Temel Siber Saldırı ve Savunma Paketi

360 derecelik bakış açısı

Birinci Bölüm: Uygulamalı Sızma Testi Eğitimi

        Süre: 5 gün (yoğunlaştırılmış program)
        Hedef Kitle: BT personeli, ağ yöneticileri, Siber Operasyon Merkezi personeli, tüm meraklılar
        Amaç: Sızma Testi adım ve yöntemlerini uygulamalı olarak tanıtmak

    İÇERİK

    • Ayak İzi Sürme (Bilgi Toplama)
      • Ping, nslookup, whois, net view, Shodan vs.
    • Tarama
      • Nmap, hping3, nikto, dirbuster, DNS Bölge Transferi vs.
    • Ağ ve Cihaz Haritalama (Enumeration)
      • Nbtstat, netuse, smbclient, netdiscover, null session, PSTools vs.
    • Sisteme Sızma
      • Metasploit, Burpsuite, sqlmap, Exploit-db
    • Hak Yükseltme
      • Linuxprivchecker, sürüm ve yapılandırma hataları
    • Hak Yükseltme
      • Linuxprivchecker, sürüm ve yapılandırma hataları
      • Sızmanın Derinleştirilmesi
      • Arp Zehirleme, ele geçirilmiş kullanıcı adı ve şifreler
      • Web Açıklıkları ve Web Sistemlerini Korsanlama
      • İstemci (Kullanıcı) Hedefli Saldırılar
      • DDoS Saldırı Yöntemleri
      • Antivirüs Atlatma Yöntemleri
      • Güvenlik Duvarı Atlatma Yöntemleri
      • Sızma Testi Sonuç Raporu Hazırlama

    ÖRNEK SENARYOLAR

      • FTP açıklığını tespit ederek Metasploit ile sistemi ele geçirme
      • SSH ve Telnet üzerinden sözlük saldırısı ile kullanıcı adı ve parola tespit etme
      • Apache sürümüne dayalı açıklığı tespit ederek sömürme
      • smbclient ile hedef sisteme giriş sağlayarak manuel olarak kritik bilgileri çalma
      • Uzaktan erişime açık MySql açıklığı ile veri tabanı içinde gezinme
      • Tomcat uygulama sunucusu üzerinde dökümleme yaparak yetki bilgilerini elde etme ve dosya yükleme tekniği ile sistemde shell açma.
      • WPScan ile WordPress Sitesinin Ele Geçirilmesi
      • Giriş yapılan sistemde udev açıklığından istifadeyle yetki yükseltme.
      • hping3 ile Hizmet Dışı Bırakma Saldırısı düzenleme.
      • Antivirüsleri atlatabilen makrolu bir Excel dosyası hazırlayarak kurbanı ele geçirme.
      • Exploit-db’de yer alan bir sömürü kodunun okunarak anlaşılması.
      • Armitage açıklıkların tespiti ve kurban sistemin ele geçirilmesi
      • Cobalt Strike ile Kırmızı Takım Harekatı düzenleme.

    Gereksinimler

      • Kali Linux, Metasploitable2, Metasploitable3

İkinci Bölüm: Siber Operasyon Merkezi Yönetimi Eğitimi

        Süre: 5 gün (yoğunlaştırılmış program)
        Hedef Kitle: BT personeli, ağ yöneticileri, Siber Operasyon Merkezi personeli, tüm meraklılar
        Amaç: Siber Operasyon Merkezi, Ağ Güvenlik İzlemesi, Siber Güvenlik İzlemesi ve Son Nokta Güvenliğini bütünsel bir çerçevede örnek senaryolarla destekli anlatmak.

    İÇERİK

    • Siber Olay Müdahale Ekipleri (SOME'ler)
      • SOME Süreçleri
      • Ulusal Siber Güvenlik Strateji ve Eylem Planı
      • SOC Amaç ve Etkinlikleri
      • SIEM Çözümleri
      • Savunma Araç ve Çözümleri
      • Modern Savunma Mekanizmaları
      • Saldırgan Tabanlı Tespit
      • Balküpü Sistemleri
      • Ağ Güvenlik İzlemesi
      • Sürekli Güvenlik İzlemesi
      • Durumsal Farkındalık
      • Uygulama İzleme ve Takibi
      • Yapılandırma Değişim Yönetimi
      • Log Yönetim ve İzlemesi
      • Son nokta Güvenliği
      • Yönetici Hesapları İzleme ve Yönetimi
      • Tehdit Avcılığı
      • Siber İstihbarat
      • Yetkilendirme
      • Post-Yetkilendirme
      • Ün Tabanlı Tespit
      • Anomali Tespiti ve Analizi
      • Paket Analizi
      • İmza Tabanlı Tespit
      • Oturum Analizi
      • Sensör Platformları
      • Risk Yönetim ve Planlaması

    ÖRNEK SENARYOLAR

      • Saldırı makinesinden kurban makineye nmap ile tarama yapmayı müteakip, izleme makinesinde Sguil üzerinde alarmların görülmesi ve incelenmesi.
      • Saldırı makinesinden kurban makineye Metasploit ile saldırmayı müteakip, iz takip alarmlarının izleme makinesindeki sguil üzerinde görülmesi.
      • Sguil üzerinde yerel kurallar oluşturmayı müteakip, Scapy ile paket yaratmak ve bunların oluşturacağı web alarmlarını takip etmek.
      • TcpReplay ile trafik oluşturmak ve alarmları Sguil üzerinde izlemek.
      • İçinde zararlı öğeler barındıran bir pcap trafik dosyasını Snort IDS'ten geçirmek, ortaya çıkan alarmları analiz etmek. Ardından bro kullanarak zararlı exe dosyası ve diğer varlıkları dışarı aktarmak. Sonra aynı paketi Wireshark ile analiz ederek zararlı exe dosyasını bulup dışarı aktarmak. Nihayet bu zararlı exe dosyasını Radare ile açarak disassemble görünümünü elde etmek.
      • T-pot balküpü sistemine ssh, ftp ve web trafikleri göndererek oluşacak log kayıtlarını Kibana üzerinden takip etmek.
      • Windows Olay Günlüğü loglarını Powershell betikleriyle analiz etmek.
      • p0f ile pasit ağ istihbaratı ve işletim sistemi tespiti yapmak.
      • ModSecurity sistemine wget paketleri göndererek saldırı enjeksiyonlarına tepkisini anlamak.
      • AlienVault OSSIM yapılandırma ortamını tanımak.
      • SysInternals Araçlarını; Process Explorer, Process Monitor, psexec, AutoRuns vs. incelemek
      • SOC amaçlı olarak Powershell kullanımı.
      • Saldırı sonrası iz bilgilerini Mendiant Redline ve iRec kullanarak toplamak ve örnek bir senaryo eşliğinde analiz etmek. Örnek bir SIEM alarmı ışığında toplanan iz bilgilerinden, zararlı trafiğin gelme saati, hangi URL üzerinden geldiği, indirilme ve bulaşma yöntemi, açılan dosyalar ve çalıştırılan komutlar gibi tüm adımların sırasıyla ortaya konması.
      • Saldırı sonrası iz bilgilerini Mendiant Redline ve iRec kullanarak toplamak ve örnek bir senaryo eşliğinde analiz etmek. Örnek bir SIEM alarmı ışığında toplanan iz bilgilerinden, zararlı trafiğin gelme saati, hangi URL üzerinden geldiği, indirilme ve bulaşma yöntemi, açılan dosyalar ve çalıştırılan komutlar gibi tüm adımların sırasıyla ortaya konması.
      • iREC ile elde edilen bir RAM dump'ının Volatility ile incelenmesi.
      • Güvenli Domain Altyapısı Yönetimi
      • Hukuki Süreçler
      • Ağ topolojisini tespit ve önleme bakış açısı ile inceleyerek bileşenleri konumlandırmak.
      • Ağ ortamındaki kör noktaları velirleyecek şekilde görünürlük analizinin yapılması.
      • Tehditlerin tanımlanması, buna göre risklerin nicelendirilmesi, bu kapsamda veri ve log kaynaklarının tespit edilerek sensörlerin en uygun şekilde konuşlandırılması.
      • Saldırgan tarafından gerçekleştirilen (pivoting ya da VLAN hopping gibi) yanal hareketlerde ortaya çıkması beklenen log ve iz bilgilerinin analizi.
      • Bir tehdit avcı timinin oluşturularak saldırılara proaktif karşılık verilebilmesi.
      • Saldırı ölüm zincirinin anlaşılarak APT saldırılarının tespit edilmesinin sağlanması.

    Gereksinimler

      • Kali Linux, Metasploitable2, Metasploitable3, T-Pot, Modsecurity, Security Onion, OSSIM