EDR sistemlerini de atlatmanın da bir yolunu bulurlar elbet :) Basit ve etkili bir yöntem olarak command line auditing açtıktan sonra çalıştırılan komutların uzunluğuna göre alarm üretmeyi öneririm. Çoğu zararlı powershell komutu çok uzun karaktere sahip oluyor.
On Wed, Jan 2, 2019 at 10:57 AM Mert SARICA <[email protected]> wrote: > Son zamanlarda o kadar çok atlatma yöntemi çıktı ki ben artık takip edemez > oldum bu sebeple EDR ile process takibi her daim gerekli diyebilirim. > > https://github.com/OmerYa/Invisi-Shell > > 2 Oca 2019 Çar 09:32 tarihinde Mehmet Ergene <[email protected]> > şunu yazdı: > >> PowerShell v5 ile obfuscation metodunu etkisiz hale getirdiklerini >> hatırlıyorum. >> Aşağıda biraz uzun olmakla birlikte -bence muhteşem- bir sunum mevcut >> (Defending against PowerShell attacks). Vakti olanların izlemesini tavsiye >> ederim. >> https://www.youtube.com/watch?v=M5bkHUQy-JA >> >> Ayrıca Microsoft'un da bufak bir blog'u mevcut: >> https://blogs.msdn.microsoft.com/powershell/2017/10/23/defending-against-powershell-attacks/ >> >> On Tue, Jan 1, 2019 at 9:28 PM Mert SARICA <[email protected]> wrote: >> >>> Selamlar, >>> >>> EDR güvenlik teknolojisine sahip olan kurumların yakından izlediği >>> alarmların başında, hemen hemen her tehdit raporunda, araştırma yazısında >>> adının sıklıkla geçtiği Powershell olduğunu az çok tahmin edebilirsiniz. >>> Invoke-Obfuscation gibi yardımcı araçlar nedeniyle hedef işletim sisteminde >>> Powershell kullanımın tespit edilmesinin çok daha zorlaştığı günümüzde, >>> tespit edilen zararlı Powershell kodunun detaylı bir şekilde analiz >>> edilebilmesinin önemini vurguladığım yeni blog yazımı dileyenleriz >>> aşağıdaki adresten okuyabilirler. >>> >>> https://www.mertsarica.com/zararli-powershell-analizi/ >>> <https://www.mertsarica.com/zararli-powershell-analizi/> >>> >>> Herkese, sevdikleriyle sağlıklı, mutlu, başarılı yeni bir yıl dilerim. >>> >>> Görüşmek dileğiyle, >>> >>> https://www.mertsarica.com >>> https://twitter.com/mertsarica >>> https://tr.linkedin.com/in/mertsarica >>> CISSP, SSCP, OSCP, OPST, CREA & CEREA >>> ------------------------------------------------- >>> Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - >>> https://services.normshield.com/phishing-domain-search >>> >>> ------------------------------------------------- >> >> ------------------------------------------------- >> Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - >> https://services.normshield.com/phishing-domain-search >> >> ------------------------------------------------- > > ------------------------------------------------- > Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - > https://services.normshield.com/phishing-domain-search > > -------------------------------------------------
------------------------------------------------- Ücretsiz Phishing Domain Tespiti ve Alarm Servisi - https://services.normshield.com/phishing-domain-search -------------------------------------------------
