Category: Network Forensics

Zararlı Yazılım (Malware) Tehditlerine Karşı Aktif Ağ Cihazlarını Test Etmek

Zararlı yazılımlar her firmanın başa çıkmakla zaman ve para harcadığı maliyetli bir konudur. Günümüzde yaşanan zararlı yazılım tehditlerini göz önünde bulundurarak diyebiliriz ki  zararlı yazılımların Antivirus, Antilogger vb. host-based koruma sistemlerine karşı kendilerini tanınmaz kılmaları oldukça kolay (bakınız meterpreter).Dolayısıyla, zararlı yazılımları tespit etmek ve engellemek için network seviyesinde çalışan sistemler enfekte olmuş sistemleri erken fark etmede ve zaralı yazılımların ele...

DNS Tünelleme / Tcp-Over-DNS

Senaryo Firewall ve Web Proxy (Content Filter) ile tüm internet trafiği engellenmiş bir kullanıcı internete ulaşmak istiyor. Yerel ağdan internete giden tüm port ve protokoller Firewal tarafından engellenmiştir. Web erişimi için hizmet veren proxy ise yalnızca yetkili kulllanıcılara internet erişimi sağlamaktadır. Bu sistemlere takılmadan sınırsız ve kayıt altına alınamaz internet trafği nasıl elde edilebilir ? DNS Tunnel Bir protokol içerisinde...

Winscp Kayıtlı SSH Parolasını Elde Etmek

Pentest çalışmasında, ele geçirilen bir sistemde linux sistemleri yönetmek için kullanılan winscp uygulamasına rastlandı. Bu uygulamada bir çok linux sistemin parolası kayıtlı fakat parolalar doğrudan görüntülenemiyor. Kayıtlı parolaların yıldızlı halini gösteren bir çok uygulama winscp için işe yaramıyor.Sistemin RAM imajını alıp analiz yaptığınızda da bulamıyorsanız bilinen yöntemler işe yaramamış demektir. Bu blog girdisinde, winscp uygulamasında kayıtlı ssh parolasının farklı bir...

Facebook Chat Forensics: Facebook Görüşmelerini Kayıt Altına Almak

Daha önce buradan facebook chat analiz çalışmasını duyurduğum yazıdan sonra, cehturkiye ekibi tarafından bir facebook sniffer uygulaması geliştirildi. Facebook Sniffer, sistemdeki herhangi bir ağ arayüzünü gerçek zamanlı dinleyerek veya wireshark, tcpdump gibi snifferlar ile yakalanmış pcap dosyalarını okuyarak facebook sohbet kayıtlarını ayrıtşırabilir… Sohbet kayıtlarını doğrudan ektrana basabileceği gibi düz metin (TXT) dosyası olarak saklayabilir, CSV formatında kayıt edebilir veya bir MySQL sunucuna bağlanarak veritabanına kayıt edebilir....

SMB Dosya/Dizin Paylaşımlarını Tespit Etmek

Pentest çalışmalarında her türlü bilgi değerlidir. Bilgi toplama aşamasında, yerel ağlardaki dosya/dizin paylaşımlarını tespit etmek ve izinlerini listelemek herkes tarafından okunabilir, yazılabilir dosyaları keşfetmek açısından önemlidir. Ağdaki dosya/dizin paylaşımlarını tespit etmek için nmap script engine kullanılabilir.     Örnek kullanım;

Packet-O-Matic: Network Forensics Aracı

Bilgisayar ağlarını dinleyerek, iletişim kanallarından orjinal verilerin (eposta, msn yazışmaları, ofis dökümanları, ses vb.) bir kopyasını elde etmek işlemi “network forensics” olarak isimlendirilir. IP telefonlar, anlık iletişim araçları, eposta ve web servisleri işimizi/hayatımızı kolaylaştıran ve hızlandıran vazgeçilmezler arasında. Şirket verilerini , canlı para işlemlerini ve özel/genel tüm yazışmaları bilgisayar ağlarını kullanarak yapmaktayız. Bu denli yoğun kullandığımız bilgisayar ağları ne kadar...

SMTP Sniffing

Merhaba, SMTP ile gönderilen epostaların RFC2821’e göre standart yapısı şu şekildedir: Oturum açma ve gönderen-alıcı girişi Mesaj başlığı Mesaj gövdesi Oturum kapatma Mesaj başlığı bölümü DATA\r\n ile başlar ve \r\n\r\n ile biter, mesaj gövdesi ise \r\n.\r\n ile (aradaki nokta önemli) biter. Örnek bir SMTP transferi şu şekildedir: Bölüm 1 başlangıcı 220 bilgiin.com ESMTP EHLO [192.168.5.205] 250-hmailserver 250-SIZE 250 AUTH LOGIN...

Tshark http, ftp ve dhcp başlık bilgilerini yakalamak,ayrıştırmak ve analiz etmek

Tshark, komut satırıdan çalışan çok esnek bir network sniffer yazılımıdır.Yerel ağınızdaki trafiği izlemek, kaydetmek ve analiz çalışmaları yapmak için linux,windows ve bsd’lerde çalıştırabileceğiniz ender yazılımlardan biridir. Bu yazıda anlatılanları, yerel ağın tamamını dinleyebileceğiniz yönetilebilir switch’in monitor portu, hub (kaldı mı artık) veya ağ geçidiniz üzerinde denerseniz, yerel ağınızdaki http, ftp ve dhcp kayıtlarını takip edebilir, analiz ve istatistlik için kayıt...

Passive Asset Detection System (PADS)

PADS (Passive Asset Detection System) networkü dinleyip hangi host’ların ve servislerin çalıştığını imza tabanlı olarak pasif modda tespit eder.Bu uygulama pasif modda sniffer olarak çalışmasından dolayı network’de görünmez ve aktif olarak ağa bir paket göndermez. IDS ve Firewall tarafından tespit edilmesi imkansızdır (promiscuos moda geçmediği sürece) root@ubuntucuk:~# pads -h pads – Passive Asset Detection System v1.2 – 06/17/05 Matt Shelton...

Facebook chat forensic – Chat Kayıtları

Facebook sosyal paylaşım sitesinin güzel bir chat uygulaması var. Bu uygulama ile iki taraf arasındaki yazışmalar http protokolü ile clear text geçiyor.Firmamızdan kimlerin facebook’da neler yazıştığını görmek veya kaydedilmiş bir trafiği analiz ederken bu bilgileri elde etmek isteyebiliriz. Yazışmalar www.facebook.com adresinin /ajax/chat/send.php sayfasına POST ediliyor ; Yukarıdaki işlemden sonra ağ üzerinden facebook konuşmalarını sniff etmek ve  trafiğin içeriğini analiz etmek...

CEH Türkiye Hosting Sponsoru