Forum

Bildirimler

Hepsini Temizle

[Çözüldü] Powersheli izlemek hak.

Güvenlik Genel

Son Cevaplar gön: Resul ERGÜN 11 ay önce

5 Yazılar

4 Üyeler

9 Reactions

825 Görüntüleme

RSS

Yiğit Savaş

(@atlantisegidek)

Gönderiler: 96

Estimable Member

Konu başlatıcı

Merhaba herkese,

Siber saldırılar ile makalelere baktığımda saldırgan bilgi toplayabilmek için hep powershell üzerinden işlemler yapıyor. Bunun neticesinde domainde ki tüm kullanıcıların powershele girdiğinde veya powershel de çalıştırdıkları komutları görebileceğimiz bir tool var mıdır? Burada ki mantığı saldırıyı tespit etmek için sistem yöneticisine bir uyarı olarak düşünebilirsiniz. Böyle bir şey mümkün mü?

İkinci bir aşama olarak kullanıcıların powershele erişimini engellesek ne kadar mantıklı bir hareket etmiş oluruz?

Teşekkürler.

Gönderildi : 13/11/2020 16:00

Gökhan YÜCELER

(@gokhanyuceler)

Gönderiler: 86

Illustrious Member

Merhaba,

Öncelikle Microsoft, ps loglanabilmesi için powershell v5 ile gelen özellik olan, scripting ve modul logging seçeneklerini aktif etmeniz gerekmektedir. GPO altında advanced logging içinde bunları aktif ederseniz, event view altına bütün o makinada çalışan ps komutlarını görebilir hale gelebilirsiniz. Bu aşamadan sonra ister bir SIEM’e ( açık kaynak veya ücretli) logları yollayıp tek noktada kontrol edin, isterseniz makina üzerinden takip edebilirsiniz. Burada dikkat edilmesi gereken nokta, siz PS script logging açınca, ortamda sizin legal çalıştırdığınız scriptleri de loglayarak inceleme sürecini zorlaştırabilirsiniz. Bunun için de korelasyon yazarken, saldırganların kullandığı metotları belirtmeniz ve özellikle o satırlar oluştuğunda alarm üretmenizi tavsiye ederim

IEX (New-Object Net.Webclient).download

Gibi.

konu başlı başına bir webcast konusu olduğu için özet olarak değindim

Gönderildi : 13/11/2020 16:36

DOĞAN CAN KELEŞ, Cengiz YILMAZ, Kerem Göktay and 6 people reacted

Resul ERGÜN

(@resulergun)

Gönderiler: 85

Estimable Member

Merhaba,

wazuh.com bu konuda çok başarılı yazılan koda kadar tümünü listeliyor.

Gönderildi : 31/05/2022 17:51

Mustafa Denizli

(@balanar)

Gönderiler: 79

Estimable Member

Gönderen: @resulergun

↑

Merhaba,

wazuh.com bu konuda çok başarılı yazılan koda kadar tümünü listeliyor.

Hâla wazuh kullanıyor musunuz hocam?

Gönderildi : 09/12/2023 03:28

Resul ERGÜN

(@resulergun)

Gönderiler: 85

Estimable Member

@balanar Merhaba, geç gördüm üzgünüm.

wazuh bir süre kullandım, halen var fakat şuan farklı bir araç kullanıyorum.

Powershell komutları ise konu, evet çok başarıylıydı yakalama konusunda, ben dc sunucusunda çalıştıralan komutları listelemek ve bazı admin yetisine sahip userları yakamada kullanıyordum.

Gönderildi : 09/12/2023 17:34