Anasayfa » Arşiv Engin Kosova

Yazar: Engin Kosova

Multi Process appidcertstorecheck.exe and conhost.exe

Bir sistem üzerinde yukarıdaki şekilde çok fazla “appidcertstorecheck.exe” ve buna bağlı “conhost.exe” görüyorsanız (NŞA, exe üzerinde herhangi bir manipülasyon olmadığında) sisteminizde applocker uygulanmış ve ilgili client’ ın internet erişimi ya tamamen kapatılmıştır yada Proxy üzerinden çıkıyordur. Appidcertstorecheck ne iş yapar? Bu exe (AppID Certificate Store Verification Task) trigger edil...

AD User Password Last Set Change

İçinde bulunduğumuz ortam nedeni ile imkanı olan bir çok firma uzaktan bağlantı imkanlarını sonuna kadar zorluyor. Yalnız uzaktan bağlantılarda AD üzerinde belirlenen Password Policy zamanları uzak bağlantılarda self service portal alt yapıları olmayan sistemlerin bu dönemde ciddi sıkıntıları oluşacak. Çünkü şifresi expire sürecine girmiş user erişim sağlamaya çalıştığında red alacak. Bu durumda d...

Türk Hackerlar Yunan Hükümeti'nin web sitelerini ve yerel borsalarını vurdu

Yunan basınında çıkan haberlere göre, Cuma akşamı Türk hackerlar, Parlamento’nun Yunan web sitelerinde ve Dışişleri ve Maliye Bakanlığı, Ulusal İstihbarat Servisi (EYP) ve Atina Menkul Kıymetler Borsasına DDoS saldırısı yaptı. DDOS saldırıları, web sitelerinin çalışmaz hale gelmesini sağladı ve Yunanistan güvenlik nedeniyle geçici olarak erişimleri kapattı. Türk hacker grubu Anka Neferl...

CVE-2020-0601 – Microsoft Security Updates

14 Ocak 2020 günü yayımlanan yılın ilk yamanın ciddi bir açığı kapattığı ortaya çıktı. Windows 10, Windows Server 2016 ve 2019 sürümlerinde bulunan kritik bir açık “crypt32.dll” üzerinde bulunmakta. Açığı kullanan saldırgan sahte bir kod imzalama sertifikası kullanarak bu güvenlik açığından yararlanabiliyor ve kendisini güvenli ve yasal bir kaynakmış gibi gösterebiliyor. Başarılı bir MiM atak sald...

Client Side Decryption TLS (https://)

Https trafiğinde oluşabilecek problemlerin çözümü için yapılan client side paket analizini inceleyeceğiz.    Öncelikle Windows 10 client üzerine WireShark kurulumu gerçekleştiriyoruz. Ardından aşağıdaki şekilde System içerisine “Environment” tanımlıyoruz. Bu işlem ile sunucu ile client arasında gerçekleşen şifreli trafiğin key exportunu çıkarıyoruz Ardından WireShark açarak, Edit –...

Active Directory Attribute Editor

Bazen gerekli bilgileri görüntülemek için bazen de bu veriler üzerinde değişiklik yapmak için objenin “Attribute Editor” alanına ulaşmamız gerekiyor. Yapımızda bu işlemler için 3. Parti bir uygulama yada Powershell kullanmıyorsak  MMC konsol (dsa.msc) üzerinden bu işlemleri gerçekleştiriyoruz. OU yapımız çok kırılımlı değil ise konsol üzerinde View alanından “Advanced Features” özelliğini akt...

AD Account Lockout ByPass

En bilindik AD güvenlik sıkılaştırmalarından biri olan Account Lockout ayarlamaları en basit yapılarda bile şifre ataklarının önüne geçilmesi için ciddi bir önlemdir. Ancak bir kullanıcı veya servis hesabının çalıştığı sistem kilitlenmemiş yada remote code execution ile erişiminiz mevcut ise aşağıdaki şekilde herhangi bir lock durumu oluşturmadan dilediğiniz kadar şifre test etmenize olanak tanıyo...

Kaldırma Seçeneği Olmayan Windows Güncellemelerini Nasıl Kaldırırım?

Microsoft, bazı Windows güncelleştirmelerinin uninstall seçeneğini aktif etmiyor. Ancak yapımızdaki bazı gerekliliklerden yada güncelleme nedeni ile yaşanan geçici sorunlardan dolayı uninstall edilmesi gerekebiliyor. Bu durumda aşağıdaki adımları izliyoruz. Örneğin ben sistemim üzerinde yüklü olan “KB4485449” numaralı Windows güncellemesini kaldırmak istiyorum ancak denetim masasından ilgili alana...

Powershell ve Cmd ile USB Aygıtın Disable/Enable edilmesi

Bazı gereklilik durumlarında donanımların otomatik olarak enable/disable edilme ihtiyaçları oluşabiliyor. Örneğin sisteminize bağlı bir USB depolama cihazının sadece kopyalama yada backup zamanlarında aktif olması bu işlemler tamamlandıktan sonra tekrar otomatik olarak disable duruma geçmesi ihtiyacı olabilir. Bu gibi durumlar için aşağıdaki adımları takip ederek işlemlerimizi gerçekleştirebilir v...

Trend Micro Office Scan Agent Uninstall, Unload ve Unlock Password Bypass

Trend Micro Office Scan Agent USB engelleme vb. bir çok özelliği ile birlikte kullanılabilmekte. Uygulanan bu politikalar değiştirilmesin diye Unload,Unlock ve Uninstall gibi işlemleri şifre ile korunmaktadır. Biz testimizde bir admin mecbur kalır ise bu şifre isteğini aşılarak nasıl işlem yapabileceğini test edeceğiz. Nedeni ise; Şifre değişikliğinin update ile agent tarafından alınamadığı, daha ...

Microsoft AD CA üzerinden Otomatik Sertifika Yenileme ve IIS Otomatik Sertifika Rebind

IIS üzerinde site ilk defa kurulurken CA üzerinden sertifika almak ve bunun bind edilmesi rutin bir işlem. Ancak sorun, bu sertifikaların expire olma zamanlarında yaşanıyor. Özellikle büyük yapılarda bunun yaşanmaması için port dinleyerek bind edilen sertifikaları raporlayan ücretli uygulamalar mevcut. Çünkü yapı büyüdükçe sertifikaların expire olma süreçlerinin manuel takibi zorlaşıyor. Evet, en ...