Capture The Flag (CTF): Siber Güvenlik Eğitiminde Pratik Uygulama
Siber güvenlik alanında teorik bilgilerin pratik becerilere dönüşmesini sağlayan en etkili yöntemlerin başında Capture The Flag (CTF) yarışmaları ve simülasyonları gelir. CTF, katılımcıların kasıtlı olarak zafiyet barındıran sistemlere sızarak, şifreli dosyaları çözerek veya ağ trafiklerini analiz ederek gizlenmiş "bayrakları" (genellikle flag{...} formatındaki metin dizeleri) bulmaya çalıştıkları uygulamalı bir eğitim modelidir.
Öğrenciler için izole edilmiş bir ortamda gerçek dünya tehditlerini simüle etmek, analitik düşünme ve problem çözme yeteneklerini en üst düzeye çıkarır.
1. Giriş
CTF (Capture The Flag), siber güvenlik alanında bilgi ve becerileri geliştirmek amacıyla düzenlenen yarışmalardır. Katılımcılar çeşitli güvenlik problemlerini çözerek "flag" adı verilen gizli metinleri bulmaya çalışırlar.
Örnek flag:
flag{th1s_1s_4_s4mpl3_fl4g}
CTF'ler gerçek saldırı tekniklerini öğretirken aynı zamanda savunma bakış açısını da geliştirir.
2. CTF'nin Tarihçesi
İlk modern CTF yarışmaları 1990'larda ABD'de düzenlenen hacker konferanslarında ortaya çıkmıştır.
Özellikle:
DEF CON CTF
BSides CTF
Hack The Box
TryHackMe
gibi organizasyonlar günümüzde milyonlarca kişinin CTF öğrenmesini sağlamaktadır.
3. CTF Türleri
A) Jeopardy CTF
En yaygın türdür.
Sorular kategorilere ayrılır:
| Kategori | Konu |
|---|---|
| Web | Web güvenliği |
| Crypto | Kriptografi |
| Reverse | Tersine mühendislik |
| Forensics | Adli bilişim |
| OSINT | Açık kaynak istihbaratı |
| Pwn | Binary sömürüsü |
| Misc | Çeşitli |
Örnek:
Web 100 puan
Katılımcı:
Siteyi inceler
Açıkları araştırır
Flag'i elde eder
B) Attack-Defense CTF
Gerçek kurum ortamına daha yakındır.
Takımlar:
Kendi sistemlerini korur
Rakip sistemlere saldırır
Amaç:
Savun + Saldır
Bu tür oldukça ileri seviyedir.
C) King of the Hill
Bir sunucuyu ele geçirip mümkün olduğunca uzun süre elde tutmaya çalışırsınız.
Örnek:
SSH erişimini ele geçir
D) Boot2Root
Amaç:
Düşük yetki → Root yetkisi
Adımlar:
Açık bul
Sisteme gir
Yetki yükselt
Root flag al
4. CTF Kategorileri
Web Security
En popüler kategoridir.
Öğrenilen konular:
SQL Injection
XSS
SSRF
XXE
LFI
RFI
Authentication Bypass
Örnek:
https://site.com/profile?id=1
SQL Injection:
1' OR 1=1--
Flag dönebilir.
Cryptography
Şifreleme algoritmalarının analizi.
Örnekler:
Caesar Cipher
Vigenere
RSA
AES
DES
XOR
Örnek XOR:
cipher = b"\x12\x15\x14"
Reverse Engineering
Amaç:
Programın nasıl çalıştığını anlamaktır.
Araçlar:
Ghidra
IDA Free
x64dbg
Radare2
Örnek:
if(password=="admin123")
Binary içerisinde parola bulunabilir.
Digital Forensics
Dijital delil inceleme alanıdır.
İncelenen dosyalar:
Disk imajları
Bellek dökümleri
Log kayıtları
Ağ trafiği
Araçlar:
Wireshark
Volatility
Autopsy
ExifTool
OSINT
Açık kaynak istihbaratı.
Araştırılanlar:
Alan adları
Sosyal medya
Metadata
Whois kayıtları
Araçlar:
Maltego
SpiderFoot
Shodan
Censys
Steganography
Veriyi başka veriler içine gizleme sanatı.
Örnek:
Bir PNG içerisinde flag saklanabilir.
Araçlar:
strings image.png
binwalk image.png
zsteg image.png
Pwn / Binary Exploitation
En ileri kategorilerden biridir.
Öğrenilenler:
Buffer Overflow
Return Oriented Programming
Heap Exploitation
Format String
Örnek:
char buffer[64];
Bu kod Buffer Overflow'a açıktır.
5. CTF İçin Kullanılan Araçlar
Kali Linux
İçerisinde yüzlerce güvenlik aracı bulunur.
Wireshark
Ağ trafiği analiz edilir.
Örnek:
Follow TCP Stream
Flag doğrudan görülebilir.
Burp Suite
Web uygulama testlerinde kullanılır.
Özellikleri:
Proxy
Repeater
Intruder
Decoder
Nmap
Ağ keşfi yapar.
nmap -sV 192.168.1.100
Gobuster
Dizin keşfi.
gobuster dir -u http://target -w wordlist.txt
John The Ripper
Parola kırma.
john hashes.txt
6. Tipik Bir CTF Çözüm Süreci
Adım 1 – Bilgi Toplama
nmap target
Adım 2 – Servis Analizi
22 SSH
Adım 3 – Açık Araştırması
searchsploit apache
Adım 4 – İlk Erişim
Exploit çalıştırılır.
Adım 5 – Yetki Yükseltme
Linux:
sudo -l
Windows:
whoami /priv
Adım 6 – Flag Alma
cat user.txt
cat root.txt
7. Başlangıç İçin En İyi Platformlar
TryHackMe
Başlangıç için idealdir.
Konuları adım adım öğretir.
Hack The Box
Gerçekçi laboratuvarlar içerir.
OverTheWire
Linux öğrenmek için mükemmeldir.
picoCTF
Öğrenciler için hazırlanmıştır.
CTFtime
Dünyadaki CTF yarışmalarını listeler.
8. CTF'de Geliştirilen Beceriler
CTF sayesinde:
✅ Linux hakimiyeti
✅ Ağ bilgisi
✅ Programlama
✅ Kriptografi
✅ Tersine mühendislik
✅ Adli bilişim
✅ Web güvenliği
✅ Problem çözme
✅ Tehdit analizi
gelişir.
9. Yeni Başlayanlar İçin Öğrenme Yol Haritası
Seviye 1
Linux Temelleri
TCP/IP
HTTP
DNS
Seviye 2
Nmap
Wireshark
Burp Suite
Seviye 3
Web Güvenliği
SQL Injection
XSS
Seviye 4
Reverse Engineering
Cryptography
Seviye 5
Binary Exploitation
Active Directory
Red Teaming
10. Sonuç
CTF yarışmaları, siber güvenliği öğrenmenin en etkili yollarından biridir. Gerçek sistemlere zarar vermeden laboratuvar ortamında keşif, analiz, savunma ve güvenlik testleri yapmayı öğretir. Özellikle senin ilgi alanların olan Wireshark, Maltego, Shodan, Censys, DFIR ve SOC konularında uzmanlaşmak istiyorsan CTF'ler çok güçlü bir pratik alan sağlar.
🚩 50 Soruluk Uygulamalı CTF Eğitim Kampı
(Wireshark + OSINT + Web Security + Forensics + Cryptography)
Bu kamp, sıfırdan başlayıp orta seviyeye kadar ilerleyecek şekilde tasarlanmıştır. Amaç yalnızca soruları çözmek değil, aynı zamanda bir siber güvenlik uzmanının düşünme biçimini geliştirmektir.
🏁 Bölüm 1 – Wireshark (10 Görev)
Görev 1 – HTTP Trafiğinde Flag Arama
Bir PCAP dosyasında aşağıdaki HTTP isteği görülüyor:
GET /flag.txt HTTP/1.1
Soru
Wireshark'ta hangi özellik kullanılarak isteğin içeriği kolayca görüntülenebilir?
Görev 2 – TCP Stream Analizi
Bir ağ yakalamasında yüzlerce paket bulunuyor.
Görev
İstemci ve sunucu arasındaki konuşmanın tamamını görüntüleyin.
İpucu
Follow TCP Stream
Görev 3 – DNS Sorguları
PCAP içinde aşağıdaki alan adı sorgulanıyor:
secret.ctf.local
Görev
DNS paketlerini filtreleyin.
Beklenen Filtre
dns
Görev 4 – Şüpheli Dosya İndirme
Bir kullanıcı internetten dosya indiriyor.
Görev
HTTP üzerinden indirilen dosyayı dışarı çıkarın.
İpucu
File → Export Objects → HTTP
Görev 5 – Şifre Yakalama
Aşağıdaki veri ağ üzerinden düz metin gönderiliyor:
username=admin
Soru
Hangi protokol kullanılmış olabilir?
Görev 6 – ARP Zehirleme Tespiti
Aynı IP adresi için sürekli farklı MAC adresleri görülüyor.
Görev
Saldırının türünü belirleyin.
Görev 7 – ICMP Tünelleme
Ping paketleri içinde gizli veri gönderiliyor.
Görev
Şüpheli protokolü belirleyin.
Görev 8 – HTTP User-Agent
Şu User-Agent tespit edildi:
sqlmap/1.8
Soru
Bu neyi gösterir?
Görev 9 – Ağdaki En Aktif Host
Görev
En fazla trafik üreten IP'yi bulun.
İpucu
Statistics → Endpoints
Görev 10 – Gizli Flag
TCP Stream içinde:
flag{network_forensics_master}
Görev
Flag'i bulun.
🌐 Bölüm 2 – OSINT (10 Görev)
Görev 11 – Whois Analizi
Alan adı:
example.com
Görev
Kayıt kuruluşunu öğrenin.
Görev 12 – DNS Kayıtları
Görev
MX kayıtlarını bulun.
Görev 13 – Metadata Avı
Bir fotoğraf paylaşılıyor.
Görev
Çekildiği cihazı bulun.
Araç
exiftool image.jpg
Görev 14 – Sosyal Medya Araştırması
Bir kullanıcı adı:
cyberhunter
Görev
Hangi platformlarda kullanıldığını araştırın.
Görev 15 – Google Dork
Görev
PDF dosyalarını listeleyin.
Örnek:
site:example.com filetype:pdf
Görev 16 – Wayback Machine
Görev
Bir sitenin eski sürümünü inceleyin.
Görev 17 – Alt Alan Adları
Görev
Subdomain keşfi yapın.
Araç:
subfinder -d example.com
Görev 18 – Shodan
Görev
Açık RDP servislerini araştırın.
Görev 19 – Censys
Görev
SSL sertifikalarını inceleyin.
Görev 20 – Flag Avı
Bir GitHub deposunda:
flag{osint_detective}
bulunuyor.
Görev: Flag'i keşfedin.
🔐 Bölüm 3 – Cryptography (10 Görev)
Görev 21 – Caesar Cipher
Şifreli metin:
KHOOR
Görev
Çözün.
Görev 22 – ROT13
synt{ebg13}
Görev
Açın.
Görev 23 – Base64
ZmxhZ3tiYXNlNjRfZWFzeX0=
Görev
Decode edin.
Görev 24 – XOR
Anahtar:
0x42
Şifreli veri çözülmeli.
Görev 25 – Hex
666c61677b6865787d
Görev
ASCII'ye çevirin.
Görev 26 – Binary
01100110 01101100 01100001 01100111
Görev
Metne dönüştürün.
Görev 27 – RSA
Görev
Public Key incelemesi yapın.
Görev 28 – Hash Türü
5f4dcc3b5aa765d61d8327deb882cf99
Görev
Hash türünü bulun.
Görev 29 – Hash Cracking
Araç:
john hash.txt
Görev 30 – Flag
flag{crypto_master}
🌍 Bölüm 4 – Web Security (10 Görev)
Görev 31 – SQL Injection
' OR '1'='1
Soru
Bu hangi saldırı türüdür?
Görev 32 – XSS
<script>alert(1)</script>
Görev
Açığı tanımlayın.
Görev 33 – LFI
?page=../../etc/passwd
Görev
Açık türü nedir?
Görev 34 – Cookie Analizi
Şu değer görülüyor:
admin=false
Görev
Yetki yükseltme ihtimali var mı?
Görev 35 – Robots.txt
Görev
Gizli dizinleri araştırın.
Görev 36 – Directory Discovery
gobuster dir -u http://target
Görev 37 – HTTP Header
Görev
Sunucu teknolojisini belirleyin.
Görev 38 – JWT
JWT içeriğini inceleyin.
Görev 39 – Burp Suite
Görev
İsteği yakalayın ve değiştirin.
Görev 40 – Flag
flag{web_security_pro}
🔍 Bölüm 5 – Digital Forensics (10 Görev)
Görev 41 – Strings Analizi
strings suspicious.exe
Görev 42 – ZIP Şifresi
Şifreli arşivi inceleyin.
Görev 43 – Gizli Metin
PNG dosyasında veri saklanmış.
Araç:
zsteg image.png
Görev 44 – Binwalk
Firmware inceleyin.
binwalk firmware.bin
Görev 45 – Volatility
Bellek dökümünden çalışan süreçleri bulun.
vol.py pslist
Görev 46 – Event Log
Windows olay günlüklerini inceleyin.
Görev 47 – Prefetch
Çalıştırılan programları bulun.
Görev 48 – Registry
USB geçmişini analiz edin.
Görev 49 – Timeline
Olay zaman çizelgesi oluşturun.
Görev 50 – Final Flag
flag{forensics_hunter}
🎓 Kamp Sonunda Kazanılacak Yetenekler
✅ Wireshark ile PCAP analizi
✅ OSINT araştırma metodolojisi
✅ Kriptografi temelleri
✅ Web güvenlik açıklarının tanınması
✅ Adli bilişim incelemeleri
✅ CTF çözüm yaklaşımı
✅ Araç kullanımı (Wireshark, Burp, ExifTool, Volatility, Gobuster, John, Binwalk)
✅ SOC ve DFIR çalışmalarına temel oluşturacak analiz becerileri
1. CTF Disiplinleri ve Kategorileri
Kapsamlı bir CTF müfredatı, farklı yetkinlik seviyelerini hedefleyen çeşitli kategorilerden oluşur. Aşağıdaki tablo, temel CTF disiplinlerini ve hedeflenen kazanımları özetlemektedir:
| Kategori | Odak Noktası | Teknik Kazanımlar |
| Web Exploitation | Web uygulamalarındaki yapılandırma hataları ve zafiyetlerin sömürülmesi. | SQL Injection, XSS, Command Injection, Güvenli Kodlama Prensipleri |
| Reverse Engineering | Derlenmiş dosyaların (binary) veya yazılımların tersine mühendislik araçlarıyla analiz edilmesi. | Assembly dili okuma, Decompile işlemleri, Bellek yönetimi mimarisi |
| Forensics (Adli Bilişim) | Dijital delillerin incelenmesi. | Wireshark ile PCAP (ağ paket) analizi, disk imajı inceleme, zararlı yazılım tespiti |
| Cryptography | Şifreleme algoritmalarının ve zayıf kriptografik uygulamaların kırılması. | Hash fonksiyonları, simetrik/asimetrik şifreleme, Encode/Decode süreçleri |
| Pwn (Binary Exploitation) | Bellek taşması (Buffer Overflow) gibi hataları kullanarak sistemlerde kod çalıştırma. | Stack/Heap yönetimi, Exploit geliştirme, Zafiyet araştırması |
2. Altyapı ve Sistem Yönetimi
Başarılı bir CTF etkinliği veya eğitim modülü, stabil ve güvenli bir altyapı gerektirir.
Platform Yönetimi: Yarışma arayüzü, kullanıcı kayıtları, soruların sunumu ve skor tablosu (scoreboard) için CTFd gibi açık kaynaklı ve genişletilebilir platformlar endüstri standardıdır. Dinamik puanlama (soru çözüldükçe değerinin düşmesi) ve kademeli ipucu sistemleri bu platformlar üzerinden kolayca yönetilebilir.
Sanallaştırma ve İzolasyon: Öğrencilerin saldırı senaryolarını test edecekleri hedef sistemlerin, okulun ana ağından tamamen izole olması kritik önem taşır. Bu izolasyonu sağlamak ve aynı anda birden fazla sanal makineyi (VM) yönetmek için Proxmox gibi hipervizörler biçilmiş kaftandır. Her bir zafiyetli makine (örneğin bir Web Server veya Domain Controller) ayrı bir VLAN üzerinde konumlandırılarak ağ güvenliği sağlanır.
3. Senaryo Tasarımı ve Pedagojik Yaklaşım
Salt teknik zorluktan ziyade, senaryoların bir hikayesi olması öğrencilerin motivasyonunu artırır. Olay müdahalesi (Incident Response) ve Security Operations Center (SOC) mantığına uygun tasarımlar yapılabilir.
Red Team / Blue Team Entegrasyonu: Bir senaryoda öğrenci önce hedef sisteme Nmap ile keşif yapıp zafiyeti sömürürken (Red Team), bir sonraki modülde bu saldırının ağ üzerinde bıraktığı izleri Wazuh veya benzeri log yönetim araçları üzerinden inceleyip MITRE ATT&CK çerçevesinde raporlayabilir (Blue Team).
Gelişim Odaklı Zorluk Seviyesi: Sorular kolaydan zora (Warm-up -> Easy -> Medium -> Hard) doğru sıralanmalıdır. Öğrencinin tıkanıp motivasyonunu kaybetmesini engellemek için, puan cezası karşılığında açılabilen kademeli ipuçları (Hint) mekanizması iyi kurgulanmalıdır.
100 Soruluk Blue Team & DFIR CTF Laboratuvarı
Gerçekçi PCAP, Windows logu, IOC, MITRE ATT&CK ve SOC alarm senaryolarıyla adım adım ilerleyen uygulamalı eğitim planı.
Yasal ve güvenli kullanım çerçevesi
Yalnızca size ait, izinli veya eğitim/lab ortamlarındaki sistemlerde çalışın.
Bu içerik savunma, tespit, olay müdahalesi ve adli analiz eğitimine yöneliktir.
Canlı sistemlerde değişiklik yapmadan önce imaj/snapshot alın; mümkünse kopya üzerinde çalışın.
Laboratuvar mimarisi
5
| Bileşen | Amaç |
|---|---|
| Windows 10/11 VM | Event Logs, Prefetch, Registry, PowerShell logları |
| Ubuntu/Kali VM | PCAP analizi, log ayrıştırma, IOC araçları |
| Wazuh/ELK (isteğe bağlı) | SOC alarm üretimi ve korelasyon |
| Örnek veri setleri | PCAP, EVTX, bellek dökümü, disk imajı, IOC listesi |
Veri setleri notu
Gerçek malware örnekleri yerine güvenli eğitim veri setleri kullanın. Açık kaynak PCAP/EVTX örnekleri, Windows Event Logs, Zeek/Suricata örnek logları ve eğitim amaçlı IOC listeleri yeterlidir.
Bölüm A — Ağ Adli Analizi (PCAP) — 20 görev
| Görev | Amaç / İpucu |
|---|---|
| 1. HTTP credential leak | Follow TCP Stream |
| 2. Basic Auth çözümleme | Base64 decode |
| 3. DNS exfiltration tespiti | Uzun/entropy yüksek subdomainler |
| 4. C2 beacon aralığı | Statistics → Conversations |
| 5. SMB dosya transferi | SMB object extraction |
| 6. TLS SNI inceleme | Şüpheli domain tespiti |
| 7. JA3/JA3S fingerprint | İstemci/sunucu TLS profili |
| 8. HTTP User-Agent anomali | sqlmap, curl/7.x |
| 9. ICMP veri taşıma | Payload boyutu ve içerik |
| 10. ARP spoofing belirtileri | IP↔MAC tutarsızlığı |
| 11. Lateral movement (RDP) | 3389/TCP akışları |
| 12. SSH brute force izi | Çok sayıda SYN/failed login |
| 13. ZIP/EXE indirme çıkarımı | Export Objects |
| 14. DNS tunneling ayrımı | TXT/NULL/uzun label paterni |
| 15. Proxy bypass denemesi | Doğrudan dış IP erişimleri |
| 16. Webshell yükleme izi | multipart/form-data upload |
| 17. PowerShell download cradle | Invoke-WebRequest, IEX |
| 18. Beacon jitter analizi | Periyodik ama değişken aralıklar |
| 19. Data staging | İç IP’de büyük transfer, sonra küçük dış beacon |
| 20. Final PCAP flag | flag{pcap_blue_team_master} |
Örnek analiz akışı
Bölüm B — Windows Event Logs (EVTX) — 20 görev
| Görev | Önemli Event ID / İpucu |
|---|---|
| 21. Başarılı oturum açma | 4624 |
| 22. Başarısız oturum açma | 4625 |
| 23. Özel ayrıcalıklı oturum | 4672 |
| 24. Yeni kullanıcı oluşturma | 4720 |
| 25. Gruba üye ekleme | 4732 / 4728 |
| 26. Parola değiştirme | 4723 / 4724 |
| 27. Hizmet oluşturma | 7045 |
| 28. Görev zamanlayıcı persistence | 4698 |
| 29. PowerShell script logging | 4104 |
| 30. PowerShell module logging | 4103 |
| 31. Defender detections | 1116 / 1117 |
| 32. Sysmon ProcessCreate | 1 |
| 33. Sysmon NetworkConnect | 3 |
| 34. Sysmon ImageLoad | 7 |
| 35. Sysmon CreateRemoteThread | 8 |
| 36. Sysmon ProcessAccess | 10 |
| 37. Sysmon Registry persistence | 13 |
| 38. Sysmon FileCreate | 11 |
| 39. RDP logon chain | 4624 + LogonType 10 |
| 40. Final EVTX flag | flag{evtx_hunter} |
PowerShell ile hızlı sorgu
Bölüm C — IOC & Threat Intel — 20 görev
| Görev | Amaç / İpucu |
|---|---|
| 41. IOC normalize etme | IP, domain, URL, hash ayrıştırma |
| 42. IOC deduplication | Tekrarlı kayıtları temizleme |
| 43. Hash reputation | MD5/SHA256 karşılaştırma |
| 44. Domain age analizi | Yeni kayıtlı alan adları |
| 45. Passive DNS pivot | Aynı IP’deki diğer domainler |
| 46. ASN & geolocation | Altyapı kümelenmesi |
| 47. TLS cert pivot | Aynı sertifikayı kullanan hostlar |
| 48. URL path clustering | Benzer C2 path’leri |
| 49. JA3 correlation | Birden çok hostta aynı fingerprint |
| 50. IOC confidence scoring | High/Medium/Low |
| 51. MISP event taslağı | Attribute ekleme mantığı |
| 52. STIX/TAXII düşüncesi | IOC paylaşım modeli |
| 53. Threat actor pivot (güvenli) | Altyapı benzerliği, attribution iddiası değil |
| 54. Campaign clustering | Zaman + altyapı + TTP |
| 55. False positive triage | CDN, cloud IP, shared hosting |
| 56. Domain generation pattern | DGA benzeri adlar |
| 57. YARA IOC eşlemesi | Hash + string + PE özellikleri |
| 58. Sigma IOC tespiti | Log alanı eşlemesi |
| 59. IOC lifecycle | Expire/revalidate mantığı |
| 60. Final IOC flag | flag{ioc_intel_analyst} |
Bölüm D — MITRE ATT&CK Eşleştirme — 20 görev
| Görev | TTP / Teknik |
|---|---|
| 61. PowerShell cradle | T1059.001 |
| 62. Scheduled task persistence | T1053.005 |
| 63. Service persistence | T1543.003 |
| 64. Credential dumping belirtileri | T1003 (göstergeler üzerinden) |
| 65. Remote services (RDP) | T1021.001 |
| 66. SMB lateral movement | T1021.002 |
| 67. DNS tunneling | T1071.004 |
| 68. Web protocol C2 | T1071.001 |
| 69. Exfiltration over C2 channel | T1041 |
| 70. Archive collected data | T1560 |
| 71. Masquerading | T1036 |
| 72. Obfuscated/Compressed files | T1027 |
| 73. Registry Run keys | T1547.001 |
| 74. WMI execution belirtileri | T1047 |
| 75. Command & Scripting Interpreter | T1059 |
| 76. Discovery commands | T1082 / T1016 / T1049 vb. |
| 77. Account manipulation | T1098 |
| 78. Valid accounts abuse | T1078 |
| 79. Ingress tool transfer | T1105 |
| 80. Final ATT&CK flag | flag{attack_mapper} |
Örnek ATT&CK eşleştirme tablosu
| Kanıt | Event/Artefakt | TTP |
|---|---|---|
| PowerShell IEX cradle | 4104 script block | T1059.001 |
| Yeni scheduled task | 4698 | T1053.005 |
| DNS uzun TXT sorguları | PCAP/Zeek dns.log | T1071.004 |
Bölüm E — SOC Alarm İnceleme & Korelasyon — 20 görev
| Görev | Amaç / İpucu |
|---|---|
| 81. Alert deduplication | Aynı root cause’ı grupla |
| 82. Severity normalization | Vendor → Internal scale |
| 83. Alert triage checklist | Scope, asset criticality, user context |
| 84. Timeline reconstruction | İlk erişim → hareket → exfiltration |
| 85. Multi-source correlation | PCAP + EVTX + Sysmon |
| 86. Brute force vs password spray | Hedef kullanıcı dağılımı |
| 87. Impossible travel (kavramsal) | Zaman + coğrafya tutarsızlığı |
| 88. Service account misuse | İnteraktif logon anomali |
| 89. Beaconing analytic | Sabit aralık iletişim |
| 90. Rare process detection | Baseline dışı süreçler |
| 91. LOLBins abuse | certutil, bitsadmin, mshta |
| 92. Suspicious child process | Office → PowerShell |
| 93. Egress anomaly | Büyük outbound transfer |
| 94. Cloud IP false positives | CDN/shared hosting ayrımı |
| 95. Containment recommendation | İzolasyon, reset, block IOC |
| 96. Detection gap analysis | Hangi log eksik? |
| 97. Sigma kuralı taslağı | Alanlar + condition |
| 98. Wazuh/ELK korelasyonu | Rule + threshold mantığı |
| 99. Executive summary | Tek paragraf olay özeti |
| 100. Final SOC flag | flag{soc_dfir_grandmaster} |
Örnek SOC analizi (kısa)
Alarm: “PowerShell encoded command executed”
Kontroller:
4104 script block içeriği
Parent process (Sysmon Event 1)
Network bağlantısı (Sysmon Event 3)
Kullanıcı bağlamı ve host kritiklik seviyesi
Aynı IOC’lerin diğer hostlarda görülüp görülmediği
MITRE: T1059.001, olası T1105/T1071.001 takip TTP’leri
Cevap anahtarı formatı (öğrenciye verilecek şablon)
Önerilen araç seti
| Araç | Kullanım |
|---|---|
| Wireshark / tshark | PCAP analizi |
| Zeek | dns.log, conn.log, http.log üretimi |
| Suricata | IDS alert üretimi |
| Velociraptor (isteğe bağlı) | Uç nokta artefakt toplama |
| Volatility 3 | Bellek analizi |
| EvtxECmd / Chainsaw | EVTX ayrıştırma ve avcılık |
| ExifTool / binwalk / zsteg | Dosya/artefakt analizi |
| Wazuh / ELK | SOC korelasyonu |
Tamamlama kriteri
Her görev için bulgu + kanıt + IOC + MITRE + öneri beşlisini doldurun. Bu format gerçek SOC/DFIR raporlama pratiğine en yakın öğrenme çıktısını sağlar.
100 Soruluk Blue Team & DFIR CTF Laboratuvarı
Aşağıdaki laboratuvarlar savunma (Blue Team) ve dijital adli bilişim (DFIR) becerilerini geliştirmek için tasarlanmıştır. Tamamı güvenli eğitim senaryolarıdır; amaç analiz, tespit ve olay müdahalesidir.
Kapsam
PCAP & ağ adli bilişimi
Windows Event Log / Sysmon
IOC avcılığı
MITRE ATT&CK eşleştirme
SOC alarm inceleme
Bellek / endpoint artefaktları
Kullanım Notu
Her görevde yalnızca tespit/analiz yapılır. Zararlı kod çalıştırma, yetkisiz erişim veya sömürü adımları yoktur. Gerçek ortamlarda yalnızca yetkili ve izole laboratuvarlarda çalışın.
Önerilen Laboratuvar Kurulumu
| Bileşen | Öneri |
|---|---|
| Analiz VM | Ubuntu 24.04 veya Kali (Wireshark, Zeek, Suricata, tshark, jq, yara) |
| Windows VM | Windows 10/11 + Sysmon + PowerShell logging |
| SIEM (opsiyonel) | Wazuh veya ELK |
| Artefakt klasörleri | pcaps/, evtx/, sysmon/, mem/, iocs/ |
KATEGORİ A — PCAP & Ağ Adli Bilişimi (1–20)
Görev 1 — İlk Görüşte IOC
Bir PCAP’ta malicious.example alan adına giden trafiği bulun. IOC’leri çıkarın: alan adı, IP, zaman damgası.
Beklenen çıktı
IOC tablosu (domain, IP, first_seen, last_seen).
Görev 2 — Şüpheli User-Agent
HTTP isteklerinde alışılmadık User-Agent’ları listeleyin ve en şüpheli 3 tanesini işaretleyin.
İpucu
Görev 3 — DNS Tünelleme Şüphesi
Aşırı uzun ve yüksek entropili alt alan adlarını tespit edin. Neden şüpheli olduklarını açıklayın.
Görev 4 — HTTP Üzerinden Dosya Aktarımı
İndirilen dosyaları dışarı çıkarın ve SHA256 özetlerini üretin.
İpucu
Görev 5 — SMB Paylaşımı Analizi
Hangi istemci hangi paylaşımı açtı? Dosya adlarını ve zamanları listeleyin.
Görev 6 — FTP Kimlik Bilgisi Sızıntısı
Düz metin FTP oturumlarını tespit edin. Hangi kullanıcı adı görüldü? Parola varsa maskeleyin.
Görev 7 — TLS Sertifika İncelemesi
Kendinden imzalı veya kısa ömürlü sertifikaları bulun. CN/SAN alanlarını raporlayın.
Görev 8 — Beaconing Davranışı
Aynı hedefe düzenli aralıklarla yapılan küçük HTTP/HTTPS isteklerini tespit edin.
Beklenen çıktı
Periyodik bağlantı tablosu (hedef, ortalama aralık, varyans).
Görev 9 — ICMP Veri Taşıma Şüphesi
ICMP payload uzunluk dağılımını inceleyin; sıra dışı büyük payload’ları işaretleyin.
Görev 10 — RDP Brute Force Göstergesi
Kısa sürede çok sayıda başarısız RDP oturumu örüntüsünü bulun.
Beklenen çıktı
Kaynak IP, hedef IP, deneme sayısı, zaman aralığı.
Görev 11 — Zeek Conn Log Korelasyonu
conn.log içindeki uzun süreli bağlantıları belirleyin; veri hacmi ve süreye göre sıralayın.
Görev 12 — Suricata EVE Uyarıları
eve.json içindeki alert olaylarını MITRE ATT&CK taktiklerine kabaca eşleyin.
Görev 13 — HTTP Host Anomali Avı
Kurumsal allowlist dışında kalan Host başlıklarını listeleyin.
Görev 14 — JA3/JA3S Farklılığı
Ortamın çoğunluğundan ayrışan JA3/JA3S parmak izlerini tespit edin.
Görev 15 — SMTP IOC Çıkarma
SMTP oturumlarından gönderen, alıcı, konu ve ek dosya adlarını çıkarın.
Görev 16 — C2 Benzeri URI Kalıpları
Tekrarlayan kısa URI’lar (/api/ping, /gate, /task vb.) ve düzenli polling örüntülerini raporlayın.
Görev 17 — DNS TXT Kayıtları
Büyük TXT yanıtlarını listeleyin; veri taşıma olasılığını tartışın.
Görev 18 — HTTP Status Anomalileri
404/500 oranı yüksek istemcileri bulun; tarama veya hata döngüsü olasılığını değerlendirin.
Görev 19 — En Çok Konuşan Host
Toplam bayt ve bağlantı sayısına göre ilk 10 hostu çıkarın.
Görev 20 — PCAP Sonuç Özeti
1–19 görevlerinin bulgularını tek sayfalık olay özeti halinde yazın.
Beklenen başlıklar
Ne oldu?
Hangi IOC’ler var?
Etkilenen sistemler?
Önerilen containment adımları.
KATEGORİ B — Windows Event Logs & Sysmon (21–40)
Görev 21 — Başarısız Oturum Açma Patlaması
Event ID 4625 olaylarını sayın; 5 dakikada 20+ denemeyi işaretleyin.
Görev 22 — Başarılı Oturum Açma Sonrası Şüpheli Süreç
4624 olayını izleyen 1 dakika içinde Sysmon ProcessCreate olaylarını korele edin.
Görev 23 — PowerShell Logging
Script Block Logging’de ağ erişimi veya Base64 decode göstergeleri arayın.
Görev 24 — Scheduled Task Oluşturma
Event ID 4698 (veya ilgili TaskScheduler logları) ile yeni görevleri bulun.
Görev 25 — Servis Kurulumu
Event ID 7045 ile yeni servisleri tespit edin; binary yolunu raporlayın.
Görev 26 — Sysmon Network Connections
Event ID 3 ile alışılmadık dış bağlantıları listeleyin.
Görev 27 — Parent/Child Anomalisi
Örn. winword.exe → cmd.exe veya outlook.exe → powershell.exe zincirlerini bulun.
Görev 28 — LSASS Erişimi Göstergesi
Sysmon ProcessAccess olaylarında lsass.exe hedeflerini arayın.
Görev 29 — WMI Activity
WMI üzerinden süreç başlatma göstergelerini Event Viewer’da araştırın.
Görev 30 — Registry Run Keys
Sysmon RegistryEvent kayıtlarında persistence girişlerini tespit edin.
Görev 31 — RDP Logon Type
4624 olaylarında Logon Type 10 oturumlarını ayıklayın.
Görev 32 — Defender Alerts Korelasyonu
Defender uyarı zamanlarını Sysmon süreçleriyle eşleştirin.
Görev 33 — Script Interpreter Zinciri
wscript/cscript/mshta/rundll32/regsvr32 süreçlerini parent-child ilişkisiyle inceleyin.
Görev 34 — Autoruns Benzeri Persistence Avı
Run, RunOnce, Startup klasörleri ve Scheduled Tasks artefaktlarını birleştirin.
Görev 35 — USB Takma/Çıkarma
Windows event log ve Registry üzerinden USB cihaz geçmişini çıkarın.
Görev 36 — Yeni Yerel Yönetici
Kullanıcı/grup üyeliği değişikliklerini (4720, 4732 vb.) raporlayın.
Görev 37 — Kerberos Anomalisi
4768/4769 olaylarında olağandışı hizmet biletlerini listeleyin.
Görev 38 — Time Skew & Timestomp İpuçları
Dosya zamanları ile event zamanları arasındaki tutarsızlıkları işaretleyin.
Görev 39 — EVTX → CSV Dönüşümü
Önemli alanları (TimeCreated, EventID, Computer, User, Message) dışa aktarın.
Görev 40 — Windows Olay Özeti
21–39 bulgularını zaman çizelgesi ve MITRE ATT&CK eşlemesiyle özetleyin.
KATEGORİ C — IOC Avcılığı & YARA (41–55)
Görev 41 — IOC Seti Normalizasyonu
IP, domain, URL, hash IOC’lerini tek CSV’de normalize edin.
Görev 42 — Hash Eşleştirme
Dosya envanteri içinde IOC hash’lerini arayın.
Görev 43 — Domain IOC Korelasyonu
Proxy/DNS loglarında IOC domain’lerini eşleştirin.
Görev 44 — YARA Kuralı: Dize Tespiti
Örnek binary’de belirli sabit dizeleri tespit eden basit YARA kuralı yazın.
İskelet
Görev 45 — YARA Kuralı: Çoklu Gösterge
En az 2 string + dosya boyutu koşulu kullanın.
Görev 46 — PE Metadata İncelemesi
İmzalı/imszasız, derleme zamanı ve imza zinciri bilgilerini raporlayın.
Görev 47 — LOLBin IOC’leri
certutil, bitsadmin, mshta, regsvr32 kullanımlarını süreç loglarında avlayın.
Görev 48 — Sigma Kuralı Okuma
Verilen Sigma kuralının neyi tespit ettiğini ve hangi log alanlarını kullandığını açıklayın.
Görev 49 — IOC Enrichment
IOC’lere ASN, ülke, WHOIS kuruluşu ve ilk görülme zamanı ekleyin (internet erişimi olan ortamda).
Görev 50 — IOC Avı Raporu
41–49 sonuçlarını “IOC bulundu/bulunmadı” matrisi halinde özetleyin.
KATEGORİ D — MITRE ATT&CK Eşleştirme (56–70)
Görev 56 — Office → PowerShell Zinciri
Olayı uygun ATT&CK teknik/taktiklerine eşleyin.
Görev 57 — Scheduled Task Persistence
Persistence tekniğini ATT&CK ile eşleyin.
Görev 58 — SMB Lateral Movement İpucu
Yanal hareket taktiği ve olası teknikleri belirtin.
Görev 59 — DNS Tunneling Şüphesi
Command and Control ile ilişkisini açıklayın.
Görev 60 — LSASS Erişimi
Credential Access taktiğine eşleyin.
Görev 61 — RDP Brute Force
Initial Access/Credential Access açısından değerlendirin.
Görev 62 — WMI Process Create
Execution ve Lateral Movement ile ilişkisini açıklayın.
Görev 63 — LOLBin Kullanımı
Defense Evasion/Execution tekniklerini tartışın.
Görev 64 — Registry Run Key Persistence
Persistence tekniğini eşleyin.
Görev 65 — Beaconing Traffic
C2 iletişim tekniği açısından değerlendirin.
Görev 66 — Suspicious Service Install
Persistence/Privilege Escalation olasılıklarını eşleyin.
Görev 67 — Exfiltration over Web
Exfiltration taktiğiyle ilişkisini açıklayın.
Görev 68 — USB Veri Taşıma
Collection ve Exfiltration açısından değerlendirin.
Görev 69 — Timestomp İpucu
Defense Evasion ile ilişkisini açıklayın.
Görev 70 — ATT&CK Matris Özeti
56–69 görevlerinden gözlenen taktikleri ATT&CK matrisinde işaretleyin.
KATEGORİ E — SOC Alarm İnceleme & Olay Müdahalesi (71–90)
Görev 71 — Phishing Alert Triage
E-posta başlıkları, gönderen alan adı, SPF/DKIM/DMARC ve ek dosya hash’ini inceleyin.
Görev 72 — Malware Detected Alert
Etkilenen host, süreç, hash ve ağ bağlantılarını çıkarın.
Görev 73 — Impossible Travel (Simüle)
Kullanıcı oturumlarının coğrafi ve zaman tutarlılığını değerlendirin.
Görev 74 — Mass File Rename Alert
Ransomware benzeri davranış mı? Kanıtları sıralayın.
Görev 75 — Suspicious PowerShell Alert
Komut satırını ayrıştırın; benign mi şüpheli mi karar verin.
Görev 76 — Outbound Data Spike
Normal baz çizgi ile karşılaştırın; exfiltration hipotezi kurun.
Görev 77 — VPN Login from New Device
MFA durumu, cihaz kaydı ve risk sinyallerini değerlendirin.
Görev 78 — Cloud Storage Upload Alert
Hangi kullanıcı, hangi dosyalar, hangi hacim? Veri sınıflandırması ekleyin.
Görev 79 — IOC Match on Proxy Logs
İlk/son görülme zamanı ve etkilenen kullanıcıları çıkarın.
Görev 80 — AD Group Change Alert
Değişikliğin yetkili mi yetkisiz mi olduğunu doğrulama adımlarını yazın.
Görev 81 — Web Shell Suspected Alert
IIS/Apache loglarında POST örüntüleri ve yeni dosya yazımlarını araştırın.
Görev 82 — DNS Beacon Alert
Sorgu aralığı, NXDOMAIN oranı ve alt alan uzunluklarını raporlayın.
Görev 83 — Endpoint Isolation Decision
Hangi kanıtlar izolasyonu haklı çıkarır? Yanlış pozitif riskini tartışın.
Görev 84 — Containment Planı
Kısa vadeli containment adımlarını öncelik sırasıyla yazın.
Görev 85 — Evidence Preservation
Hangi artefaktlar toplanmalı? Zincirleme muhafaza notları ekleyin.
Görev 86 — Eradication Checklist
Persistence temizliği, hesap sıfırlama, IOC bloklama adımlarını listeleyin.
Görev 87 — Recovery Validation
Sistemlerin temiz ve hizmetlerin normal olduğunu nasıl doğrularsınız?
Görev 88 — Stakeholder Update
Teknik olmayan yönetici özeti (5–7 madde) hazırlayın.
Görev 89 — Lessons Learned
Kontrol boşlukları, tespit boşlukları ve süreç iyileştirmelerini yazın.
Görev 90 — SOC Triage Rubriği
Severity, confidence, business impact ve urgency için 1–5 ölçekli puanlama tablosu oluşturun.
KATEGORİ F — Bellek & Endpoint Artefaktları (91–100)
Görev 91 — Volatility pslist
Şüpheli süreçleri parent-child ilişkisiyle belirleyin.
Görev 92 — netscan
Ağ bağlantıları ile süreçleri eşleştirin.
Görev 93 — cmdline
Komut satırı argümanlarını çıkarın; IOC’leri maskeleyerek raporlayın.
Görev 94 — malfind
Şüpheli bellek bölgelerini işaretleyin; neden şüpheli olduklarını açıklayın.
Görev 95 — DLL List Anomalisi
Beklenmeyen dizinlerden yüklenen DLL’leri raporlayın.
Görev 96 — Prefetch İncelemesi
Son çalıştırma zamanları ve çalıştırma sayılarıyla özet çıkarın.
Görev 97 — Amcache / Shimcache İpuçları
Şüpheli yürütülebilirlerin izlerini bulun.
Görev 98 — Browser Artifacts
İndirilen dosyalar ve ziyaret edilen IOC URL’lerini çıkarın.
Görev 99 — Timeline Birleştirme
EVTX, Sysmon, Prefetch, Browser ve PCAP zamanlarını tek zaman çizelgesinde birleştirin.
Görev 100 — Final DFIR Raporu
Aşağıdaki bölümleri içeren 2–4 sayfalık olay raporu hazırlayın:
Yönetici özeti
Zaman çizelgesi
IOC listesi
MITRE ATT&CK eşlemesi
Etkilenen varlıklar
Containment / Eradication / Recovery
Lessons Learned
Örnek Veri Seti Şablonu (Kendin Üretmek İçin)
| Dosya | İçerik |
|---|---|
| pcaps/beaconing.pcapng | Periyodik HTTPS istekleri |
| pcaps/smb_lateral.pcapng | SMB paylaşım erişimleri |
| evtx/security.evtx | 4624/4625/4720/4732 olayları |
| sysmon/sysmon.evtx | ProcessCreate, NetworkConnect, RegistryEvent |
| iocs/iocs.csv | IP, domain, URL, hash IOC’leri |
| mem/win10.raw | Eğitim amaçlı bellek dökümü |
Puanlama Önerisi
| Seviye | Görevler | Puan |
|---|---|---|
| Kolay | 1–20, 21–26, 41–44 | 10 |
| Orta | 27–40, 45–50, 56–65, 71–80 | 20 |
| Zor | 66–70, 81–100 | 30 |
Maksimum puan: 2000
Önerilen Çalışma Sırası
PCAP (1–20)
Windows & Sysmon (21–40)
IOC & YARA (41–55)
MITRE ATT&CK (56–70)
SOC Triage & IR (71–90)
Bellek & Timeline (91–100)
İyi bir teslim örneği
IOC CSV
Zaman çizelgesi CSV/Markdown
ATT&CK matrisi (işaretlenmiş teknikler)
1–2 sayfalık yönetici özeti
Containment/eradication checklist
Bu laboratuvar seti, SOC analisti, DFIR analisti ve threat hunter rollerinin temel iş akışlarını pratik ettirmek üzere tasarlanmıştır.
Yorumlar