Sysinternals Suite : Windows bilgisayarlar için geliştirilmiş, ücretsiz bir araç setidir. Microsoft tarafından sunulan bu araçlar, bilgisayarda neler olup bittiğini anlamak, sorunları çözmek ve sistem performansını iyileştirmek için kullanılır. Bu araçlar sayesinde bilgisayarın açılışında hangi programların çalıştığını, o an hangi uygulamaların ne yaptığını, hangi internet bağlantılarının kurulduğunu ve daha fazlasını görebilirsiniz. Sysinternals, bilgisayar yönetimini ve analizini çok daha kolay hale getirir.
Bazı Sysinternals Suite araçları ;
Autoruns: Bilgisayar açıldığında otomatik olarak başlatılan tüm programları ve süreçleri listeler. Zararlı yazılımlar genellikle bu başlangıç noktalarını kullanarak kendilerini otomatik çalıştırır
Process Explorer: Windows Görev Yöneticisi’nin çok daha gelişmiş bir versiyonudur. Çalışan tüm süreçleri ve bu süreçlerin kullandığı kaynakları detaylı bir şekilde gösterir. Ayrıca, şüpheli bir süreci analiz edip gerekirse sonlandırabilirsiniz.
TCPView: Bilgisayarın kurduğu tüm ağ bağlantılarını ve kullandığı portları gerçek zamanlı olarak gösterir. Örneğin, bilinmeyen bir IP adresine bağlantı kuran bir uygulama görürseniz, bu bir zararlı yazılımın işareti olabilir ve bağlantıyı TCPView üzerinden kapatabilirsiniz.
Process Monitor (ProcMon): Bilgisayarda yapılan tüm dosya ve kayıt defteri işlemlerini gerçek zamanlı olarak izler. Örneğin, bir uygulamanın hangi dosyaları değiştirdiğini ya da hangi kayıt defteri anahtarlarına eriştiğini görebilirsiniz.
Sysmon (System Monitor): Sistem aktivitelerini kaydederek daha sonra detaylı analiz yapmanızı sağlar. Özellikle siber saldırı izlerini bulmak için etkili bir araçtır.
PsExec: Uzaktan sistem yönetimi ve komut çalıştırma için kullanılır. Örneğin, uzaktaki bir sistemde çalışan süreçleri izlemek veya kapatmak için kullanılabilir.
Autoruns
Temel Özellikler;
Başlangıç Noktaları Analizi: Sistem açılışında çalışan tüm programları ve süreçleri listeler. Registry, Scheduled Tasks, Winlogon gibi başlangıç noktalarını kapsar.
Şüpheli Dosya Tespiti: Dijital imza doğrulaması yaparak güvenilir olmayan dosyaları vurgular.
Filtreleme ve Arama: Listeyi belirli kategorilere göre filtreleme ve belirli anahtar kelimeleri arama imkanı sunar.
Process Explorer
Temel Özellikler;
Süreç Hiyerarşisi: Her bir işlemin (process) ana ve alt süreçlerini grafiksel olarak sunar.
Dinamik DLL ve Handle Analizi: Süreçlerin kullandığı DLL dosyalarını ve sistem kaynaklarını (handle) listeler.
CPU ve Bellek Kullanımı İzleme: Hangi işlemin sistem kaynaklarını yoğun kullandığını gösterir.
Virustotal Entegrasyonu: Şüpheli süreçlerin hash'ini doğrudan VirusTotal’a göndererek analiz yapar.
TCPView
Temel özellikler;
Bağlantı Listesi: Çalışan uygulamaların kullandığı IP adreslerini, portları ve protokolleri gösterir.
Bağlantı Durumu: Her bir bağlantının durumu (ESTABLISHED, LISTENING, TIME_WAIT) izlenebilir.
Dinamik Güncellemeler: Bağlantı aktiviteleri gerçek zamanlı olarak güncellenir.
Şüpheli Bağlantı Tespiti: Bilinmeyen IP adreslerine veya portlara yapılan bağlantıları görme.
Procmon (Process Monitor)
Temel Özellikler:
Gerçek Zamanlı İzleme: Dosya sistemi, kayıt defteri (Registry), süreçler ve ağ aktivitelerini gerçek zamanlı olarak izler.
Filtreleme: Belirli süreçler, yollar veya olay türleri için özelleştirilmiş filtreler oluşturur.
Detaylı Analiz: Her bir etkinlik için tam detay sunar (zaman damgası, süreç adı, işlem yolu).
Dışa Aktarım: Toplanan verileri analiz için dışa aktarma imkanı sunar.
Sysmon (System Monitor)
Temel Özellikleri:
Derinlemesine Olay Kaydı: Sistem üzerinde gerçekleşen süreç oluşturma, ağ bağlantıları, dosya oluşturma gibi olayları detaylı bir şekilde kaydeder.
İzleme Politikaları: Güvenlik ihtiyaçlarına göre özelleştirilebilen yapılandırma dosyalarıyla çalışır.
Windows Event Logs Entegrasyonu: Kaydedilen olayları Event Viewer üzerinden görüntüleme.
Şüpheli Davranış Tespiti: Anormal süreçler, bağlantılar ve davranışları belirlemede güçlü bir araçtır.
PsExec
Temel Özellikleri:
Uzak Sistem Yönetimi: Birden fazla sistemde komutlar çalıştırmak veya uygulamaları başlatmak için kullanılır.
Yüksek Haklar Yönetimi: Sistem (NT AUTHORITY\SYSTEM) ayrıcalıklarıyla çalıştırma imkanı sunar.
Hafif ve Hızlı: Ağ üzerinden hızlı işlem yapmayı sağlar, kurulum gerektirmez.
Windows Yönetim Görevleri: Uzak sistemlerde servis yönetimi, dosya transferi ve hata ayıklama gibi işlemleri destekler.
KÖTÜYE KULLANIM
Biz güvenilir sistem yönetim araçlarının kötüye kullanılmasına LOLBIN (Living Off the Land Binaries) veya LOLBAS (Living Off the Land Binaries and Scripts) deriz.
LOLBIN'ler, saldırganların sistemdeki mevcut veya güvenilir görünen araçları kötü amaçlı aktiviteler için kullanmasını ifade eder. Sysinternals araçları, siber güvenlik uzmanları için faydalı araçlar olsa da, saldırganlar tarafından kötü niyetli amaçlarla da kullanılabilir.
Örnekler ;
Process Explorer: Saldırgan, bir sistemde hangi güvenlik yazılımlarının (antivirüs veya EDR) çalıştığını öğrenmek ve savunmasız alanları tespit etmek için Process Explorer’ı kullanabilir.
Autoruns: Saldırgan, kötü amaçlı bir yazılımın başlangıçta çalışması için Autoruns’u kullanarak kendini sistemde kalıcı hale getirebilir.
TCPView: Saldırgan, bir sistemin hangi ağlarla iletişim kurduğunu izlemek ve güvenlik çözümlerini atlatacak yeni bağlantılar kurmak için TCPView’i kullanabilir.
PsExec: Saldırganlar, PsExec’i kullanarak hedef sistemlere uzaktan erişim sağlayabilir ve zararlı komutlar çalıştırabilir.
ProcMon: Sistemdeki işlemler, ağ bağlantıları ve kayıt defteri değişikliklerini izleyerek, saldırganlar şüpheli aktiviteleri gizleyebilir, antivirüsleri atlatabilir veya zararlı yazılımlarını gizleyebilirler.
ALINACAK ÖNLEMLER
Autoruns:
Uygulama Beyaz Listeleme (Application Whitelisting): Yalnızca belirli onaylı uygulamaların çalışmasına izin verilmesi.
Güvenlik Yazılımları ve EDR Kullanımı: Otomatik olarak başlayan şüpheli uygulamaları tespit etmek için EDR çözümleri kullanılabilir.
Sistem İzleme: Autoruns'u düzenli olarak çalıştırarak bilinmeyen veya şüpheli yazılımların başlatılmasını engellemek.
Kısıtlı Erişim: Kullanıcılar yalnızca gerekli sistem araçlarına erişebilmelidir. Least Privilege prensibiyle sadece yetkilendirilmiş kullanıcılar bu tür araçları kullanabilmelidir.
Antivirüs İzleme: Process Explorer'ın kötüye kullanımını tespit etmek için gelişmiş antivirüs çözümleri kullanarak sistemdeki olağandışı işlemleri izlemek.
Sistem Erişimi Kısıtlama: Güvenli olmayan komut satırları veya terminal üzerinden Process Explorer gibi araçların çalışmasını engellemek.
Ağ Trafiği İzleme: Şüpheli ağ bağlantıları, belirli portlar üzerinden yapılan istekler veya bilinmeyen IP adreslerine yapılan bağlantılar dikkatlice izlenmelidir.
Firewall ve Ağ Erişimi Kısıtlaması: Bilinmeyen ve yetkisiz IP adresleriyle ağ bağlantılarına izin verilmemelidir.
Güvenlik Duvarı ve IPS/IDS Kullanımı: TCPView ile tespit edilebilecek şüpheli bağlantılar için ağdaki anormallikleri izlemek ve engellemek.
Sistem İzleme: ProcMon'un çalışma sırasında yaptığı tüm izleme aktiviteleri, loglar aracılığıyla sürekli izlenmelidir. Anormal dosya okuma/yazma veya sistem değişiklikleri hızlıca tespit edilmelidir.
Komut Satırı Kısıtlamaları: PsExec gibi araçların komut satırı üzerinden çalıştırılmasını kısıtlamak için AppLocker veya Device Guard gibi araçlar kullanılabilir.
Erişim Kontrolü ve Güvenlik Grupları: PsExec'in çalışabilmesi için, yalnızca yönetici düzeyindeki kullanıcıların erişim izni olmalıdır. Diğer tüm kullanıcılar bu tür komutları çalıştıramaz.
Ağ Erişimi Kısıtlama: PsExec gibi araçların, ağ üzerinden çalıştırılmasını engellemek için güvenlik duvarı kuralları ve ağ segmentasyonu uygulanabilir.
Temel Özellikleri ;
Proses Oluşturma İzleme: Çalıştırılan her işlemi kaydeder. İşlemle ilişkili komut satırı argümanlarını görüntüler.
Dosya Oluşturma ve Modifikasyon İzleme: Sistem üzerinde oluşturulan veya değiştirilen dosyaları loglar.
Ağ Bağlantılarını İzleme: Kaynak ve hedef IP adreslerini, port numaralarını ve bağlantı durumlarını kaydeder. Hangi işlemin ağ bağlantısı oluşturduğunu gösterir.
Dosya Hash’leme: Dosyaların SHA256, MD5 gibi hash değerlerini alır. Zararlı dosyaların tespitinde kullanılır.
Kayıt Defteri Erişimleri: Kritik kayıt defteri anahtarlarına erişimleri izler. Kayıt defterine yapılan zararlı değişiklikleri tespit eder.
DLL Yükleme İzleme: Yüklenen dinamik bağlantı kitaplıklarını (DLL) ve yükleyen işlemi loglar.
Hedef Kimlik Bilgisi Değişikliği: Sistemde oturum açma, çıkış yapma veya kimlik bilgisi değişikliği gibi olayları izler.
Çıkarılabilir Aygıtlar: USB sürücüler gibi çıkarılabilir cihazların takılması ve çıkarılması gibi olayları loglar.
Sysmon Arka Planda Çalışır: Yüklendikten sonra sistem çekirdeğinde çalışır ve olayları izler.
Etkinlikleri Windows Event Log’da Depolar: Microsoft-Windows-Sysmon/Operational log kategorisinde olayları kaydeder. Kaydedilen olaylar daha sonra analiz için kullanılabilir.
Konfigürasyon Dosyalarıyla Özelleştirme: Sysmon’un hangi olayları izlemesi gerektiği XML tabanlı konfigürasyon dosyalarıyla özelleştirilebilir. Bu dosya ile yalnızca gerekli olayların loglanması sağlanır.
Güvenlik Yazılımları ve EDR Kullanımı: Otomatik olarak başlayan şüpheli uygulamaları tespit etmek için EDR çözümleri kullanılabilir.
Sistem İzleme: Autoruns'u düzenli olarak çalıştırarak bilinmeyen veya şüpheli yazılımların başlatılmasını engellemek.
Process Explorer:
Kısıtlı Erişim: Kullanıcılar yalnızca gerekli sistem araçlarına erişebilmelidir. Least Privilege prensibiyle sadece yetkilendirilmiş kullanıcılar bu tür araçları kullanabilmelidir.
Antivirüs İzleme: Process Explorer'ın kötüye kullanımını tespit etmek için gelişmiş antivirüs çözümleri kullanarak sistemdeki olağandışı işlemleri izlemek.
Sistem Erişimi Kısıtlama: Güvenli olmayan komut satırları veya terminal üzerinden Process Explorer gibi araçların çalışmasını engellemek.
TCPView:
Ağ Trafiği İzleme: Şüpheli ağ bağlantıları, belirli portlar üzerinden yapılan istekler veya bilinmeyen IP adreslerine yapılan bağlantılar dikkatlice izlenmelidir.
Firewall ve Ağ Erişimi Kısıtlaması: Bilinmeyen ve yetkisiz IP adresleriyle ağ bağlantılarına izin verilmemelidir.
Güvenlik Duvarı ve IPS/IDS Kullanımı: TCPView ile tespit edilebilecek şüpheli bağlantılar için ağdaki anormallikleri izlemek ve engellemek.
Process Monitor:
Sistem İzleme: ProcMon'un çalışma sırasında yaptığı tüm izleme aktiviteleri, loglar aracılığıyla sürekli izlenmelidir. Anormal dosya okuma/yazma veya sistem değişiklikleri hızlıca tespit edilmelidir.
PsExec:
Komut Satırı Kısıtlamaları: PsExec gibi araçların komut satırı üzerinden çalıştırılmasını kısıtlamak için AppLocker veya Device Guard gibi araçlar kullanılabilir.
Erişim Kontrolü ve Güvenlik Grupları: PsExec'in çalışabilmesi için, yalnızca yönetici düzeyindeki kullanıcıların erişim izni olmalıdır. Diğer tüm kullanıcılar bu tür komutları çalıştıramaz.
Ağ Erişimi Kısıtlama: PsExec gibi araçların, ağ üzerinden çalıştırılmasını engellemek için güvenlik duvarı kuralları ve ağ segmentasyonu uygulanabilir.
AYRICA SYSMON
Microsoft’un Sysinternals Suite içerisinde yer alan ve sistem olaylarını ayrıntılı bir şekilde izlemek ve kaydetmek için kullanılan bir güvenlik aracı ve sürücüdür. Sysmon, özellikle sistemde gerçekleşen olaylar ve bu olaylarla ilgili bağlamları kaydederek, saldırı tespiti ve adli bilişim analizlerinde kullanılır.Temel Özellikleri ;
Proses Oluşturma İzleme: Çalıştırılan her işlemi kaydeder. İşlemle ilişkili komut satırı argümanlarını görüntüler.
Dosya Oluşturma ve Modifikasyon İzleme: Sistem üzerinde oluşturulan veya değiştirilen dosyaları loglar.
Ağ Bağlantılarını İzleme: Kaynak ve hedef IP adreslerini, port numaralarını ve bağlantı durumlarını kaydeder. Hangi işlemin ağ bağlantısı oluşturduğunu gösterir.
Dosya Hash’leme: Dosyaların SHA256, MD5 gibi hash değerlerini alır. Zararlı dosyaların tespitinde kullanılır.
Kayıt Defteri Erişimleri: Kritik kayıt defteri anahtarlarına erişimleri izler. Kayıt defterine yapılan zararlı değişiklikleri tespit eder.
DLL Yükleme İzleme: Yüklenen dinamik bağlantı kitaplıklarını (DLL) ve yükleyen işlemi loglar.
Hedef Kimlik Bilgisi Değişikliği: Sistemde oturum açma, çıkış yapma veya kimlik bilgisi değişikliği gibi olayları izler.
Çıkarılabilir Aygıtlar: USB sürücüler gibi çıkarılabilir cihazların takılması ve çıkarılması gibi olayları loglar.
Çalışma Mantığı ;
Sysmon Arka Planda Çalışır: Yüklendikten sonra sistem çekirdeğinde çalışır ve olayları izler.
Etkinlikleri Windows Event Log’da Depolar: Microsoft-Windows-Sysmon/Operational log kategorisinde olayları kaydeder. Kaydedilen olaylar daha sonra analiz için kullanılabilir.
Konfigürasyon Dosyalarıyla Özelleştirme: Sysmon’un hangi olayları izlemesi gerektiği XML tabanlı konfigürasyon dosyalarıyla özelleştirilebilir. Bu dosya ile yalnızca gerekli olayların loglanması sağlanır.
0 Yorumlar