Yanal Hareket Avı
İNDİRİLEBİLİR Windows Security olay günlüğü (export). Bir iş istasyonu ele geçirildi. Saldırganı, pass-the-hash ile girdiği hesabı ve açtığı arka-kapıyı korelasyonla bul. 'En çok hata veren IP' seni SOC tarayıcısına götürür (tuzak).
Senaryo
Dışa aktarılmış Windows Security olay günlüğü (4624 başarılı logon, 4625 başarısız, 4672 özel ayrıcalık, 4720 hesap oluşturma). Bir SOC zafiyet tarayıcısı (10.0.0.240) onlarca 4625 üretir ama hiç başarılı girişi yoktur; naif 'en çok hata veren kaynak' analizi bu tarayıcıya gider = tuzak. Gerçek saldırgan birkaç başarısız denemeden sonra LogonType=3 (network) + AuthPackage=NTLM ile bir hizmet hesabına başarıyla girer; bu pass-the-hash imzasıdır. Ardından 4672 ile ayrıcalık alır ve 4720 ile bir arka-kapı hesabı oluşturur. Beceri: hacim değil, NTLM ağ-logon başarısı + ayrıcalık + hesap oluşturma zincirini korele etmek.
Anti-forensics teknikleri
- Gürültü/tuzak: SOC tarayıcısı (en çok 4625, sıfır başarı)
- Pass-the-hash (NTLM, LogonType=3 network logon)
- Kalıcılık: arka-kapı hesabı oluşturma (4720/4732)
Sağlanan artefaktlar
- Windows Security olay günlüğü (TSV export)
Örnek sorular
- q1: Saldırganın gerçek kaynak IP'si nedir? (pass-the-hash başarısı)
- q2: Yanal harekette ele geçirilen hizmet hesabı hangisi?
- q3: Saldırganın oluşturduğu arka-kapı hesabı nedir? (4720)
- trap1: SOC tarayıcısının IP'sini (en çok 4625) saldırgan diye raporlama.
Soundness tuzağı
Puanlama
Olay korelasyon doğruluğu (PtH zinciri) + tarayıcı-tuzağı direnci (soundness).
İndir ve çöz
Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.