En çok gelen sorulardan biri şu; hocam bize bir hash verdiler, “Bunu engelleyin”, “Bu bizde var mı bir bakın”, “Ağabey bu zararsız görünüyor ama kendi ortamımıza alıp inceleyebilir miyiz?”
Her zaman söylemişimdir
Bu sorularda kapı hep IOC Search’e denk geliyor. Symantec EDR ile ister STIX search ister manuel elle hash(md5,sha256) veya dosya ismi yazarak arama yapabilirsiniz.
Peki bunun için aradığımız şeyin zararlı olmasına gerek var mı?
– Hayır, zararlı zararsız istediğiniz pe – nonPe arayabilir,localinize alabilirsiniz
Örneğin ChromeUpdate.exe’yi arayalım
file.sha2:d98e4f0c90f7692bf4fa1b2814ac7eba5453814b15b534864e9545c4b1694a35
Dosya ismine tıklayıp detaylara gidebiliriz;
Burada Ister uygulamanın oluşturduğu Process Dump’ı alır, ister tek tık tüm ağınızda bu uygulamayı bloklar, Ister Sandbox’a submit edersiniz.( Burada iki seçenek var onprem olarak CAS-MA kullanmak veya Cynic için ücretsiz sandbox servisini kullanabilirsiniz – Sandbox submit işlemi de Otomatik (Ürün submit edilip edilmemesine kendisi karar verir) veya manuel siz isteyincee yapılabilir)
Kararsız kaldım Virus Total’de ne demişler buna diye bakabilirsiniz, ya da iyisi mi şunun bir kopyasını alıp kendim bakayım diyebilirsiniz.
Copy To File Store
Dosya büyüklüğüne, ağ trafiğine göre değişiklik gösteren süre sonunda Copy butonu Download a dönecek, Operasyonu Actions menüsünden takip edebilirsiniz
Download from file store
Dediğimizde chromesetup.exe’yi SHA256hash’i ile rename edip 7z uzantılı ve belirlediğimiz parola ile korumalı olarak kendi bilgisayarımıza indirmemizi sağlayacak.
Eğer Non-PE (abc.docx, Hesaplar.xlsx vs) bir dosya “get” etmek isterseniz sizden o client’ta yetkili bir kullanıcı hesabı isteyecektir.
