sparta röntgen

Sıkça karşılaştığımız soruların başında “bir bilgisayarın hacklendiğini nasıl anlarız?” geliyor. Profesyonel olarak bizim izlediğimiz 100 maddeden oluşan bir kontrol listesi var ancak olayların %80’ninde bu kadarına gerek kalmadan zararlı yazılım veya saldırganı tespit edebiliyoruz.

Sparta Bilişim Röntgen Ne Yapıyor?

Röntgen adını verdiğimiz bu yazılımla tehdit avcılığı ve olay müdahale çalışmalarında sistemlerde incelediğimiz noktaların bir kısmını tek bir sayfada toparlayıp sizlere sistemin hızlı bir değerlendirmesini yapma imkânı veriyor.

Röntgen’i https://github.com/alperbasaran/rontgen adresinden indirebilirsiniz. Dijital olarak imzalanmadığı için ufak bir uyarı verebilir. Uygulama kurulmaz, indirilen yerden çalıştırılabilir. İndirilen exe dosyası silindiğinde de herhangi bir iz kalmaz.

  • DONANIM BİLGİLERİ
    • BIOS Bilgileri
    • Fiziksel Diskler
    • Ağ Bağlantıları
    • İşletim Sistemi
    • Mantıksal Diskler
    • IP Adresi
    • Sistemde tanımlı kullanıcılar
    • Dış Bağlantılar
  • YAZILIM BİLGİLERİ
    • Başlangıçta Çalışan Yazılımlar
    • Çalışan Prosesler
    • Çalışan Servisler
    • Durmuş Servisler

Çalıştırıldıktan sonra kısa sürede önemli bazı bilgileri toplayıp tarayıcı ekranında gösterecek.

Bir Bilgisayarın Hacklendiği Nasıl Anlaşılır?

Uygulamanın çıktılarına bakmadan önce bir bilgisayarın hacklendiğine işaret edebilecek bazı noktaları hatırlamakta fayda var:

  • Dış bağlantılar
  • Kullanıcı hesapları
  • Alışılmadık/tanımadığımız uygulama
  • Alışılmadık servis
  • Güvenlik servislerin durdurulması

Bir bilgisayar üzerinde zararlı yazılım ve izinsiz erişim izlerini tespit etmek için bunlardan çok daha fazlasına bakmak gerekir elbette ancak bunlar, daha önce belirttiğimiz gibi, olayların önemli bir kısmında saldırgan ve zararlı yazılım tespiti için yeterlidir.

 

Sonuçlarda Nelere Bakılmalı?

Aşağıda ele alınan konular sonuçlar içerisinde bakılabilecek her şeyi kapsamıyor, temel oluşturması açısından bazı örnekler verilmiştir.

1. Sistemde Tanımlı Kullanıcılar

Tanınmayan ve/veya kimin/neyin kullandığı bilinmeyen kullanıcılar varsa bunlar şüpheli olabilir. Bazı servislerin çalışması için kullanıcı oluşturulması gerekebilir ve bu kullanıcılar genelde adlarına bakarak anlaşılabilir. Riske girmemek için şüpheli görülen bir kullanıcı adına rastlandığında ayrıntılı inceleme yapmak gerekir.

2. Dış Bağlantılar

Bu tabloda sistemin başka hangi sistemlerle iletişim kurduğu görülüyor. Özellikle “Remote Address” (uzak adres) başlığı altında görünen adresler için Whois sorgusu yapmakta fayda vardır. Chrom tarayıcısı açıkken Google’a ait IP adresleriyle bağlantı kurulmuş olması normalken Tahran’da bir veri merkezine kayıtlı IP adresleriyle iletişim kurulmuş olması daha ayrıntılı araştırmaların yapılmasını gerektirir.

3. Çalışan Prosesler

“Caption” başlığı altında çalışan uygulamanın adını ve “ExecutablePath” sütununda bu uygulamanın nereden çalıştığı görülüyor.

Uygulamanın adının yanında çalıştırıldığı konum arasında olabilecek tutarsızlıklar (örn: Masaüstünde çalışan bir svchost.exe) zararlı yazılım ve izinsiz erişim konusunda ipuçları verebilir.

Lütfen görüş ve sorularınızı sparta@sparta.com.tr adresine göndermekten çekinmeyin.

Başa dön