Yazar : M. Alparslan Akyıldız

Bu kitapta APT ve karmaşık saldırı analizleri için siber saldırı analizi, tehdit avı ve siber tehdit istihbaratı konuları anlatılmıştır. Birinci bölümde temel kavramlar, Cyber Kill Chain, APT grupları, siber tehdit istihbaratı anlatılmıştır. İkinci bölümde örnek bir ağ üzerinde kurulan demo lab üzerinde APT demosu yapılarak phishing, web ataklar, RCE exploitler, tünelleme teknikleri, leteral movment, password sparying gibi yöntem ve teknikler ile ilerleyen bölümlerde analizi yapılacak saldırının, saldırgan gözüyle nasıl yapıldığı anlatılmıştır. Üçüncü bölümde daha önceden üretilen örnek Siber saldırı ağ trafik dosyaları zerinde ağ taraflı analizle, saldırı, dosya aktarımı ve tünellemeler için analizler yapılarak, bu saldırı tiplerini trafikte süzmek ya da korelasyon kuralları yazabilmek adına filtreler üretilmiştir. Dördüncü bölümde webshell analizlerine ve webshell tespitine değinilerek çeşitli yöntemler aktarılmıştır. Beşinci bölümde Windows prosesleri anlatılarak, hafıza bellek döküm analizleri ile alakalı bilgiler ve uygulamalar okura aktarılmıştır. Process injection, hollowing, thread injection ve hooking yöntemleri uygulanarak adımları çıkartılmıştır. Daha sonra Sysmon konusu okurlara aktarılarak Log toplama ve analizi konusunda bilgiler verilmiştir. Tüm bu bilgiler paylaşıldıktan sonra, ikinci bölümde APT demosunda gerçekleştirilen saldırıların adım adım analizi yapılmıştır. Altıncı bölümde tehdit avı sırasında bulunan zararlıların zararlı yazılım analizleri yapılarak IOC'leri yazılmıştır. Toplanan analiz verileri ile örnek ağda komuta kontrol sunucuya yapılan karşı atak ile ele geçirilen C2 server ve IOC'lerden TTP elde edilerek tehdit avı raporu çıkartılmıştır. Daha az göster