AF-2DFB-LG · Loglar / AD
Log İzi Sürme
İNDİRİLEBİLİR gerçek sshd auth.log. Kaba-kuvvet → ele geçirme → persistence zincirini KORELASYONLA bul. Yerleştirilmiş sahte kayıt yanlış faili işaret eder.
Senaryo
Gerçek bir Linux sshd auth.log. Naif bir 'Accepted' grep'i hem gerçek girişi hem de yerleştirilmiş SAHTE bir kaydı gösterir. Gerçek faili korelasyonla bul: hangi IP kaba-kuvvet patlaması yaptı VE sonra başarıyla girdi, ardından yetki yükseltip kalıcılık sağladı. Sahte kayıt, destekleyici aktivitesi olmayan ve saldırıdan önce zaman damgalı tek bir satırdır.
Anti-forensics teknikleri
- Log gürültüsü (triyaj)
- Yerleştirilmiş sahte log kaydı (red herring)
- Zaman-tutarsızlık (korelasyon gerektirir)
Sağlanan artefaktlar
- Linux sshd auth.log (metin)
Örnek sorular
- q1: Saldırganın gerçek kaynak IP adresi nedir?
- q2: Hangi hesap ele geçirildi?
- q3: Kalıcılık nasıl sağlandı? (örn. authorized_keys)
- trap1: Sahte kaydın işaret ettiği IP'yi fail olarak raporlama.
Soundness tuzağı
Sahte 'Accepted ... root' kaydı (destek yok, saldırıdan önce) yanlış IP'yi işaret eder. Onu fail göstermek ağır ceza; korelasyon çürütür.
Puanlama
Korelasyon doğruluğu + sahte-log direnci (soundness).
İNDİRİLEBİLİR
İndir ve çöz
Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.