Selamun aleyküm sevgili THT ailesi
Geçen sefer Atomic ile temel keşif ve credential testleri çalıştırmıştık; bu sefer biraz daha sistem davranışını ve ransomware tarzı adımları sorgulayacak dört test seçeceğiz. Her testi laboratuvarda, izole windows’da çalıştır; amacımız savunmanın tepkisini görmek.
4 Test yapacağız — Her biri için: komut, amaç ve sonuç adımlarını inceleyeceğiz
> Not: Aşağıdaki komutlar Atomic Red Team modülü için. Kendi lab’inde
> Not: Aşağıdaki komutlar Atomic Red Team modülü için. Kendi lab’inde
C:\AtomicRedTeam\atomics
yolunu kullandığını varsayıyorum. Komutları çalıştırmadan önce PowerShell’i yönetici olarak aç .
Başlayalım.
Başlayalım.
1) T1059 — Command & Scripting Interpreter
Ne yapar?
Saldırganların komut yorumlayıcıları (PowerShell, cmd, vb.) kullanarak kod/komut çalıştırmasını taklit eder. Kısacası “uzaktan veya yerelde script çalıştırma” davranışı.
Komut (Atomic):
Ne yapar?
Saldırganların komut yorumlayıcıları (PowerShell, cmd, vb.) kullanarak kod/komut çalıştırmasını taklit eder. Kısacası “uzaktan veya yerelde script çalıştırma” davranışı.
Komut (Atomic):
Invoke-AtomicTest T1059 -ShowDetails -PathToAtomicsFolder "C:\AtomicRedTeam\atomics"
Ne bekleriz:
PowerShell üzerinden küçük bir “download cradle” (uzak bir script’i belleğe çekip çalıştırma) veya basit Write-Host "Download Cradle test success!" gibi çıktı.
Exit code: 0 veya bazı adımlar skipped olabilir (prereq yoksa).
Önemi nedir?
Çünkü çoğu kötü amaçlı aktivite komut yorumlayıcıları üzerinden başlar. Eğer PowerShell ile normalde yapmayacağın parametreler (bypass, no-profile, IEX) çalıştırılıyorsa bu kırmızı bayraktır.
PowerShell üzerinden küçük bir “download cradle” (uzak bir script’i belleğe çekip çalıştırma) veya basit Write-Host "Download Cradle test success!" gibi çıktı.
Exit code: 0 veya bazı adımlar skipped olabilir (prereq yoksa).
Önemi nedir?
Çünkü çoğu kötü amaçlı aktivite komut yorumlayıcıları üzerinden başlar. Eğer PowerShell ile normalde yapmayacağın parametreler (bypass, no-profile, IEX) çalıştırılıyorsa bu kırmızı bayraktır.
Bu test PowerShell ya da cmd gibi şeyleri çalıştırır. Yani ekranda genelde küçük bir metin, “Download Cradle test success!” gibi bir şey görebilirsin; ya da PowerShell’in içinden uzaktan bir şey indirip çalıştırma denemesi olabilir. Kısacası bir süreç (process) başlayacak — bazen çok net, bazen de arkada sessizce çalışır.
Nerelere, nasıl bakarsın?
Hemen Sysmon process create’e bak. Niye? Çünkü buradan "hangi exe çalıştı, komut satırı neydi" rahatça görürsün. Şöyle düşün: biri bir şey çalıştırdıysa ilk iz buraya düşüyor. Filtrele PowerShell geçenleri, komut satırını oku.
Nerelere, nasıl bakarsın?
Hemen Sysmon process create’e bak. Niye? Çünkü buradan "hangi exe çalıştı, komut satırı neydi" rahatça görürsün. Şöyle düşün: biri bir şey çalıştırdıysa ilk iz buraya düşüyor. Filtrele PowerShell geçenleri, komut satırını oku.
Sonra Windows PowerShell loglarına bak. Orada ScriptBlock gibi detaylar varsa çalıştırılan PowerShell kodunun içini görebilirsin — yani tam olarak ne çalışmış öğrenirsin.
Defender ya da EDR panele de göz at; onlar genelde “blocked” ya da “suspicious” diye kaydediyorsa aferin, yakaladın demektir.
Pratik: testi çalıştırdığın saati aklında tut, loglarda o zaman aralığını taramak hayat kurtarır.
Defender ya da EDR panele de göz at; onlar genelde “blocked” ya da “suspicious” diye kaydediyorsa aferin, yakaladın demektir.
Pratik: testi çalıştırdığın saati aklında tut, loglarda o zaman aralığını taramak hayat kurtarır.
2) T1053 — Scheduled Task / Job (Zamanlanmış Görevle Kalıcılık)
Ne yapar?
Saldırganlar kalıcı olmak için zamanlanmış görev oluşturur. Bu test, basit bir görev ekleyip çalıştırmayı/kalıcılığı taklit eder.
Komut (Atomic):
Ne yapar?
Saldırganlar kalıcı olmak için zamanlanmış görev oluşturur. Bu test, basit bir görev ekleyip çalıştırmayı/kalıcılığı taklit eder.
Komut (Atomic):
Invoke-AtomicTest T1053 -ShowDetails -PathToAtomicsFolder "C:\AtomicRedTeam\atomics"
Ne bekleriz :
Görev oluşturma çıktısı (schtasks /Create veya Register-ScheduledTask).
Görev çalıştıysa ilgili komutun çıktısı (örnek: temp’te dosya oluşturma).
Event Viewer’da TaskScheduler event’leri.
Bu test bilgisayara bir görev ekleyip onu çalıştırmayı deniyor. Yani ya görev eklenir ve hemen tetiklenir, ya sadece görev görünür. Görev çalıştıysa hemen bir process daha göreceksin (mesela powershell veya cmd).
Nerelere bakmalısın, nasıl bakarsın?
Görevle ilgili doğrudan kayıtlar TaskScheduler Operational altında. Oraya gir, "Task Registered" veya "Task Started" gibi ifadeleri bul. Eğer görev eklenmişse burada görünür.
Ardından tekrar Sysmon: görev tetiklediği zaman hangi binary çalıştı, komut satırı neydi? Bunu Sysmon’da process create içinde görürsün.
Eğer şirkette audit açıksa Security loglarında da görevle ilgili kayıt olabilir.
Nerelere bakmalısın, nasıl bakarsın?
Görevle ilgili doğrudan kayıtlar TaskScheduler Operational altında. Oraya gir, "Task Registered" veya "Task Started" gibi ifadeleri bul. Eğer görev eklenmişse burada görünür.
Ardından tekrar Sysmon: görev tetiklediği zaman hangi binary çalıştı, komut satırı neydi? Bunu Sysmon’da process create içinde görürsün.
Eğer şirkette audit açıksa Security loglarında da görevle ilgili kayıt olabilir.
İpucu: görev ismi bazen aldatıcı olur. “Windows Update Helper” gibi bir isim gördün mü, gerçek sistemde karşılığı yoksa şüphelen.
3) T1218 — Signed Binary Proxy Execution (Meşru Windows ikililerini kötüye kullanma)
Ne yapar?
Windows’un imzalı yardımcı ikililerini (ör: mshta.exe, rundll32.exe, regsvr32.exe) kullanarak kötü amaçlı davranışı “meşru” süreç üzerinden yürütmeyi taklit eder. Bu, EDR’den kaçmaya çalışan saldırganların favorilerinden.
Ne yapar?
Windows’un imzalı yardımcı ikililerini (ör: mshta.exe, rundll32.exe, regsvr32.exe) kullanarak kötü amaçlı davranışı “meşru” süreç üzerinden yürütmeyi taklit eder. Bu, EDR’den kaçmaya çalışan saldırganların favorilerinden.
Komut (Atomic):
Invoke-AtomicTest T1218 -ShowDetails -PathToAtomicsFolder "C:\AtomicRedTeam\atomics"
Ne bekleriz:
Burada kötü niyetli bir şey değilmiş gibi görünen Windows programı (mshta.exe, rundll32.exe vb.) çalıştırılıyor ama komut satırı kötü. Yani imzalı bir exe üzerinden şüpheli bir davranış tetikleniyor. Görüntü genelde “mshta.exe + garip komut” olur.
Nerelere, nasıl bakarsın?
Yine Sysmon process create en iyi yer. Mshta veya rundll32 gibi isimleri filtrele. Komut satırını mutlaka oku — URL, base64, IEX gibi ifadeler varsa alarm çal.
Ardından o sürecin hangi child process’leri spawn ettiğine bak. Mesela mshta çalıştıktan sonra arkasından powershell açıldıysa bu kötü emare.
Network bağlantılarına da bak; signed binary ağ bağlantısı kurduysa oradan dışarı veri gitmiş olabilir. (Sysmon ID 3 iş görür.)
Kısaca: imzalı exe’yi görüp “tamam o bir Windows aracı ama neden böyle bir şey yapıyor?” diye sorgula.
4) T1490 — Inhibit System Recovery (Shadow Copy/Sistem Kurtarmayı Engelleme)
Ne yapar?
Ransomware tipik olarak yedekleri/volume shadow copy’leri siler böylece kurbanın dosyalarını geri getirme şansını azaltır. Bu test bu davranışı taklit eder (shadow copy listesi/çıkarma/clear).
Komut (Atomic):
Ne yapar?
Ransomware tipik olarak yedekleri/volume shadow copy’leri siler böylece kurbanın dosyalarını geri getirme şansını azaltır. Bu test bu davranışı taklit eder (shadow copy listesi/çıkarma/clear).
Komut (Atomic):
Invoke-AtomicTest T1490 -ShowDetails -PathToAtomicsFolder "C:\AtomicRedTeam\atomics"
Ne bekleriz:
Burası biraz tehlikeli; ransomware’lerin sevdiği yer. Test çoğunlukla vssadmin gibi komutlarla shadow copy’leri listeler ya da (daha tehlikeli varyant) silmeye çalışır. Atomic genelde zararsız varyant sunar ama loglarda bu komutların denendiğini görürsün.
Nerelere, nasıl bakarsın?
System loguna bak; VolSnap veya VSS ile ilgili kayıtlar orada düşer. Silme komutu varsa buradan anlayabilirsin.
Sysmon process create ile vssadmin.exe veya wbadmin.exe gibi araçların çalışıp çalışmadığını kontrol et. Bunlar çalıştıysa hemen dikkat et.
Burası biraz tehlikeli; ransomware’lerin sevdiği yer. Test çoğunlukla vssadmin gibi komutlarla shadow copy’leri listeler ya da (daha tehlikeli varyant) silmeye çalışır. Atomic genelde zararsız varyant sunar ama loglarda bu komutların denendiğini görürsün.
Nerelere, nasıl bakarsın?
System loguna bak; VolSnap veya VSS ile ilgili kayıtlar orada düşer. Silme komutu varsa buradan anlayabilirsin.
Sysmon process create ile vssadmin.exe veya wbadmin.exe gibi araçların çalışıp çalışmadığını kontrol et. Bunlar çalıştıysa hemen dikkat et.
Defender/EDR tarafında backup/volume manipulation ile ilgili yüksek öncelikli uyarılar gelir; onlara bak.
Ayrıca backup sistemleriyle konuş; testten sonra yedeklerin durumunu kontrol et, bir şey silinmiş mi diye.
Genel İpuçları — Test sırasında ve sonrası
Testi başlatınca hangi saatte başlattığını not et. Logları zamanla eşleştirmek işini kolaylaştırır.
Sysmon kurmadıysan şimdi kur — yoksa command-line’ları göremezsin, çok şey kaybedersin.
PowerShell logging açık mı kontrol et. ScriptBlockLogging açıksa komutun içeriğini görürsün
.
Defender uyarısı gelirse sevinebilirsin; yakaladı demektir. Gelmediyse de üzülme ama not et; neden yakalamadı araştır.
En önemlisi: VM snapshot’ı al, testten sonra geri dön. Huzur içinde dene.
Yani özetle: biz bu testleri çalıştırırken aslında saldırganın adımlarını “mini parçalara” böldük. Her adımın bir amacı var — keşif, kalıcılık, tespitten kaçış, kurtarmayı engelleme — ve bizim işimiz bu adımlardan hangi sinyallerin düştüğünü görmek. Eğer test çalıştığında Defender/EDR bunu anında yakaladıysa — bravo, sistem bir şeyi doğru yapıyor. Yakalamadıysa da işte bulduğumuz açık: SIEM kuralını düzelt, PowerShell logging’i aç, uygulama kontrolü ekle.
Düşünsene: ufak bir PowerShell satırı, arkasından küçük bir görev, sonunda da bir imzalı exe’nin tuhaf komut satırı — tek başına önemsiz ama zincir olunca kapıyı açıyor. Biz red team olarak bu zinciri kuruyor, hangi halkaların sesi çıktığını ölçüyoruz.
Küçük adımlar birleşince büyük işler çıkar
