SlideShare una empresa de Scribd logo

Sandbox Atlatma Teknikleri ve Öneriler

BGA Cyber Security
BGA Cyber Security

Zararlı Yazılım Analizinde Popüler Sandbox Atlatma Teknikleri ve Öneriler @BGASecurity - İbrahim AKGÜL

Tecnología
1 de 23
Sandbox vs Evasion Nasıl Çalışır? / Nasıl Aşılır?
Ibrahim AKGUL • Offically - Security Researcher • Hobbies – Everything about with low-level coding • Ex – Exploit and Malware developer • Etc.. – Bug Hunting, R&D, Consulting • Experience – 2000 - …… (Aviation & Finance ) • Blog: kernelturk.blogspot.com – updated last than once a year ☺ • Twitter: https://twitter.com/Stre4meR
Tarihsel Süreç @BGASecurity BGA | Siber Güvenlik Danışmanlığı Malware Anti-Malware • Poly/Meta/Oligo/Eta-Morphism • Anti-Analysis • Anti-Reverse, • Anti-Debugging, • Anti-Dissassembly • Intrinsic Functions • Garbage Code • Nanomites • Fast Flux • Undocumented apis • Tamper Attack Statik Kontroller Zararlı Çalıştırılmadan Önce - Signature Check - Pattern Matching - Static Heuristic Scan - Blacklist String/API Dinamik Kontroller Zararlı Çalıştıktan Sonra - Dynamic Heuristic Scan - Behaviour Analysis - Statistical-Based
Sandbox Nedir? Kontrollü Ortam Bir dosyanın zararlı olup olmadığına dair analiz, gözlem ve çıkarımların, kontrollü bir şekilde yapıldığı ortamlardır.. Hiç Bir Şeye Karışma, Her Şeyi İzle! Donanım Sanallaştırmanın Gücü Sandbox analiz ortamları, potansiyel zararlının yaptığı hiç bir aktiviteyi engellemez ve her yaptığı işlemi kayıt altına alır. Sandbox cihazları en yeni nesil donanım sanallaştırma platformlarının gücünü kullanarak, fiziksel sisteme en yakın ortamı sağlayar ve sanal ortamların getirdiği tespit edilebilmeye yönelik zayıflıkları azaltmaya çalışır. @BGASecurity BGA | Siber Güvenlik Danışmanlığı Kaynaklar Email Web USB
Sandbox Türleri? Ajanlı Sandbox, analiz işlemine başlama, izleme ve bulguları toplama işleminlerini sanal makine üzerine de çalışan bir ajan yazılımı yolu ile yapar.. Ajansız Sandbox, tüm analiz süreçlerini sanal makine üzerinde bir değişiklik yapmadan ve ajan gerektirmeden hypervisor katmanında ki teknolojileri ile gerçekleştirir. @BGASecurity BGA | Siber Güvenlik Danışmanlığı Ajan Tabanlı Sandbox Analizi Ajansız Sandbox Analizi Sandbox Ajanı Sandbox Engine
Sandbox ile Analiz? @BGASecurity BGA | Siber Güvenlik Danışmanlığı ... Repütasyon Kontrolü Statik Analiz Dinamik Analiz Analiz Raporu Repütasyon Skoru Tüm Anti-Virüslere ait tarama Skoru Sandbox Çözümüne Özel İş Zekası Skoru
Sandbox Çalışma Şekilleri? @BGASecurity BGA | Siber Güvenlik Danışmanlığı ... Repütasyon Kontrolü Statik Analiz Dinamik Analiz Analiz Raporu Repütasyon Skoru Tüm Anti-Virüslere ait tarama Skoru Sandbox Çözümüne Özel İş Zekası Skoru ✓ Build Time ✓ Hash ✓ Certificate ✓ Trust/Not Trust?
Sandbox Çalışma Şekilleri? @BGASecurity BGA | Siber Güvenlik Danışmanlığı ... Repütasyon Kontrolü Statik Analiz Dinamik Analiz Analiz Raporu Repütasyon Skoru Tüm Anti-Virüslere ait tarama Skoru Sandbox Çözümüne Özel İş Zekası Skoru ✓ Packer check ✓ IAT check, ✓ Blacklist API, ✓ Blacklist String, ✓ Section entropy ✓ Self/Modify Section, ✓ Undoc Api, ✓ ….. ✓ File I/O ✓ Network I/O ✓ Registry I/O ✓ Process Aktiviteleri ✓ Hafıza Analizi ✓ Kod Enjeksiyonu ✓ Kendini kalıcı kılıyor mu? ✓ …. ✓ Build Time ✓ Hash ✓ Certificate ✓ Trust/Not Trust?
Sandbox Sample Analiz Aşamaları? @BGASecurity BGA | Siber Güvenlik Danışmanlığı ... Repütasyon Kontrolü Statik Analiz Dinamik Analiz Analiz Raporu Repütasyon Skoru Tüm Anti-Virüslere ait tarama Skoru Sandbox Çözümüne Özel İş Zekası Skoru Memory Dump Network Activity Function Call Logs File I/O Registry I/O YARA Rules ✓ Packer check ✓ IAT check, ✓ Blacklist API, ✓ Blacklist String, ✓ Resource entropy ✓ Self/Modify Section, ✓ Undoc Api, ✓ ….. ✓ File I/O ✓ Network I/O ✓ Registry I/O ✓ Process act… ✓ Hafıza Analizi ✓ Kod Inject… ✓ Kendini kalıcı…. ✓ … ✓ Build Time ✓ Hash ✓ Certificate ✓ Trust/Not Trust?
ATLATMA TEKNİKLERİSandbox Evasion Techniques
Sandbox Evasion Teknikleri BGA | SOME Services Malware yazarları, geliştirdikleri zararlının her zaman tespit edilemeden radar altında kalabilmesi için kötü niyetli aktivitelerini gizleyecek yeni yöntemler geliştirirler.. Bu yöntemleri 3 kategoride değerendirebiliriz; 1. Sandbox’ı yakala, 2. Sandbox dan kaç, 3. Ortamına Göre Şekil Al
Sandbox Evasion Teknikleri - 1 BGA | SOME Services 1 – Sandbox’ı Tespit Edelim Bir zararlı yazılım genellikle Sandbox varlığını tespit etmek için şu soruları sorar! ➢ Bir sanal makine/hypervisor ortamında mı çalışıyorum? ✓ Cpu komutları (opcode) ile backdoor tespiti (artık düşük ihtimal) • Vmware için port 0x5658 – (çok eski artık işlevsiz) • Virtualbox için geçersiz opcode tespiti (ilkel kaldı) • Uzun opcode’lar ile Sanal İşlemci tespiti (vCPU lar da etkisiz) • Trap ve Carry Flagleri ile VM tespiti (hala etkili) • Redpill - IDTR’ın sanallaştırılamaması! (eski ama yaşıyor) • BIOS/UEFI Stringlerinden tespit
Sandbox Evasion Teknikleri - 1.2 BGA | SOME Services 1.2 - Sandbox çözümüne/ortamına ait verilerden yararlanma Bir zararlı yazılım genellikle Sandbox varlığını tespit etmek için şu soruları sorar! ➢ Bir sanal makine/hypervisor ortamında mı çalışıyorum? • Sandbox Çözümlerine Özel Bilgilerin Kontrolü ▪ CPUID ile işlemci markası kontrolü (vmware,Microsoft HV,kvm,etc..) ▪ Process adı, Dosya adı, Registry anahtarı ▪ Dosya Sistemi Yapısı, Windows ID ▪ Kullanıcı Adı, Parola, Domain Adı vb.. • Sandbox’ın Çalışma Yöntemlerine Özel Kontroller ▪ İlk imajın durum kontrolü (her reboot sonrası sıfırlanmış imaj!) ▪ Sandbox’a özel dinlenen port veya ağ yapısı • Sandbox’ın Detection esnasında yaptığı işlemlerin tespiti ▪ Her yeni çalışan processe inject edilen Module (dll) ▪ IAT/EAT hook / Api detour, ▪ OpCode Enumaration (desktenmeyeni bul)
Sandbox Evasion Teknikleri – 1.2 BGA | SOME Services CPUID Komutu ile İşlemci Markası Sorgulama
Sandbox Evasion Teknikleri – 1.2 BGA | SOME Services Sandbox Ajanı Her Processe, kendi DLL’ini Yüklüyor Not: Burada sadece module ismi ile değil tüm modullere ait Verified Signer aranarak da tespit gerçekleştirilebilir.
Sandbox Evasion Teknikleri – 1.2 BGA | SOME Services Process Adı ile Sanal Alan Tespiti •Vmware • Vmtoolsd.exe • Vmwaretrat.exe • Vmwareuser.exe • Vmacthlp.exe • … •VirtualBox • vboxservice.exe • vboxtray.exe • … • HyperV • …. • KVM • … Dosya Adına Göre Sanal Alan Tespiti • Vmware • C:windowsSystem32DriversVmmouse.sys • C:windowsSystem32Driversvm3dgl.dll • C:windowsSystem32DriversVMToolsHook.dll • C:windowsSystem32Driversvmmousever.dll • .... • VirtualBox • C:windowsSystem32DriversVBoxMouse.sys • C:windowsSystem32DriversVBoxGuest.sys • C:windowsSystem32DriversVBoxSF.sys • C:windowsSystem32DriversVBoxVideo.sys • C:windowsSystem32vboxdisp.dll • …. • HyperV • …. • KVM • … •00:05:69 (Vmware) •00:0C:29 (Vmware) •00:1C:14 (Vmware) •00:50:56 (Vmware) •08:00:27 (VirtualBox) …. Mac Adresinden Sandbox Tespiti
Sandbox Evasion Teknikleri – 2.Bölüm BGA | SOME Services 2. Sandbox dan Kaçalım, Çoğu Sandbox analiz çözümü in-guest adı verilen bir aktivite izleme yöntemi kullanır. Bu yöntem de analiz ortamına, çözüme ait processler, kod enjeksiyonları ve hookingler gerçekleştirilir. Analiz süresinin bir limiti ve sample boyutunun bir sınırı vardır. ➢ Sandbox, malware de çalışma zamanlı kod değişikliği yapmış mı? • Runtime anında kodumuza ait bütünlük integrity doğrulaması yapabiliriz, ➢ Sandbox, yaptığımız API çağrılarını hook mu ediyor? • Doğrudan Api’ler yerine Internal/Undocumented Api/Kod’lar çağırabiliriz, ➢ Sandbox, her tür çalıştırılabilir dosya formatını analiz edebiliyor mu? • Çoğu Sandbox çözümü .hta, .dzip, .swf vb.. gibi aslında doğrudan çağrılabilen uzantıları desteklemediğinden dolayı aktivite izleme analizlerine dahil etmiyor! ➢ Sandbox, tüm interface/kod teknolojilerini analiz edebiliyor mu? • COM, ActiveX, JAVA etc.. gibi teknolojileri çağıran payloadlar analizlerden kaçabilir,
Sandbox Evasion Teknikleri – 2 BGA | SOME Services Runtime anında kodumuza ait bütünlük integrity doğrulaması yapabiliriz
Sandbox Evasion Teknikleri – 2 BGA | SOME Services Doğrudan Api’ler yerine Internal/Undocumented Api/Kod’lar çağırabiliriz
Sandbox Evasion Teknikleri – 3.Bölüm BGA | SOME Services 3. Ortamına Göre Davran, Bu tarz saldırılar Sandbox ortamları ile ilgilenmez, zararlı yazarlarının beklenti ve kabullerine göre şekillenir. Örneğin zararlı sadece bir Domain ortamında ve yahut SCADA gibi endüstriyel otomasyon sistemlerinde çalışıyor olabilir. ➢ Sandbox, her sample analizi için yeni bir oturum açılışı mı gerçekleştiriyor? • Sistem çalışma süresi ile Explorer.exe çalışma süresi arasındaki fark hesaplanır! ➢ Sandbox, Domain Üyesi ancak gereksiz olduğu için GPO almıyor ise? • Oturum açma süresi ile Son uygulanan GPO süresi karşılaştırılır, ➢ Sandbox, User hesabı Domain üyesi ancak email account’u yok? • Aktif kullanıcı için DC üzerinden “mailbox” sahiplik bilgisi elde edilir, ➢ Sandbox, hemen analize başlıyor ve analiz süresi bir limite mi sahip? • Zararlı enfeksiyon aşaması için sadece belirlenen tarih ve zamanı bekleyebilir.
Sandbox Evasion Teknikleri – 3.Bölüm BGA | SOME Services Hedef bir domain ortamı ise zararlımız aktif kullanıcının bir exchange email hesabı olmasını bekleyebilir
Sandbox Evasion Teknikleri – 3.Bölüm BGA | SOME Services Normal şartlar da Explorer.exe ile System uptime süresi birbirine çok yakındır
-Teşekkürler- bgasecurity.com | @bgasecurity

Recomendados

Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6BGA Cyber Security
 
Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)
Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)
Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)Mehmet Kelepçe
 
Red Team Operasyonu ve İzlenen Bir Sisteme Sızmak
Red Team Operasyonu ve İzlenen Bir Sisteme SızmakRed Team Operasyonu ve İzlenen Bir Sisteme Sızmak
Red Team Operasyonu ve İzlenen Bir Sisteme SızmakBGA Cyber Security
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework EğitimiBGA Cyber Security
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El KitabıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıBGA Cyber Security
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 

Recomendados

Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 4, 5, 6BGA Cyber Security
 
Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)
Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)
Web Güvenlik Açıkları ve Kullanımı (Geniş Anlatım)Mehmet Kelepçe
 
Red Team Operasyonu ve İzlenen Bir Sisteme Sızmak
Red Team Operasyonu ve İzlenen Bir Sisteme SızmakRed Team Operasyonu ve İzlenen Bir Sisteme Sızmak
Red Team Operasyonu ve İzlenen Bir Sisteme SızmakBGA Cyber Security
 
Metasploit Framework Eğitimi
Metasploit Framework EğitimiMetasploit Framework Eğitimi
Metasploit Framework EğitimiBGA Cyber Security
 
Metasploit El Kitabı
Metasploit El KitabıMetasploit El Kitabı
Metasploit El KitabıBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 7, 8, 9BGA Cyber Security
 
Uygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıUygulamalı Ağ Güvenliği Eğitimi Lab Çalışmaları
Uygulamalı Ağ Güvenliği Eğitimi Lab ÇalışmalarıBGA Cyber Security
 
Nmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuNmap101 Eğitim Sunumu - Nmap Kullanım Kılavuzu
Nmap101 Eğitim Sunumu - Nmap Kullanım KılavuzuMehmet Caner Köroğlu
 
Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiBGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12BGA Cyber Security
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI BGA Cyber Security
 
Pardus Kurulum Dokümanı
Pardus Kurulum DokümanıPardus Kurulum Dokümanı
Pardus Kurulum DokümanıKurtuluş Karasu
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3BTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziBGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
Kablosuz Ağlarda Güvenlik
Kablosuz Ağlarda GüvenlikKablosuz Ağlarda Güvenlik
Kablosuz Ağlarda GüvenlikBGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBGA Cyber Security
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...BGA Cyber Security
 

Más contenido relacionado

La actualidad más candente

Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12BGA Cyber Security
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18BGA Cyber Security
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuBGA Cyber Security
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMABGA Cyber Security
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıBGA Cyber Security
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiKurtuluş Karasu
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziBGA Cyber Security
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriPRISMA CSI
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ BGA Cyber Security
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15BGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiOğuzcan Pamuk
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziBGA Cyber Security
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerBGA Cyber Security
 

La actualidad más candente (20)

Web Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liğiWeb Uygulama Güven(siz)liği
Web Uygulama Güven(siz)liği
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 10, 11, 12
 
PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI PORT TARAMA ve KEŞİF ÇALIŞMALARI
PORT TARAMA ve KEŞİF ÇALIŞMALARI
 
Pardus Kurulum Dokümanı
Pardus Kurulum DokümanıPardus Kurulum Dokümanı
Pardus Kurulum Dokümanı
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
 
Caldera İle Saldırı Simülasyonu
Caldera İle Saldırı SimülasyonuCaldera İle Saldırı Simülasyonu
Caldera İle Saldırı Simülasyonu
 
GÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMAGÜVENLİK SİSTEMLERİNİ ATLATMA
GÜVENLİK SİSTEMLERİNİ ATLATMA
 
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım SenaryolarıWebinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
Webinar: SOC Ekipleri için MITRE ATT&CK Kullanım Senaryoları
 
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
Uygulamali Sizma Testi (Pentest) Egitimi Sunumu - 3
 
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimiBeyaz Şapkalı Hacker başlangıç noktası eğitimi
Beyaz Şapkalı Hacker başlangıç noktası eğitimi
 
Hacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem AnaliziHacklenmis Linux Sistem Analizi
Hacklenmis Linux Sistem Analizi
 
WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ WEB ve MOBİL SIZMA TESTLERİ
WEB ve MOBİL SIZMA TESTLERİ
 
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik TemelleriBeyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
Beyaz Şapkalı Hacker CEH Eğitimi - Siber Güvenlik Temelleri
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 13, 14, 15
 
Kablosuz Ağlarda Güvenlik
Kablosuz Ağlarda GüvenlikKablosuz Ağlarda Güvenlik
Kablosuz Ağlarda Güvenlik
 
Saldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log YönetimiSaldırı Tipleri ve Log Yönetimi
Saldırı Tipleri ve Log Yönetimi
 
Hacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu AnaliziHacklenmiş Web Sunucu Analizi
Hacklenmiş Web Sunucu Analizi
 
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak DerslerGüvenlik Sistemlerini Atlatma ve Alınacak Dersler
Güvenlik Sistemlerini Atlatma ve Alınacak Dersler
 

Similar a Sandbox Atlatma Teknikleri ve Öneriler

Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBGA Cyber Security
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...BGA Cyber Security
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiBilgiO A.S / Linux Akademi
 
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiEPICROUTERS
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıBGA Cyber Security
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriEPICROUTERS
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1BGA Cyber Security
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiFatih Ozavci
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziBGA Cyber Security
 
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Siber Güvenlik Derneği
 
Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Mehmet Ince
 
Php projelerinde ci_uygulama
Php projelerinde ci_uygulamaPhp projelerinde ci_uygulama
Php projelerinde ci_uygulamaUmut IŞIK
 
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ibrahim Akgul
 
Tersine Mühendislik 101
Tersine Mühendislik 101Tersine Mühendislik 101
Tersine Mühendislik 101Fatih Erdoğan
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıBGA Cyber Security
 
Defansif Dünyaya Ofansif Dokunuş - SpookFlare
Defansif Dünyaya Ofansif Dokunuş - SpookFlareDefansif Dünyaya Ofansif Dokunuş - SpookFlare
Defansif Dünyaya Ofansif Dokunuş - SpookFlareHalil Dalabasmaz
 

Similar a Sandbox Atlatma Teknikleri ve Öneriler (20)

Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
 
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
IstSec'14 - Çağrı ERSEN - Açık Kaynak Sistemlerle Siber Saldırı Gözetleme Sis...
 
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve YönetimiAçık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
Açık Kaynak Sistemlerle Siber Saldırı Gözlemleme Sistemi Kurulum ve Yönetimi
 
Ossec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit SistemiOssec - Host Based Saldırı Tespit Sistemi
Ossec - Host Based Saldırı Tespit Sistemi
 
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliğiBilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
Bilge adam beşiktaş şube ethical hacking ve sızma yöntemleri etkinliği
 
Zed attack-proxy-web
Zed attack-proxy-webZed attack-proxy-web
Zed attack-proxy-web
 
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin KullanımıSiber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
Siber Tehdit Gözetleme ve SIEM Olarak Açık Kaynak Sistemlerin Kullanımı
 
Zafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleriZafiyet tespiti ve sizma yöntemleri
Zafiyet tespiti ve sizma yöntemleri
 
Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1Log Yönetimi ve Saldırı Analizi Eğitimi -1
Log Yönetimi ve Saldırı Analizi Eğitimi -1
 
Metasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik DenetimiMetasploit Framework ile Güvenlik Denetimi
Metasploit Framework ile Güvenlik Denetimi
 
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
BTRisk Zararlı Yazılım Analizi Eğitimi Sunumu - Bölüm 1
 
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı AnaliziKurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
Kurumsal Ağlarda Log İnceleme Yöntemiyle Saldırı Analizi
 
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
Kurumsal Ağlarda Log Analizi Yöntemi İle Saldırı Tespiti - Huzeyfe Önal #Sibe...
 
Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework Devfest istanbul'14 web app security and framework
Devfest istanbul'14 web app security and framework
 
Php projelerinde ci_uygulama
Php projelerinde ci_uygulamaPhp projelerinde ci_uygulama
Php projelerinde ci_uygulama
 
Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?Ransomware Nedir, Nasıl Korunulur?
Ransomware Nedir, Nasıl Korunulur?
 
Tersine Mühendislik 101
Tersine Mühendislik 101Tersine Mühendislik 101
Tersine Mühendislik 101
 
.Net ile yazılım güvenliği
.Net ile yazılım güvenliği.Net ile yazılım güvenliği
.Net ile yazılım güvenliği
 
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların KullanımıPenetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
Penetrasyon Testlerinde Açık Kod Yazılımların Kullanımı
 
Defansif Dünyaya Ofansif Dokunuş - SpookFlare
Defansif Dünyaya Ofansif Dokunuş - SpookFlareDefansif Dünyaya Ofansif Dokunuş - SpookFlare
Defansif Dünyaya Ofansif Dokunuş - SpookFlare
 

Más de BGA Cyber Security

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiBGA Cyber Security
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfBGA Cyber Security
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiBGA Cyber Security
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?BGA Cyber Security
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBGA Cyber Security
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketlerBGA Cyber Security
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020BGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriBGA Cyber Security
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakBGA Cyber Security
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIBGA Cyber Security
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiBGA Cyber Security
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziBGA Cyber Security
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİBGA Cyber Security
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Cyber Security
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerBGA Cyber Security
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsBGA Cyber Security
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaBGA Cyber Security
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiBGA Cyber Security
 

Más de BGA Cyber Security (20)

WEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesiWEBSOCKET Protokolünün Derinlemesine İncelenmesi
WEBSOCKET Protokolünün Derinlemesine İncelenmesi
 
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdfTatil Öncesi Güvenlik Kontrol Listesi.pdf
Tatil Öncesi Güvenlik Kontrol Listesi.pdf
 
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık EğitimiÜcretsiz Bilgi Güvenliği Farkındalık Eğitimi
Ücretsiz Bilgi Güvenliği Farkındalık Eğitimi
 
3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?3. parti firma risklerinden nasıl korunulur?
3. parti firma risklerinden nasıl korunulur?
 
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware SaldırılarıBir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
Bir Ransomware Saldırısının Anatomisi. A'dan Z'ye Ransomware Saldırıları
 
Webinar: Popüler black marketler
Webinar: Popüler black marketlerWebinar: Popüler black marketler
Webinar: Popüler black marketler
 
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
Açık Kaynak Kodlu Çözümler Kullanarak SOC Yönetimi SOAR & IRM Webinar - 2020
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm ÖnerileriDNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
 
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini ArttırmakWebinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
Webinar: Siber Güvenlikte Olgunluk Seviyesini Arttırmak
 
Open Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-IIOpen Source Soc Araçları Eğitimi 2020-II
Open Source Soc Araçları Eğitimi 2020-II
 
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner GüvenliğiWebinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
Webinar Sunumu: Saldırı, Savunma ve Loglama Açısından Konteyner Güvenliği
 
Hacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem AnaliziHacklenmiş Windows Sistem Analizi
Hacklenmiş Windows Sistem Analizi
 
Open Source SOC Kurulumu
Open Source SOC KurulumuOpen Source SOC Kurulumu
Open Source SOC Kurulumu
 
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİRAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
 
Siber Fidye 2020 Raporu
Siber Fidye 2020 RaporuSiber Fidye 2020 Raporu
Siber Fidye 2020 Raporu
 
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing RaporuBGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
BGA Türkiye Bankacılık Sektörü 1. Çeyrek Phishing Raporu
 
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu ÇözümlerSOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
SOC Kurulumu ve Yönetimi İçin Açık Kaynak Kodlu Çözümler
 
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of SecretsVeri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
Veri Sızıntıları İçinden Bilgi Toplama: Distributed Denial of Secrets
 
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi ToplamaAktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
Aktif Dizin (Active Directory) Güvenlik Testleri - I: Bilgi Toplama
 
SSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain TespitiSSL Sertifikalarından Phishing Domain Tespiti
SSL Sertifikalarından Phishing Domain Tespiti
 

Sandbox Atlatma Teknikleri ve Öneriler

  • 1. Sandbox vs Evasion Nasıl Çalışır? / Nasıl Aşılır?
  • 2. Ibrahim AKGUL • Offically - Security Researcher • Hobbies – Everything about with low-level coding • Ex – Exploit and Malware developer • Etc.. – Bug Hunting, R&D, Consulting • Experience – 2000 - …… (Aviation & Finance ) • Blog: kernelturk.blogspot.com – updated last than once a year ☺ • Twitter: https://twitter.com/Stre4meR
  • 3. Tarihsel Süreç @BGASecurity BGA | Siber Güvenlik Danışmanlığı Malware Anti-Malware • Poly/Meta/Oligo/Eta-Morphism • Anti-Analysis • Anti-Reverse, • Anti-Debugging, • Anti-Dissassembly • Intrinsic Functions • Garbage Code • Nanomites • Fast Flux • Undocumented apis • Tamper Attack Statik Kontroller Zararlı Çalıştırılmadan Önce - Signature Check - Pattern Matching - Static Heuristic Scan - Blacklist String/API Dinamik Kontroller Zararlı Çalıştıktan Sonra - Dynamic Heuristic Scan - Behaviour Analysis - Statistical-Based
  • 4. Sandbox Nedir? Kontrollü Ortam Bir dosyanın zararlı olup olmadığına dair analiz, gözlem ve çıkarımların, kontrollü bir şekilde yapıldığı ortamlardır.. Hiç Bir Şeye Karışma, Her Şeyi İzle! Donanım Sanallaştırmanın Gücü Sandbox analiz ortamları, potansiyel zararlının yaptığı hiç bir aktiviteyi engellemez ve her yaptığı işlemi kayıt altına alır. Sandbox cihazları en yeni nesil donanım sanallaştırma platformlarının gücünü kullanarak, fiziksel sisteme en yakın ortamı sağlayar ve sanal ortamların getirdiği tespit edilebilmeye yönelik zayıflıkları azaltmaya çalışır. @BGASecurity BGA | Siber Güvenlik Danışmanlığı Kaynaklar Email Web USB
  • 5. Sandbox Türleri? Ajanlı Sandbox, analiz işlemine başlama, izleme ve bulguları toplama işleminlerini sanal makine üzerine de çalışan bir ajan yazılımı yolu ile yapar.. Ajansız Sandbox, tüm analiz süreçlerini sanal makine üzerinde bir değişiklik yapmadan ve ajan gerektirmeden hypervisor katmanında ki teknolojileri ile gerçekleştirir. @BGASecurity BGA | Siber Güvenlik Danışmanlığı Ajan Tabanlı Sandbox Analizi Ajansız Sandbox Analizi Sandbox Ajanı Sandbox Engine
  • 6. Sandbox ile Analiz? @BGASecurity BGA | Siber Güvenlik Danışmanlığı ... Repütasyon Kontrolü Statik Analiz Dinamik Analiz Analiz Raporu Repütasyon Skoru Tüm Anti-Virüslere ait tarama Skoru Sandbox Çözümüne Özel İş Zekası Skoru
  • 7. Sandbox Çalışma Şekilleri? @BGASecurity BGA | Siber Güvenlik Danışmanlığı ... Repütasyon Kontrolü Statik Analiz Dinamik Analiz Analiz Raporu Repütasyon Skoru Tüm Anti-Virüslere ait tarama Skoru Sandbox Çözümüne Özel İş Zekası Skoru ✓ Build Time ✓ Hash ✓ Certificate ✓ Trust/Not Trust?
  • 8. Sandbox Çalışma Şekilleri? @BGASecurity BGA | Siber Güvenlik Danışmanlığı ... Repütasyon Kontrolü Statik Analiz Dinamik Analiz Analiz Raporu Repütasyon Skoru Tüm Anti-Virüslere ait tarama Skoru Sandbox Çözümüne Özel İş Zekası Skoru ✓ Packer check ✓ IAT check, ✓ Blacklist API, ✓ Blacklist String, ✓ Section entropy ✓ Self/Modify Section, ✓ Undoc Api, ✓ ….. ✓ File I/O ✓ Network I/O ✓ Registry I/O ✓ Process Aktiviteleri ✓ Hafıza Analizi ✓ Kod Enjeksiyonu ✓ Kendini kalıcı kılıyor mu? ✓ …. ✓ Build Time ✓ Hash ✓ Certificate ✓ Trust/Not Trust?
  • 9. Sandbox Sample Analiz Aşamaları? @BGASecurity BGA | Siber Güvenlik Danışmanlığı ... Repütasyon Kontrolü Statik Analiz Dinamik Analiz Analiz Raporu Repütasyon Skoru Tüm Anti-Virüslere ait tarama Skoru Sandbox Çözümüne Özel İş Zekası Skoru Memory Dump Network Activity Function Call Logs File I/O Registry I/O YARA Rules ✓ Packer check ✓ IAT check, ✓ Blacklist API, ✓ Blacklist String, ✓ Resource entropy ✓ Self/Modify Section, ✓ Undoc Api, ✓ ….. ✓ File I/O ✓ Network I/O ✓ Registry I/O ✓ Process act… ✓ Hafıza Analizi ✓ Kod Inject… ✓ Kendini kalıcı…. ✓ … ✓ Build Time ✓ Hash ✓ Certificate ✓ Trust/Not Trust?
  • 11. Sandbox Evasion Teknikleri BGA | SOME Services Malware yazarları, geliştirdikleri zararlının her zaman tespit edilemeden radar altında kalabilmesi için kötü niyetli aktivitelerini gizleyecek yeni yöntemler geliştirirler.. Bu yöntemleri 3 kategoride değerendirebiliriz; 1. Sandbox’ı yakala, 2. Sandbox dan kaç, 3. Ortamına Göre Şekil Al
  • 12. Sandbox Evasion Teknikleri - 1 BGA | SOME Services 1 – Sandbox’ı Tespit Edelim Bir zararlı yazılım genellikle Sandbox varlığını tespit etmek için şu soruları sorar! ➢ Bir sanal makine/hypervisor ortamında mı çalışıyorum? ✓ Cpu komutları (opcode) ile backdoor tespiti (artık düşük ihtimal) • Vmware için port 0x5658 – (çok eski artık işlevsiz) • Virtualbox için geçersiz opcode tespiti (ilkel kaldı) • Uzun opcode’lar ile Sanal İşlemci tespiti (vCPU lar da etkisiz) • Trap ve Carry Flagleri ile VM tespiti (hala etkili) • Redpill - IDTR’ın sanallaştırılamaması! (eski ama yaşıyor) • BIOS/UEFI Stringlerinden tespit
  • 13. Sandbox Evasion Teknikleri - 1.2 BGA | SOME Services 1.2 - Sandbox çözümüne/ortamına ait verilerden yararlanma Bir zararlı yazılım genellikle Sandbox varlığını tespit etmek için şu soruları sorar! ➢ Bir sanal makine/hypervisor ortamında mı çalışıyorum? • Sandbox Çözümlerine Özel Bilgilerin Kontrolü ▪ CPUID ile işlemci markası kontrolü (vmware,Microsoft HV,kvm,etc..) ▪ Process adı, Dosya adı, Registry anahtarı ▪ Dosya Sistemi Yapısı, Windows ID ▪ Kullanıcı Adı, Parola, Domain Adı vb.. • Sandbox’ın Çalışma Yöntemlerine Özel Kontroller ▪ İlk imajın durum kontrolü (her reboot sonrası sıfırlanmış imaj!) ▪ Sandbox’a özel dinlenen port veya ağ yapısı • Sandbox’ın Detection esnasında yaptığı işlemlerin tespiti ▪ Her yeni çalışan processe inject edilen Module (dll) ▪ IAT/EAT hook / Api detour, ▪ OpCode Enumaration (desktenmeyeni bul)
  • 14. Sandbox Evasion Teknikleri – 1.2 BGA | SOME Services CPUID Komutu ile İşlemci Markası Sorgulama
  • 15. Sandbox Evasion Teknikleri – 1.2 BGA | SOME Services Sandbox Ajanı Her Processe, kendi DLL’ini Yüklüyor Not: Burada sadece module ismi ile değil tüm modullere ait Verified Signer aranarak da tespit gerçekleştirilebilir.
  • 16. Sandbox Evasion Teknikleri – 1.2 BGA | SOME Services Process Adı ile Sanal Alan Tespiti •Vmware • Vmtoolsd.exe • Vmwaretrat.exe • Vmwareuser.exe • Vmacthlp.exe • … •VirtualBox • vboxservice.exe • vboxtray.exe • … • HyperV • …. • KVM • … Dosya Adına Göre Sanal Alan Tespiti • Vmware • C:windowsSystem32DriversVmmouse.sys • C:windowsSystem32Driversvm3dgl.dll • C:windowsSystem32DriversVMToolsHook.dll • C:windowsSystem32Driversvmmousever.dll • .... • VirtualBox • C:windowsSystem32DriversVBoxMouse.sys • C:windowsSystem32DriversVBoxGuest.sys • C:windowsSystem32DriversVBoxSF.sys • C:windowsSystem32DriversVBoxVideo.sys • C:windowsSystem32vboxdisp.dll • …. • HyperV • …. • KVM • … •00:05:69 (Vmware) •00:0C:29 (Vmware) •00:1C:14 (Vmware) •00:50:56 (Vmware) •08:00:27 (VirtualBox) …. Mac Adresinden Sandbox Tespiti
  • 17. Sandbox Evasion Teknikleri – 2.Bölüm BGA | SOME Services 2. Sandbox dan Kaçalım, Çoğu Sandbox analiz çözümü in-guest adı verilen bir aktivite izleme yöntemi kullanır. Bu yöntem de analiz ortamına, çözüme ait processler, kod enjeksiyonları ve hookingler gerçekleştirilir. Analiz süresinin bir limiti ve sample boyutunun bir sınırı vardır. ➢ Sandbox, malware de çalışma zamanlı kod değişikliği yapmış mı? • Runtime anında kodumuza ait bütünlük integrity doğrulaması yapabiliriz, ➢ Sandbox, yaptığımız API çağrılarını hook mu ediyor? • Doğrudan Api’ler yerine Internal/Undocumented Api/Kod’lar çağırabiliriz, ➢ Sandbox, her tür çalıştırılabilir dosya formatını analiz edebiliyor mu? • Çoğu Sandbox çözümü .hta, .dzip, .swf vb.. gibi aslında doğrudan çağrılabilen uzantıları desteklemediğinden dolayı aktivite izleme analizlerine dahil etmiyor! ➢ Sandbox, tüm interface/kod teknolojilerini analiz edebiliyor mu? • COM, ActiveX, JAVA etc.. gibi teknolojileri çağıran payloadlar analizlerden kaçabilir,
  • 18. Sandbox Evasion Teknikleri – 2 BGA | SOME Services Runtime anında kodumuza ait bütünlük integrity doğrulaması yapabiliriz
  • 19. Sandbox Evasion Teknikleri – 2 BGA | SOME Services Doğrudan Api’ler yerine Internal/Undocumented Api/Kod’lar çağırabiliriz
  • 20. Sandbox Evasion Teknikleri – 3.Bölüm BGA | SOME Services 3. Ortamına Göre Davran, Bu tarz saldırılar Sandbox ortamları ile ilgilenmez, zararlı yazarlarının beklenti ve kabullerine göre şekillenir. Örneğin zararlı sadece bir Domain ortamında ve yahut SCADA gibi endüstriyel otomasyon sistemlerinde çalışıyor olabilir. ➢ Sandbox, her sample analizi için yeni bir oturum açılışı mı gerçekleştiriyor? • Sistem çalışma süresi ile Explorer.exe çalışma süresi arasındaki fark hesaplanır! ➢ Sandbox, Domain Üyesi ancak gereksiz olduğu için GPO almıyor ise? • Oturum açma süresi ile Son uygulanan GPO süresi karşılaştırılır, ➢ Sandbox, User hesabı Domain üyesi ancak email account’u yok? • Aktif kullanıcı için DC üzerinden “mailbox” sahiplik bilgisi elde edilir, ➢ Sandbox, hemen analize başlıyor ve analiz süresi bir limite mi sahip? • Zararlı enfeksiyon aşaması için sadece belirlenen tarih ve zamanı bekleyebilir.
  • 21. Sandbox Evasion Teknikleri – 3.Bölüm BGA | SOME Services Hedef bir domain ortamı ise zararlımız aktif kullanıcının bir exchange email hesabı olmasını bekleyebilir
  • 22. Sandbox Evasion Teknikleri – 3.Bölüm BGA | SOME Services Normal şartlar da Explorer.exe ile System uptime süresi birbirine çok yakındır