$type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no

$type=one$count=10 $type=blogging$count=16$readmore=no$labels=no$snippet=no$meta=no Yazılarımız DMCA lisansı ile korunmaktadır.Kaynak gösterilmeden alıntı yapılamaz.!

Takdir Ediliyorsan Değil Taklit Ediliyorsan Başarmışsındır.
Bumerang - Yazarkafe

DMCA.com Protection Status

Microsoft Defender ATP Atlatılarak Zararlı Çalıştırılması






Selamlar, bugünkü blog yazımda Windows işletim sistemleri içerisinde varsayılan olarak yer alan Microsoft Defender'i ve kurumsal uç nokta güvenlik platformu olan Microsoft Defender ATP'yi atlatarak Mimikatz zararlısını nasıl çalıştırabileceğimize bakıyor olacağız.


Öncelikle uygulayacağımız yöntemin, bu blog yazısını yazmış olduğum zamanda kullanılabiliyor olduğunu ve gelecekte sürekli olarak kullanılabileceği anlamı taşımadığını belirtmek isterim. Çünkü herkese açık olarak paylaşılan atlatma yöntemleri, güvenlik sistemleri geliştiricileri tarafından analiz edilerek, mevcut atlatma yöntemlerinin engellenebilmesi için kendi güvenlik ürünlerini/sistemlerini güncellemektedirler. 

Haydi başlayalım...

Mecvut çalışmamız içerisinde Mimikatz zararlısını kullanacağız. Mimikatz zararlısı Microsoft Defender tarafından otomatik olarak engellenmektedir. Engellendiğine ilişkin detay aşağıdaki ekran görüntüsünde yer almaktadır.  

Not: Ekran görüntülerini daha net görebilmek için üzerlerine tıklayabilirsiniz.



Kurban makinesinde Mimikatz zararlısını çalıştırabilmek için öncelikle kendi bilgisayarımızdaki Microsoft Defender sistemini devre dışı bırakarak Mimikatz zararlısını kendi makinemize indiriyoruz. 



İndirme işlemi tamamlandıktan sonra, mimikatz zararlımızı Microsoft Defender ve ATP güvenlik sisteminden atlatabilecek formata dönüştürebileceğimiz Huan isimli Encrypted PE Loader Generator aracımızı kullanıyor olacağız. 

Huan, PE dosyasını her seferinde farklı anahtarlarla çalıştırılmak üzere şifreler ve onu yükleyici dosyasının bir bölümüne gömmektedir. Buda, zararlının güvenlik sistemleri tarafından direkt olarak algılanmasını önlemektedir. (Huan'ı indirmek için buraya tıklayınız.) İndirme işlemi sonrasında mevcut aracı derlemeniz gerekmektedir. 

Aracımızı derledikten sonra; 

Adım 1: İndirmiş olduğumuz mimikatz.exe dosyasını Huan.exe'nin bulunduğu dizine kopyalayalım.



Adım 2: Powershell uç birimimizi açıyoruz.

Adım 3: .\Huan.exe .\mimikatz.exe Mimikatz_New.exe  komutumuzu yazıp çalıştırıyoruz.



Adım 4: Artık elimizde, Mimikatz zararlımızın Huan ile encrypt edilmiş Mimikatz_New.exe isimli yeni hali var.

Adım 5: Bundan sonra tek yapmamız gereken Huan ile oluşturmuş olduğumuz Mimikatz_New.exe isimli zararlımızı Microsoft Defender veya Microsoft Defender ATP kurulu olan kurbanımızın bilgisayarında çalıştırmak. Hemen test edelim, herhangi bir uyarı ya da engelleme oluşacak mı? 


Yukarıdaki ekran görüntüsünde de göreceğiniz üzere herhangi bir şekilde engellenmeden Mimikatz zararlımızı başarılı bir şekilde çalıştırabildik.

Bir blog yazısının daha sonuna gelmiş bulunuyoruz. Umarım keyif alarak takip ettiğiniz bir yazı olmuştur. 

Soru, görüş ve önerileriniz olması durumunda iletişim formundan veya sosyal medya hesaplarım üzerinden bana ulaşabilirsiniz. 

Sevgilerle.


YORUMLAR⤵

Ad

adli bilişim adli bilişim eğitimi Adli Bilişim İncelemelerinde Foremost ile Veri Kazıma İşlemi adli bilişim Malware adli bilişim mühendisi adlibilisim Android Hacking android hackleme android injection Android ve IOS İşletim Sistemlerinin Veritabanları ve Görevleri Nelerdir? cobalt strike analizi cobalt strike detect cobalt strike saldırısı cobalt strike tespiti defender bypass digital forensic DumpIt DumpIt ile ram imajı alma dumpit indir foremost How detect Jigsaw Ransomware Malware ibrahim baloglu ibrahim baloğlu image live imaj canlandırma java JAVA ile Rss Üzerinden Veri Çekme Jigsaw Ransomware Malware jsoup kurulumu jsoup rss kodlama linux veri kurtarma live image malware Malware tespiti metasploit android hacking metasploit nedir mobil uygulamaların adli bilişim incelemesi Yaani Mail Uygulamasının Adli Bilişim Açısından İncelenmesi NTUSER.DAR ptt mesaj uygulaması ptt mesenger ptt mesenger indir ptt mesenger nedir ptt messenger purple team saldırısı ram ram imajı alma ram imajı nedir registry forensic registry parse rss veri çekme SAM sibergüvenlik SOFTWARE SYSTEM veri kurtarma volatility volatility ile ram inceleme volatility kullanımı volatility ram imajı windows forensic windows forensic eğitimi Windows şifresi elde etme yaani mail yaani mail adli bilişim incelemesi yani mail nedir yeni
false
ltr
item
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik: Microsoft Defender ATP Atlatılarak Zararlı Çalıştırılması
Microsoft Defender ATP Atlatılarak Zararlı Çalıştırılması
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjji0xTdHqsAcSacZPhVw_Tt701-5nxjPsakRwigNJl84aNrvicuRgCuPky23aN2TQWa_PYnj5vR6rnoiEm5Zr6q5Rnp9v0Ig2AOJrU9L2rudemKtU9xVbjX5yuBPZhR7btbP5QImxh_1vr/s320/defender-907146012c3e16d11bdc755c54394bd7-bb991.png
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjji0xTdHqsAcSacZPhVw_Tt701-5nxjPsakRwigNJl84aNrvicuRgCuPky23aN2TQWa_PYnj5vR6rnoiEm5Zr6q5Rnp9v0Ig2AOJrU9L2rudemKtU9xVbjX5yuBPZhR7btbP5QImxh_1vr/s72-c/defender-907146012c3e16d11bdc755c54394bd7-bb991.png
İbrahim BALOĞLU | Adli Bilişim | Siber Güvenlik
https://www.ibrahimbaloglu.com/2021/09/microsoft-defender-atp-atlatlarak_10.html
https://www.ibrahimbaloglu.com/
https://www.ibrahimbaloglu.com/
https://www.ibrahimbaloglu.com/2021/09/microsoft-defender-atp-atlatlarak_10.html
true
631381070093278817
UTF-8
Konu Bulunamadı. Tümünü Gör Devamını Oku Yanıtla Yanıtlamaktan Vazgeç Sil Yazar Ana Sayfa Sayfa Yazılar Tümünü Gör Size Özel Başka Önerilerimiz⤵ Etiket Arşiv ARANAN Aradığınız kelimeyle alakalı henüz bir konumuz yok :( Ana Sayfa Pazar Pazartesi Salı Çarşamba Perşembe Cuma Cumartesi Sun Mon Tue Wed Thu Fri Sat Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Ocak Şubat Mart Nisan Mayıs Haziran Temmuz Ağustos Eylül Ekim Kasım Aralık Şimdi 1 dk. önce $$1$$ dk önce 1 saat önce $$1$$ saat önce Dün $$1$$ gün önce $$1$$ hafta önce 5 haftadan önce