- 29 Şub 2020
- 538
- 575
Modül 1 - İçindekiler
1.1 Başlangıç ve Ön Şartlar
1.2 Kötü Amaçlı Yazılımlar
1.3 Kötü Amaçlı Yazılım Analizi Ve Hedefler
1.4 Kötü Amaçlı Yazılım Türleri
1.5 Analiz Teknikleri
1.6 Kötü Amaçlı Yazılım Örnekleri
1.7 Edinme Araçları
1.1 Başlangıç ve Ön Şartlar
Merhabalar, kötü amaçlı yazılım analizi profesyonel eğitim kursuna hoş geldiniz.
Bu kursu aldığınız için teşekkür eder, keyifli bir öğrenme deneyimi olmasını dilerim.
Kötü amaçlı yazılım analizi, siber güvenlikteki eşşiz becerilerden biridir ve bu kurs sizi kötü amaçlı yazılım analisti olma yolunda ilerletmek için tasarlanmıştır.
Şimdi bununla birlikte bilmeniz gereken bazı önkoşullar var ve bu yüzden onlardan burada bahsedilmesi önemli.
Bu kurs için, şu konularda temel bir bilgiye sahip olmanız önerilir:
1. Sistem mimarisi ve düşük seviyeli programlama dili (Assembly)
2. İşletim Sistemleri ve nasıl çalıştıkları
3. C, C++ gibi üst düzey programlama dilleri
4. Ağ ve ağ protokolleri
5. Genel olarak siber güvenlik
Şimdi kendinize şu soruyu soruyor olabilirsiniz: Bunların hiçbiri olmadan başarılı olabilir miyim?
Cevap ise tamamen sana bağlı.
Anlamadığınız konuları araştırmaya istekliyseniz, evet, olabilirsiniz. Aksi takdirde, bahsedilen konular hakkında temel bir anlayışa sahip olmak daha iyi olur.
Son olarak, kurs birçok temel özelliğin üzerinden geçse de bu, zaten kötü amaçlı yazılım analiz becerileriniz varsa bu kurstan hiçbir şey öğrenmeyeceğiniz anlamına gelmez.
Edmond Locard'ın kar-zarar ilkesi suçlular ve kanıtlarla ilgili olsa da, yeni bir kurs takip etmek için de geçerli olabilir - yeni bir ders çalışarak her zaman yeni bir şeyler öğreneceksiniz.
Ek olarak, url'si verilmiş olan Profesyonel Kötü Amaçlı Yazılım Analizi Laboratuvar Kurulumu ve Detaylar adlı ek bir konuya da göz atmak isteyeceksiniz.
Url: Profesyonel Kötü Amaçlı Yazılım Analizi Laboratuvar Kurulumu ve Detaylar
Profesyonel Kötü Amaçlı Yazılım Analizi Laboratuvar Kurulumu ve Detaylar'ın üzerinden geçtikten sonra, şunları daha iyi anlayacaksınız:
Kötü amaçlı yazılım analizi yapmak için hangi donanım ve yazılımlar önerilir?
Kurs sırasında ihtiyaç duyacağınız ve kullanmayı umacağınız araçlar
Kötü amaçlı yazılım analizi gerçekleştirmek için ağ ortamınızı nasıl kurarsınız
Diğer araçlar ve öneriler
1.2 Kötü Amaçlı Yazılımlar
Bir önceki slaytta gösterilen haber başlıklarının hepsinin ortak bir yanı var:
kötü amaçlı yazılım
Peki, kötü amaçlı yazılım ne anlama geliyor?
Kötü Amaçlı Yazılım, Kötü Amaçlı Yazılım anlamına gelir ve kötü niyetli amaçlar için kullanılan herhangi bir yazılımdır.
"Kötü amaçlı yazılım, sistemlere zarar veren herhangi bir kötü amaçlı programı veya kodu tanımlayan genel bir terimdir." -Malwarebytes
Tüm kötü amaçlı yazılımlar kötü amaçlı amaçlar için kullanılırken, kötü amaçlı yazılımın tam amacı bir tehdit aktöründen diğerine farklılık gösterebilir. En yaygın hedefler şu şekilde sınıflandırılabilir:
Ana sistem operasyonlarını kesintiye uğratma
Kişisel ve finansal veriler gibi kritik bilgileri çalmak
Yetkisiz erişim elde etme
Casusluk
Spam Gönderme
Mağdurun sistemini kullanmak (örn. DDOS için kullanmak)
Bir ana bilgisayarda kurbanın dosyalarını kilitlemek ve fidye için saklama
1.3 Kötü Amaçlı Yazılım Analizi ve Hedefleri
(Neden kötü amaçlı yazılım analizine ihtiyacımız var?)
Kötü Amaçlı Yazılım Analizi Nedir?
Kötü Amaçlı Yazılım Analizi, üç ana soruyu yanıtlamak amacıyla kötü amaçlı yazılımları inceleme sanatıdır:
nasıl çalışır?
Nasıl tespit edebiliriz?
Yarattığı tehdidi nasıl yenebilir ve ortadan kaldırabiliriz?
Bunu bir sanat olarak görmemin nedeni, her analistin kötü amaçlı yazılımları farklı şekilde incelemesidir.
Kullanılan standart yaklaşımlar ve yöntemler vardır, ancak teknikler ve araçlar kişiden kişiye farklılık gösterebilir, bu da onu bilimden çok bir sanat yapar.
Kötü amaçlı yazılım analizinin özellikle aşağıdakileri belirlerken önemli olmasının birçok nedeni vardır:
Kötü amaçlı yazılımın doğası ve hedefleri.
Hangi davranışa ve hasara neden olur.
Hangi göstergeler, sistemlerde veya ağ iletişimi sırasında kötü amaçlı yazılımın tespit edilmesine yardımcı olabilir.
Güvenliği ihlal edilen makinede hangi güvenlik açıklarından yararlanıldığı ve saldırganın ağda yanlamasına nasıl hareket ettiği (ilgiliyse).
Tehdidin kime atfedildiği ve tehdit aktörlerinin sistem/ağ üzerinde hâlâ bir dayanak noktası olup olmadığı.
Tehdide nasıl yanıt verilir ve tehdit nasıl ortadan kaldırılır.
Bu kursta, kötü amaçlı yazılımların nasıl analiz edileceğine ve tehdit aktörlerinin kullandığı saldırgan tekniklerin nasıl anlaşılacağına odaklanıyoruz. Yalnızca yönetilmeyen kodlara, özellikle de C ve C++ ile yazılmış Windows yürütülebilir dosyalarına bakacağız.
Diğer kötü amaçlı kod veya komut dosyası türlerini (örneğin, PowerShell, JavaScript, Python, .NET, vb.) kapsamayacağız.
Kötü amaçlı yazılım analizi ile tersine mühendislik arasındaki fark nedir?
Kötü Amaçlı Yazılım Analizi, Tersine Mühendislik (RE) içerebilir, ancak bu, RE olmadan kötü amaçlı yazılımları analiz edemeyeceğiniz anlamına gelmez. Tersine mühendislik, bir ürünü, planını veya nasıl yapıldığını anlamak için parçalara ayırma sanatıdır. RE, bilinmeyen bir dosya biçimini, bir şifreleme algoritmasını incelemek, bir yazılımın koruma mekanizmasını kırmak ve kırmak veya kötü amaçlı yazılımları tersine çevirmek için kullanılabilir.
Kötü amaçlı yazılım analizi ve tersine mühendislik farklı beceriler olsa da, her ikisine de sahip olmak cephaneliğiniz için mükemmeldir.
Tersine mühendislik olmadan kötü amaçlı yazılım analisti olabilir misiniz? Cevap evet ve kötü amaçlı yazılım analisti olmadan da tersine mühendis olabilirsiniz. Ancak, sahip olduğunuz daha fazla beceri, daha karmaşık zorlukların üstesinden gelebilirsiniz.
Kötü amaçlı yazılım analizinde kullanılan temel araçlardan bazıları nelerdir?
Araçlar her zaman değişir, ancak kavramlar aynı kalır. Bir kavramı anladığınız sürece, bir araç seçmek o kadar da zor değil. Ortak araçlar şunları içerir:
Dosya Biçimi Çözümleyicileri
Sistem ve Ağ İzleme Araçları
Hata Ayıklayıcılar ve Ayırıcılar
Küçük Araçlar: veri dönüştürücüler, şifre çözücüler, düzenleyiciler, kayıt araçları vb.
Kapsanan ortamlar oluşturmak için Sanallaştırma Araçları
Kod yazmanız gerekiyorsa iyi bir IDE
İmza yazmaya ne dersiniz?
Kötü amaçlı yazılım örneğini analiz etmeyi bitirdikten sonra, diğer sistemlerde çalışan aynı veya benzer örneklerin algılanmasına yardımcı olabilecek imzalar yazabilirsiniz. Bunları "Uzlaşma Göstergesi" veya IOCS olarak adlandırıyoruz. Bu kursta imzaları ve bunların nasıl yazılacağını kapsayan bütün bir modül var.
Kötü Amaçlı Yazılım Analizi işletmeler için neden önemlidir?
Günlük olarak yüzlerce ve belki de binlerce ihlalle karşılaşılır ve bunların çoğu, güvenliği ihlal edilmiş ortamlarda yer edinmek için kötü amaçlı yazılım yerleştiren bir tehdit aktörünü içerir. FireEye, CrowdStrike, Sophos, Palo Alto Networks, Kaspersky vb. gibi güvenlik sağlayıcıları tarafından yayınlanan tehdit raporlarını okursanız, bunun bitmeyen ve asla durmayacak bir kedi fare savaşı olduğunu fark edeceksiniz! Tehdit aktörleri tarafından her zaman kullanılan yeni teknikler vardır ve işletme sahiplerinin sadece farkında olmaları değil, bunlara karşı korunmaya hazır olmaları çok önemlidir.
Şimdi, nasıl hazırlanabilirler ve hazır olabilirler? Siber Güvenlik ekiplerine yatırım yaparak ve becerilerini bir sonraki seviyeye taşımalarına yardımcı olarak.
Numuneyi sizin için analiz etmesi için üçüncü taraf bir şirkete göndermektense, bir sistemin güvenliğinin ihlal edildiği ve toplanan numuneleri alıp analiz edebilecek bir ekibinizin olduğu bir çağrıyla uyanmak daha iyidir.
1.4 Kötü Amaçlı Yazılım Türleri
Birkaç tür kötü amaçlı yazılım vardır. Bazıları yayılmak için bir ana bilgisayar programı gerektirir, bazıları e-posta kullanılarak yayılır ve diğerleri bağımsızdır, bağımsız hareket edebilir ve İşletim Sistemi (OS) tarafından çalıştırılır.
Bu bölümde, her türden örnekler göreceğiz.
Burada tasvir edilen farklı kötü amaçlı yazılım türlerini görebiliriz. Farklı türlere daha yakından bakalım.
1. Virus: Kullanıcının kendisini kopyalamak ve diğer bilgisayarlara veya sistemlere yaymak için müdahalesi ile hedefe bulaşan bir kötü amaçlı yazılım türüdür.
2. Worm: Bir virüse benzer şekilde, kurbanın makinesine bulaşan kötü amaçlı bir yazılımdır, ancak kullanıcının müdahalesi veya yardımı olmadan kendini yayma yeteneği bakımından bir virüsten farklıdır.
3. Scareware: Bir kullanıcıyı istenmeyen yazılımları veya antivirüs yazılımı gibi görünen sahte güvenlik yazılımlarını satın alması veya indirmesi için kandırmak için sosyal mühendislik kötü amaçlı yazılım becerilerini kullanan bir tür kötü amaçlı yazılım.
4. Ransomware: Kurbanın sistemini kilitleyen veya kurbana ait hassas bilgileri/verileri şifreleyen ve ardından sistemin kilidini açmak/şifresini çözmek için para isteyen bir tür kötü amaçlı yazılım.
5. Botnets: Bir komut ve kontrol (C&C) sunucusu aracılığıyla saldırgan tarafından eşzamanlı olarak kontrol edilen, aynı kötü amaçlı yazılımdan etkilenen bir sistem grubu. Genellikle Dağıtılmış Hizmet Reddi saldırısı (DDoS), spam e-postalar göndermek veya kripto para madenciliği yapmak için kullanılırlar.
6. Trojan Horse: Normal bir program gibi davranan ancak içinde kötü amaçlı kodlar da bulunan yazılım. Kullanıcı, onu sisteme yüklemesi için kandırılır ve ardından kurbanın makinesinde/ağında kötü amaçlı etkinlik gerçekleştirir.
7. Spyware: Saldırganların gizlice dinlemek, bilgi toplamak veya kurbanın makinesine zarar vermek için kullandığı bir tür casusluk kötü amaçlı yazılımı.
8. Rootkit: Sistemdeki herhangi bir kötü amaçlı kodun varlığını gizleyen bir tür kötü amaçlı yazılım. Genellikle, bu tür kötü amaçlı yazılımlar, algılamadan kaçınırken kötü amaçlı etkinlik gerçekleştirmek için diğer kötü amaçlı yazılımlarla eşleştirilir.
9. KeyLogger: "Keylogging, klavyenizde yazdığınız her şeyi kaydetmek için yazılımın kullanılması anlamına gelir. Program daha sonra günlük dosyasını, hırsızların şifreler, kredi kartı numaraları, anlık mesajlar dahil yazdığınız her türlü bilgiyi okuyabileceği belirli bir sunucuya gönderir. e-postalar, e-posta adresleri ve web sitesi URL'leri."-Avast
10. Logic Bomb: Belirli bir süre boyunca hareketsiz kalan ve belirli koşullar sağlandıktan sonra tetiklenen bir kod veya kod bölümü.
11. Backdoors/RAT: Saldırganın, kurbanın makinesine, bir bağlantı noktası açarak veya arka planda bir uzak bağlantı kurarak, saldırganın istediği zaman, isteğe bağlı erişim işlevi gören kurbanın makinesine yüklediği bir tür kötü amaçlı yazılım. Birçok RAT varyasyonu, modülerliği, saldırganların gerektiğinde kötü amaçlı yazılıma işlevsellik eklemesi için bir yol olarak destekler.
12. Information Stealer: Asıl amacı kurbanın sisteminden bilgi çalmak ve bu bilgileri örneğin başka saldırılarda kullanmak üzere saldırganlara göndermek olan bir tür kötü amaçlı yazılım.
13. Downloader: Kötü amaçlı yazılımın geri kalanını indirip yüklemek veya kötü amaçlı yazılımın başka bir bileşenini yüklemek için diğer kötü amaçlı yazılımlarla eşleştirilen bir tür kötü amaçlı yazılım.
14. Dropper: İçinde başka bir yürütülebilir kötü amaçlı yazılım bulunan kötü amaçlı yazılım türü.
15. Adware: Kullanıcılara istenmeyen reklamlar veren bir tür kötü amaçlı yazılım.
Aşağıdakiler de dahil olmak üzere, başka bir kötü amaçlı yazılımın parçası olabilecek başka kötü amaçlı yazılım türleri de vardır:
1. RATs
2. Downloader
3. Dropper
4. Information Stealer
5. Adware
1.5 Analiz Teknikleri
Kötü amaçlı yazılım analizini gerçekleştirmek , aşağıdaki 2 yöntem ile yapılır:
1- Statik Analiz
2- Dinamik Analiz
Statik Ve Dinamik Analiz Arasındaki Fark Nedir?
Statik Analiz : Kötü amaçlı yazılımı çalışıtrmadan parçalayarak yapılır. Bu ayrıca 2 yaklaşıma ayrılabilir:
1-Temel: Analist, dosyayı, dosya yapısını, kötü amaçlı olan işlevleri vb. analiz ederek kötü amaçlı yazılımı anlayamaya çalışır.
2-Gelişmiş: Analist daha derine iner ve kullanılan düşük seviyeli talimatlara dayanarak kötü amaçlı yazılıımı anlamaya çalışır. Kötü amaçlı yazılım örneğinin genellikle demonte(parça halinde gönderildiği) yer burasıdır.
Dinamik Analiz : Dinamik analiz kötü amaçlı yazılımı çalıştırarak ve davranışını izleyerek yapılır. Bu ayrıca 2 yaklaşıma ayrılabilir:
1-Temel: Analist, örneği önceden yüklenmiş farklı izleme araçlarıyla bir ortamda çalıştırır ve araçların çıktısına dayanarak kötü amaçlı yazılımın ne yaptığını anlamaya çalışır.
2-Gelişmiş: Analist, temel yöntemi kullanarak kötü amaçlı yazılımı anlayamaz. Bu nedenle,analist bir hata ayıklayıcı kullanarak örneği çalıştırmalıdır. Bu şekilde, analist örneğin nasıl yürütüldüğü üzerinde daha fazla kontrole sahip olur.
Akılda tutulması gereken önemli bir not, nihai hedefin daha önce bahsettiğimiz 3 temel soruya cevap vermek olduğudur. Kötü amaçlı yazılım örneklerindeki her bir talimatı anlamanız ve 3 temel soruya hiç bir fayda sağlamayan ayrıntılar için zaman, emek ve para harcamanız gerekmez. Bu nedenle, ilgili tüm bilgileri toplamak için analiz edilen her bir numune için listelenen yöntemleri uygulamanız gerekmeyebilir.
Kurs, uygulamalı laboratuvarlar, gerçekçi senaryolar ve gerçek hayattan örneklerle bahsedilen 4 kötü amaçlı yazılım analiz yöntemini de kapsayacaktır!!
1.6 Kötü Amaçlı Yazılım Örnekleri
Oynamak ve kötü amaçlı yazılım analiz becerilerinizi geliştirmek için daha fazla örnek bulmak için kullanılabilecek çok sayıda çevrimiçi kaynak var. Bu kaynaklardan bazıları tamamen ücretsizdir ve herhangi bir kayıt gerektirmez; bir e-posta hesabı gerektiren başkaları da var. Ticari kaynaklar olsa da, kullanmak için çeşitli örnekler bulacağınız için ücretsiz olanlar öğrenme deneyiminiz için yeterli olacaktır.
Lütfen burada paylaştığımız listelerin oradaki tüm kaynakların tam listesi olmadığını, ancak çalışmanız için örnekler almanız için yeterli olmaları gerektiğini unutmayın.
Tamamen Ücretsiz kaynaklar:
1. theZoo
2. Malware-Traffic-Analysis
3. Malware-Samples
4. TekDefense Malware Samples
5. InQuest - Malware Samples
6. Contagio
Ücretsizdir, ancak kayıt veya kamuya sunulan örnek gerektirir:
1. VirusShare
2. Malware Bazaar
3. MalShare
4. Any.Run Interactive Online Malware Analysis Sandbox
5. Hybrid Analysis
Ticari kaynaklar:
1. Hybrid Analysis
2. Any.Run Interactive Online Malware Analysis Sandbox
3. VirusTotal
Kaynaklarla ilgili son bir not.
1. theZoo
2. Malware-Traffic-Analysis
3. Malware-Samples
4. TekDefense Malware Samples
5. InQuest - Malware Samples
6. Contagio
Ücretsizdir, ancak kayıt veya kamuya sunulan örnek gerektirir:
1. VirusShare
2. Malware Bazaar
3. MalShare
4. Any.Run Interactive Online Malware Analysis Sandbox
5. Hybrid Analysis
Ticari kaynaklar:
1. Hybrid Analysis
2. Any.Run Interactive Online Malware Analysis Sandbox
3. VirusTotal
Kaynaklarla ilgili son bir not.
Video yapan ve çalışmalarını çevrimiçi olarak paylaşan araştırmacıların çoğu, videolarında ele alınan örneğin bir URL'sini de paylaşıyorlar, bu nedenle bu, ek örneklere göz atmak için başka bir kaynaktır.
1.7 Edinme Araçları (Kanıt elde etmek...)
Bu kursun odak noktası Kötü Amaçlı Yazılım Analizi olsa da, araştırmalarınız için örneklerin ve ilgili kanıtların çıkarılmasında size yardımcı olabilecek farklı araçları bilmenin de iyi olabileceğini düşündük.
Bu bölümde, satın almalar için kullanılabilecek birkaç araç ele alınacaktır.
*Lütfen bunun mevcut tüm araçların kapsamlı bir listesi olmadığını, yalnızca bu kursun yazarının tercih ettiği ve arkasında herhangi bir pazarlama veya reklam amacı taşımayan araçlar olduğunu unutmayın.*
Kanıt elde etmek için kullanılabilecek araçlar şu şekilde kategorize edilebilir:
1. Disk Görüntüleme Araçları
2. Bellek Edinme Araçları
3. Diğer Araçlar
Belkasoft Edinme Aracı:
Bu araç, araştırmacıların dört farklı kaynaktan veri elde etmesine yardımcı olur:
Sabit veya çıkarılabilir sürücüler
Mobil cihazlar
Bilgisayar RAM belleği
Bulut Verileri
Magnet ACQUIRE:
Dijital adli inceleme görevlileri, aşağıdakilerden adli görüntüleri hızlı ve kolay bir şekilde almak için bu aracı kullanabilir:
1. iOS veya Android cihazlar
2. Sabit sürücüler ve çıkarılabilir medya
FTK Görüntüleyici:
Araştırmacıların aşağıdakilerden veri almasına yardımcı olan başka bir dijital adli tıp aracıdır:
Sabit veya çıkarılabilir sürücüler
Bilgisayar hafızası
5. Dumplt Adli bellek için bir toplama aracıdır. Uygulayıcıların bir Microsoft kilitlenme dökümü veya ham bellek dökümü olarak Windows'ta fiziksel bir bellek edinimi gerçekleştirmesine olanak tanır. Rekall ve Volatility gibi bellek analizi çerçevesi için gerekli parametreler olan "Dizin Tablo Tabanı" ve hata ayıklama veri yapıları adresinin gösterilmesi dahil, edinme süreci boyunca ek bilgiler sağlar.
4. Memdump Nirsroft'un Cmd araçlarının belirli parametrelere dayalı olarak bellek içeriğini okuma ve çıktıyı bir metin dosyasına aktarma becerisini sağlayan bir parçasıdır.
Memdump'ın temel kullanımı: memdump [işlem] [döküm dosyası] [satır başına bayt] {okunacak bayt} {başlangıç adresi) (nohex} {noascii) Kullanılan parametreler: [işlem]: Belleğinin boşaltılacağı işlem. İşlem dosya adının, işlem adının veya İşlem Kimliğinin yolu olabilir. [döküm dosyası]: Çıktının kaydedileceği dosyanın adı. . ● . . [ satır başına bayt ] : Döküm dosyasındaki her satırdaki bayt sayısı . { okunacak bayt } : Kaç bayt okunacak . { start address ) : Bu adresten işlem dökümünü başlatın . {nohex): İsteğe bağlı. Bellek verilerini Onaltılık biçimde kaydetmeyin. { noascii } : İsteğe bağlı . Bellek verilerini Ascii biçiminde kaydetmeyin.
Örnekler : memdump iexplore.exe " d : \ kanıt \ dump.txt " " 16 " " 0x10000 " " 0x400000 " memdump srvchost.exe " d : \ kanıt \ srvchost.txt " " 32 " " 0x30000 " " 0x400000 " nohex memdump / 525 " d : \ kanıt \ dump2.txt " " 16 " " 0x100000 " " 0x120000 " noascii
6. Belkasoft RAM Capturer Bir anti-damping sistemi veya aktif bir anti-debugging ile korunsa bile, bellek içeriğinin düşük ayak izi ile güvenilir bir şekilde çıkarılmasını sağlar. Windows XP Windows 10 ve Windows Server 2003 ve 2008 sürümlerini destekler. Aracın ayrıcalıklı çekirdek modunda çalışmasına izin veren 32 bit ve 64 bit çekirdek sürücüleri içerir.
Mıknatıslı RAM Yakalayıcı Bellekten değerli eserleri analiz etmek için kullanılabilen fiziksel belleğin hızlı bir şekilde toplanması için kullanılır. Yakalanan veriler farklı Raw formatlarında (.DMP/.RAW/.BIN) dışa aktarılabilir. ve CERO B
Kroll Artifact Ayrıştırıcı ve Çıkarıcı ( KAPE ) : " Esasen herhangi bir cihazı veya depolama konumunu hedefleyecek , adli açıdan yararlı eserler bulan ve bunları birkaç dakika içinde ayrıştıracak verimli ve yüksek düzeyde yapılandırılabilir bir triyaj programıdır ." - Eric Zimmerman
KAPE, öncelikle dosyaları toplayabilen ve daha sonra toplanan dosyaları bir veya daha fazla programla işleyebilen çok işlevli bir programdır. KAPE, hem CLI hem de GUI arayüzüne sahiptir ve harika özelliklerinden biri, birim gölge kopyalarını açığa çıkarabilmesidir. KAPE yapılandırma dosyalarını anında okuyabildiğinden ve içeriklerine göre ilgili dosyaları toplayıp işlediğinden, bu KAPE'yi çok genişletilebilir hale getirir ve yeteneklerini genişletmek için yazara ihtiyaç duymazsınız.
Düşük seviyeli disk okuma yöntemini kullanarak NTFS birimlerinden dosyaları kopyalayabilen bir komut satırı uygulamasıdır . KB OUTLINE
Endpoint Detection and Response (EDR) Araçları algılama ve yanıt için olsa da, birçoğunun çıkarma yapma özelliği vardır. Sadece ücretsiz EDR'leri gözden geçiriyoruz.
"Uzaktan canlı analize odaklanan olay müdahalesi için bir çerçevedir." - GRR'nin amacı, analistlerin saldırıları hızlı bir şekilde öncelik sırasına koymalarına ve uzaktan analiz gerçekleştirmelerine olanak sağlamak için adli tıp ve araştırmaları hızlı, ölçeklenebilir bir şekilde desteklemektir.
osquery Ağ bağlantılarını kaydetmek ve yürütmeleri işlemek için kullanılır. İşletim sistemlerinin düşük seviyeli analizine izin verir. Osquery, sistemi ilişkisel bir veritabanı olarak temsil eder, bu nedenle sistem verilerini aramak için SQL sorgularına dayanır. SQL tabloları, açık ağ bağlantıları, çalışan işlemler, tarayıcı eklentileri, dosya karmaları, yüklü çekirdek modülleri veya donanım olayları gibi soyut kavramları tanımlar.
Ek Özellikler: 1. Çapraz platform çerçevesi 2. Osqueryd, düşük ayak izi ile dağıtılmış ana bilgisayar izleme için yüksek performanslı bir arka plan programıdır. 3. Osqueryi, hedef işletim sistemini keşfetmek için SQL sorgusu için etkileşimli bir konsoldur. Olay yanıtı, bir işlem sorununu teşhis etmek, bir performans sorununu gidermek vb. için kullanılır.
Velociraptor (VR): "Benzersiz, gelişmiş bir açık kaynaklı uç nokta izleme, dijital adli ve siber yanıt platformu." - Velocidex
Ek özellikler : . Farklı işletim sistemlerinden oluşan bir kuruluşta olay müdahalesi veya tehdit avcılığı için kullanılabilir. . Gerçek zamanlı tehdit avcılığı için de kullanılabilir . GRR projesinden üretilmiştir. Olay günlükleri, önceden getirme ve Windows Kayıt Defteri gibi bilinen Windows yapılarından veri toplayabilir.
KAPE kullanarak Kanıt Toplama ile öğrendiklerinizi uygulamaya koyun! Laboratuvarınıza ERİŞMEK için, üyeler alanınızdaki kursa gidin ve uygun modül satırındaki laboratuvarlar açılır menüsüne tıklayın, ardından kılavuz simgesine tıklayın.
Referanslar Burada, bu kursta bağlantılı veya kullanılan tüm referansların bir listesi bulunmaktadır. Tarihteki En Yıkıcı Siber Saldırı NotPetya'nın Anlatılmamış Hikayesi The Untold Story of NotPetya, the Most Devastating Cyberattack in History Hedef veri ihlalinin anatomisi : Kaçırılan fırsatlar ve öğrenilen dersler https://www.zdnet.com/article/anatomy-of-the-target-data-breach-missed-opportunities-and-ders öğrenilenler / İhlal temizliği LinkedIn'e yaklaşık 1 milyon dolar, başka bir 2 dolar daha maliyeti 3 milyon güncelleme Hedef Home Depot Hit By Same Malware as Target – Krebs on Security Sony Pictures hack: tüm hikaye https://www.engadget.com/2014-12- 10-sony-pictures-hack-the-whole-story.html
Moderatör tarafında düzenlendi:
