CyberFlow Logo CyberFlow BLOG
Soc L3 Adversary Emulation Red Teaming

EDR Bypass Temelleri

✍️ Ahmet BİRKAN 📂 Soc L3 Adversary Emulation Red Teaming

EDR Bypass Temelleri konusunu SOC L3 - Adversary Emulation - Red Teaming Simülasyonları baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

EDR Bypass Temelleri

Endpoint sistemlerde tehdit tespiti ve müdahalesi sağlayan güvenlik çözümlerine ... adı verilir.

Giris ve Temel Akis

Endpoint sistemlerde tehdit tespiti ve müdahalesi sağlayan güvenlik çözümlerine ... adı verilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • EDR

Temel Kavram Eslesmeleri

EDR sistemlerinde kullanılan temel güvenlik mekanizmalarını eşleştirin.

  • Behavior Analysis: Şüpheli davranışları analiz ederek tehdit tespiti gerçekleştiren mekanizma.
  • Telemetry Collection: Sistem aktivitelerini kayıt altına alan izleme mekanizması.
  • Threat Detection: Zararlı aktiviteleri tespit etmeyi amaçlayan güvenlik süreci.

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram payload,ve,saldırı,davranışlarının,güvenlik,ürünleri,tarafından,tespit,edilmemesi,hedeflenebilir olarak verilir. EDR bypass tekniklerinin kullanım amacını dizin.

Arac, Komut veya Inceleme Akisi

Sistem aktivitelerinin güvenlik ürünleri tarafından kayıt altına alınması sürecine ... adı verilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • telemetry

Kanit ve Bilesen Iliskileri

EDR bypass süreçlerinde kullanılan yöntemleri eşleştirin.

  • Process Injection: Kodun başka bir process içerisine enjekte edilmesi yöntemi.
  • In-Memory Execution: Payloadın disk yerine bellek üzerinde çalıştırılması yöntemi.
  • API Unhooking: Hooklanan Windows API fonksiyonlarının eski haline getirilmesi yöntemi.

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram normal,sistem,davranışlarına,benzeyen,işlemler,güvenlik,ürünleri,tarafından,daha,zor,tespit,edilebilir olarak verilir. EDR bypass süreçlerinde stealth kullanımını dizin.

Operasyonel Dogrulama ve Raporlama

Windows API çağrılarının izlenmesi ve değiştirilmesi işlemine ... adı verilir.

Bu bölümün pratik akışı şu sırayla ilerler:

  • API hooking

Cikti ve Kullanım Amaci

EDR bypass analizlerinde kullanılan araçları eşleştirin.

  • Process Hacker: Process ve bellek analizleri gerçekleştiren sistem aracı.
  • x64dbg: Windows uygulamalarını dinamik analiz eden debugger.
  • PE-sieve: Bellek üzerinde çalışan şüpheli payloadları analiz eden araç.

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram payload,kodlarının,gizlenmesi,imza,tabanlı,tespit,mekanizmalarının,atlatılmasını,kolaylaştırabilir olarak verilir. Payload obfuscation kullanımının önemini dizin.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, EDR Bypass Temelleri konusunu SOC L3 - Adversary Emulation - Red Teaming Simülasyonları baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: Behavior Analysis, Telemetry Collection, Threat Detection, Process Injection, In-Memory Execution, API Unhooking, Process Hacker, x64dbg, PE-sieve. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.