Yapay zekadan makale özeti
- Kısa
- Ayrıntılı
- Bu video, bir güvenlik analisti tarafından sunulan eğitim içeriğidir. İlk bölümde SSH Spain activity alarmı detaylı olarak analiz edilmekte, ikinci bölümde ise güvenlik alarmları ve Nmap aracının kullanımı hakkında bilgiler verilmektedir.
- Video, SSH Spain activity alarmının incelenmesiyle başlayıp, Nmap dosyasının Kali Linux'ta analiz edilmesi, virüs total ve hibritanaliz gibi sandbox platformlarından dosya taraması yapılması ve mail kutusunun incelenmesiyle devam etmektedir. Daha sonra alarmın nasıl kapatılacağı adım adım gösterilmekte ve fos pozitif bir durum olduğu belirtilmektedir.
- Videoda ayrıca Nmap dosyasının şüpheli aktivitelerde kullanılabileceği ve saldırganlar tarafından çeşitli aktivitelerde kullanılabileceği konusunda uyarılar da bulunmaktadır. Bu içerik, ilk eğitim videosu olarak sunulmaktadır.
- 00:01SSH Spain Activity Alarm Analizi
- İlk analiz videosunda SSH Spain Activity Alarmı incelenecek.
- Alarm düşük seviyede ve geliş tarihi saatine kadar detaylı bilgiler içeriyor.
- Hype, bu aktivitenin malware olarak belirtmiş ve detayına bakmak istiyor.
- 00:35Alarm Detayları ve Dosya İncelemesi
- Alarm detayında kaynak IP adresi, host name ve nmap çalıştırma bilgileri bulunuyor.
- İlgili dosya analiz sırasında yardımcı olabileceğinden paylaşılıyor.
- Dosya Kali Linux işletim sisteminde analiz edilecek.
- 02:08Dosya Analizi
- Dosya şifresi "infect" olan ve "nmap çalıştırabilir" formatında bir dosya.
- File komutu ile dosyanın ELF 64-bit executable formatı olduğu ve Linux sürümünde hazırlandığı belirleniyor.
- Dosyanın MD5 hash değeri hesaplanarak sandbox platformlarında araştırılıyor.
- 03:34Sandbox Araştırması
- Virüs Total platformunda dosya tarandığı ve şüpheli durum olmadığı görülmüş.
- HybridAnalysis.com sandbox ortamında da dosya tarandığı ve şüpheli durum olmadığı belirtilmiş.
- Nmap dosyasının çalıştırıldığı ve kullandığı parametreler detaylı olarak inceleniyor.
- 07:00Mail Kutusu İncelemesi
- Pentest makinesi ile ilgili mail kutusu inceleniyor.
- Planlanmış bir tarama aktivitesi bildirildiği ve taramanın tüm gün devam edeceği belirtiliyor.
- Pentest makinesi ve IP adresi mail yoluyla bildirilmiş.
- 08:19Playbook Oluşturma ve Kontrol
- Create Case ile playbook başlatılıyor ve analistlerin hangi noktaları kontrol etmesi gerektiği gösteriliyor.
- Endpoint security kısmında pentest makinesi bilgileri inceleniyor.
- CMD geçmişi, network bağlantıları ve çalışan süreçler detaylı olarak inceleniyor.
- 12:50Beng Kayıtları ve Sonuç
- Beng kayıtlarında internal IP adreslerine SSH bağlantıları görülmüş.
- Pentest aktivitesi için herhangi bir zafiyetin olup olmadığı araştırılıyor.
- Alarm kapatılırken aktivitenin pentest ekibi tarafından planlı tasarlanan ve e-posta ile bildirildiği belirtiliyor.
- 17:02Fos Pozitif ve Şüpheli Durumlar
- Fos pozitif olarak değerlendirilmiştir çünkü beklenmedik herhangi bir şüpheli durumun olmadığı belirtilmiştir.
- C2 bağlantısı olmadığı ve dışa erişim olmadığı için ORKWybook andmap ile file s no C2 herhangi bir dış adrese rastlanmamıştır.
- Pentest çalışmasında kullanılan Nmap, saldırganlar tarafından çeşitli aktivitelerde kullanılabilmesi nedeniyle şüpheli bir araç olarak değerlendirilmektedir.
- 18:32Nmap Dosyasının Değerlendirilmesi
- Nmap dosyasının kötü amaçlı olarak da kullanılabildiği ifade edilmiştir.
- Nmap'in şüpheli aktivitelerde kullanılabilmesi belirtilerek analiz sonucu verilmiştir.
- İlk alarmın kapatıldığı ve bu aktivitenin bu şekilde kapatılabileceği belirtilerek video sonlandırılmıştır.