22 Şubat 2016 Pazartesi

McAfee Labs Threat Advisory Published Ransomware-Locky | Check Your Systems Indicators of Compromise (IOC)

Indicators of Compromise (IOC) 

The following indicators can be used to identify potentially infected machines in an automated way.

We assume the user's machine to be infected:
If the following registry key has been added to the system:

• HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run “Locky" = “%TEMP%\.exe” 

• HKEY_CURRENT_USER\Software\Locky "id" = < Personal Identification ID> “pubkey” = “paytext” = “completed” = “0x1” [This value will be added after completion of encryption] 

If there is any network traffic to the IP addresses mentioned below:

• 95.181.171.58
• 185.14.30.97
• 195.22.28.196
• 195.22.28.198
• pvwinlrmwvccuo.eu
• cgavqeodnop.it
• kqlxtqptsmys.in
• wblejsfob.pw

This entry for information purpose only. If you want to read full report, you should visit here.

21 Şubat 2016 Pazar

Windows Event Loglarının Powershell Kullanılarak Manuel Olarak Alınması

Linux kullanan herkes terminalin gücünü bilir. Birden fazla terminal ekranı kullanarak  yapmak istediğiniz işleri yapabilirsiniz. İşte bu noktada Windows kullanıcılarını düşünen Microsoft firması komut satırında kullanıcılarının kullanabilmesi için Powershell'i geliştirmiştir. Bu makalemizde amaç toplayamadığınız, Windows event loglarının nasıl alınabileceğidir. Powershell .net kütüphanelerini destekleyen bir Script dili denilebilir aslında. Biz tüm komutları anlatmayacağız ancak; windows üzerinde uygulama geliştiriyorsanız, olay müdahalesi, Some konularında çalışıyorsanız, Siem ürünleri ile uğraşıyorsanız ve bilgi güvenliği araştırması, zararlı yazılım analizi yapıyorsanız bir gün illa ki karşınıza Powershell çıkacaktır. Güzel bir örnek verecek olursak Powershell kullanarak yazılmış zararlı yazılımlar bile bulunduğundan bir gün mutlaka karşılaşırsınız. Daha fazla detaylı bilgi almak isterseniz burada daha önce yazılmış güzel bir makale var okuyabilirsiniz.

Şimdi üç adımda işlemlerin nasıl gerçekleştirileceğine bakalım.


  1. Öncelikle bir boş txt dosyası açnız. 
  2. Daha sonra aşağıdaki komutu dosyaya yapıştırın. 
Get-Eventlog -LogName application -EntryType Error,Warning | Export-csv application_logs.csv | Get-Eventlog -LogName System -EntryType Error,Warning | Export-Clixml system_logs.csv

Son olarak ise dosyaismi.ps1 uzantılı olacak şekilde kaydedin. Daha sonra çıkarak sağ tıklayarak run with powershell seçeneğini ile çalıştırın. 

Burada uygulama ve sistem loglarının hata,uyarı içerenleri .csv dosya formatında bulunduğunuz dizine yazacaktır. İsterseniz yukarıdaki uzantıyı değiştirerek örneğin html formatında bile çıktı alabilirsiniz. 

Powershell windows işletim sistemini derinlemesine kullanabilmeye  olanak sağlamaktadır.   


Blog Arşivi