin çalıştığının kontrolü yapılmalıdır
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KONFİGÜRASYON ÖRNEĞİ <Sysmon schemaversion="3.20"> <HashAlgorithms>MD5,SHA1,SHA256</HashAlgorithms> <EventFiltering> <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <ProcessCreate onmatch="exclude"> <Image condition="contains">splunk</Image> <Image condition="contains">nxlog</Image> </ProcessCreate> <NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> <Image condition="contains">cmd.exe</Image> <Image condition="contains">powershell</Image> </NetworkConnect> </EventFiltering> </Sysmon>
DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON
DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS CREATE
DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS TERMINATE
DİNAMİK ZARARLI YAZILIM ANALİZİ - PARENT / CHILD PROCESS
TEMEL SEVİYEDE ÖRNEKLER
ÖRNEK 1 - TANIM ▸ X şirketinde, çalışanlardan biri internet üzerinde arama yaparken bir word (Office uygulaması) dosyası indirir ve onu çalıştırır. Şirketin siber güvenlik birimi Sysmon üzerinde office protokolünün yeni ve tanımlanamayan bir process ürettiğini görür ve bu durumu yorumlamaya çalışır. ▸ Muhtemel sorular; Office dökümanının yeni bir process oluşturması normal midir ? Oluşan bu process makine üzerinde ne gibi bir işlem gerçekleştirmektedir ?
ÖRNEK 2 - TANIM ▸ Y şirketinde çalışan güvenlik görevlisi mesai saatleri dışında kendine tahsis edilen bilgisayarı kullanarak, yasal olmayan bir web sitesinden süper lig maçı izlemek ister. Fakat bu yasal olmayan web sitesine girmeye çalıştığında, site üzerinden anlamlandırılamayan bir dosya iner. Görevli dosyanın ne olduğunu merak eder ve bu dosyaya tıklar. Nöbetçi olarak bekleyen siber güvenlik analisti Sysmon üzerinden bir betik process’inin işletim sisteminde .encrypted uzantılı yeni dosyalar oluşturduğunu görür. ▸ Bu zararlı yazılım ne gibi bir işleve sahip olabilir ?
ÖRNEK 3 - TANIM ▸ Z kurumsal şirketinde çalışan biri, kurumsal e-posta adresini kullanarak, yeni bir sosyal medya hesabı açar. Hacker ise bu sosyal medya üzerinden kişinin e-posta adresine ve mesleğine ulaşır. Bu bilgileri kullanarak e- posta adresine sosyal mühendislik tekniklerini kullanarak yeni bir e-posta gönderir. E-posta içeriğini gören çalışan, durumu anlamaz ve ekte bulunan betiği çalıştırır. Çalışan betik yeni bir Scheduled Task oluşturur. ▸ Bu zararlı yazılımın amacı ne olabilir ? Tartışalım.
SORULARINIZ ?

Recomendados

Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
Yeni Kuşak Güvenlik Tehditleri
Yeni Kuşak Güvenlik TehditleriYeni Kuşak Güvenlik Tehditleri
Yeni Kuşak Güvenlik TehditleriBurak DAYIOGLU
 
Smmm ler siber güvenlik
Smmm ler siber güvenlikSmmm ler siber güvenlik
Smmm ler siber güvenlikSelçuk Gülten
 
Siber Tehdit İstihbaratı (Threat Intelligence)
Siber Tehdit İstihbaratı (Threat Intelligence)Siber Tehdit İstihbaratı (Threat Intelligence)
Siber Tehdit İstihbaratı (Threat Intelligence)Oğuzcan Pamuk
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ibrahim Akgul
 
Adli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme SüreçleriAdli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme Süreçleriİsmail ŞEN
 
Pasif Bilgi Toplama
Pasif Bilgi ToplamaPasif Bilgi Toplama
Pasif Bilgi ToplamaMelek Nurten Yavuz
 

Recomendados

Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
Yeni Kuşak Güvenlik Tehditleri
Yeni Kuşak Güvenlik TehditleriYeni Kuşak Güvenlik Tehditleri
Yeni Kuşak Güvenlik TehditleriBurak DAYIOGLU
 
Smmm ler siber güvenlik
Smmm ler siber güvenlikSmmm ler siber güvenlik
Smmm ler siber güvenlikSelçuk Gülten
 
Siber Tehdit İstihbaratı (Threat Intelligence)
Siber Tehdit İstihbaratı (Threat Intelligence)Siber Tehdit İstihbaratı (Threat Intelligence)
Siber Tehdit İstihbaratı (Threat Intelligence)Oğuzcan Pamuk
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ibrahim Akgul
 
Adli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme SüreçleriAdli Bilişim İnceleme Süreçleri
Adli Bilişim İnceleme Süreçleriİsmail ŞEN
 
Pasif Bilgi Toplama
Pasif Bilgi ToplamaPasif Bilgi Toplama
Pasif Bilgi ToplamaMelek Nurten Yavuz
 
G.yazlimlari
G.yazlimlariG.yazlimlari
G.yazlimlariHamza Şentürk
 
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıAlper Başaran
 
Secromix – Penetrasyon Testi Hizmetleri.pdf
Secromix – Penetrasyon Testi Hizmetleri.pdfSecromix – Penetrasyon Testi Hizmetleri.pdf
Secromix – Penetrasyon Testi Hizmetleri.pdfBacklink Paketleri
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feedsDoukanksz
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziBGA Cyber Security
 
Bilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıBilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıMusa BEKTAŞ
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriEPICROUTERS
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2Mutlu
 
Açık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve GüvenlikAçık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve GüvenlikBurak DAYIOGLU
 
Odinaff Zararlısı Analizi
Odinaff Zararlısı AnaliziOdinaff Zararlısı Analizi
Odinaff Zararlısı AnaliziLeylim Damla Çetin
 
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimHalil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimKasım Erkan
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Bilgisayar Virusleri
Bilgisayar VirusleriBilgisayar Virusleri
Bilgisayar Viruslerikurtayfun
 
Antivirüs
AntivirüsAntivirüs
AntivirüsCelal Karaca
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiEmre ERKIRAN
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATÇağrı Polat
 
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4Rahme Latif Gündoğan
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Python 101
Python 101Python 101
Python 101Oğuzcan Pamuk
 
DDoS Benzetimi Projesi Raporu
DDoS Benzetimi Projesi RaporuDDoS Benzetimi Projesi Raporu
DDoS Benzetimi Projesi RaporuOğuzcan Pamuk
 

Mais conteúdo relacionado

Semelhante a Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)

WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıAlper Başaran
 
Secromix – Penetrasyon Testi Hizmetleri.pdf
Secromix – Penetrasyon Testi Hizmetleri.pdfSecromix – Penetrasyon Testi Hizmetleri.pdf
Secromix – Penetrasyon Testi Hizmetleri.pdfBacklink Paketleri
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feedsDoukanksz
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziBGA Cyber Security
 
Bilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıBilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıMusa BEKTAŞ
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriEPICROUTERS
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2Mutlu
 
Açık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve GüvenlikAçık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve GüvenlikBurak DAYIOGLU
 
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimHalil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimKasım Erkan
 
Bilgisayar Virusleri
Bilgisayar VirusleriBilgisayar Virusleri
Bilgisayar Viruslerikurtayfun
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiEmre ERKIRAN
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıBGA Cyber Security
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATÇağrı Polat
 

Semelhante a Sysmon İle Siber Tehdit Avcılığı (Threat Hunting) (19)

G.yazlimlari
G.yazlimlariG.yazlimlari
G.yazlimlari
 
WannaCry - NotPetya Olayları
WannaCry - NotPetya OlaylarıWannaCry - NotPetya Olayları
WannaCry - NotPetya Olayları
 
Secromix – Penetrasyon Testi Hizmetleri.pdf
Secromix – Penetrasyon Testi Hizmetleri.pdfSecromix – Penetrasyon Testi Hizmetleri.pdf
Secromix – Penetrasyon Testi Hizmetleri.pdf
 
Threat data feeds
Threat data feedsThreat data feeds
Threat data feeds
 
Windows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım AnaliziWindows 7 Ortamında Zararlı Yazılım Analizi
Windows 7 Ortamında Zararlı Yazılım Analizi
 
Bilgi güvenlik uygulamaları
Bilgi güvenlik uygulamalarıBilgi güvenlik uygulamaları
Bilgi güvenlik uygulamaları
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
 
Jetico personal firewall 2
Jetico personal firewall 2Jetico personal firewall 2
Jetico personal firewall 2
 
Açık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve GüvenlikAçık Kaynak Kodu ve Güvenlik
Açık Kaynak Kodu ve Güvenlik
 
Odinaff Zararlısı Analizi
Odinaff Zararlısı AnaliziOdinaff Zararlısı Analizi
Odinaff Zararlısı Analizi
 
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişimHalil Öztürkçi - Dijital iz sürme sanatı adli bilişim
Halil Öztürkçi - Dijital iz sürme sanatı adli bilişim
 
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale EgitimiBTRisk - Siber Olay Tespit ve Mudahale Egitimi
BTRisk - Siber Olay Tespit ve Mudahale Egitimi
 
Bilgisayar Virusleri
Bilgisayar VirusleriBilgisayar Virusleri
Bilgisayar Virusleri
 
Antivirüs
AntivirüsAntivirüs
Antivirüs
 
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim SistemiISO 27001 Bilgi Güvenliği Yönetim Sistemi
ISO 27001 Bilgi Güvenliği Yönetim Sistemi
 
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme ÇalışmalarıWindows İşletim Sistemi Yetki Yükseltme Çalışmaları
Windows İşletim Sistemi Yetki Yükseltme Çalışmaları
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Kisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLATKisisel Bilgi Guvenligi by Cagri POLAT
Kisisel Bilgi Guvenligi by Cagri POLAT
 
Internet.ppt_4
Internet.ppt_4Internet.ppt_4
Internet.ppt_4
 

Mais de Oğuzcan Pamuk

Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
DDoS Benzetimi Projesi Raporu
DDoS Benzetimi Projesi RaporuDDoS Benzetimi Projesi Raporu
DDoS Benzetimi Projesi RaporuOğuzcan Pamuk
 
DDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim TeknikleriDDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim TeknikleriOğuzcan Pamuk
 
DoS/DDoS Saldırıları
DoS/DDoS SaldırılarıDoS/DDoS Saldırıları
DoS/DDoS SaldırılarıOğuzcan Pamuk
 
Metin Madenciliği ile Cümleleri Kategorilendirme
Metin Madenciliği ile Cümleleri KategorilendirmeMetin Madenciliği ile Cümleleri Kategorilendirme
Metin Madenciliği ile Cümleleri KategorilendirmeOğuzcan Pamuk
 
DDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuDDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuOğuzcan Pamuk
 
DDoS - Bitirme Projesi Ön Sunumu
DDoS - Bitirme Projesi Ön SunumuDDoS - Bitirme Projesi Ön Sunumu
DDoS - Bitirme Projesi Ön SunumuOğuzcan Pamuk
 

Mais de Oğuzcan Pamuk (9)

Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
 
Python 101
Python 101Python 101
Python 101
 
DDoS Benzetimi Projesi Raporu
DDoS Benzetimi Projesi RaporuDDoS Benzetimi Projesi Raporu
DDoS Benzetimi Projesi Raporu
 
DDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim TeknikleriDDoS Saldırıları ve Benzetim Teknikleri
DDoS Saldırıları ve Benzetim Teknikleri
 
DoS/DDoS Saldırıları
DoS/DDoS SaldırılarıDoS/DDoS Saldırıları
DoS/DDoS Saldırıları
 
Metin Madenciliği ile Cümleleri Kategorilendirme
Metin Madenciliği ile Cümleleri KategorilendirmeMetin Madenciliği ile Cümleleri Kategorilendirme
Metin Madenciliği ile Cümleleri Kategorilendirme
 
DDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara RaporuDDoS Benzetimi Projesi Ara Raporu
DDoS Benzetimi Projesi Ara Raporu
 
DDoS - Bitirme Projesi Ön Sunumu
DDoS - Bitirme Projesi Ön SunumuDDoS - Bitirme Projesi Ön Sunumu
DDoS - Bitirme Projesi Ön Sunumu
 
Proje sunum
Proje sunumProje sunum
Proje sunum
 

Sysmon İle Siber Tehdit Avcılığı (Threat Hunting)

  • 1. OĞUZCAN PAMUK SYSINTERNALS ARAÇLARI İLE SİBER TEHDİT AVCILIĞI
  • 2. AJANDA ▸ Zararlı yazılım nedir ? ▸ Zararlı yazılım nasıl bulaşabilir ? ▸ Analiz türleri ▸ Dinamik zararlı yazılım analizine giriş ▸ Sysmon nedir ? Nasıl kullanılır ? ▸ Temel seviyede örnekler
  • 3. ZARARLI YAZILIM NEDİR ? ▸ Zararlı yazılım; bilgisayar sistemlerine sızmak yada zarar vermek amacıyla kullanılan her türlü yazılım ürünüdür. ▸ Karmaşık yada basit kodlar halinde bulunabilirler. ▸ Farklı türde birçok dosya yoluyla bulaşabilir ve yayılabilirler.
  • 4. ZARARLI YAZILIM BULAŞMA YOLLARI ▸ Mail yoluyla gönderilen pdf,exe,py,sh gibi farklı dosyaların indirilip açılması (sosyal mühendislik) ▸ Pdf dosyasına gömülen zararlı javascript kodları ▸ Office dökümanlarına gömülen makro yazılımları ▸ Dosya paylaşımları ▸ Tarayıcı eklentileri
  • 5. ZARARLI YAZILIM ANALİZ TEKNİKLERİ ▸ Statik analiz Kod seviyesinde yapılan analiz (disassembler) ▸ Dinamik analiz Davranış analizi
  • 6. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR) ▸ Windows işletim sistemi üzerinde çalışır ▸ Dinamik zararlı yazılım analizinde kullanılır ▸ Loglara nasıl ulaşabiliriz ? Windows Event Viewer - Microsoft / Sysmon / Operational
  • 7. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON (SYSTEM MONITOR) ▸ Hangi bilgileri edinebiliriz ? Process creations File modifications Network connections Process hash value Parent - child process
  • 8. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KURULUMU ▸ https://technet.microsoft.com/en-us/sysinternals/sysmon ▸ Basit Kurulum : Sysmon.exe -i ▸ Konfigürasyon : Sysmon.exe -c conf.xml ▸ Sysmon servisinin çalıştığının kontrolü yapılmalıdır
  • 9. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON KONFİGÜRASYON ÖRNEĞİ <Sysmon schemaversion="3.20"> <HashAlgorithms>MD5,SHA1,SHA256</HashAlgorithms> <EventFiltering> <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <ProcessCreate onmatch="exclude"> <Image condition="contains">splunk</Image> <Image condition="contains">nxlog</Image> </ProcessCreate> <NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> <Image condition="contains">cmd.exe</Image> <Image condition="contains">powershell</Image> </NetworkConnect> </EventFiltering> </Sysmon>
  • 10. DİNAMİK ZARARLI YAZILIM ANALİZİ - SYSMON
  • 11. DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS CREATE
  • 12. DİNAMİK ZARARLI YAZILIM ANALİZİ - PROCESS TERMINATE
  • 13. DİNAMİK ZARARLI YAZILIM ANALİZİ - PARENT / CHILD PROCESS
  • 15. ÖRNEK 1 - TANIM ▸ X şirketinde, çalışanlardan biri internet üzerinde arama yaparken bir word (Office uygulaması) dosyası indirir ve onu çalıştırır. Şirketin siber güvenlik birimi Sysmon üzerinde office protokolünün yeni ve tanımlanamayan bir process ürettiğini görür ve bu durumu yorumlamaya çalışır. ▸ Muhtemel sorular; Office dökümanının yeni bir process oluşturması normal midir ? Oluşan bu process makine üzerinde ne gibi bir işlem gerçekleştirmektedir ?
  • 16. ÖRNEK 2 - TANIM ▸ Y şirketinde çalışan güvenlik görevlisi mesai saatleri dışında kendine tahsis edilen bilgisayarı kullanarak, yasal olmayan bir web sitesinden süper lig maçı izlemek ister. Fakat bu yasal olmayan web sitesine girmeye çalıştığında, site üzerinden anlamlandırılamayan bir dosya iner. Görevli dosyanın ne olduğunu merak eder ve bu dosyaya tıklar. Nöbetçi olarak bekleyen siber güvenlik analisti Sysmon üzerinden bir betik process’inin işletim sisteminde .encrypted uzantılı yeni dosyalar oluşturduğunu görür. ▸ Bu zararlı yazılım ne gibi bir işleve sahip olabilir ?
  • 17. ÖRNEK 3 - TANIM ▸ Z kurumsal şirketinde çalışan biri, kurumsal e-posta adresini kullanarak, yeni bir sosyal medya hesabı açar. Hacker ise bu sosyal medya üzerinden kişinin e-posta adresine ve mesleğine ulaşır. Bu bilgileri kullanarak e- posta adresine sosyal mühendislik tekniklerini kullanarak yeni bir e-posta gönderir. E-posta içeriğini gören çalışan, durumu anlamaz ve ekte bulunan betiği çalıştırır. Çalışan betik yeni bir Scheduled Task oluşturur. ▸ Bu zararlı yazılımın amacı ne olabilir ? Tartışalım.