Ahmet BİRKAN

Merhaba arkadaşlar, bu videoda sizlere herhangi bir program çalıştırmanın ya da bir yazılım kurmanın ardından Windows kayıt defteri yani regedit üzerinde nasıl izler bıraktığını göstereceğim. Bu izler sayesinde sistemde arka planda neler olup bittiğini, hangi uygulamaların nereye müdahale ettiğini, özellikle de bir saldırgan sistemde kalıcılık sağlamak istiyorsa bunu hangi yollarla yapabileceğini göreceksiniz.  Windows işletim sisteminin temel yapı taşlarından biri olan kayıt defteri, sistemin adeta beynidir. Kullanıcı ayarları, program davranışları, sistem politikaları ve daha birçok detay burada tutulur. Özellikle “Run” anahtarları gibi bazı bölümler, sistem başlangıcında otomatik olarak çalıştırılacak programların listesini barındırır. Yani bir uygulama kendisini bu anahtarlardan birine eklerse, sistem her açıldığında otomatik olarak o uygulama da çalışır. Bir saldırganın sistemde kalıcı hale gelmek için başvuracağı ilk yöntemlerden biri işte budur. Bu vb. değişiklikleri gözlemleyebilmek için kullanacağımız araç: Regshot. Regshot, sistemin kayıt defteri yapısını bir anlık görüntü (snapshot) olarak alır. Daha sonra sistemde bir işlem yaptıktan sonra ikinci bir görüntü alınır ve bu iki yapı karşılaştırılarak nelerin değiştiği net bir şekilde ortaya konur. Bu sayede bir yazılımın ya da komut dosyasının sistemde ne gibi değişikliklere neden olduğunu görebiliriz. https://github.com/Seabreg/Regshot

Silinen Fotoğrafları Kurtarın! | TestDisk & PhotoRec Kullanımı TestDisk, silinmiş ya da kaybolmuş disk bölümlerini kurtarmak için geliştirilmiş güçlü bir açık kaynak yazılımıdır. Ancak resim dosyalarını kurtarmak için, TestDisk ile birlikte gelen PhotoRec aracı kullanılır. PhotoRec, hasar görmüş ya da biçimlendirilmiş disklerden veri kurtarma işlemlerini imza tabanlı bir sistemle yapar. Bu sayede dosya sistemi bozulmuş olsa bile JPEG, PNG, RAW gibi birçok resim formatını başarıyla kurtarabilir. İlk olarak, PhotoRec aracını başlatıyoruz. Windows kullanıcıları, photorec_win.exe dosyasını çift tıklayarak aracı çalıştırabilir. Linux kullanıcıları ise terminal üzerinden sudo photorec komutunu kullanabilirler. Program açıldığında, sistemdeki tüm diskler listelenir. Burada, silinen ya da kurtarılmak istenen resimlerin bulunduğu diski seçiyoruz. Sonraki adımda, disk içerisindeki doğru bölümü yani partition'ı seçmemiz istenir. Bu noktada disk üzerindeki dosya sistemi de belirtilmelidir. FAT, exFAT veya NTFS gibi dosya sistemleri için "Other", ext3 veya ext4 gibi Linux dosya sistemleri için "Ext2/Ext3" seçilmelidir. Tarama yapılacak alanı seçerken iki seçenek sunulur. “Free” seçeneği yalnızca silinmiş dosyaları tarar ve daha hızlıdır. “Whole” seçeneği ise tüm diski tarar, böylece bozulmuş dosya sistemlerinde bile kurtarma şansı artar. Kurtarılacak dosyaların yazılacağı hedef klasörü belirlemek de çok önemlidir. Bu klasör, kurtarma yapılan diskten farklı bir disk üzerinde olmalıdır, aksi halde veri üzerine yazılabilir. Tüm seçimleri yaptıktan sonra tarama işlemini başlatıyoruz. PhotoRec, kurtardığı dosyaları anlık olarak belirlediğimiz klasöre kaydeder. Bu klasörde recup_dir.1, recup_dir.2 gibi klasörler oluşur ve her biri kurtarılan dosyaları içerir. İsterseniz sadece resim uzantılarını seçerek taramayı daha verimli hale getirebilirsiniz. Bunun için başlangıç menüsünden File Opt seçeneğine girip sadece jpg, png, bmp gibi uzantıları aktif edebilirsiniz. PhotoRec, dosya uzantılarını dosya içeriğindeki imzalardan tanıdığı için, dosya adlarını değil dosyaların türünü baz alarak kurtarma yapar. Bu sayede diğer birçok yazılımın erişemediği dosyalar bile geri getirilebilir. Unutmayın, veri kurtarma işlemleri sırasında diske hiçbir yeni veri yazılmamalı ve mümkünse disk salt okunur olarak kullanılmalıdır. Bu işlemleri doğru adımlarla yaptığınızda, yanlışlıkla silinen ya da kaybolan resimleri kolayca kurtarmanız mümkündür. https://www.cgsecurity.org/wiki/TestDisk_Download

Günümüzde siber güvenlik araştırmalarında, kötü amaçlı yazılımların (payload) internette hangi IP adresleriyle iletişim kurduğunu tespit etmek oldukça önemli bir adımdır. Bu iletişimler, saldırganın kontrol ettiği sunucularla olan bağlantılar olabilir. Bu yazıda, FakeNet-NG isimli araçla, zararlı bir yazılımın hangi IP adresleriyle irtibat kurduğunu adım adım nasıl analiz edeceğimizi öğreneceğiz. Bu işlem izole bir ortamda, sanal bir Windows işletim sistemi üzerinde gerçekleştirilmelidir. Çünkü analiz edeceğimiz payload, sistem üzerinde zararlı aktivitelerde bulunabilir. 🐍 1. Python 3.9 FakeNet-NG, Python ile yazılmış bir analiz aracıdır ve en stabil şekilde Python 3.9 sürümü ile çalışmaktadır. Daha güncel sürümlerde bazı bağımlılıkların uyumsuzluk nedeniyle hata vermesi mümkündür. Bu nedenle Python 3.9 tercih edilmelidir. Kurulum sırasında dikkat edilmesi gereken önemli bir nokta, “Add Python to PATH” seçeneğinin işaretlenmesidir. Bu sayede terminal (CMD) üzerinden python ve pip komutları sorunsuz çalışır. Kurulumla birlikte pip (Python Package Installer) da yüklenmelidir. pip, FakeNet’in ihtiyaç duyduğu eklentileri kurmak için kullanılacaktır. Kurulumdan sonra python --version ve pip --version komutlarıyla doğrulama yapılabilir. 🔗 Python 3.9 İndirme Linki:https://www.python.org/downloads/release/python-390/ 🌐 2. Npcap Npcap, Windows üzerinde ağ trafiğini analiz etmek ve paketleri dinlemek için kullanılan modern bir kütüphanedir. FakeNet-NG, sahte servisler (DNS, HTTP, FTP vb.) oluştururken bu paket dinleme yeteneklerine ihtiyaç duyar. Npcap olmadan FakeNet, gelen ve giden veri paketlerini düzgün bir şekilde yakalayamaz. Bu durumda payload’un hangi IP’lerle iletişim kurmaya çalıştığı da tespit edilemez. Özellikle sahte ağ ortamı simülasyonlarında Npcap kritik rol oynar. Kurulum sırasında "WinPcap API-compatible mode" seçeneğinin işaretlenmesi, bazı Python modülleri için uyumluluk sağlar. Varsayılan ayarlarla kurulması genellikle yeterlidir. 🔗 Npcap İndirme Linki:https://npcap.com/#download ⚙️ 3. Visual C++ Build Tools FakeNet-NG, bazı bağımlılıkları doğrudan derleyerek kurar. Özellikle pcapy, pydivert gibi modüller C++ ile yazılmıştır ve bu modüllerin sistemde çalışabilmesi için C++ derleyicileri gereklidir. İşte bu yüzden Visual C++ Build Tools olmazsa olmazdır. Kurulum sırasında “C++ Build Tools” seçeneği işaretlenmeli ve ek bileşen olarak “MSVC v142”, “Windows 10 SDK” gibi bileşenler de seçilmelidir. Bu araç sayesinde Python modülleri sistem üzerinde başarıyla derlenir ve FakeNet sorunsuz çalışır. Kurulum tamamlandıktan sonra herhangi bir Python bağımlılığı kurarken yaşanan derleme hatalarının büyük çoğunluğu ortadan kalkar. 🔗 Visual C++ Build Tools İndirme Linki:https://visualstudio.microsoft.com/tr/visual-cpp-build-tools/ 🕵️ 4. FakeNet-NG FakeNet-NG, zararlı yazılımların (payload) internette iletişim kurduğu sunucuları, IP adreslerini ve bağlantı noktalarını tespit etmek için kullanılan gelişmiş bir analiz aracıdır. Sistem üzerinde sahte DNS, HTTP, FTP vb. servisleri çalıştırarak payload’un gerçek sanarak bu servislere yönelmesini sağlar. FakeNet, gelen bağlantı isteklerini terminalde gösterir. Bu sayede saldırganın kullandığı sunucuların IP adresleri ve portları kolayca gözlemlenebilir. Gerçek ağ bağlantısı olmadan bile kötü amaçlı yazılımın nasıl davrandığı izlenebilir. Araç özellikle izole bir sanal Windows ortamında çalıştırılmalıdır. Payload zararlı olabileceği için analiz ortamının internete erişimi olmamalıdır. VMware veya VirtualBox gibi yazılımlar kullanılarak güvenli bir analiz ortamı oluşturulabilir. FakeNet-NG Python ile çalışır, kurulumdan sonra pip install -r requirements.txt komutu ile gerekli modüller yüklenir. Ardından python fakenet.py komutu ile başlatılabilir. 🔗 FakeNet-NG GitHub İndirme Linki:https://github.com/mandiant/flare-fakenet-ng/releases