AUTOPSY Aracının Kullanımı.

Ekim 19, 2020 Muhammed AYGÜN

AUTOPSY

Bu yazımızda Autopsy aracının kullanımını ve özelliklerini öğreneceğiz. Autopsy Basis Technology tarafından desteklenen açık kaynak kodlu ücretsiz kullanılan bir adli bilişim aracıdır. Grafiksel arayüz üzerinden The Sleuth Kit’e ait komutları kullanmamızı sağlayan bir programdır.

Autopsy ile

· DD, Encase ve AFF uzantılı adli kopyalar üzerinde inceleme yapabilmektedir.

· NTFS, FAT, UFS 1, UFS 2, EXT2FS, EXT3FS, HFS ve ISO 9660 ve bunların türü olan dosya sistemlerini desteklemektedir.

· Kelime veya karakter araması yapılabilmektedir.

· Steganography kontrolü yapabilmektedir.

· E-delil ve adli kopya üzerinden hash hesaplaması yapabilmektedir.

· Hash tablosu kullanılarak sistem dosyaları gibi bilinen dosyalar ayıklanabilmektedir

· Zaman çizelgesi çıkartabilmektedir.

· Veri kurtarma yapabilmektedir.

· MFT dosyaları gibi önemli sistem dosyalarına erişimi sağlayabilmektedir.

Programı indirmek için https://www.autopsy.com/download/ adresine gidebilirsiniz.

Autopsy aracının daha iyi anlaşılması için uygulamalar üzerinde devam edeceğiz.

İlk olarak Basis Technology bize sunmuş olduğu imaj dosyasını https://file.ac/d9olyKnD49s adresinden incelemek için indiriyorum.

Autopsy aracını çalıştırıyorum ve “New Case” seçeneğini seçiyorum.

2. Adımda “Case Name” alanını yazıp devam ediyoruz.

3. adımda “Case Number” ve araştırmacı adını yazıp biti

Burada case hakkında detaylı bilgi girildi kimin incelendiği case hakkında detaylı bilgiler ve notların yazılabileceği alan dolduruldu.

Burada “Disk Image or VM” file seçeneğini seçildi çünkü inceleyeceğimiz imaj türü E01 formatındaki imaj, imajı açabilmek için bu seçenekten devam ettik.

Burada imaj dosyasının yerini belirttik.

Daha sonra modül seçme ekranı gelmektedir. Bu bölümde araştırmacıya gerekli modüllerin seçilebilme imkanını vermektedir.

Ve “Finish” diyerek bitiriyoruz. Burada istersek log dosyası çıktı olarak alınabilmektedir.

Tüm modülleri aldıktan sonra bu alana ulaşıyoruz. Bu menüye geldikten sonra analize başlayabiliriz fakat analizin daha sağlıklı olması için programın analiz etmesi kısmını bitirmesi bizim doğru sonuca ulaşmamıza yardımcı olacaktır.

Programın analiz yapma işlemi bittikten sonra aşağıda temel olarak sormuş olduğum soruların cevaplarını bulacağız hep birlikte.

WelcomeScan.jpg adlı resim dosyasının hash değerini bulun ?

MD573d4281e46a68222934403627e5b4e1

Görüntüleri kontrol etmek için; “Results > Extracted Content > EXIF Metadata” bu alana geldikten sonra resmin üzerine tıklıyoruz daha sonra “File Metada” sekmesine tıkladıktan sonra Autopsy aracı otomatik olarak MD5 hash değerini hesaplamış olduğunu gördük

Kaytı edilen en son bilgisayar kapatma zamanı ne zaman ?

2020/10/17-15:09:11

Bu sorunun cevabını bulmak için gidiyoruz “Data Sources” kısmından

“C:\WINDOWS\system32\config\software\Microsoft\WindowNT\CurrentVersion\P refetcher\ExitTime”

Dosya yolunu takip ediyoruz

Bilgisayarda kullanılan ağ kartlarını listele ?

Cevabı bulmak için Data sources kısmından

“C:\WINDOWS\system32\config\software\Microsoft\Windows NT\CurrentVersion\NetworkCards\”

dosya yolu takip edilir.

Aotupsy ile MFT dosyasının çıkarınız.

“Data Sources” kısmında bölümüne geliyoruz bölüme tıkladıktan diskimizin imajı olan disk.E01 sekmesine tıklıyoruz sonra karşımıza gelen menüde $MFT dosyasını aradıktan sonra rahatlıkla görebilmekteyiz.

Kaynaklar: https://www.autopsy.com/about/use-cases/ https://www.sleuthkit.org/autopsy/desc.php

https://medium.com/@tusharcool118/autopsy-tutorial-for-digital-forensics- 707ea5d5994d

Emotet Malware ın incelenmesi ve YARA Kuralının Yazılması.

Ağustos 07, 2020 Muhammed AYGÜN

Emotet İncelenmesi Ve YARA Kuralının Yazılması

Emotet 2014 yılında tespit edilen bir malwaredır.Emotet e-postalar aracığıyla yayılan bir Truva atıdır (Trojan). Emotet e-posta beklendik bir mail gibi gelebilir yani telefonunuz aylık faturasıymış gibi gelir ve çok uçuk bir maliyet gösterir faturanın detaylarını göremek için bu linke tıklanyın gibi aldatmaca yöntemlerini kullanır kısacası sosyal mühendislik yöntemlerini kullanarak bizim yemi yutmamızı beklerler yemi yuttuktan sonra sistemize sızmaya başlar.

Emotet diğer bilgisayarlara yayılmak için worm benzeri özellikler kullanır

Emotet in incelenmsi ve YARA kuralının yazılması

Kuallndığım araçlar;

- HxD

- Kali Linux

- https://www.virustotal.com

- https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Win32.Emotet ( github linkindeki emotet. )

Gerçekleştirdiğim adımlar;

Githubtan indirdiğim malware’ı HxD içerisinde açtım.

2- HxD ile inceldim ve elde ettiğim zararlı olabilecek bilgiler buldum bunlar;

3- Virüs total tarfından açtım ve elde ettiğim zaralı yazılım içern komutlar;

Emotet YARA Kuralı

rule Ransomware_emotet

{

meta:

decription="Emotet yara"

authour="Muhammed AYGUN"

strings:

$d1= "MSVBVM60.dll"

$d2 = "VBA6.dll"

$s1= "gdi32"

$s2= "USER32"

$s3= "ByteArray"

$s4= "DllFunctionCall"

$h1= {43 61 6C 6C 57 69 6E 64 6F 77 50 72 6F 63 41} // CallWindowProcA

$h2= {5F 5F 76 62 61 53 65 74 53 79 73 74 65 6D 45 72 72 6F 72} // __vbaSetSystemError

$h3= {5F 5F 76 62 61 47 65 6E 65 72 61 74 65 42 6F 75 6E 64 73 45 72 72 6F 72} // __vbaGenerateBoundsError

$h4= {43 3A 5C 50 72 6F 67 72} // C:\Program

$h5= {44 6C 6C 46 75 6E 63 74 69 6F 6E 43} //DllFunctionCall

condition:

for all of ($h*):($) or all of ($d1, $d2) or 1 of ($s*)

}

Yara kuralının çalıştırılması:

Kaynak:

https://github.com/ytisf/theZoo/tree/master/malwares/Binaries/Win32.Emotet https://www.malwarebytes.com/emotet/ https://www.fortinet.com/blog/threat-research/deep-dive-into-emotet-malware https://success.trendmicro.com/solution/1118391-malware-awareness-emotet-resurgence

Muhammed AYGÜN

Digital Forensics & Incident Response

Pages

Contents

About me

Followers

Subscribe

Facebook

About Me

recent posts

Pinterest

Flickr Images

Like us on Facebook

Recent Posts