Geleceği Yazanlar Blog
Windows Forensic Artifacts: Shellbags
Bu yazımızda Windows Forensic incelemelerinde göz atılabilecek delillerden birisi olan Shellbag’lerden bahsedeceğiz.
03.01.2022
DLL Injection Nasıl Yapılır ve Geride Nasıl İzler Bırakır?
Windows işletim sisteminde birçok fonksiyonellik Dinamik Bağlantı Kütüphaneleri ile sağlanır. Bu dosyaların amacı ortak fonksiyonları bir kütüphanede toplamak ve diğer programlar tarafından ihtiyaç duyulması halinde ilgili fonksiyonları çağırmaktır. Bu sayede uygulamalar tekrarlayan kodlardan kurtulacak ve ortak kullanılan fonksiyonların bir kez belleğe yüklenmesi yeterli olacaktır.
24.12.2021
Blue Team Bakış Açısıyla Windows Sistem Processleri 6: Mshta.exe
Hayatımızın her alanında artık doğrulama işlemleri kritik bir önem taşıyor. Mesela banka hesabımıza giriş yaparken ya da fatura ödemelerimizde abone numaralarımızı doğrularken... Doğrulamanın asıl amacı saldırgan aktivitelerinden korunmak aslında. Aynı bilgiden hareketle siber saldırganlar da kendi aktivitelerini gerçekleştirmek için Windows’un normal bir işlemiymiş gibi görünmeyi tercih ediyorlar. Sizler için bu yazımızda Windows’un mshta.exe processinin asıl işlevini ve şüphelenmemiz gereken durumlarını inceleyeceğiz. Keyifli okumalar!
08.11.2021
Blue Team Bakış Açısıyla Windows Sistem Processleri 5: Services.exe
Hayatımızın her alanında artık doğrulama işlemleri kritik bir önem taşıyor. Mesela banka hesabımıza giriş yaparken ya da fatura ödemelerimizde abone numaralarımızı doğrularken... Doğrulamanın asıl amacı saldırgan aktivitelerinden korunmak aslında. Aynı bilgiden hareketle siber saldırganlar da kendi aktivitelerini gerçekleştirmek için Windows’un normal bir işlemiymiş gibi görünmeyi tercih ediyorlar. Sizler için bu yazımızda Windows’un services.exe processinin asıl işlevini ve şüphelenmemiz gereken durumlarını inceleyeceğiz. Keyifli okumalar!
08.11.2021
Windows Kayıt Defteri
İşletim sistemleri (Windows, Linux vb.) eklenen her yazılım ve donanım ile ilgili ayarları, değerleri vb. bilgileri bir Registry’de yani hafızada saklar. Windows işletim sistemi ise bu bilgileri Windows Registry’de yani Kayıt Defteri’nde saklıyor. Peki, Kayıt Defteri’ne son kullanıcılar erişebiliyor mu? Kayıt Defteri’nde hangi tür kayıtlar tutuluyor? Registry yapısı tam olarak nasıl işliyor ve bu yapıya nasıl erişebiliriz? Bu sorular ve daha fazlası yazımızda...
04.11.2021
MITRE ATT&CK T1547.001 : Registry Run Keys / Startup Folder ile Kalıcılık Sağlama
Persistence (kalıcılık) saldırganların ve zararlı yazılımların hedef sistemlerde sağladıkları erişimin kesintiye uğraması durumunda (sistemin kapatılması, yeniden başlatılması, kullanıcının parola değiştirmesi vb. ) erişimlerini sürdürebilmek için kullandıkları taktiklerin genel adıdır. Hedef sisteme ilk erişimi sağlamanın zorlukları göz önünde bulundurulduğunda, elde edilen erişimi sürdürmek saldırganlar için önem arz etmektedir.
30.09.2021
Blue Team Bakış Açısıyla Windows Sistem Processleri 4
Bilgisayarımızda beklenmedik yavaşlık, donma veya ısınma sorunları oluştuğunda hepimizin ilk baktığı yer olan görev yöneticisi çeşitli işlemlere ev sahipliği yapmaktadır. Görev yöneticisi; yürütülen işlemler, kullanılan işlemci ve hafıza oranları gibi bizlere çeşitli bilgiler vermektedir: Bu işlemler kim tarafından yapılıyor? Bilgisayarımda virüs, madencilik zararlısı var mı ...
02.09.2021
Blue Team Bakış Açısıyla Windows Sistem Processleri 3: explorer.exe
Bilgisayarımızda beklenmedik yavaşlık, donma veya ısınma sorunları oluştuğunda hepimizin ilk baktığı yer olan görev yöneticisi çeşitli işlemlere ev sahipliği yapmaktadır. Görev yöneticisi; yürütülen işlemler, kullanılan işlemci ve hafıza oranları gibi bizlere çeşitli bilgiler vermektedir: Bu işlemler kim tarafından yapılıyor? Bilgisayarımda virüs, madencilik zararlısı var mı? Hangi işlemler, servisler paket aktarımı gerçekleştiriyor?
10.05.2021
Blue Team Bakış Açısıyla Windows Sistem Processleri 2: conhost.exe
Bilgisayarımızda beklenmedik yavaşlık, donma veya ısınma sorunları oluştuğunda hepimizin ilk baktığı yer olan görev yöneticisi çeşitli işlemlere ev sahipliği yapmaktadır. Görev yöneticisi; yürütülen işlemler, kullanılan işlemci ve hafıza oranları gibi bizlere çeşitli bilgiler vermektedir: Bu işlemler kim tarafından yapılıyor? Bilgisayarımda virüs, madencilik zararlısı var mı ? Hangi işlemler, servisler paket aktarımı gerçekleştiriyor ?
28.04.2021
Blue Team Bakış Açısıyla Windows Sistem Processleri 1: csrss.exe
Saldırganların ele geçirdikleri sistemlerde, kendi zararlı processlerini gizlemek, savunma mekanizmalarını atlatmak için kullandıkları yöntemlerden biri de Windows sistem processlerini taklit etmektir. Örneğin; C:\Windows\System32 dizini yerine C:\Windows\Temp dizininden başlatılan ve svchost.exe, lsass.exe gibi isimler verilerek legal processlere benzetilmeye çalışılan bir sahte process gibi.
13.04.2021
- 143324 views