AF-4DFB-D5 · Disk
Hayalet Operatör
Boss vaka: bir tehdit aktörünün makinesi. İç içe imaj, pagefile/hiberfil'de fileless izler, secure-delete, çoklu sahte iz, parçalı anahtar. Attribution + TTP.
Senaryo
İncelenen makine bir hacker'a ait; aktif gizleme ve yoğun gürültü içeriyor. İç içe bir disk imajı, pagefile ve hiberfil'de fileless malware kalıntısı, secure-delete edilmiş ofansif araçlar, çoklu yanıltıcı iz ve anahtarı pagefile ile bir stego görüntü arasında bölünmüş şifreli konteyner var. Aktörü, hedefleri, kullanılan TTP'leri (MITRE ATT&CK) ve neyin sahte iz olduğunu çıkar.
Anti-forensics teknikleri
- İç içe imaj (imaj-içinde-imaj)
- Fileless izler (pagefile.sys / hiberfil.sys)
- Secure-delete + timestomp + log temizleme
- Parçalı anahtar (pagefile + stego)
- Çoklu yerleştirilmiş sahte iz (red herring)
Sağlanan artefaktlar
- Disk imajı (E01) + pagefile.sys + hiberfil.sys + iç içe imaj
Örnek sorular
- Aktörün kimlik/altyapı izleri ve hedef listesi nedir?
- Kullanılan TTP'leri MITRE ATT&CK ile eşleyin.
- Şifreli konteynerin anahtarı hangi iki kaynaktan birleştirildi?
- Hangi izler kasıtlı sahte (red herring)?
Soundness tuzağı
Çoklu sahte iz var; yanlış hedefi/aktörü gerçek raporlamak ağır ceza. Triyaj ve çapraz-doğrulama şart.
Puanlama
Attribution + TTP + anahtar birleştirme + çoklu sahte-iz direnci (en yüksek ağırlık).
Artefakt yakında. Bu vakanın indirilebilir artefaktı enstrümante-VM hattımızla üretiliyor ve F0 pilotuyla yayınlanıyor.