Euroforensics

İstanbul’da düzenlenen ve 3 gün süren Euroforensics konferansı bugün bitti. Her ne kadar son iki günü haftasonuna denk gelsede ve bu durum katılımı olumsuz yönde etkilesede bence başarılı bir etkinlikti. Bir çok firmanın ürünlerini ve çözümlerini tanıtma imkanı bulduğu bu etkinliğin son gününde benim de bir sunumum vardı. Adli bilişim incelemelerinde memory analiz tekniklerini ele aldığım sunumu pdf formatında http://www.halilozturkci.com/pdfs/MemoryAnalizTeknikleri-Euroforensics.pdf adresinden indirebilirsiniz. Sunuma ppt formatında ihtiyaç duyan arkadaşlar bana halil.ozturkci@adeo.com.tr adresinden mail atarlarsa kendilerine mail üzerinden ilgili sunumun ppt halini gönderebilirim.

SANS 560 Network Penetration Test Eğitimi-İstanbul

Daha önceden yine blogumda duyurduğum Türkiye’deki ilk SANS eğitimimizi bu hafta sonu yaptığımız CTF (Capture the Flag) ile bitirdik. Oldukça keyifli bir eğitimdi ve katılımcılar için çok verimli geçtiği kanatimdeyim. Özellikle uzun yıllar Eccouncil’in CEH eğitimlerini veren kişi olarak sadece şunu söyleyebilirim, eğer gerçekten aldığınız eğitim işinize yarasın ve yüzlerce/binlerce program ismi ezberlemekten öteye geçsin istiyorsanız ne yapıp edin SANS’dan alın eğitimleri.

Bu arada önümüzdeki bir ay içerisinde SANS’ın en gözde eğitimlerinden birisi olan “Security 508: Computer Forensics, Investigation, and Response” eğitiminin duyurusunu yapıyor olacağız. Adli bilişim ile ilgilenen arkadaşların bence mutlaka katılmaları gereken bir eğitim. Eğitimin içeriğine http://www.sans.org/security-training/computer-forensics-investigation-and-response-4182-tid adresinden ulaşabilirsiniz.

Adli Bilişim’e Giriş ve Microsoft Sistemlerde Adli Bilişim Temelleri

Adli Bilişim’e Giriş ve Microsoft Sistemlerde Adli Bilişim Temelleri

16 Aralık 2008 tarihinde Microsoft Türkiye ofisinde sunumunu gerçekleştirdiğim “Adli Bilişim’e Giriş ve
Microsoft Sistemlerde Adli Bilişim Temelleri” başlıklı seminerin sunum dosyasını nihayet fırsat bulup siteme upload edebildim. Sunumu buradan indirebilirsiniz.

Sunumu kaçıranlar için ufak bir not; 2009 yılı kış döneminde de seminerler devam edecek. Gerçekleştireceğim seminerlerin duyurusuna bu siteden ulaşabilirsiniz.

  •  Uzun zamandır ne zaman çıkacak diye merakla beklediğim bir zararlı kod çeşidinin ortalıkta dolaştığı  bilgisini almak fazlasıyla heyecanlandırmıştı beni. MBR’a yerleşen  bir rootkit’di bu ve üstelik bütün  NT tabanlı işletim sistemlerinin tamamında(Vista’da dahil) etkili olabiliyordu. Evet bahsettiğim zararlı kod MBR rootkit ismiyle bilinen rootkitden başkası değil. Gerçi MBR’ın zararlı kodlarca kullanılmasının örneklerini çok önceleri gördük.  MS-DOS zamanındaki  Stoned, Michelangelo, Junkie ve Tequila sayabileceğimiz bir kaç MBR’ı kullanan virüs isimlerinden bazıları.
    Maalesef Windows NT ailesinin tamamında usermode’da MBR’ı değiştirebilme özelliği mevcut ve bu rootkit’de bu özelliği kullanıyor. 2005 yılında eEye Digital Security firmasından Derek Soeder ve Ryan Permeh’in eEye BootRoot ismini verdikleri projelerini duyurmalarıyla beraber beklemeye geçmişti güvenlik camiası bu zararlı kodu. Ardından NVLabs’dan Nitin ve Vipin Kumar tarafından geliştirilen Vbootkit karşımıza çıktı.(http://www.nvlabs.in/?q=node/11. Vbootkit ile ilgili slayta http://www.blackhat.com/presentations/bh-europe-07/Kumar/Presentation/bh-eu-07-kumar-apr19.pdf adresinden ulaşabilirsiniz.) Zaten mbr rootkit’inin kodları incelendiğinde BootRoot’un kodlarının modifiye edilerek kullanıldığını görüyoruz.

Bu rootkit’in temel özelliklerine bakarsak,
İşletim sistemi daha devreye girmeden çalışıyor.
Bu rootkit’in herhangi bir dosyaya ihtiyacı yok, zararlı kod disk üzerindeki sektör’lerden herhangi bir kaçında olabilir.
Zararlı kod MBR’daki kod tarafından çalıştırıldığı için herhangi bir registry kaydına gerek yok.

MBR Rootkit’in detaylı incelemesini http://www2.gmer.net/mbr/ adresinden okuyabilirsiniz. Ayrıca  Symantec’in MBR Rootkit incelemesine buradan ulaşabilirsiniz.

MBR Rootkit’inin bir örneğini http://rapidshare.com/files/86312494/MbrRootkit.zip.html adresine upload ettim. Aranızda benim gibi zararlı kodlarla uğraşmayı seven ve kendileri analiz etmek isteyenler olabilir.  Hatırlatmayı yapmadan geçmeyeyim. Dosyada çalışır durumda olan bir zararlı kod vardır. Bu dosyayı bu adresten indirip çalıştırdığınızada karşılaşabileceğiniz problemler konusunda sorumluluk kabul etmediğimi baştan söyleyeyim :) . Dosya şifreli bir şekildedir. Şifresi “infected” dir .(Genel kabul görmüş bir malware koruma şifresidir bu arada)