Forum
Merhaba herkese,
Siber saldırılar ile makalelere baktığımda saldırgan bilgi toplayabilmek için hep powershell üzerinden işlemler yapıyor. Bunun neticesinde domainde ki tüm kullanıcıların powershele girdiğinde veya powershel de çalıştırdıkları komutları görebileceğimiz bir tool var mıdır? Burada ki mantığı saldırıyı tespit etmek için sistem yöneticisine bir uyarı olarak düşünebilirsiniz. Böyle bir şey mümkün mü?
İkinci bir aşama olarak kullanıcıların powershele erişimini engellesek ne kadar mantıklı bir hareket etmiş oluruz?
Teşekkürler.
Merhaba,
Öncelikle Microsoft, ps loglanabilmesi için powershell v5 ile gelen özellik olan, scripting ve modul logging seçeneklerini aktif etmeniz gerekmektedir. GPO altında advanced logging içinde bunları aktif ederseniz, event view altına bütün o makinada çalışan ps komutlarını görebilir hale gelebilirsiniz. Bu aşamadan sonra ister bir SIEM’e ( açık kaynak veya ücretli) logları yollayıp tek noktada kontrol edin, isterseniz makina üzerinden takip edebilirsiniz. Burada dikkat edilmesi gereken nokta, siz PS script logging açınca, ortamda sizin legal çalıştırdığınız scriptleri de loglayarak inceleme sürecini zorlaştırabilirsiniz. Bunun için de korelasyon yazarken, saldırganların kullandığı metotları belirtmeniz ve özellikle o satırlar oluştuğunda alarm üretmenizi tavsiye ederim
IEX (New-Object Net.Webclient).download |
Gibi.
konu başlı başına bir webcast konusu olduğu için özet olarak değindim
Merhaba,
wazuh.com bu konuda çok başarılı yazılan koda kadar tümünü listeliyor.
Merhaba,
wazuh.com bu konuda çok başarılı yazılan koda kadar tümünü listeliyor.
Hâla wazuh kullanıyor musunuz hocam?
@balanar Merhaba, geç gördüm üzgünüm.
wazuh bir süre kullandım, halen var fakat şuan farklı bir araç kullanıyorum.
Powershell komutları ise konu, evet çok başarıylıydı yakalama konusunda, ben dc sunucusunda çalıştıralan komutları listelemek ve bazı admin yetisine sahip userları yakamada kullanıyordum.