Ücretsiz araçlar (ELK+Sysmon) kullanarak siber tehdit avcılığı

Giriş Her geçen gün karmaşıklaşan siber-tehditler, önleyici (preventive) teknolojiler tarafından her zaman yakalanamamaktır. Bu, ürünlerin doğru konfigüre edilmemiş olmasından kaynaklanabileceği gibi bazen de ürün yeteneklerinin yetersizliğinden kaynaklanabilir. Kimi zaman ise siber tehditlerin güncel kabiliyetlerini yakından ve güncel olarak izleyemeyen kurumlar geleneksel yöntemlere fazla güven…

Read more

Pratik Windows Olay Müdahale Komutları

wmic startup list full - Startup öğelerini gösterir ipconfig /displaydns - Son çözülmüş DNS adreslerini gösterir wmic process get description,processid,parentprocessid,commandline /format:csv - CSV olarak mevcutta çalışan process'leri gösterir wmic service list full | more -  Çalışan servisleri gösterir netstat -bona - Tüm açık socket bağlantılarını PID ve EXE bağlantılarıyla gösterir wmic product…

Read more

SIEM Seçiminde Dikkat Edilmesi Gerekenler - 1

Giriş Kurumların siber güvenliği adına artık olmazsa olmaz hale gelen SIEM ürününün seçimi ürünlerin yapısının karmaşıklığı gereği bazen oldukça içinden çıkılmaz hale gelebiliyor. Özellikle ihtiyaca göre doğru ürün seçimi, doğru EPS hesabı, uygun mimari tasarım ve log retention (eksitme?) politikaları baştan doğru tanımlanmazsa günün sonunda elinizde çöp bir ürün bulabilirsiniz. Hepsinden önemli y…

Read more

Linux proxy erişim problemi

Linux sisteminizde tüm network yetkilendirmeleri doğru yapılsa bile sudo ile çalıştırmak istediğiniz bir komut 'Connection' hatası alıyorsa -E parametresini kullandığınızdan emin olun. apt-get update vb. gibi komutlarda ağ ayarları anlamında herşey doğru olmasına rağmen hata alırsanız, bu büyük ihtimalle proxy kullandığınız ağda problemin http_proxy gibi çevre değişkenlerinin sunucunun sudo bağlam…

Read more

WinTrail - Deneysel anti-malware (istihbarat) yazılımı

Zararlı yazılımların en büyük karakteristik özelliklerinden birisi sistemlere bulaştıktan sonra bir komuta & kontrol (C&C) merkezine bağlanarak periyodik olarak bu adreslerden yeni komutlar beklemesi ve bu komutları sistem üzerinde işletmeleridir. "Botnet"'lere üye zombileştirilmiş PC'ler bu yöntemle yeni hedeflerini öğrenerek bu adreslere çeşitli saldırılar (DDos vb) yapmakta ve akabinde…

Read more

Replacing source ip with X-Forwarded-For ip in Suricata

Imagine a topology like this. When an attacker try to intrude your system and you want to catch him with your IDS solution (in this scenario, Suricata) you will see the internal interface IP of the gateway device as source ip for your attacker. As you can think, this will complicate the analysis process. Who wants to see 10.1.23.1 as attack source ip? However, if your gateway device (WAF, NGFW et…

Read more

Honeypot maceraları

Kurban bayramı iznine geldiğim şu günlerde epeydir kafamda olan evde kullandığım uydunet bağlantımın arkasına bir honeypot yerleştirme planımı nihayet gerçekleştirebildim. Hediye modemimin, sağolsun, DMZ desteğine sahip olması işlerimi epey kolaylaştırdı. Honeypot'a Giriş, Kurulum ve Konfigürasyonlar İşletim sistemi olarak Debian 8 tercihim oldu. Laptopuma VMWare workstation üzerine netinstaller'l…

Read more

Karaladıklarım # 1

Orhan Pamuk, İstanbul'a en çok "hüzün" kelimesini yakıştırıyormuş. İstanbul'u kaybedeli çok oluyor çünkü. * Yazamadığınız şiiri hak etmemişsinizdir. Ya da birine yazdıysanız, o ona layık değildir. * Ülkede ahlak oturdukça bürokrasi kendiliğinden zaten azalacak. Birbirine en az güvenen milletlerdenmişiz. Bir de utanmadan bürokrasiden şikayet ediyoruz. Sistem sana güvenemez. Kendini güvenilir kılar.…

Read more

Uygulamalarla Siber Güvenliğe Giriş

Bir dönem aynı ekipte beraber çalışma fırsatı yakaladığım dostum Muhammed Alparslan AKYILDIZ'ın "Uygulamalarla Siber Güvenliğe Giriş" kitabı çıktı. Oldukça doyurucu ve uygulamaya dayalı bir içeriğe sahip olan kitabın içeriği şu şekilde; İçerik olarak şunlardan oluşuyor; LAB İçin Sanal Makina Kurulumu LİNUX İşletim Sistemine Giriş Temel Ağ Kavramları Hedefe Yönelik Bilgi Toplama Ve Zafiyet Analizi…

Read more