Root > Documents > Crime Investigation > Fire Eye Redline
Cyber-Warrior.Org \ Doküman \ Crime Investigation > Fire Eye Redline
Madde
  Yazar : EMİROĞLU
  Date : 14.02.2019 09:00:10
 
# Fire Eye Redline
 

Fire Eye Redline

Fire Eye Redline programının incelemesini gerçekleştireceğiz.

Şimdi FireEye Redline Nedir?

Redline, tehlike altındaki yada adli soruşturma altındaki Windows işletim sistemi (OS) belleğini ve kötü amaçlı etkinlik belirtilerini bulmak için dosya yapısını analiz etmenizi sağlar. Redline ile şunları yapabilirsiniz



1-) Çalışma proseslerini, dosyaları, kayıt defteri verilerini ve bellek resimlerini toplayıp organize etmenize olanak tanır.

2-) Redlineın TimeWrinkle ve TimeCrunch özelliklerini kullanarak belirli bir zaman aralığı etrafında sonuçları daraltmak ve filtrelemek dahil olmak üzere içe aktarılan verileri görüntülemenize olanak tanır.

3-) IOC ( Indicators of Compromise) analizi yapmanızı sağlar.

4-) MD5 hashlerini kullanarak dosyaları analiz etmenize ve filtrelemenize olanak tanır.




Timeline



Redline‘daki zaman çizelgesi, bir uzlaşmanın ne zaman uygulamaya konulduğunu, hangi dosyalara dokunulduğunu ve eğer (ve nasıl) uzlaşma devam ederse onu tanımlamaya yardımcı olur. Zaman Çizelgesi, zamana göre sıralanan olayların bir listesini çıkarır ve burda tek yada birden fazla olay olabilir. TimeCrunch ve TimeWrinkle özelliklerinin yanı sıra, kullanıcılarınız tarafından filtrelemeyi ve / veya analizinizle ilgisi olmayan etkinlikleri gizlemek için de kullanabilirsiniz.



IOC ( Indicators of Compromise)



Bir ihlalin meydana gelebileceğini belirten dosyalar veya işlemler gibi belirli yapay nesneleri aramak isteyebilirsiniz. Standart Belirteçleri (IOC‘ler) yapay tanımlama yöntemi olarak kullanabilirsiniz.



Whitelists



Whitelists, geçerli olduğu bilinen MD5 hash değerlerinin bir listesidir. Beyaz listeye alınmış MD5 karma değerine sahip tüm bileşenlerin standart geçerli bileşenler olduğu bilinir. Beyaz listeye Ekleme, Redline‘da büyük miktarda veri gizlemenizi sağlar. Redline varsayılan olarak bir beyaz listeyi içerir ve ek beyaz listeye ekleyebilirsiniz.



Kurulum



Redline kurmak basittir. Standart Windows kurulum sihirbazı gibi kısa sürede kurulup kaldırılabilir.



Sistem Gereksinimleri



1-) Windows 10 (32-bit and 64-bit versions)

2-) Windows 8.x (32-bit and 64-bit versions)

3-) Windows 7 (32-bit and 64-bit versions)

4-) Microsoft Vista (32-bit version)

5-) Windows XP SP2 (32-bit version)

6-) Windows Server 2008 R2 (64-bit version)

7-) Windows Server 2003 R2 (32-bit and 64-bit versions)

Redline kurulumu için Microsoft .NET 4 ve üstü sürümü gereklidir. Eğer kurulum yüklü değil ise Redline kurarken bilgisayarınıza .NET kurulacaktır. Makinanın çözünürlüğünün en az 1280x1024 olması gereklidir.

Redline bir sanal makinede (VM) çalıştırılabilir; Ancak, performansı vasat olacaktır. Bir VM üzerinde yürütülürken, Redline boşta iken beklenenden daha yüksek CPU kullanımı gerçekleştirir. normal bir şekilde bilgisayarda Redline‘ı çalıştırmaya kıyasla, bir VM‘deki Redline, bir analiz oturumu oluşturmak gibi yoğun işlemleri gerçekleştirmek için önemli ölçüde daha uzun sürer.



Setup (Kurulum)



Programı yüklemek için aşağıdaki linki kullanabilirsiniz. Aşağıdaki sayfaya tıkladığınızda ekranın sağ tarafında üretici firmanın istediği bilgileri girdikten sonra yüklemeyi gerçekleştirebilirsiniz.

Redline İndir







Daha sonra indirdiğiniz Readline.msi tıklayarak sihirbazı çalıştırın. Daha snra Next Next lisans sözleşmesini kabul edip Next Next diyip programın kurulumunu bitirin. C:\\\\\\\\\\\\Program Files(x86)\\\\\\\\\\\\Redline\\\\\\\\\\\\ dizinine bulabilirsiniz. Daha sonra birkaç dakika sonra kurulum bitecektir. Yüklemeyi gerçekleştirdikten sonra son güncellemeleri almak için update etmeyi unutmayın.



Redline Collectors



Redline Collector paketi, potansiyel olarak tehlike altındaki bir Windows işletim sisteminden veri toplamak için yürütülebilir bir komut dosyası içerir. Üç tür Redline Collector vardır: Standart Toplayıcı, Kapsamlı Toplayıcı ve IOC Arama Toplayıcısı. Bunlarla ilgili detaylara ilerleyen bölümlerde değinicez zaten.



Select Redline Collectors Type



1-) Standart Toplayıcı, bir analizi tamamlamak için minimum veri miktarını toplamak için komut dosyalarını yapılandırır.

2-) Kapsamlı Toplayıcı, Redline‘ın topladığı ve analiz ettiği verilerin çoğunu toplamak için komut dosyalarını yapılandırır. Tam bir analiz yapmayı düşünüyorsanız veya bir bilgisayardan veri toplamak için tek bir fırsatınız varsa, bu seçeneği kullanabilirsiniz.

3-) IOC Arama Toplayıcısı, seçilen Göstergelerin (IOC) Göstergelerine uyan verileri toplar. Sadece IOC için arıyorsanız ve diğer olası risklerden ötürü bu Redline Collector tipini kullanın. Varsayılan olarak, IOC ile eşleşmeyen tüm verileri filtreler, ancak ek veri toplamayı seçebilirsiniz.



Configure Standard and Comprehensive Redline Collectors



Redline nbsp; collector ayarlamak için Create a Standart Collector veya Create a Comprehensive Collector seçeneğine tıklamanız gerekli bunun için ana ekranda Start analyse Session butonuna tıklayarak aktifleştirebilirsiniz. Daha sonra aşağıdaki gibi bir pencere açılacak.







Edit your scr*ipt düğmesine tıklayın. Açılan pencereden gereli ayarları yapın. Bu sekme altında Redline, aşağıdaki gibi önceden tanımlanmış, yapılandırılabilir bir betik kullanarak analiz için veri toplar.

1-) Redline Collector, Windows işletim sisteminden disk, bellek, sistem, ağ ve diğer verileri toplamak

2-) Redline‘da bir bellek görüntüsünü açtığınızda, bir analiz oluşturmak için betik buna karşı çalıştırılır.

Script hangi verilerin toplanacağına karar verirken, aşağıdakileri dikkate alır.

1-) Dosyalar için dizeler ve kaynak verileri, toplanan verilerin boyutunu artırır

2-) Hash ve dijital imzalar, scr*iptin çalıştırılması için gereken süreyi artırır

3-) Hem dosya hem de kayıt defteri için yol ve uzunluklar, sürücü boyutuna bağlı olarak hem veri boyutunu hem de toplama süresini artırabilir.



Scripti düzenlemek için, Redline Collector‘ı yapılandırırken veya kaydedilmiş bir bellek dosyasını analiz ederken Analiz Sunucunuzu Başlat penceresindeki View and Edit your scr*ipte tıklayın. Scripti Görüntülemek ve Düzenlemek için aşağıdaki sekmelere bakabilirsiniz. Bellek, Disk, Sistem, Ağ ve Diğer. Bir bellek görüntüsünü analiz etmek için yapılandırırken sadece Bellek sekmesi kullanılabilir.







Eğer delişmiş seçenekleri görmek için sağ üst köşedeki Show Advanced Parameters seçeneğine tıklayarak gelişmiş seçenekleri görebilirsiniz.



Memory Options in Script



Bu seçenek altında işlem listeleri, sürücüleri numaralandırma, algılama ve bellek verileini toplayacak şekilde yapılandırabilirsiniz. Aşağıdaki seçenekleri bellekten çekip analiz etmek için kullanabilirsiniz.

Hafıza bölümleri ve bozuk hafıza bölgeleri

Girişler

Çıkışlar

Portlar

String Değerleri

MD5, SHA256, SHA1 ve MemD5 hashler

PID analizleri

Gibi birçok veriyi ekip analiz edebilirsiniz.

Drivers

Bu ayar altında belirtilen seçeneklerden driverler için verileri toplamak için kullanılır.



Raw File Access



Raw File Access kullanılırken, diskte ve bellekte var olan yapılara erişir ve bunları ayrıştırır, böylece rootkit‘lerin neden olduğu herhangi bir değişiklikten kaçınılır. Raw file access kullanmak, Script dosyasının işletim sisteminin kullanıcı erişim denetimleri tarafından kısıtlanmış bilgilere ve ana dosya tablosunda hala bulunan silinmiş dosyalara erişmesine de izin verebilir.



Disk Options in Script



Scripti hem dosya hem de disk verilerini numaralandırıp toplayacak şekilde yapılandırabilirsiniz.

Include active files : Aktif dosyaları dahil eder. Raw dosyaları hariç

Parse NTFS INDX Buffers: NTFS INDX arabelleklerini ayrıştır.

Analyze Entropy : Analiz Entropisi

Enumerate İmports : Girilen verileri sayar

Verify Digital Signatures : dijital imzaları eşleştirir

Get Resources : Kaynak kodları alır

Get MD5,SHA256,SHA1 : Hashleri eşleştirir ve verileri alır.

Included deleted eaw files : Silinen Raw dosyalarını dahil eder.

Analyze File anomalies : kuraldışı dosyaları alır

Get Strings : String değerlerini alır.

Get Program Executable PE Version info : Programların PE version bilgilerini alır.



Standart taramada scr*ipt Systemdrive yolundan veri toplar. Bu yolu isteğinize göre değiştirebilirsiniz. Yine varsayılan arama derinliği(detayı) 6 dır. En kısa eşlecek string değeri 8 karakterden az olmamalıdır. Bunlar gelişmiş seçeneklerin detaylaıdır. Sürücü boyutuna bağlı olarak yol ve derinlik (detay) toplama süresini ve boyutunu artırabilir.



System Options in Script



Sistem ve kayıt defteri bilgilerini ve olay günlüklerini toplamak için scr*ipti yapılandırabilirsiniz. Bu seçenekte aşağıdaki opsiyonları gerçekleştirebilirsiniz.

Makine ve işletim sistemi (OS) bilgilerini edinebilirsiniz.

System geri yükleme noktalarını analiz edebilirsiniz.

Kayıt defterini analiz edebilirsiniz.

Kullanıcı hesaplarını analiz edebilirsiniz.

Önbellek (cache) bilgilerini analiz edebilirsiniz.



Yapacağınız analizleri filtreleyebilirsiniz. Sürücü boyutuna bağlı olarak yol ve detaylandırma analiz süresini artırabilir.

nbsp;

Network Options in Script



Ağ bilgilerini ve tarayıcı geçmişini toplamak ve analiz etmek için bu seçeneği kullanabilirsiniz.

DNS Bilgileri

Adress Resolution Protocol (ARP) bilgileri

Routing

Cookie bilgileri

History geçmişi (Chrome ve Firefox sadece)

Thumbnails resimler (chrome ve Firefox sadece)

Yüklenen Dosyalar

URL Geçmişi

İndexlenmiş sayfaların içerikleri

Gibi parametreleri çekip analiz edebilirsiniz.



Global Default Script Options



Script dosyası genel varsayılan seçeneklerini Script menüsü altındaki Redline Options seçeneğine tıklayarak aktifleştirebilirsiniz. Bunu seçtiğinizde aşağıdaki ekran gelecektir. Burda Default scr*ipt altında genel ayarlamalarınızı yapabilirsiniz.

Preserve Timestamps : Bir dosya okunduğunda zaman bilgilerini korur (değiştirmez)

Prevent Hibernation : Redline Collector, ana bilgisayarın hazırda bekletilmesine izin vermez, bu da koleksiyonun zamanında tamamlanmasını sağlar.

Use Raw File Access : Script, dosyalara erişmek için bir Windows API yerine raw (ham) dosya erişimi kullanır.

File Enumeration : Script, dosyaları sıralamak için Windows API veya raw dosya erişimi veya her ikisini de kullanabilir. Bir arama adı veya normal ifadeler belirtebilir ve arama derinliğini arayabilirsiniz. Yani Dosya taraması ile ilgili detaylandırma seçeneğidir.



Registry Enumeration : Script, kayıt defterini numaralandırmak için Windows API veya raw dosya erişimi veya her ikisini de kullanabilir. Bir arama kökü, yol adı ve hem normal yolu hem de normal ifadeleri ve ayrıca arama derinliğini belirtebilirsiniz. Bu ayarla registryde bulunan bilgilerin detaylandırılması yapılabilir.

Process Enumeration : Script, işlemleri numaralandırmak için belleği veya Windows API‘yi kullanabilir.

Browser History : Script Firefox, Microsoft Internet Explorer, Safari, Chrome veya bunların tümünü önbellekten okuyabilir. Script yolunu geçmiş dosyalarını okuması için ayarlayabilirsiniz.







Running A Redline Collector



Create a Collector on your Computer

Redline ana ekranından Create a Standart Collector seçeneğini seçin







Burdan sonra standart yada kapsamlı analiz oluşturabilirsiniz. Biz örneğimizde standart kurulumdan bahsedeceğiz.

Review Script Configuration ekranında Edit your Script seçeneğine tıklayın. Bu kısımda Standart program ayarlarını kullanabilirsiniz. İsterseniz Show advanced Parameters seçeneğine tıklayarak gelişmiş özellikleride açıp detaylandırabilirsiniz.







Ayarlarınızı yaptıktan sonra Browse butonuna tıklayarak boş bir klasör oluşturun ya da boş bir klasörü seçerek kayıt işlemini tamamlayın.







Run a Collector on a Host Computer



Collector dosyasını, dosya toplamak (analiz) istediğiniz ana bilgisayara taşıyın. Toplayıcıyı yürütmek için RunRedlineAudit.bat dosyasını tıklatın. Toplayıcı aşağıdaki klasörleri Sessions gt; AnalysisSession1 gt; Audits içerisine oluşturur ve Audits klasörü altındaki verileri toplar.







Import Collector Data on your Computer



collector analizi tamamladıktan sonra AnalysisSession klasörüne gidin ve bir Audits klasörü ve bir AnalysisSession.mans dosyası göreceksiniz.







Alternatif olarak bu dosyayı Redline ana ekranda Open a Saved Analysis seçeneği ile de gidebilirsiniz.







Daha sonra .mans dosyasına çift tıkladığınızda dosya otomatik olarak redline içerisine import edilmiş olacak.







Şimdi analiz dosyamız (collector) programa import etme ya da yeni bir analiz oluşturmayı yukarıdaki gibi bitirdikten sonra artık analiz aşamasına geçebiliriz.



Analysis Session Creation



Redline analysis session : Redline‘ın mevcut verilere ilişkin analiziyle birlikte potansiyel olarak tehlike altındaki bir bilgisayardan toplanan verileri içerir.



Analysis Session oluşturmak için aşağıdaki yolları kullanabilirsiniz.

Redline Collector audit programa import ederek yukarıda anlatıldığı gibi.

Mandiant for Intelligent Response (MIR) audit import ederek.

Mandiant Memoryze‘den bellek görüntülerini analiz ederek import edin.

FireEye Endpoint Tehdit Önleme Platformundan (HX) Açık Triyaj Koleksiyonlar import edin.



Import Data into Redline



Redline, herhangi bir Redline Collector‘dan veya Akıllı Yanıt (MIR) için Mandiant‘dan denetimleri alabilir.



Data import etme:



Redline ana menüden Analyze Collected Data seçeneğini seçin.

Analiz Dosyalarınızı Aç penceresindeki Gözat Konumu altındaki Gözat‘ı tıklatarak denetim dosyalarını içeren klasörü seçin. Klasörü seçtikten sonra, klasörün içeriğini görüntülemek için Klasörü Aç seçeneğine tıklayın (isteğe bağlı).







Next diyerek ilerleyin.



Daha sonra analiz edilecek dosyanın konumunu ve adını belirleyin.







OK tuşuna basatak analysis session oluşturun. Verileri IOC‘lere karşı çözümlemeyi seçtiyseniz, Redline, analiz oturumunu oluşturduktan sonra arka planda bir IOC Raporu oluşturur.



Analyze Memory



Bazı üçüncü taraf yardımcı programları, işletim sisteminin fiziksel belleğinin doğrudan görüntüsünü yakalar. Redline, bu dd formatındaki hafıza görüntü dosyalarını analiz edebilir, ancak analiz verilerle sınırlıdır. Bir bellek görüntü dosyasını analiz ettiğinizde, Redline‘ın kurulu olduğu bilgisayarın tüm bellek resmini yüklemek için yeterli boş hafızaya sahip olması gerekir.

Bellek analizi, aşağıdakilere bağlı olarak dakikalar ile saat arasında değişmektedir



Analiz edilecek hafıza imaj dosyasının büyüklüğü



İşletim sistemi(OS) imaj dosyasının büyüklüğü



Bir analiz oturumu oluşturmak için bellek resimlerini Redline‘a aktarmak için



Görüntüyü (image), Redline‘ın kurulu olduğu bilgisayara kopyalayın. Bellek resmi (memory image) dosyasını bir ağ paylaşımı üzerinden açmayın.



Daha sonra Ana ekrandaki Analyze Data altında bulunan From a Saved Memory File ya da Ana menüde Redline menüsü altında Analyze a Saved Memory File sekmesini kullanın.



Daha sonra aşağıdaki ekran gelecek burdan sağ tarafta bulunan Browse tuşuna basarak Analiz edilecek imaj dosyasının yerini belirtin.







Next Tuşuna basarak ilerleyin.







Alt kısımda bulunan bölümler analiz dosyanızın adını ve yolunu göstermektedir. Yine üst kısımda bulunan Edit your Script sekmesine tıklayarak analiz edilecek dosyanın analiz sırasında ne gibi faktöreleri tarayacağını belirleyebilirsiniz. Detaylarına üst kısımlarda değinmiştik.







Daha sonra OK tuşuna işlemi bitirin.



Open HX Triage Collection



Redline, FireEye Endpoint Tehdit Önleme Platformu (HX) Triyaj Koleksiyonlarını analysis sessionlarda kullanmanıza olanak tanır.

Triage Collection açmak için birkaç yol var bunlar.



Triage Collectiona çift tıklayarak aktifleştirebilirsiniz.

Ana ekranda redline menüsü altında Open a Saved Analysis altında Triage Collection seçebilirsiniz.



Open Saved Analysis Session



Redline analiz sırasında kayıt dosyasını sürekli güncel tutarak kayıt eder. Kayıtlı olan bir analiz dosyasını (analysis Session) açmak için aşağıdakilerini yapabilirsiniz.



Ana ekranda Select the Analysis Session altında Recent Analysis Sessions seçeneğine tıklayarak

Ana ekranda Open Analysis sekmesine tıklayın daha sonra burdan Select the analysis session seçin.



Analysis Data (Verilerin Analizi)



Bir analiz oturumunda, Redline verileri, süreçler veya kullanıcılar gibi türlere göre otomatik olarak gruplandırır ve potansiyel uzlaşma alanlarını belirlemenize yardımcı olacak görünümler oluşturur. Örneğin, Redline yürütülen işlemler için veri ve MD5 hash ve dijital imza bilgilerini içeren bir süreç görünümü listesi oluşturur.







Analiz edilecek veri türleri analiz dosyasındaki verilerin tipine göre değişkenlik gösterir.
Bir veri türünü görüntülemek için Analysis Session altında Analysis data Windows host sekmesini seçin.



Session Information



Analiz oturumu ve ilgili dosya konumları için hangi verilerin toplandığını görmek için, Analiz Oturum Bilgileri penceresini açmak üzere redline menüden Session Information (Oturum Bilgileri)‘ni seçin. Karşınıza aşağıdaki gibi bir pencere açılacak.







Data Not Collected



Redline, Anaysis data window sekmesinde ayrıştırılamadığı analiz oturumu verilerini görüntüler.



Analiz hataları aşağıdaki sebeplerden kaynaklanabilir.



Redline Collector komut dosyasının yapılandırması.

FireEye Endpoint Tehdit Önleme Platformu (HX) Triyaj Koleksiyonu‘nun Yapılandırılması

Üçüncü parti bellek yakalama yardımcı programının sınırlamaları

Analiz edilecek verinin bulunamaması durumu



System Information



Sistem bilgisi, işletim sistemini, verileri toplamak için kullanılan kullanıcı hesabını ve BIOS bilgilerini içerir. Sistem bilgilerini görüntülemek için Analiz verileri penceresinin ana bilgisayar sekmesinde sistem bilgilerini seçip bakabilirsiniz.



Network Adapters



Ağ bağdaştırıcıları hakkında bilgi, bağdaştırıcı adı, dinamik ana bilgisayar yapılandırma iletişim kuralı (DHCP) kiralaması, ortam erişim denetimi (MAC) adresi, ınternet protokolü (IP) bilgileri, IP ağ geçitleri ve DCHP sunucularını içerir. Ağ bağdaştırıcıları hakkındaki bilgileri görüntülemek için, Analiz Verileri penceresinin Ana Bilgisayar sekmesinde Sistem Bilgileri altındaki Ağ Bağdaştırıcıları‘nı seçin.



Processes and Their Attributes



Redline, aşağıdakiler dahil olmak üzere veri toplama sırasında çalışan işlemler hakkında bilgi görüntüler





Proses isimleri

Kullanıcı isimleri

Yollar

Başlangıç ve kalan zamanlar

İmza bilgileri




İşlemler hakkındaki bilgileri görüntülemek için, Analiz Verileri penceresinin Ana Bilgisayar sekmesi altındaki İşlemler‘i seçin.



Handles



Handles, bir Windows işletim sistemindeki bir işlemden bir nesneye veya kaynağa bağlantıdır. İşletim sistemleri, dosyalar, kayıt defteri anahtarları ve diğer kaynaklar gibi iç nesnelere başvurmak için handles kullanır. Redline‘daki tanıtıcıları görüntülemek için, Analysis Data (Analiz Verileri) penceresinin Host (Ana Bilgisayar) sekmesindeki Processes (İşlemler) altındaki Handles (Handles) seçeneğini seçin.



Memory Sections



Redline, her çalışan işlemi içeren bellek bölümlerini gösterir. Bu işlemlere Memory Sections altında Process kısmından nbsp; ulaşabilirsiniz. Redline, bellek bölümlerini aşağıdaki filtrelere böler

Hatalı hafıza alanları

Sadece adlandırılmış bölümler



Strings



Redline, yakalanan dizeler hakkında bilgi görüntüler. Normal durumda redline bu verileri yakalamaz nbsp; bunu etkinleştirmek için Memory sekmesinde View and Edit your scr*ipt penceresi altında Strings seçeneğini seçmeniz gereklidir.



Ports



Kötü amaçlı yazılımlar genellikle kullanıcının girdiği komutları dinlemek ve portları dinlemek için kullanılır. Redline olağandışı veya beklenmedik kaynak ve bağlantı noktalarını özellikle sisteme ait işlemleri gözden geçirir ve denetler. Ports izlemek için Ports altında process kısmını takip edebilirsiniz.



Listening ports : aktif olarak dinlenen portları dinler.

Established Ports : diğer portlarda dinlemeleri yapar.



Parent Process Tab



Proses bilgilerini görüntülemek için Parent Process sekmesini kullanın. Parent Process altında, Seçilen Öğe Detayları bölmesinin altında görüntülenir. Aşağıdaki resimdeki gibi.







Process Information : Bu alan, görüntülemek için seçtiğiniz Process (süreç) hakkında bilgi içerir. Buna işlem adı, üst işlem adı, işlemin kullandığı yol, işlemin kullandığı argümanlar, başlangıç ??zamanı, geçen çekirdek zamanı, geçen kullanıcı zamanı ve işlemin durumu dahildir.



User Information : Bu alan, işlemin kullanıcısı hakkında bilgi içerir. Bu kısım, kullanıcı adını, güvenlik kimlik numarasını ve güvenlik türünü içerir.



Viewing Parent Process Information



Analyze Data Area alanındaki Redline kullanıcı arayüzünde, görüntülemek istediğiniz oturuma işaret eden uygun bağlantıyı tıklayın. Daha sonra zaman çizelgesi yapılandırma bölmesi aktifleşir ve uyarı sekmesi seçilir. Daha sonra
Zaman Çizelgesi Yapılandırma bölmesinin altındaki Alanlar düğmesini tıklayın. Bölmenin üstündeki Tüm Seçimi Kaldır onay kutusunu seçin. Bir işlem etkinliğini seçin. Daha sonra Sağdaki Process agent events listesinden, bir işlemi seçin. Daha sonra bölmenin altındaki Show details kısmına tıklayın. Sonra ekranda The selected Item Details sekmesi aktifleşecek. Daha sonra Parent Process sekmesine geçin. Seçilen öğre detayları görüntülenmiş olacak.



Files and Their Attributes



Redline dosya meta verileri, zaman damgaları, kullanıcı bilgileri, dosya yolu ve dijital imza gibi dosya özelliklerini görüntüler. Ayrıca, aşağıdakiler için özel listeler gösterir.





Imports

Exports

Strings

Alternate Data Streams

Program Executable (PE) information

Resource Data




Yukarıdaki dosyalara ait özelliklere ve bilgilere bakabilmek için Analysis Data Windows sekmesi altından File Systeme tıklayıp bakabilirsiniz.



File Details



Dosya sekmesine tıkladığınızda, Seçilen Öğe Detayları bölmesi görüntülenir. Denetlenen dosyayla ilgili bilgileri görüntülemek için bu bölmeyi kullanırsınız.







Yukarıda ekrandan şu bilgilere ulaşabilir ve analiz edebilirsiniz.



File Metadata : Dosya meta verileriyle ilgili bilgiler. Dosyanın tam yolu, boyutu öz nitelikleri

File Hashes : Dosyaların hash değerleri hakkında bilgiler

Timestamps : Zaman damgaları hakkında bilgiler. Bu sekme, dosyanın oluşturulduğu değiştirildiği tarihleri içerir. Ayrıca dosyanın son erişildiği tarihe yine burdan bakabilirsiniz. Ayrıca Dosya adının oluşturulduğu yeniden değiştirildiği tarihte bu kısımdan okunabilir.

User Information : Bu alan denetimlerin kullanıcısı hakkında bilgi içerir. Bu, kullanıcı adını, güvenlik kimlik numarasını ve güvenlik türünü içerir.

File Path Parts : Bu alan, kullanılan dosya yolunun bölümlerinin adlarını içerir.

denetimler. Bu, sürücü yolunu, sürücü harfini, dosya dizini yolunu, dosya adını ve dosya uzantısını içerir.

PEInfo : Bu alan, Windows işletim sistemi yürütülebilir formatı ve belleğe nasıl yüklendiği hakkında bilgi içerir.

Advanced PEInfo : Bu alan Windows işletim sistemi hakkında gelişmiş bilgiler içerir.

çalıştırılabilir format.sub-sistem tipi, temel adres, PE zaman damgası, yabancı bayt sayısı, EP atlama kodu derinliği, EP atlama kodu op kodları, PE dosyası ham sağlama toplamı, PE dosya API sağlama toplamı ve hesaplanmış API sağlama toplamı.

Digital Signature : Bu alan sertifika hakkında bilgi içerir. Bu, imzanın var olup olmadığını doğrular. Ayrıca imza, sertifika veren kuruluş ve sertifikanın konusuyla ilgili bir açıklama içerir.

Exports Information : Bu alan bir process ile ilgili exports hakkında bilgi içerir.



Viewing File Information



Veri Analiz Et alanındaki Redline kullanıcı arayüzünde, görüntülemek istediğiniz sessiona işaret eden uygun bağlantıyı tıklayın. Daha sonra zaman çizelgesi yapılandırma bölmesi aktifleşecek burdan uyarılar sekmesini seçin. Daha sonra alt kısımdaki Fields butonuna tıklayın. Üst kısımdaki Deselect All Check Box onay kutusunu seçin. Daha sonra bir işlem seçin. Sağ taraftaki kısımdan bir işlem olay örneği seçin. Daha sonra alt kısımdan Show detailse tıklayın. Seçilen öğenin detaylarını gösteren bölme ekrana yansıyacak.

File Sekmesine geçin. Dosya detayları Selected Item Details altında görünecektir.



Registry



Redline, kullanıcı bilgileri ve anahtar değerleri gibi kayıt defteri bilgilerini görüntüler. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Registry seçeneğini seçmelisiniz.

nbsp;

Windows Services



Redline, ana bilgisayar tarafından bilinen hizmetleri ve bunlarla ilgili bilgileri (örneğin, durdurulan veya devam eden) yanı sıra dijital imzalar ve hashleri görüntüler. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Windows Services tıklamanız gereklidir.



Agent Events



Redline HX Triage Collection, MIR yada Olay günlüklerini görüntüleyebilir. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Agent Events seçeneğini seçmelisiniz.

Aracı olayları altında, Redline ayrıca aşağıdaki olay türlerini de görüntüler

File write : Dosya yazma olayları, herhangi bir dosyaya yazıldığında ortaya çıkar.

Registry key : Registry key olayları, bir kayıt defteri anahtarı veya yaygın olarak kullanılan önceden yapılandırılmış bir anahtar listesinden anahtar değeri değiştirildiğinde oluşur. Yani kısacası şu registry ile ilgili analizlerin yapılması ve bir değişiklik varsa bunuda bize ayrıca bilgilendirmesi durumudur.

IP address change : IP adresi değişikliği olayları, ana bilgisayar sisteminin IP adresi değiştiğinde gerçekleşir. Ek IP adresi değişikliği olayı verileri, tarihi ve zamanı ve yeni adresi içerir.

Network connection : Ağ bağlantısı olayları, bilgisayarın ağ bağlantısı kurduğu her zaman oluşur. Bağlantısız protokoller durumunda ise (yani, ICMP gibi), herhangi bir zaman veri aktarılırken bir olay yakalanır. Ek ağ bağlantısı olay verileri, oluşturulan tarih ve saat, PID, süreç, yerel ve uzak IP, yerel ve uzak bağlantı noktaları ve protokolü içerir.

Image load : Image load eventslar, yürütülebilir veya bağlantılı bir kitaplık belleğe yüklendiğinde ortaya çıkar. resim yükleme olay verileri, tarih ve saat, PID, süreç, tam yol ve kullanıcı adı oluşturmayı içerir.

DNS lookup : DNS arama olayları, ana bilgisayar bir DNS isteği yaptığında gerçekleşir. Ek DNS arama olayı verileri, oluşturulan tarih ve saat, ana bilgisayar adı, PID ve işlemi içerir.

Process Events : Bir işlem başladığında ve işlem bittiğinde bir işlem olayı oluşur. Bir işlem, bir işlem çalışırken başlatılırsa bir işlem olayı da oluşturur.

Exploit Events : Exploit Events, bir ajan yığın püskürtme gibi belirli bir kötü amaçlı yazılım yöntemi algıladığında ortaya çıkar. Yığın püskürtme, yazılımı savunmasız bir tarayıcıda önceden belirlenmiş bir yere yerleştirme girişimi anlamına gelir.

URL Monitor Events : Bir URL‘ye erişildiğinde bir URL izleme olayı gerçekleşir.



Users



Redline, kullanıcı bilgilerini güvenlik kimliği, güvenlik türü, son giriş tarihi ve saati ve kilitli durumu olarak görüntüler.
Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Users seçeneğini seçmelisiniz.



Tasks and Their Attributes



Redline, görev bilgilerini, dosya sağlamalarını, dijital imzaları, uygulamayı ve zamanlama bilgilerini içeren zamanlanmış görev listesini görüntüler.
Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Tasks seçeneğini seçmelisiniz.



Network Ports



Kötü amaçlı yazılımlar genellikle ağ bağlantı noktaları üzerinden iletişim kurar, komutları dinler veya giden bağlantılar oluşturur. Olağandışı veya beklenmeyen bağlantı noktaları için ağ bağlantı noktası listelerini kontrol edin.
Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Ports seçeneğini seçmelisiniz.



Event Logs



Redline, günlük oluşturulduğu uygulamayı, günlüğün iletisini, kullanıcıyı, günlüğü oluşturulduğunda zaman damgasını, kaynağı ve türü içeren bir olay günlükleri listesi görüntüler.
Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Event Logs seçeneğini seçmelisiniz.



Driver Modules



Redline, yol, ad, taban, boyut ve adres dahil olmak üzere sürücü modülleri bilgisini listeler. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Driver Modules seçeneğini seçmelisiniz.



Device Tree



Kötü amaçlı yazılım yazarları bazen verileri engellemek için aygıt sürücüsü katmanlarını kullanır. Bir sistem aygıt sürücüsünün üstüne bir keylogger, dosya kaydedici veya başka bir veri çalma rutini yerleştirebilirler. Bununla birlikte, birçok aygıt sürücüsü katmanı, ortak filtreleme görevleri sağlayan meşru rutinlerdir. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Device Tree seçeneğini seçmelisiniz.



Hooks



Hooks, olağan sistem işlev mekanizmalarına enjekte edilen alt rutinlerdir ve üçüncü bir tarafın, kaynaktan hedefe hareket ederken verileri izleyip değiştirmesine izin verir. Rootkitler genellikle gizleme işlevlerini uygulamak için çekirdeğindeki Hooksları kullanır. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Hooks seçeneğini seçmelisiniz.

Redline aşağıdaki Hooksları filtreleyebilir.



IDT Hooks : Interrupt Descr*iptor Table (IDT), bir kesme vektör tablosunu uygulamak için kullanılan bir veri yapısıdır. İşlemci, kesintilere ve istisnalara doğru yanıtı belirlemek için IDT‘yi kullanır. IDT kancaları genellikle kötü amaçlıdır.

SSDT Hooks : The System Service Dispatch Table (SSDT), Microsoft Windows içindeki bir iç gönderme çizelgesidir. SSDT çağrıları genellikle hem Windows rootkit‘lerinde hem de antivirüs yazılımında bir teknik olarak kullanılır.

IRP Hooks : I / O istek paketleri (IRP‘ler), Windows Sürücü Modeli (WDM) aygıt sürücülerinin birbirleriyle ve işletim sistemiyle iletişim kurması için kullanılan çekirdek modu yapılarıdır.



DNS Entries



Redline, bilgisayarın DNS İstemcisi Hizmetleri Windows bileşeni tarafından korunan bellek içi DNS önbellek tablosunda saklanan Etki Alanı Adı Sistemi (DNS) kayıtlarından gelen bilgileri görüntüler. Görüntülenen bilgiler ana bilgisayar, kayıt adı, yaşam süresi, veri uzunluğu, bayraklar ve kayıt tipini içerir.



ARP Entries



Bir bilgisayar, temel ağ ve trafik yönlendirmesi için bir Adres Çözümleme Protokolü (ARP) tablosunu korur. Redline, IPv4 ve IPv6 ARP tablolarındaki girişler hakkında bilgi görüntüler. Görüntülenen bilgiler fiziksel, IPv4 ve IPv6 adreslerini, arabirim tipini (statik veya dinamik), önbellek türünü, son erişilemeyen ve erişilebilen tarihleri ve bir yönlendirici içeriyorsa bunlarıda gösterir. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında ARP Entries seçeneğini seçmelisiniz.



Route Entries



Redline, arabirim, hedef, ağ geçidi, protokol, rota türü (dolaylı veya doğrudan), ağ maskesi, tercih edilen ve geçerli ömürler ve köken dahil olmak üzere ağ yönlendirme girişlerini gösterir. Liste ayrıca adresin otomatik olarak yapılandırılıp yapılandırılmadığını ve girişin IPv6, geri döngü ve yayınlanmış olduğunu gösterir. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Route Entries seçeneğini seçmelisiniz.



System Restore



Windowsun sistem geri yüklemesi, kritik işletim sistemi dosyalarını ve diğer çeşitli uygulama dosyalarını izler ve geri yükleme noktaları oluşturularak zaman içinde çeşitli noktalara basit ve anında bir kurtarma sağlar. Redline, günlük dosyası; adı, oluşturulan tarih, değişiklik olayı, günlük giriş türünü değiştirme, orijinal dosya adı, geri yükleme noktası adı ve dosya öznitelikleri gibi Windows geri yükleme noktaları hakkındaki bilgileri görüntüler. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Route Entries seçeneğini seçmelisiniz.



Prefetch



Windows son çalıştırılan executed code için bir referans tutmak için prefetch kullanır. Bu başvuru% SYSTEMROOT% \\\\\\\\\\\\ Prefetch dizininde depolanır. Redline, prefetch önbellek içeriğini listeler. Her uygulama adı için, Redline yolu gösterir, son koşuyu ve oluşturulan tarihleri ve saatleri, önbelleği, boyutu ve yürütme sayısını ekrana getir. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Prefecth seçeneğini seçmelisiniz.



Disks



Redline disk adını ve boyutunu listeler. Disk bilgilerini görüntülemek için, Analysis Data Windows sekmesi altında Disks seçeneğini seçmelisiniz.



Volumes



Redline, birim için sürücü belirtimini, birim adını, türünü, aygıt yolunu, sektör başına bayt sayısını, seri numarasını ve birimler için takılı durumunu listeler. Disk üzerindeki volüme bilgilerini gösterir. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Volume seçeneğini seçmelisiniz.



Browser URL History



Redline, ana bilgisayar adı, URL, sayfa başlığı, tarayıcı adı ve sürümü, ziyaret sayısı, ziyaret sayısı, ilk ve son ziyaret tarihleri ve ilk yer işareti dahil olmak üzere Microsoft Internet Explorer, Firefox ve Chrome kullanılarak görüntülenen tek tip kaynak konum belirleyicileri (URL‘ler) hakkında bilgi görüntüler. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Browse URL History seçeneğini seçmelisiniz.

Redline, tarayıcı URL geçmişi kayıtları için aşağıdaki filtreleri uygulayabilir.



All : Bütün URL kayıtlarını gösterir.

Redirects : Bir yönlendirmenin varyasyonu olan tüm ziyaret türlerine ilişkin URL‘leri gösterir. Bu, genellikle bir kullanıcıyı kötü amaçlı bir hazırlama sunucusuna ulaşmadan önce siteden siteye geri döndürmek için kullanılır.

Visit Form : Kullanıcının başka bir sayfayı ilk gördükten sonra oluşturulan tüm URLleri gösterir. Bu, bir dizi olayın belirlenmesinde değerli bilgiler olabilir.

Visited Bookmarked URLs : Kullanıcı tarafından ziyaret edilen ve yalnızca tarayıcının yer işaretlerinden bir URL seçen URLleri gösterir. Yer imleri, kullanıcının sık sık bir web sitesini ziyaret ettiğini ve ona güvendiğini gösterebilir.

Typed URLs : Yalnızca kullanıcının adresi tarayıcıya yazarak ziyaret ettiği ve kullanıcının sitenin farkında olduğu anlamına gelen URL‘leri gösterir.

Hidden Visits : Kullanıcının doğrudan bilgisi olmadan erişilen tüm URL‘leri gösterir. Bunlar arasında, genellikle kötü amaçlı gizlenmiş JavaScript‘lerle virüs bulaşmış olabilecek gömülü reklam siteleri tarafından kullanılan gizli IFrame‘lar bulunur.

Froms : Kullanıcının veri girdiği tüm URL‘leri gösterir.



Cookie History



Çerezler, bir web sitesinin daha sonra geri almak için kullanıcının bilgisayarında bilgi depolaması için bir araçtır. En yaygın olarak, bir kullanıcının bir web sitesine yaptığı ziyaret hakkında oturum açma ve oturum bilgilerini izlemek için kullanılır. Belirli tarayıcı tabanlı etkinlik türlerini analiz etmek için çerezleri kaynak olarak kullanabilirsiniz. Redline, çerezin adı, yolu, değerini içeren Microsoft Internet Explorer, Firefox ve Chrome tarayıcı tarayıcılarını listeler; ana bilgisayar adı; tarayıcı sürümü; profil; Kullanıcı adı; oluşturma, son kullanma tarihi, son erişilen ve en son değiştirilen tarihler; dosya adı; ve dosya yolu çerezlerden alınabilir. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Cookie History seçeneğini seçmelisiniz.

Redline aşağıdaki Cookie historylerin kayıtlarını filtreleyebilir.

All : Bütün cookie bilgilerini gösterir.

Secure Cookies : Yalnızca çerezler için nadir bir kısıtlama olan ve şüpheli etkinliği belirten HTTPS üzerinden gönderilmesi gereken çerezleri gösterir.

http Only Cookies : Sadece uygulamaya gizlenen çerezleri gösterir.

Cookies witf flags : Yalnızca özellik bayrakları ayarlanmış çerezleri gösterir. Sadece Internet Explorer için geçerlidir.



Form History



Bir kullanıcı bir formdaki verileri, örneğin bir banka web sitesinde oturum açma formu veya Google arama sayfasındaki gibi basit bir metin kutusu gibi girdiğinde, form geçmişi girişi kaydedilir.Redline, tarayıcı adı ve sürümü, kullanıcı adı, profil, form alanı adı ve değeri, form türü, oluşturma ve son kullanılan tarihler, şifreleme parolası ve türü, parola, kullanıcı alan adı ve sayısı dahil olmak üzere Firefox veya Chrome‘a girilen form verilerini listeler. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında Form Gistory seçeneğini seçmelisiniz.

Redline Form history altında aşağıdaki seçenekleri filtreleyebilir.

All : Bir tarayıcı tarafından gönderilen tüm formları gösterir.

Login : Web sitelerinin login sayfalarındaki bilgileri filtreler

Normal : Login formları haricindeki diğer türleri filtreler.



File Download History



İndirilen dosyalar, saldırganların bir bilgisayara erişmek için kullanacakları yaygın bir yoldur. Kullanıcıların ilgisini çeken dosyaları indirmesi muhtemeldir. Birçok kullanıcı, güvenli olmayan .exe dosyalarının indirilmemesi ve çalıştırılmaması gerektiğini bilir. Fakat; Bununla birlikte, bir dosya ".txt" veya başka bir dosya türüne sahipse ve kullanıcı Windows Gezgini‘nde dosya uzantılarına sahipse, kullanıcı uzantının gerçek olmadığını fark etmeden dosyayı açabilir. exe ve dosya bir yürütülebilir.

Redline, kaynak URL, hedef dizin, tarayıcı adı ve sürümü, indirilen bayt, başlangıç ve bitiş tarihi, indirme türü, dosya adı, kullanıcı adı, profil, önbellek bayrakları, önbellek vuruşu dahil olmak üzere Microsoft Internet Explorer, Firefox ve Chrome kullanılarak indirilen dosyaları listeler. Bu bilgilere ulaşmak için Analysis Data Windows sekmesi altında File Download History seçeneğini seçmelisiniz.

Redline File Download history ile alakalı olarak aşağıdaki ek özellikleri (filtrelemeleri) gerçekleştirebilir.

All : Hem elle hem de otomatik olarak indirilen tüm dosyaları gösterir.

Plain Text : Bilinen düz metin uzantılarına sahip olan indirilmiş dosyaları gösterir (ör., .Txt,

.html, .htm, .xml, .css ve .js).

Images : İndirilen görüntü dosyalarını (ör., .Jpeg, .jpg, .bmp, .gif, .png, .tioff, .ico ve

Ani).

Media : Sık kullanılan ses ve video formatı uzantılarına sahip indirilmiş dosyaları gösterir

(yani, .swf, .swa, .mov, .mpeg, .mp3, .mpa, .mp4, .wma, .wav ve .midi).

PDFs : Taşınabilir belge formu (.pdf) uzantısına sahip indirilmiş dosyaları gösterir.

IE Leak records : Önbellek temizleme gerçekleştirildiğinde önbelleğe alınmış bir dosyanın kullanıldığını gösteren ve dolayısıyla sistemden kaldırılmayan yalnızca Internet Explorer LEAK kayıtlarını gösterir.

IE Redirect Records : Internet Explorer yönlendirme kayıtlarını gösterir.

Manuel Downloads : Tüma manuel yüklemeleri gösterir.

Saved ton on-standart locations : Dosya veya sistem dizinlerini programlamak gibi standart olmayan konumlara indirilen dosyaları gösterir.

Full http Header Available : Yakalanan tüm HTTP üstbilgisine sahip olan dosyaları gösterir

Large than 20 kilobytes : 20KB den büyük dosyaları filtreler.

Incomplete : tamamlanmamış yüklemeleri listeler.



Investigation



Redline, analiz edilen bilgisayardan toplanan verileri analiz eder ve Gösterge Unsurları‘na (IOCS) karşı isabetler üretir. Redline‘daki analiz oturumu verilerini incelerken şunları yapabilirsiniz.

Tabloları ve ayrıntılarını görüntüleme

Etiketleri ve yorumları görüntüleme ve kullanma

Arama

Oluşturulan beyaz listeye göre iyi verileri ayrıştırma

Verileri zaman çizelgesine göre filtreleme

Sürücüleri ve bunlarla ilgili Processleri inceleme

Analiz edilen verileri .CSV formatında dışarı çıkarma.



Indicators of Compromise (IOCs)



Analizinizin bir parçası olarak, ihlali (zararlı olduğu tahmin edilen) belirten dosyalar veya işlemler gibi belirli şeyleri aramak isteyebilirsiniz. Bu verileri tanımlamak için standart (IOC‘ler) Göstergelerini kullanabilirsiniz. (Redline kuralları)



IOC Nedir ?



Bir IOC, incelendiğinde, belirli kötü amaçlı yazılımların varlığını veya yürütülmesini veya bilinen saldırgan metodolojilerinin kullanımını (yani, şüpheli faaliyetlerin özniteliklerini) gösteren bireysel bir karakteristik veya karakter dizisidir. IOC‘ler, bir bilgisayar üzerinde tespit edilmiş olan bir saldırının adli kayıtlarıdır. Basit bir IOC, belirli incelenecek verilerin imzasını arayabilir. Bunlar, MD5 hash, derleme süreleri, dosya boyutu, ad, yol konumları, kayıt defteri anahtarları vb. Gibi geleneksel adli veriler olabilir. Daha karmaşık IOC‘ler daha gelişmiş adli tıp teknikleri kullanmaktadır. Bu IOC‘ler, saldırganların değişmesi veya saldırganların geri dönüştürülme olasılığının daha yüksek olduğu process bileşenleri ve bir yürütülebilir dosya tarafından kullanılan import ve export gibi verileri araştırır.

İyi bir IOC özellikleri şunlardır.

Saldırganın aktivitelerini net olarak tanımlar.

Hızlı ve kolayca verileri toplayıp analiz edilemesine yardımcı olur.



Data Analysis with IOCs



Redline, mevcut verileri IOC‘lerle analiz edebilir. Kullanmak istediğiniz IOC‘leri seçtiğinizde, Redline verileri gözden geçirir ve beklenen sonuçlar hakkında bazı ön bilgiler sağlar.

Analiz için IOC‘leri seçmek için.



IOC yapılandırma penceresini açın. Detaylarını yukarıda anlatmıştım. Browse tıklayın ve IOC klasörlerinizin olduğu yolu belirtin. IOC listelerini ve ayarlarını gözden geçirin. Tüm listeyi seçmek ve devre dışı bırakmak için üst taraftaki onay kutusunu işaretleyin.







IOC Reports



Redline, Verileri indicators (IOC‘ler) ile değerlendirdiğinde, IOC Raporu oluşturur. IOC Raporları aşağıdaki bilgileri içerir.

IOC hakkında içeriğin tanımı ve oluşturan hakkında detaylı bilgi içerir.

IOC raporunun oluşturulduğu lokasyon hakkında bilgi içerir.

Indicatorler hakkında detaylı bilgiler içerir.

Indicatörlerin sayısı hakkında bilgi içerir.

Bir IOC‘ye karşılık gelen her dosyayla ilişkili isabetleri gösterir.



Yeni bir rapor oluşturmak için, IOC Raporları sekmesinde Yeni IOC Raporu Oluştur‘u tıklayın. Analiz oturumunuz sırasında IOC raporunu oluşturduğunuzda, Redline bilgisayarınızda .mans dosyanızla aynı yerde bir IOC klasörü oluşturur. IOC Raporlarını açmak için Analiz Verileri (Analysis Data) penceresinin altındaki IOC Raporları sekmesini tıklayın. IOC isabetleri içeren dosyaları görüntülemek için bir IOC adı seçin. Ayrıntılarını görmek için UID‘yi tıklayın.







Detaya tıklayıp bir indicatörü genişlettiğinizde sağ tarafta bulunan View Hits seçeneğine tıklarsanız ilgili bölümün detaylarına ulaşırsınız aşağıdaki gibi.







Timeline



Zaman çizelgesi, zamana göre sıralanmış olayları (yani, onlarla ilişkili zamana sahip tüm öğeleri) görüntüler. Zaman Çizelgesi ile, yalnızca belirli kullanıcılarla ve işlemlerle ilişkilendirilmiş etkinlikleri görmek için filtreler uygulayabilirsiniz. TimeWrinkle ve TimeCrunch, listeyi daha fazla filtreleyerek yalnızca belirli bir zaman aralığında veya o sırada gerçekleşen olayları görüntüleyebilir.



Timeline Field Filter



Zaman Çizelgesi‘ndeki alan filtreleri, ilgilendiğiniz kategorileri kontrol ederek tablo görünümünden zamana bağlı olayların tüm kategorilerini hariç tutma ve dahil etme aracıdır. Sadece seçilen zaman alanını içeren olayları görüntülemek için, Zaman Çizelgesi Yapılandırma (Timeline Configuration Window) penceresindeki Alanlar (Fields) sekmesindeki seçenekleri kullanın. Herhangi bir alan kombinasyonunu seçin.

Alanlar filtresi kullanıcı ve işlem filtreleri ile birlikte çalışır. Örneğin, Fields filtresinde Oluşturulan Dosyaları ve Kullanıcılar filtresinde Yalnızca İlişkili Olayları ve JaneDoe‘yu Göster‘i seçerseniz, yalnızca JaneDoe tarafından oluşturulan dosyalar görüntülenir.







Tümünü Göster (Show Alls) seçildiğinde, seçimlerinizi değiştirmeden her olayı görüntüler; onay kutusunun temizlenmesi, filtrelenmiş listeyi geri yükler.

Tüm yeni analiz oturumları (analysis Session) için varsayılan alan filtreleri,Redline menüsü altında erişilen Redline Options penceresinde Zaman Çizelgesi Yapılandırması (Timeline Configurations) altında ayarlanır.







Timeline User Filter



Timeline‘ın kullanıcı filtresini kullanarak yalnızca dosya, işlem, kayıt defteri, olay günlükleri, görevler, URL geçmişi, dosya indirme geçmişi, çerez geçmişi ve belirli bir kullanıcıyla ilişkili geçmiş olaylarını görüntülemeyi seçebilirsiniz.

Aşağıdakilerden birini yaparak kullanıcı filtresini ayarlayın.



Zaman Çizelgesi Yapılandırması(Timeline Configuration Window) penceresindeki Kullanıcı sekmesindeki kullanıcının yanı sıra Seçilen Kullanıcıyla İlişkili Olayları Göster seçeneğini de seçin. Zaman Çizelgesi tablosu görünümünde belirli bir kullanıcı ile ilgili olayı sağ tıklayın ve Seçilen Öğeden Kullanıcıyla İlgili Öğeleri Göster‘i seçin. Tüm listeye geri dönmek için Seçilen Kullanıcıyla İlişkili Yalnızca Olayları Göster‘i temizleyin.



Timeline Process Filter



Zaman Çizelgesi‘nin işlem filtresini kullanarak yalnızca dosya, işlem, kayıt defteri, olay günlükleri, görevler, URL geçmişi, dosya indirme geçmişi, çerez geçmişi ve belirli bir işlemle ilişkili geçmiş olaylarını görüntülemeyi seçebilirsiniz.

Set the process filter by doing one of the following.

Zaman Çizelgesi Yapılandırması penceresindeki İşlem sekmesindeki İşlem isminin yanı sıra Seçilen İşlemle İlişkili Olayları Göster seçeneğini belirleyin. Zaman Çizelgesi tablosu görünümünde belirli bir işlemle ilgili olayı sağ tıklayın ve Seçilen Öğeden İşlemle İlgili Öğeleri Göster‘i seçin. Tam listeye geri dönmek için Seçilen İşlemle İlgili Olayları Sadece Göster‘i temizleyin.



TimeWrinkles?



TimeWrinkle, geçerli alanlar, kullanıcılar ve işlem filtreleriyle eşleşen bir dizi yapılandırılabilir pencerede meydana gelen olayları görüntülemek için Zaman Çizelgesi görünümünü filtrelemenizi sağlar. Custom ve item based olmak üzere iki çeşittir.



Custom TimeWrinkles



Şüpheli etkinlik gerçekleştiğinde meydana gelen zamanı biliyorsanız, zaman çizelgesini yalnızca o saatte gerçekleşen etkinliklerle sınırlamak için özel bir TimeWrinkle olarak ayarlayın. Zaman Çizelgesi Yapılandırma (Timeline Configuration Window) penceresindeki TimeWrinkle sekmesindeki Yeni Özel Zaman Ayarı‘nı tıklayın. Tarih ve saati değiştirebilirsiniz. Yeni TimeWrinkle‘ı kaydetmek için ok tuşuna tıklayın.







Item-Based TimeWrinkles



Şüpheli etkinlik gerçekleştiğinde yalnızca genel süreden daha spesifik bir şey biliyorsanız (bu dosya adı veya MD5 hash), bir öğeye dayalı TimeWrinkle kullanın. Öğeye dayalı bir TimeWrinkle öğesi, seçilen bir öğeyi (ör. Dosya, kayıt defteri anahtarı veya işlem) alır ve zaman çizelgesini, söz konusu öğenin ilişkili zaman damgalarının herhangi birinin etrafında gerçekleşen olaylara daraltır. Bunu yapabilmek için, zaman çizelgesi tablosu görünümünde bir etkinliğe sağ tıklayın ve Yeni Zaman Ayarı Ekle‘yi (Add new TimeWinkle) tıklayın. Bu işlem sonucunda belirlediğiniz zaman aralığında yeni bir Timewinkle oluşturulacak.



TimeCrunches?



Zaman Çizelgesi tablosu görünümündeki verileri azaltmak için, belirli bir alan için bir dakika içerisinde gerçekleşen etkinliklerin analizini TimeCrunch kullanarak kırpabilirsiniz. TimeCrunch, seçilen etkinlikle aynı dakika içerisinde gerçekleşen aynı türdeki etkinlikleri gizler. Gereksiz bilgileri ortadan kaldırır.

TimeCrunch oluşturmak için aşağıdakilerini yapabilirsiniz.

Zaman Çizelgesi tablosu (TimeLine Table) görünümünde bir etkinliğe sağ tıklayın ve Yeni Zaman Ayarı Ekle‘yi(Add New Time Crunch) tıklayın. Daha sonra TimeCrunch sekmesinde Yeni Özel TimeCrunch‘ı tıklayın. Zaman damgasını ve gizlenecek olayın türünü seçin. Yeni TimeCrunch‘ı kaydetmek için OK tuşuna tıklayın.







Table and Details Views



Redlineda iki türlü görünüm türü vardır. Bunlar;



Table Views

Details Views



İşlemler, görevler ve diskler gibi birden çok öznitelikleri veya bileşenleri olan alanlar için, Redline tüm alt öğelerin ve bunların ilgili ana öğelerinin genel listesini görüntüler. Belirli bir öğe ve özellikleri hakkında ayrıntılı bilgi için ayrıntılar görünümünü açabilirsiniz.



Table Views



Sistem bilgisi ve ağ bağdaştırıcıları dışındaki görüntülenen tüm veriler Analiz Verileri penceresinin Ana Bilgisayar sekmesinde bir tablo olarak görüntülenir. Tablo görünümü klasik bir görünümdedir. Sütunları sıralamak için sütunları sürükleyip bırakın. Sütunların detaylarına bakmak için tablo başlıklarına sağ tıklayabilirsiniz.







Details Views



Herhangi bir detayı açmak için tablo görünümünde herhangi bir satıra çift tıklayın. Daha sonra ekranın sağ tarafında ayrıntılar bölmesini açmak için ayrıntıları göstere tıklayın.







Alt tarafta bulunan Alert sekmesinde ise seçtiğiniz durumla alakalı uyarıları görebilirsiniz.







En üstteki düğme : Dosya yolu şüpheli kelimeyi .meg içerdiğinden, bir dosya yazma olayı hakkında uyarı ayrıntılarını görüntüleyen bir HX bölmesini açar.

İkinci düğme : .meg uyarısı için gösterge ayrıntılarını görüntüleyen bir HX bölmesini açar.

Üçüncü düğme : Dosya yolu .txt olan, bir dosya yazma olayı hakkında uyarı ayrıntılarını görüntüleyen bir HX bölmesini açar.



Find



Redline‘daki tüm tablo görünümleri, geçerli tablo görünümünde belirli verileri bulmanıza yardımcı olacak araçları mevcuttur. Örneğin, bir kredi kartı numaranız var. Bul‘u kullanarak, tüm işlemler dizesindeki tüm dizeleri tarayabilirsiniz. Belirli verileri bulmak için metin kutusuna bir arama terimi veya normal ifade yazın. Girilen terim normal ifade ise Reg Ex seçeneğini tıklayın. Aramalarda büyük / küçük harf duyarlılığı yoktur.







MD5 Whitelist



Redline, geçerli olduğu bilinen güvenliği doğrulanmış MD5 hash değerlerinin bir listesi olan beyaz listeyi kullanarak verileri filtrelemeyi destekler. Beyaz listeye göre filtreleme yapıldığında, Redline beyaz listede MD5 hash değeri olan herhangi bir dosyayı görüntülemez. Redline içerisinde çeşitli işletim sistemi bileşenlerinin MD5 hash değerleri varsayılan olarakbir whitelist içerisinde gelir. Kullanıcı eğer ister ise bu listeleri düzenleyebilir. Bunun için Redline ana meüsü altında Redline Options tıklayıp aşağıdaki ekranı çağırın.







Sol taraftaki Whitelist Management sekmesine tıklayıp sağ tarafta açılan menüden Browse tıklayarak yeni bir güvenli liste yükleyebilirsiniz.



Tags and Comments



Üst düzey analiz verilerini, kullanıcı tarafından yapılandırılabilen altı etiketden biriyle etiketleyebilir ve yorum ekleyebilirsiniz. Ayrıca, herhangi bir tablo görünümünü, atanan belirli etiketlere veya yorum eklenmiş olup olmadığına göre filtreleyebilirsiniz.



Add Tags and Comments



Sistem bilgisi dışındaki Analiz Verileri penceresindeki tüm üst düzey öğelere etiketler ve yorumlar ekleyebilirsiniz. Hiyerarşik süreçlere etiketler ekleyebilir, atanmış etikete göre hiyerarşik süreçleri filtrelemezsiniz. Belirli bir öğeye bir etiket ve / veya yorum eklemek için aşağıdakilerden birini yapın.

Yeni tag ekle butonuna tıklayın bu buton beyaz stiker şeklinde bir butondur üst kısımda görüceksiniz.

Tablo görünümünde birden fazla öğe seçmek için tek bir öğe seçin veya Ctrl veya Shift tuşlarını kullanın. Böylece seçmek istediğiniz verileri klasik Windows tuş kombinasyonları seçin daha sonra Uygulanacak etiketi seçin.







Bir öğeye yorumda eklemek isterseniz. Etiket ve Yorumlar sekmesini tıklayarak Etiketler ve Yorumlar penceresini açın. öğenin ayrıntıları görünümüne gelin. Alt kısma yorumunuzu ekleyin Yorum eklemenin tek yolu budur.







Etiketler ve yorumlar analiz oturumu ile kaydedilir. Örneğin, yeşil etiketli 10 kullanıcıyı işaretlerseniz ve analiz oturumunu kapatırsanız, aynı 10 kullanıcısı analiz oturumunu tekrar açtığınızda yeşil etiketlere sahip olur.

Filter by Tags and Comments


nbsp;Tablo görünümünde, tag butonuna tıklarsanız sütun etiketi görüntülenir. Gri etiket simgesi, hiçbir etiket veya yorumun uygulanmadığı anlamına gelir. Etiketleri ve / veya yorumları olan öğeler için, açıklamayı görüntülemek veya araç ipucunda yorum yapmak için etiketin üzerine gelin. Tablo görünümünü sıralamak için etiketler sütunundaki başlığa tıklayın. Filtreler penceresindeki Etiketler / Yorumlar sekmesini seçin.



nbsp;Öğeleri yalnızca belirli etiketlerle görüntülemek için tablo görünümünü sınırlamak için etiketleri seçin. Etiketi olmayan tüm öğeleri görüntülemek için Etiket Yok‘u seçin.


Customize Tags


nbsp;Varsayılan olarak, Redline aşağıdaki yapılandırılabilir etiketlere sahiptir.

Takip Gerekli (turuncu)

Temiz (Sarı)

Rapora dahil et (kırmızı)

Diğer (Mor)

False Positive (Mavi)

Escalate (Yeşil)








Redline options ayarlarında sol tarafta en altta bulunan sekmeye tıklarsanız Tag ayarlarına ulaşabilirsiniz. Burda yeni taglar oluşturup istediğin değerleri verebilirsiniz.

Advanced Filter

nbsp;Gelişmiş filtreler, bir sütunun içindeki parametreleri dar olarak tanımlamak için değerler girerek daha ayrıntılı veri listeleri elde etmenizi sağlar. Bir sütuna birden çok gelişmiş filtre uygulanabilir. Bir sütuna birden çok filtre uygulandığında, bunlar mantıksal bir VEYA ifadesi olarak işlev görür.

Gelişmiş filtreler aşağıdaki sütunlara uygulanabilir.

Process Name

PID

Path

Arguments

Username

Start Time

Kernel Time

User Time Elapsed

Hidden

Security ID

SID Type

Parent Name

Parent PID

MD5

Signature Descr*iption

Certificate Issuer

Timestamp

Field

Summary

Handle Name

Handle Type

Occurrence

Address

Object Address

Count

Section Name

Certificate Subject

Handle Index

Module Init

MemD5

SHA1

SHA256

Protection

Region Start

Region Size

Raw Flags

String

Created

State

Local IP Address

Remote IP Address

Remote Port

Protocol

Module Base


nbsp;Bu filtrelemeleri aynı exceldeki mantıksal formüller gibi düşünebilirsiniz. Çalışma mantıkları aynıdır.




Adding Filters

Bir filtre eklemek için exceldeki gibi ters huni şeklinde simgeye tıklayın. Sütunun baş tarafında bu simgeyi göreceksiniz. Buna tıkladığınızda filtre penceresi ekrana gelmiş olacak.

Daha sonra verileri görüntülemek istediğiniz öğe niteliklerini seçin.

Daha sonra Filtre penceresinin sağ alt kısmındaki filtreye tıklayın.






Bu sütuna gelişmiş bir filtre eklemek için;

Sütunun baş tarafındaki filtreleme seçeneğine tıklayın. Filtre penceresi ekrana gelecektir.

Açılır menüden bir parametre seçin. Açılır menüde listelenen öğeler sütuna göre değişir.

Açılır menünün altındaki metin alanına parametreyi tanımlayan değerleri girin. Filtre penceresinin en altındaki Filtre Ekle‘yi tıklayın veya filtreyi eklemek için Enter tuşuna basın. Yeni filtre Filtre Ekle düğmesinin altında görünür.

Ek filtreler eklemek için 1 - 4 arası adımları tekrarlayın.

Filtre eklemeyi bitirdiğinizde filtre penceresini kapatmak için X simgesine tıklayın.

Bir sütuna bir filtre eklendikten sonra, bu sütunun başlığı kırmızıyla belirtilir.




Copy

nbsp;Redline, bir satır veya tablo görünümünde mevcut olan tüm satırları, başlıklı veya başlıksız, virgülle ayrılmış değer (CSV) biçiminde kopyalama seçeneğine sahiptir.

Bir öğeyi kopyalamak için tablo görünümünde sağ tıklayın ve Üstbilgilerle Kopyala veya Kopyala‘yı seçin. Tüm öğeleri bir tablo görünümünde kopyalamak için, sağ tıklayın ve Tümünü Seç‘i seçin, ardından tekrar sağ tıklayın ve Üstbilgilerle Kopyala veya Kopyala‘yı seçin.

CSV File Export

nbsp;Redline, tablo görünümünde görüntülenen verileri doğrudan virgülle ayrılmış bir değer (CSV) formatlı dosyaya verebilir. Dışa aktarma, sütunun görünümden gizlenip gizlenmediğine bakılmaksızın her denetim türü için olası tüm alanları içerecektir.

Using MIR Audits for Redline

nbsp;Intelligent Response® (MIR®) için Mandiant, tehdit algılama ve yanıt için kurumsal düzeyde bir çözümdür. MIR kullanarak, binlerce ana bilgisayar otomatik olarak izlenebilir ve ayıklanabilir. MIR, makineyi fiziksel olarak ziyaret etmek veya idari kimlik bilgilerini bulmak zorunda kalmadan, Redline‘ın ihtiyaç duyduğu aynı bellek analiz verilerini uzaktan toplayabilir.

Creating a MIR Audit Job

nbsp;MIR ağında Aracılardan bilgi toplamak için;


nbsp;File menüsü altında New ve Host Audit Joba tıklayın. Hedefler alanını denetlemek istediğiniz Bilgisayarları seçin. Bunları Hosts kütüphanesinden veya Etiketler kitaplığından sürükleyerekte kullanabilirsiniz. Audit Module to Add seçin. Ve modüllerinizi yapılandırın.

nbsp;Redline ile kullanmak için, aşağıdaki modülleri ve ayarları etkinleştirmeniz gerekir.


System Information

Drivers by Signature (DriverList)ve alt grpları

Verify Digital Signatures

Drivers by Memory (ModuleList)

Hook Detection ve alt grupları

Process Listing (Memory)ve alt grupları



Daha sonra Save yapıp kaydedin ve çıkın.


Reporting

Gerçekleştirdiğiniz her analizinin bir raporunu oluşturabilirsiniz. Raporda aşağıdaki bölümleri dahil edebilirsiniz;


Başlangıç verileri

Önemli bulgular (hangi bilgisayarlarda tehditler olduğu)

Bilgisayarların saldırganlar tarafından ele geçirildiği tarihler

İncelenen kanıtların listesi

Olayların Zaman Çizelgesi. Olaylar, tarih, saat ve olayı içeren bir tablo olarak sunulur.

Ayrıntılar. Yapılan her analiz için detaylar ve ilgili bulgular.


Makalenin PDF Versiyonu

Kaynak

Kaynak



   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©