CyberFlow Logo CyberFlow BLOG
Soc L3 Adversary Emulation Evasion Testing

Obfuscated ve Encoded Komut Tespitlerinin Doğrulanması

✍️ Ahmet BİRKAN 📂 Soc L3 Adversary Emulation Evasion Testing

Obfuscated ve Encoded Komut Tespitlerinin Doğrulanması konusunu SOC L3 - Adversary Emulation - Savunma Atlama (Evasion) Testleri baglaminda blog formatinda ogrenin. Temel akis, kavram eslestirmeleri ve analiz mantigi tek bir yapida birlestirildi.

Obfuscated ve Encoded Komut Tespitlerinin Doğrulanması

Tehlikeli payload üretmeden, sabit ve zararsız test dizileriyle encoded-command görünürlüğünü doğrulama. Test yalnızca yazılı olarak yetkilendirilmiş ve geri dönüş planı bulunan laboratuvar ortamında yürütülür.

Giris ve Temel Akis

Tehlikeli payload üretmeden, sabit ve zararsız test dizileriyle encoded-command görünürlüğünü doğrulama. Test yalnızca yazılı olarak yetkilendirilmiş ve geri dönüş planı bulunan laboratuvar ortamında yürütülür.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Zararsız test metnini seç
  • Base64 çıktısını üret
  • Payload olarak çalıştırmadan kaydet
  • Script block olayını incele
  • Detection anahtarlarını doğrula
  • Yalancı pozitif notunu yaz

Temel Kavram Eslesmeleri

Obfuscated ve Encoded Komut Tespitlerinin Doğrulanması kapsamında kullanılan araçlar ve yönetişim bileşenleri farklı görevleri destekler.

  • PowerShell: Birincil test, analiz veya telemetri doğrulama aracı
  • Sigma: İkinci veri kaynağı veya bağımsız doğrulama aracı
  • Rules of Engagement: İzinleri, sınırları ve durdurma koşullarını belirler
  • Cleanup Plan: Test artefactlarının güvenli biçimde geri alınmasını tanımlar

Ilk Cekirdek Kavram

Bu bölümde öne çıkan çekirdek kavram Encoded Command Detection olarak verilir. Tehlikeli payload üretmeden, sabit ve zararsız test dizileriyle encoded-command görünürlüğünü doğrulama. Amaç gerçek güvenlik kontrollerini aşmak değil, bu davranışlara karşı görünürlük ve detection dayanıklılığını ölçmektir.

Arac, Komut veya Inceleme Akisi

Konuya uygun güvenli gözlem veya lab komutları: $s="evasion-encoded-test"; [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes($s)) Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-PowerShell/Operational";Id=4104} -MaxEvents 10

Bu bölümün pratik akışı şu sırayla ilerler:

  • Komutu İncele
  • Lab Hedefini Doğrula
  • Telemetriyi Aç
  • Komutu Çalıştır
  • Çıktıyı Kaydet
  • Cleanup Yap

Kanit ve Bilesen Iliskileri

Komut ve araç çıktıları, evasion davranışlarının savunma tarafındaki izlerini doğrulamak için kullanılır.

  • $s="evasion-encoded-test"; [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes($s)): Birincil güvenli kontrol veya sentetik test komutu
  • Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-PowerShell/Operational";Id=4104} -MaxEvents 10: Olay, durum veya cleanup doğrulama komutu
  • PowerShell: Ana analiz veya emülasyon çıktısını sağlar
  • Sigma: Sonucu ikinci bir veri kaynağında doğrular

Ikincil Odak Noktasi

Bu bölümde öne çıkan çekirdek kavram PowerShell olarak verilir. Bu derste birincil araç olarak PowerShell, yardımcı doğrulama aracı olarak Sigma kullanılır.

Operasyonel Dogrulama ve Raporlama

Evasion testinin öğretici olması için beklenen telemetri, gözlenen olay ve detection sonucu aynı zaman çizelgesinde karşılaştırılır.

Bu bölümün pratik akışı şu sırayla ilerler:

  • Beklenen Olayı Tanımla
  • Test Zamanını Kaydet
  • Endpoint Verisini Topla
  • Ağ veya Kimlik Verisini Topla
  • SIEM Sonucunu Karşılaştır
  • Detection Boşluğunu Yaz

Cikti ve Kullanım Amaci

Evasion testi çıktıları farklı savunma ekiplerine farklı kanıtlar sunar.

  • Endpoint Telemetry: Süreç, dosya ve yapılandırma davranışlarını doğrular
  • Network Telemetry: Bağlantı, DNS ve proxy görünürlüğünü doğrular
  • Detection Result: Kuralın alarm üretip üretmediğini gösterir
  • Cleanup Evidence: Test artefactlarının kaldırıldığını kanıtlar

Son Kavram ve Cikis

Bu bölümde öne çıkan çekirdek kavram Cleanup olarak verilir. Test tamamlandığında sentetik artefactlar kaldırılır, değişiklikler geri alınır ve güvenlik araçlarının başlangıç durumunda olduğu doğrulanır.

Bu Egitimden Ne Kazanirsiniz?

Bu icerik, Obfuscated ve Encoded Komut Tespitlerinin Doğrulanması konusunu SOC L3 - Adversary Emulation - Savunma Atlama (Evasion) Testleri baglaminda parcali degil, butunlu bir ogrenme akisina donusturur. Yalnizca kavramlari ezberlemek yerine surec sirasini, bilesenler arasi iliskiyi ve hangi kanitin neden onemli oldugunu kavramayi hedefler.

Ozet

Bu ders kapsaminda one cikan basliklar: PowerShell, Sigma, Rules of Engagement, Cleanup Plan, $s="evasion-encoded-test"; [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes($s)), Get-WinEvent -FilterHashtable @{LogName="Microsoft-Windows-PowerShell/Operational";Id=4104} -MaxEvents 10, Endpoint Telemetry, Network Telemetry, Detection Result, Cleanup Evidence. Egitimin mantigi; once temel akis kurmak, sonra eslestirme ve kavram netlestirme yapmak, en sonda ise bulguyu operasyonel bir sonuca baglamaktir.