Olay Müdahalesinde Kullanılan Temel Windows Komutları

Olay Müdahalesinde Kullanılan Temel Windows Komutları

Olay müdahalesi, bir siber saldırı veya güvenlik ihlaliyle mücadele etmek ve bunları yönetmek için kuruluşların BT departmanlarında kullanılan iyi organize edilmiş bir yaklaşımdır. Olay müdahalesini kullanmanın amacı, hasarı sınırlandırmayı, olayın maliyetlerini en aza indirmek ve sorunun ortadan kaldırılma sürecini hızlandırmaktır. Daha iyi bir tabirle, olay müdahalesi, veri ihlallerinin tespit edilmesine, araştırılmasına ve yanıtlanmasına yardımcı olur. Tehdit tespit, analiz ve çözüm için çeşitli yöntemler sunar.  

Bu makale esas olarak Windows sistemleri için Olay Müdehalesinde bakılan bazı noktalar için odaklanmaktadır.

Başlıklar: 

  • Incident Response (Olay Müdahalesi) Nedir?
  • Kullanıcı Hesapları
  • Süreçler
  • Hizmetler
  • Görev Zamanlayıcısı
  • Başlangıç
  • Kayıt Girdileri
  • Etkin TCP ve UDP bağlantı noktaları
  • Dosya Paylaşımları
  • Dosyalar
  • Güvenlik Duvarı Ayarları
  • Diğer Sistemlerle Oturumlar
  • Açık Oturumlar
  • Günlük(Log) Girişleri

Incident Response (Olay Müdahalesi) Nedir?

Olay Müdehalesi, bilgisayar veya ağ güvenliğini tehlikeye atan bir olay meydana geldiğinde gerçekleştirilen bir eylem şekli olarak tanımlanabilir.

Oluşabilecek güvenlik olayları:

  • Sistem ayrıcalıklarının ve hassas verilerin yetkisiz kullanımı
  • Sistem çökmesi veya paketlerin taşması(flooding)
  • Kötü amaçlı yazılım veya herhangi bir kötü niyetli programın varlığı

Kullanıcı Hesapları

Incident Response’da kullanıcı etkinliğini araştırmak çok önemlidir. Herhangi bir şüpheli kullanıcı hesabı olup olmadığını veya bir kullanıcıya herhangi bir kısıtlanmış izin atanmış olup olmadığını bulmak için kullanılır. Kullanıcı hesabını kontrol ederek o anda hangi kullanıcının oturum açtığı ve ne tür bir kullanıcı hesabına sahip olduğu gibi sorulara yanıt alınabilir.

Kullanıcı hesaplarını görüntülemenin yolları şunlardır:

Yerel kullanıcı hesaplarını arayüzde görüntülemek için “Windows + R” tuşlarına basın ve ardından şunu yazın:

lusrmgr.msc

Şimdi tamam’a tıklayın, burada kullanıcı hesaplarını ve açıklamalarını görebileceksiniz.

Şimdi kullanıcı hesaplarını Komut istemcisi ile görüntüleyeceğiz. Bunun için Komut Yöneticisini yönetici olarak çalıştırın ve alttaki komutu yazın

net user

Net localgroup group name, bir sistemdeki yerel kullanıcı gruplarını yönetmek için kullanılır. Bu komutu kullanarak, bir yönetici bir gruba yerel veya etki alanı kullanıcıları ekleyebilir, bir gruptan kullanıcıları silebilir, yeni gruplar oluşturabilir ve mevcut grupları silebilir.

Komut istemini açın ve yönetici olarak çalıştırın ardından alttaki komutu çalıştırın

net localgroup administrators

Yerel kullanıcı hesaplarının isimlerini, etkin olup olmadıklarını ve açıklamaları ile birlikte görmek için. PowerShell’i yönetici olarak çalıştırın ve alttaki komutu çalıştırın

Get-LocalUser

Süreçler

Sistemde çalışan tüm işlemlerin listesini almak için “tasklist” komutunu kullanabilirsiniz. Bu komutu kullanarak, kullanılan bellek alanı, çalışma süresi, işlemde çalışan hizmetler vb. işlemlerin bir listesini alabilirsiniz.

İşlemleri görüntülemek için aşağıdaki yöntemleri kullanabilirsiniz; Çalışan işlemleri bir arayüzde görüntülemek için “Windows + R” tuşlarına basın ve ardından şunu yazın:

taskmgr.exe

Şimdi tamam’a tıklayın, sisteminizdeki tüm çalışan işlemleri görecek ve çalışan herhangi bir gereksiz işlem olup olmadığını kontrol edebileceksiniz.

Çalışan tüm işlemlerin İşlem Kimliği (PID), oturum adı ve kullanılan bellek miktarı ile görmek için. Yönetici olarak komut istemini çalıştırın ve alttaki komutu çalıştırın.

tasklist

Yerel bilgisayarda çalışan tüm aktif işlemlerin bir listesini almak için PowerShell’i yönetici olarak çalıştırın ve alttaki komutu çalıştırın.

get-process

Windows sistemi, Windows Yönetim Araçları (WMIC) adında son derece güçlü bir araca sahiptir. Olay müdahalesi söz konusu olduğunda Wmic çok kullanışlıdır. Bu araç, sistemdeki bazı anormal işaretleri fark etmemizi sağlar. Bu komut, Komut isteminde ve PowerShell’de kullanılabilir. 

Hangi işlemin garip bir ağ etkinliği gerçekleştirdiğini belirledikten sonra. Üst işlem kimlikleri, işlemin adı ve işlem kimliği hakkında daha fazla ayrıntı almak için, yönetici olarak PowerShell’i açın ve alttaki komutu çalıştırın.

wmic process get name,parentprocessid,processid

Wmic ile işlemin yolunu öğrenmek için PowerShell’i açın ve alttaki komutu istediğiniz işleme göre düzenleyerek çalıştırın.

wmic process where 'ProcessID=PID’ get CommandLine

Hizmetler

Sisteminizde herhangi bir anormal hizmetin çalışıp çalışmadığını veya bazı hizmetlerin düzgün çalışıp çalışmadığını tespit etmek için hizmetlerinizi görüntüleyebilirsiniz.

Tüm hizmetleri arayüz ile görüntülemek için “Windows + R” tuşlarına basın ve alttaki komutu çalıştırın:

services.msc

Hizmetlerin listesini görmek için “Tamam” ı tıklayın.

Şu anda sisteminizde çalışan hizmetlerin listesini  görüntülemek için yönetici olarak komut istemini açın ve alttaki komutu çalıştırın.

net start

Bir hizmetin çalışıp çalışmadığını görmek ve hizmet adı, görünen adı vb. daha fazla ayrıntıyı almak için.

sc query | more

Komut isteminde ilişkili hizmetleriyle birlikte çalışan işlemlerin bir listesini istiyorsanız, yönetici olarak komut istemini çalıştırın ve ardından şunu yazın:

tasklist /svc

Görev Zamanlayıcısı

Görev Zamanlayıcısı, önceden tanımlanmış bir zamanda veya belirli zaman aralıklarından sonra programların veya herhangi bir komut dosyasının başlatılmasını sağlayan bir bileşendir. Yüksek ayrıcalıklara sahip olan ve şüpheli görünen bu planlanmış görevleri görüntüleyebilirsiniz.

Görev Zamanlayıcısını görüntülemek için yola gidin ve Görev Zamanlayıcı’yı açın.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools

Zamanlanmış görevleri komut isteminde görüntülemek için, komut istemini yönetici olarak çalıştırın ve alttaki komutu çalıştırın.

schtasks

Başlangıç

Windows’daki başlangıç klasörü, oturum açtığınızda içindeki uygulamaları otomatik olarak çalıştırır. Bu klasörün içinde istemeyeceğiniz bir yazılım bulunabilir.  Bu nedenle otomatik başlayan uygulamaları gözlemlemelisiniz.

Başlangıç menüsündeki uygulamaları görüntülemek için, görev yöneticisini açın ve “Başlangıç” menüsüne tıklayın. Bunu yaparak, başlangıçta hangi uygulamaların etkinleştirildiğini ve devre dışı bırakıldığını görebilirsiniz. Aşağıdaki komutu çalıştırdığınızda, size aynı seçeneği verecektir

taskmgr

Not: İşletim sisteminiz Windows 7 ve öncesiyse başlangıç klasörüne alttaki komutu yazarak erişebilirsiniz.

msconfig

PowerShell’de başlangıç uygulamalarını görüntülemek için PowerShell’i yönetici olarak çalıştırın ve alttaki komutu çalıştırın.

wmic startup get caption,command

PowerShell’den otomatik başlatılan uygulamalarının ayrıntılı bir listesini almak için, yönetici olarak çalıştırıp alttaki komutu çalıştırabilirsiniz.

Get-CimInstance Win32_StartupCommand | Select-Object Name, command, Location, User | Format-List

Kayıt Girdileri

Bazen karmaşık olmayan kötü amaçlı yazılımların varlığını, Windows Kayıt Defteri’nin çalıştırma anahtarına bakılarak bulunabilir. Kayıt defteri anahtarının GUI’sini görüntülemek için, REGEDIT’i açarak çalıştırma anahtarına manuel olarak ulaşabilirsiniz.

Yukarıdaki kayıtlara Powershell üzerinden erişmek istiyorsanız Powershell’i yönetici olarak açıp alttaki komutu çalıştırabilirsiniz.

reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Geçerli kullanıcıya özel yapılandırılmış ayarlara Powershell üzerinden erişmek istiyorsanız Powershell’i yönetici olarak açıp alttaki komutu çalıştırabilirsiniz.

reg query HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Etkin TCP ve UDP bağlantı noktaları

Sisteminizin etkin TCP ve UDP bağlantı noktalarına dikkat etmelisiniz.

Bir sistemin ağ istatistiklerine bakılarak anormal bir faaliyet olmadığını görebilirsiniz. Analiz edilen kriterler, gelen ve giden bağlantılar, yönlendirme tabloları, bağlantı noktası dinleme ve kullanım istatistikleridir. Komut istemini açın ve alttaki komutu çalıştırın

netstat -ano

Bu bağlantı noktalarını PowerShell’de görmek için farklı bir komut kullanılabilir. PowerShell’i çalıştırın ve alttaki komutu çalıştırın.

Get-NetTCPConnection -LocalAddress 192.168.1.37 | Sort-Object LocalPort

Dosya Paylaşımı

Bir olay müdahalecisi olarak, her dosya paylaşımının sorumlu ve makul olduğundan ve gereksiz dosya paylaşımının olmadığından emin olmalısınız.

Komut isteminde dosya paylaşım seçeneklerini kontrol etmek için şunu yazın:

net view \\127.0.0.1

PowerShell’de dosya paylaşımını görmek için alttaki komutu çalıştırabilirsiniz.

Get-SMBShare

Dosyalar

Kötü amaçlı olabilecek veya belirli bir uzantı ile biten dosyaları görüntülemek için “forfiles” komutunu kullanabilirsiniz. Forfiles, bir komut satırı yardımcı yazılımıdır. Microsoft Windows Vista ile birlikte yayınlanmıştır. Bu süre zarfında, komut satırı aracılığıyla çoklu dosyaların yönetimi zordu.

Exe dosyalarını komut isteminde bulmak ve yollarıyla birlikte görüntülemek için şunu yazın:

forfiles /D -10 /S /M *.exe /C "cmd /c echo @path"

Dosyaların yolu, belirli dosya uzantısı ve değişiklik tarihi hakkında daha fazla ayrıntı olmadan görüntülemek için şunu yazın:

forfiles /D -10 /S /M *.exe /C "cmd /c echo @ext @fname @fdate"

Son 10 günde değiştirilen dosyaları kontrol etmek için alttaki komutu çalıştırın

forfiles /p c: /S /D -10

500MB’nin üstündeki dosyaları listelemek için dosya gezgininin arama kutusunu kullanabilir ve şunu girebilirsiniz:

boyut:>500M

Not: İşletim Sistemi diline göre kullanım değişmektedir. İngilizce bir sistem kullanmaktaysanız alttaki kullanım işinize yarayacaktır.

size:>500M

Güvenlik Duvarı Ayarları

Olay müdahaleci, güvenlik duvarı yapılandırmalarına ve ayarlarına dikkat etmeli ve bunu düzenli olarak kontrol etmelidir.

Güvenlik duvarı yapılandırmalarını, gelen ve giden trafiğini komut isteminde görüntülemek için şunu yazın:

netsh firewall show config

Geçerli profilin güvenlik duvarı ayarlarını komut isteminde görüntülemek için şunu yazın:

netsh advfirewall show currentprofile

Diğer Sistemlerle Oturumlar

Diğer sistemlerle oluşturulan oturum ayrıntılarını kontrol etmek için komut istemini çalıştırabilir ve alttaki komutu çalıştırabilirsiniz.

net use

Açık Oturumlar

Sisteminizin herhangi bir açık oturumunu, oturumun süresiyle ilgili ayrıntılarını görmek için komut istemini çalıştırın ve alttaki kodu çalıştırın.

 net session

Günlük(Log) Girişleri

Günlük girişlerini arayüzde görüntülemek için olay görüntüleyiciyi açabilir ve günlükleri görebilirsiniz. “Windows + R” ye basın ve alttaki kodu yazın.

eventvwr.msc

Komut istemi türünde belirli bir olayın belirli günlüklerini dışa aktarmak için

wevtutil qe security

PowerShell’de olay günlüğü listesini almak için şunu alttaki komutu çalıştırın.

Get-EventLog -List

Get-EventLog yazdıktan sonra istenilen olayın adını yazarak detaylarına erişebilirsiniz

Kaynak: https://www.hackingarticles.in/incident-response-windows-cheatsheet/ (Çeviri)

Related Posts

Leave a Reply