CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

Ağ Bağlantı Artifact'ları: RDP, VPN ve SMB Üzerine Derinlemesine Bir İnceleme

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

Ağ bağlantı artifact'ları, siber güvenlikte tehdidi tespit etmek için kritik önem taşıyor. RDP, VPN ve SMB üzerine keşif yapın.

Ağ Bağlantı Artifact'ları: RDP, VPN ve SMB Üzerine Derinlemesine Bir İnceleme

Ağ bağlantı artifact'ları, uzaktan erişim tehditlerini tespit etmek ve analiz sürecini yönetmek için hayati öneme sahiptir. Bu yazıda RDP, VPN ve SMB'nin forensic avantajlarını keşfedeceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, ağ bağlantı artifact'ları, sistemlerde gerçekleşen uzak bağlantılar, paylaşım erişimleri ve ağ oturum geçmişini tutan veri yapıları olarak öne çıkmaktadır. RDP (Remote Desktop Protocol), VPN (Virtual Private Network) ve SMB (Server Message Block) protokolleri, bu bağlamda en yaygın olarak karşılaşılan üç önemli artefakt türünü temsil eder. Bu bağlantı türlerinin analizi, siber güvenlik uzmanları ve olay yanıtı analistleri için kritik bir öneme sahiptir; çünkü bu veriler, potansiyel tehditleri, yetkisiz erişimleri ve sistemdeki anormal aktiviteleri tespit etme sürecinde yol gösterici bir rol oynamaktadır.

Ağ Bağlantı Artifact'larının Önemi

Ağ bağlantı artifact'ları, bir sistemdeki etkinlikleri anlamak ve potansiyel tehlikeleri değerlendirmek için bir temel sunar. RDP, kullanıcıların uzak masaüstü bağlantıları kurmasını sağlarken, VPN, ağ güvenliğini artırmak amacıyla internet üzerindeki iletişimi şifreler. SMB ise dosya paylaşımını mümkün kılar ve ağdaki kaynaklara erişim sağlar. Bu protokoller üzerinden gerçekleşen aktivitelerin kaydı, siber güvenlik durumunun analiz edilmesinde büyük bir fırsat sunmaktadır.

Siber Güvenlik ve Olay Yanıtı Açısından Bağlantılar

Ağ bağlantı artifact'ları, siber güvenlik tehditlerinin tespit edilmesi ve etkili bir yanıt verilmesi için temel bir unsurdur. Örneğin, saldırganlar genellikle RDP ve SMB gibi protokolleri kullanarak sistemlere sızmayı hedefler. Bu nedenle, bu bağlantı türleri üzerindeki inceleme ve analiz, saldırıların önceden tespit edilmesini ve etkili bir ithalatü olup olmadığını belirlemek için kritik önem taşır. Özellikle, saldırganların ağ içerisinde lateral hareketlerini (yatay hareketlerini) tespit etme süreçlerinde de bu artifact'ların analizi önemli bir rol oynar.

Ağ Bağlantı Artifact'larının Analiz Yöntemleri

Ağ bağlantı artifact'larının analizi, genellikle çeşitli veri kaynaklarının bir araya getirilmesi ve korele edilmesini gerektirir. Netstat komutu gibi temel sistem araçları, aktif ve geçmiş ağ bağlantılarını incelemek için kullanılır. Aşağıda, ağ bağlantı artifact'larının analiz sürecine dair bir örnek verilmiştir:

netstat -an | find "ESTABLISHED"

Bu komut, sistemdeki aktif TCP bağlantılarını listelemeye yardımcı olur ve potansiyel kötü niyetli aktivitelerin tespitini kolaylaştırır.

Zorluklar ve Riskler

Ağ bağlantı artifact'larının analizi karmaşık ve zorlu bir süreç olabilir. Saldırganlar, genellikle kendi ayak izlerini gizlemek için logları silme veya VPN kullanarak gerçek IP adreslerini gizleme gibi anti-forensics teknikleri uygularlar. Bu gibi durumlar, güvenlik analistlerinin etkili bir şekilde analiz yapmasını engelleyebilir. Bu nedenle, bu tür risklerin farkında olmak ve etkili soru yöntemleri geliştirmek, güvenlik ekiplerinin başarısı için gereklidir.

Sonuç olarak, ağ bağlantı artifact'ları, bir siber güvenlik uzmanının elindeki en önemli araçlardan biridir. RDP, VPN ve SMB gibi protokollerin analizi, olay yanıtı sürecinde hayati bilgiler sağlar ve olası tehditlerin önceden tespit edilmesine olanak tanır. Bu blog serisinde, her bir bağlantı türünün özelliklerini, avantajlarını ve analiz yöntemlerini derinlemesine inceleyeceğiz. Bu süreç, okurlarımızın bilgi güvenliği alanındaki yetkinliklerini artıracak ve pratik siber güvenlik becerilerini geliştirecektir.

Teknik Analiz ve Uygulama

Network Artifact Tanımı

Ağ bağlantı artefaktları, sistemlerdeki uzak bağlantılar, paylaşım erişimleri ve ağ oturum geçmişlerini tutan forensic veri yapıları olarak tanımlanır. Bu artefaktlar, siber güvenlik alanında malzeme ve bilgi toplamak adına kritik öneme sahiptir. RDP (Uzak Masaüstü Protokolü), VPN (Sanal Özel Ağ) ve SMB (Sunucu Mesaj Blokları) gibi ağ protokollerine ilişkin artefaktlar, sisteme erişim ve veri akışı hakkında önemli bilgiler sağlar.

RDP Artifact Konumu

RDP bağlantı geçmişi, genellikle Windows işletim sistemi altında, HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers kayıt defteri yolunda tutulur. Bu kayıt defteri anahtarı, ağ yöneticilerine ve güvenlik analistlerine herhangi bir uzaktan erişim girişimi hakkında bilgi verir. RDP'yi analiz etmek için aşağıdaki PowerShell komutunu kullanabilirsiniz:

Get-ItemProperty "HKCU:\Software\Microsoft\Terminal Server Client\Servers"

Yukarıdaki komut, RDP aracılığıyla yapılan bağlantılara ait detayları listeler.

Temel Network Artifact Türleri

Ağ bağlantı artefaktları, birçok farklı türde bilgi sağlar. Bu türler arasında RDP bağlantı geçmişi, VPN logları ve SMB dosya paylaşım kayıtları bulunur. Her bir türün incelenmesi, siber olayların daha iyi anlamlandırılmasına olanak tanır. Ayrıca, bu türler arasında korelasyon yaparak çeşitli saldırı vektörlerini tespit etmek mümkündür.

Örnek olarak, bir olayın daha iyi analiz edilmesi için şu şekilde bir SQL sorgusu kullanılabilir:

SELECT * FROM connections 
WHERE protocol IN ('RDP', 'VPN', 'SMB');

Bu sorgu, belirtilen protokoller üzerinden gerçekleşen tüm bağlantıları listeleyecektir.

Netstat Tanımı

Netstat, aktif ve geçmiş ağ bağlantılarını incelemek için kullanılan temel sistem komutlarından biridir. Bu komut, sistemde mevcut olan bağlantıları, üst katman protokollerini ve bağlantıların durumlarını gösterir. Örnek kullanım şu şekildedir:

netstat -an

Bu komut, ağ bağlantılarını ve durumlarını anlık olarak gösterir. -a switch'i, tüm bağlantıları ve dinleme portlarını gösterirken, -n switch'i ise bağlantıların IP adresleriyle gösterilmesini sağlar.

Network Analiz Süreci

Network analiz süreci, kullanılan bağlantı türlerindeki artefaktların korelasyonunu içerir. RDP, VPN ve SMB artefaktlarının bir arada incelenmesi, şüpheli aktivitelerin tespit edilmesine yardımcı olur. Analiz sürecini aşağıdaki aşamalara ayırabiliriz:

  1. Veri Toplama: RDP, VPN ve SMB loglarının toplanması.
  2. Veri Korelasyonu: Elde edilen verilerin birbirleriyle karşılaştırılması.
  3. Şüpheli Faaliyetlerin Tespiti: Belirlenen anomalilerin değerlendirilmesi.
  4. Raporlama: Tespit edilen tehditlerin ve aktivitelerin raporlanması.

Bu aşamalar, önemli olayların zamanında tespit edilmesine yardımcı olur ve potansiyel saldırıların önüne geçebilir.

Network Artifact Avantajları

Ağ bağlantı artefaktlerinin birçok avantajı vardır. Bu artefaktlar, olayların zaman çizelgesini oluşturmak için kritik veriler sunduğu gibi:

  • Yetkisiz Erişim Takibi: Kötü niyetli kullanıcıların sisteme girişlerinin izlenmesi.
  • Data Transfer Analysis: Veri hareketlerinin detaylı analizi.
  • Lateral Movement Detection: Saldırganların ağ üzerindeki hareketlerini tespit etme.

Bu avantajlar, siber güvenlik operasyonları sırasında büyük önem taşır.

Lateral Movement

Lateral hareket, saldırganların bir ağ üzerindeki sistemler arasında geçiş yaparken kaydettikleri izlerin analiz edilmesidir. RDP ve SMB artefaktleri, bu hareketlerin tespit edilmesinde kritik bir rol oynar. Saldırganların hangi sistemlere eriştiğini ve ne tür aktiviteler gerçekleştirdiğini anlamak için detaylı inceleme yapılmalıdır.

Timeline Reconstruction

Network artefaktleri, olayların zaman çizelgesini oluşturmada etkilidir. Bu süreçte, RDP, VPN ve SMB alanındaki bağlantı tarihçeleri bir araya getirilir. Aşağıdaki gibi bir SQL sorgusu ile zaman çizelgesini oluşturabilirsiniz:

SELECT timestamp, user, action 
FROM network_events 
ORDER BY timestamp;

Bu sorgu, belirli bir zaman aralığında gerçekleşen tüm ağ olaylarını sıralar.

Network Anti-Forensics Riskleri

Ağ bağlantı artefaktları, siber saldırganlar tarafından hedef alınabilir. Log silme veya VPN obfuscation gibi tekniklerle veri saklanabilir. Bu durum, güvenlik analizlerinin etkinliğini düşürmekte ve saldırıları tespit etmeyi zorlaştırmaktadır. Dolayısıyla, bu risklere karşı önlem almak ve sürekli bir izleme mekanizması oluşturmak önemlidir.

SOC L2 Network Artifact Operasyonu

SOC analistleri, network artifactlerini inceleyerek şüpheli uzak erişim tehditlerini ve veri hareketlerini araştırır. Analiz sürecinde, çoklu veri kaynaklarını kullanarak her türlü olayı detaylıca incelemek gerekir. SOC L2 düzeyinde operasyonel süreç, aşağıdaki gibi bir yaklaşım gerektirir:

  1. Veri Toplama: İlgili logların ve artefaktların toplanması.
  2. Analiz: Elde edilen verilerin derinlemesine incelenmesi ve anomali tespiti.
  3. Cevaplama: Tespit edilen tehditlere karşı önlem alınması ve gereken aksiyonların yapılması.
  4. İyileştirme: Geçmişte yaşanan olayların analiz edilerek güvenlik operasyonlarının iyileştirilmesi.

Bu süreç, siber güvenlik alanında etkin bir müdahale ve önleme sisteminin oluşturulmasına katkıda bulunur.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Siber güvenlik alanında, ağ bağlantı artifact'ları, sistemlerdeki çeşitli bağlantı geçmişlerini ve oturumu tutan forensic veri yapıları olarak tanımlanır. Bu bağlamda, RDP (Uzaktan Masaüstü Protokolü), VPN (Sanal Özel Ağ) ve SMB (Sunucu Mesaj Bloku) gibi protokoller, ağ güvenliği açısından önemli riskleri barındırabilir. Bu riskleri değerlendirirken, bu bağlantıların yanlış yapılandırılması veya zafiyetler, kötü niyetli saldırganlar tarafından kötüye kullanılabilir.

Örneğin, RDP'ye yapılan yetkisiz erişim, saldırganların ağ içinde lateral hareket etmesine olanak tanır. Bunun sonucunda, sistem üzerinde önemli verilere veya kaynaklara ulaşmaları kolaylaşır. Bu tür bağlantıların veri analizinde, netstat gibi ağ analiz komutları kullanarak aktif ve geçmiş bağlantılar incelenebilir. Örnek bir netstat komutu aşağıdaki gibidir:

netstat -an | find "LISTEN"

Bu komut, sistemde hangi portların dinlendiğini göstereceği için, ağ üzerindeki potansiyel saldırı vektörlerini anlamayı sağlar.

Yorumlama

Ağ bağlantılarından elde edilen verilerin doğru yorumlanması, güvenlik analizi için kritik öneme sahiptir. RDP, VPN ve SMB gibi protokoller üzerinden gerçekleştirilmiş bağlantılar, ilgili log kayıtları ve bu kayıtlardaki anormallikler üzerinde durulması gereken önemli bir noktadır. Örneğin, aynı IP adresinden beklenmedik sayıda bağlantı veya bağlantı sürelerinden sapmalar, potansiyel bir saldırıyı işaret edebilir.

Bu tip bulguların analizi, özellikle yetkisiz erişimlerin ve lateral hareketlerin tespit edilmesinde değerlidir. RSA (Hacker Credential Attacks) gibi çeşitli saldırı türlerine karşı dayanıklılığı artırmak için bu tür hareketlerin izlenmesi ve kullanıcının aktif olduğu saatlerin analizi gerekir. Kuruluşların bu tür verileri sürekli izlemeleri, yetkisiz erişimlerin hızlı bir şekilde tespit edilmesini sağlayacaktır.

Savunma Önlemleri

Siber güvenlik dış tehditlere karşı koymak için her zaman proaktif olmalıdır. Ağ bağlantı artifact'ları ile ilgili alınabilecek bazı önemli güvenlik önlemleri şunlardır:

  1. Güçlü Parola Politikaları: Kullanıcıların güçlü, karmaşık parolalar kullanmaları teşvik edilmelidir. Bunun yanı sıra, düzenli olarak parola değişikliğinin yapılması önemlidir.

  2. Erişim Denetimi: RDP ve VPN gibi protokoller için erişim kontrol listeleri oluşturarak kimlerin hangi kaynaklara erişimi olduğunu belirlemek gerekir. Yetkisiz kullanıcıların erişim hakları minimumda tutulmalıdır.

  3. İzleme ve Uyarı Sistemleri: Ağ üzerinde gerçekleşen şüpheli etkinliklerin işlenmesi için otomatik izleme sistemleri kurulmalıdır. Bu sistemler, olağan dışı erişim girişimleri için anlık uyarılar sağlamalıdır.

  4. Veri Kriptolaması: Özellikle SMB üzerinden geçiş yapan veri akışlarının şifrelenmesi, verilere yetkisiz erişimlerin önlenmesine yardımcı olur.

  5. Log Yönetimi: Oluşan logların düzenli olarak incelenmesi ve gerektiğinde tutulması, geçmişte gerçekleşen olayların yanı sıra mevcut durumun analizine de olanak sağlar.

  6. Firewall ve IPS/IDS Kullanımı: Ağın dışarıdan gelen tehditlere karşı korunması amacıyla güvenlik duvarları ve Saldırı Tespit Sistemleri (IDS) kullanımı önerilir.

Sonuç

Ağ bağlantı artifact'ları, potansiyel tehditlerin belirlenmesinde ve sızma testlerinin yürütülmesinde büyük önem taşımaktadır. RDP, VPN ve SMB gibi bağlantıların detaylı analizi, yalnızca yanlış yapılandırmaların değil, aynı zamanda tüm ağ üzerinde siber güvenlik zayıflıklarının da bir göstergesi olarak kabul edilebilir. Proaktif önlemler ile bu zayıflıkların en aza indirilmesi sağlanmalıdır. Böylece, hem ağ güvenliği artırılacak hem de siber saldırılara karşı dayanıklılık sağlanacaktır.