Forum

Powersheli izlemek ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Powersheli izlemek hak.

5 Yazılar
4 Üyeler
9 Reactions
829 Görüntüleme
Yiğit Savaş
(@atlantisegidek)
Gönderiler: 96
Estimable Member
Konu başlatıcı
 

Merhaba herkese,

Siber saldırılar ile makalelere baktığımda saldırgan bilgi toplayabilmek için hep powershell üzerinden işlemler yapıyor. Bunun neticesinde domainde ki tüm kullanıcıların powershele girdiğinde veya powershel de çalıştırdıkları komutları görebileceğimiz bir tool var mıdır? Burada ki mantığı saldırıyı tespit etmek için sistem yöneticisine bir uyarı olarak düşünebilirsiniz. Böyle bir şey mümkün mü?

İkinci bir aşama olarak kullanıcıların powershele erişimini engellesek ne kadar mantıklı bir hareket etmiş oluruz? 

Teşekkürler.

 
Gönderildi : 13/11/2020 16:00

(@gokhanyuceler)
Gönderiler: 86
Illustrious Member
 

Merhaba,

Öncelikle Microsoft, ps loglanabilmesi için powershell v5 ile gelen özellik olan, scripting ve modul logging seçeneklerini aktif etmeniz gerekmektedir. GPO altında advanced logging içinde bunları aktif ederseniz, event view altına bütün o makinada çalışan ps komutlarını görebilir hale gelebilirsiniz. Bu aşamadan sonra ister bir SIEM’e ( açık kaynak veya ücretli) logları yollayıp tek noktada kontrol edin, isterseniz makina üzerinden takip edebilirsiniz. Burada dikkat edilmesi gereken nokta, siz PS script logging açınca, ortamda sizin legal çalıştırdığınız scriptleri de loglayarak inceleme sürecini zorlaştırabilirsiniz. Bunun için de korelasyon yazarken, saldırganların kullandığı metotları belirtmeniz ve özellikle o satırlar oluştuğunda alarm üretmenizi tavsiye ederim

IEX (New-Object Net.Webclient).download

Gibi.

konu başlı başına bir webcast konusu olduğu için özet olarak değindim

 
Gönderildi : 13/11/2020 16:36

(@resulergun)
Gönderiler: 85
Estimable Member
 

Merhaba,

 

wazuh.com bu konuda çok başarılı yazılan koda kadar tümünü listeliyor.

 

 
Gönderildi : 31/05/2022 17:51

(@balanar)
Gönderiler: 79
Estimable Member
 

Gönderen: @resulergun

Merhaba,

 

wazuh.com bu konuda çok başarılı yazılan koda kadar tümünü listeliyor.

 

 

Hâla wazuh kullanıyor musunuz hocam?

 

 
Gönderildi : 09/12/2023 03:28

(@resulergun)
Gönderiler: 85
Estimable Member
 

@balanar Merhaba, geç gördüm üzgünüm.

wazuh bir süre kullandım, halen var fakat şuan farklı bir araç kullanıyorum.

Powershell komutları ise konu, evet çok başarıylıydı yakalama konusunda, ben dc sunucusunda çalıştıralan komutları listelemek ve bazı admin yetisine sahip userları yakamada kullanıyordum.

 

 
Gönderildi : 09/12/2023 17:34

Paylaş: