INSIDER LAB WRITE-UP - CyberDefenders

  CyberDefenders Write-Up   Nisan 1, 2025   0   780  Okuma Listesine Ekle
INSIDER LAB WRITE-UP - CyberDefenders

Uzun bir aradan sonra yeni bir yazıyla tekrar sizlerleyim!

Bu yazımda, adli bilişimde kritik bir araç olan FEX Imager'ı kullanarak disk imajı incelemesi yapacağız. Gerçek bir olay yeri analizi gibi, imaj üzerinden veri çıkarımı yaparak önemli bulgular elde etmeye çalışacağız. Eğer siz de bu heyecan dolu senaryoya hazırız diyorsanız, Vakit kaybetmeden başlayalım!

Vakamız: Blue team CTF Challenges | Insider - CyberDefenders

Aracımız: FEX Imager

Law and Order GIF

Senaryo:

Karen 'TAAUSAI' için çalışmaya başladıktan sonra şirket içinde yasadışı faaliyetlerde bulunmaya başladı. 'TAAUSAI' bu olayla ilgili bir soruşturma başlatmanız için sizi sosyal analist olarak işe aldı.

Bir disk imajı aldınız ve Karen'ın makinesinde Linux işletim sistemi kullandığını tespit ettiniz. Karen'in bilgisayarının disk imajını analiz edin ve verilen soruları yanıtlayın.

Ön Hazırlık:

FEX Imager aracımızın gerekli kurulumlarını yapalım. Eğer henüz aracınız yoksa, alternatif olarak FTK Imager'ı resmi kaynağından indirmenizi öneririm: Exterro FTK Imager.

Bu bağlantıyı kullanarak güvenli ve güncel sürüme ulaşabilirsiniz. :)

Gerekli kurulumları tamamladıktan sonra, sol üst köşedeki menüyü tıklayarak "Image File" seçeneğini seçiyoruz. Ardından, indirdiğimiz disk imajını açarak detaylı incelemeye başlayabiliriz. 

Şimdi, adım adım analiz sürecine geçelim! 

Disk İmajı İnceleme:

İlk soruda kullanılan Linux dağıtımı soruluyor. Bu nedenle, İmajın boot ekranına girelim çünkü burada genellikle dağıtım adı ve sürüm bilgisi görüntülenebilir.

Ekran görüntüsünde de gördüğümüz gibi sorunun cevabı "kali".

2. soruda bizden apache access.log dosyasının MD5 hash değeri istenmiştir. Apache access.log dosyasının MD5 hash'ini bulmak için önce /var/log/apache2/ dizinine gitmeliyiz. 

Bu dosyanın hashine ulaşabilmek için 2. seçeneği seçip .csv uzantılı bir dosya indirmiş olacağız. 

Excell dosyası içinde hash değerine ulaşabiliyoruz. "d41d8cd98f00b204e9800998ecf8427e"

3. soruda bir kimlik bilgisi döküm aracının indirildiğinden şüpheleniliyor ve indirilen dosyanın adı isteniyor. İndirilen dosyalar root kısmının download klasöründe bulunur. Oraya bakalım.

 Download klasöründe "mimikatz_trunk.zip" adlı dosya olduğunu görüyoruz.

4. soruda süper gizli bir dosya oluşturulduğunu söylüyor ve bu dosyanın mutlak yolunu istiyor. Bu dosyayı tek tek arasanız da bulamayacaksınız bu yüzden “.bash_history” dosyası inceleyebiliriz. Çünkü “.bash_history” dosyası komut satırına girilen kullanıcı komutlarının geçmişini saklar. Root klasörünün içinde bu dosyayı bulabiliriz.

Dosya içine bakınca /root/Desktop/SuperSecretFile.txt dizininde olduğunu görüyoruz.

5. soruda hangi program yürütülürken didyouthinkwedmakeiteasy.jpg dosyasının kullanıldığını soruyor. Bunu bukmak için yine “.bash_history” dosyasını inceleyelim.

didyouthinkwedmakeiteasy.jpg dosyasının binwalk programı ile çalıştırıldığını görebiliyoruz.

6. soruda Karen'ın oluşturduğu kontrol listesindeki üçüncü hedefi bulamamız isteniyor. Karen'ın imajını incelerken masaüstünde Checklist adlı bir dosyası olduğunu göreceksiniz. 

Dosyaya baktığımızda 3. hedefinin profit yani kâr, kazanç olduğunu görebiliyoruz.

7. soruda apache kaç kez çalıştırıldığını bulmamız isteniyor. Tekrar \var\log\apache2 dizinine gidelim. 

acces.log'un size (boyutu) 0 olduğunu görüyoruz. Yani hiç çalıştırılmamış.

8. soruda bu makinenin başka bir makineye saldırı başlatmak için kullanıldığını iddia ediyor. Ve bunun bir  kanıtı olduğunu söylüyor. Bizim de bu kanıtın hangi dosya olduğunu soruyor. İmajı biraz kurcalayınca root kısmında saldırının ekran görüntüsü olduğunu göreceksiniz.

Saldırının kanıtı irZLAohL.jpeg dosyasıdır.

9. soruda Karen'ın Belgeler dizinindeki bir bash betiği aracılığıyla bir bilgisayar uzmanıyla alay ettiği düşünülüyor. Karen'ın alay ettiği uzmanın kim olduğunu bulmamız gerekiyor. Root kısmına girip belgeler dizininde dediği için document kuısmına girelim. Buradaki myfirsthack klasörüne girince 4 tane dosya olduğunu görüyoruz.

İçindeki dosyaları tek tek incelediğimizde firstscript_fixed dosyasında "İşte bu! Ben de bash yazabilirim Young" ifadesini görüyoruz.

10. soruda bir kullanıcı 11:26'da root erişimi elde etmek için su komutunu birden fazla kez çalıştırdğını söylüyor ve kullanıcının kim olduğunu öğrenmemizi istiyoruz. Bunu ancak log kayıtlarında bulabiliriz. /var/log/auth.log dizinini inceleyelim.

Logları incelendiğinde postgres adlı bir kullanıcının root yetkisine eriştiği görürülüyor.

Son soruda bash geçmişine dayanarak, şu anki çalışma dizinini soruyor. Tekrardan “.bash_history” dosyasına gireceğiz. 

Şu anki çalışma dizininin /root/Documents/myfirsthack olduğunu bulduk.



Law and Order GIF


Tebrikler, imaj analizini başarıyla tamamladınız! Adli bilişim dünyasında sağlam bir adım daha attınız. Yeni olaylarda tekrar görüşmek üzere! 
                            
                                                    


                        

                                                            
Etiket

                                
                                                    


                        

        

            

                

                    
                        
                    
                

                

                    

                        

                            
                                 Ayşenur DOĞUYEL 
                            
                        

                    

                    

                        Merhaba ben Ayşenur. Fırat  Üniversitesi Adli Bilişim Mühendisi mezunuyum. "sibermetin.com" sitesinde yazarlık yapıyorum.  Siber alanı ile alakalı edindiğim bilgileri sizlere aktarmaya çalışıyorum. İyi okumalar :)                        

                            
    
                                                                    
    • 
                                                                    
    • 
                                                                    
    •