CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

BAM/DAM Artifact Analizi: Siber Güvenlikte Önemli Bir Araç

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

BAM/DAM analizinin siber güvenlikteki rolünü ve avantajlarını keşfedin.

BAM/DAM Artifact Analizi: Siber Güvenlikte Önemli Bir Araç

BAM/DAM analizi, siber güvenlikte kullanıcı ve uygulama yürütme geçmişinin izlenmesinde kritik bir araçtır. Bu blogda, BAM/DAM'ın detaylarını ve önemini öğreneceksiniz.

Giriş ve Konumlandırma

BAM/DAM Artifact Analizi: Siber Güvenlikte Önemli Bir Araç

Siber güvenlik, günümüz dijital dünyasında kritik bir öneme sahiptir. Bu bağlamda, BAM (Background Application Monitoring) ve DAM (Digital Artifact Monitoring) artifact analizi, güvenlik uzmanlarının ve SOC (Security Operations Center) analistlerinin sistemlerdeki uygulama aktivitelerini detaylı bir şekilde incelemelerine olanak tanır. Bu analiz yöntemi, kullanıcı ve uygulama yürütme geçmişi hakkında önemli bilgiler sunarak, olası güvenlik ihlallerini tespit etme konusunda önemli bir rol oynamaktadır.

BAM ve DAM Nedir?

BAM ve DAM, Windows kayıt defteri (registry) artifact'lerini analiz ederek arka planda çalışan uygulama aktivitelerini takip eden iki önemli kavramdır. Bu analiz, sistem yönetimi ve dijital adli analiz süreçlerinde hayati bir işlev görür. MAL ile DAM, sistemdeki yürütme izlerini anlamak ve bunları yönetmek için kritik veriler sağlar.

Örneğin, aşağıdaki kod bloğunda BAM ve DAM verilerine örnek teşkil eden bir sorgu gösterilmektedir:

SELECT * FROM bam_dam_registry 
WHERE execution_time >= '2023-01-01' 
AND execution_time <= '2023-12-31'

Bu sorgu, belirli bir tarih aralığında yürütülen uygulamalara dair kayıtları devreye alır. Böylelikle, SOC analistleri, şüpheli aktiviteleri tespit etmek için kritik veriler elde edebilir.

Neden Önemlidir?

BAM/DAM analizi, aşağıdaki nedenlerden ötürü oldukça kritik bir öneme sahiptir:

  1. Şüpheli Aktivite Tespiti: Bu analizler, kötü niyetli yazılımların veya saldırıların izlerini açığa çıkarabilir. Kullanıcı aktivitelerini ve uygulama yürütmelerini izleyerek güvenlik tehditlerini tespit etme şansı artırılır.

  2. Kullanıcı Davranışının Anlaşılması: Kullanıcıların uygulama kullanım süreleri ve sıklıkları, potansiyel olarak şüpheli veya normal davranışlar arasında ayrım yapmaya olanak tanır. Bu durum, tehdit analistlerinin kullanıcı davranışlarını daha iyi anlamalarını sağlar.

  3. Savunma Mekanizmalarının Güçlendirilmesi: SOC analistleri, BAM/DAM verilerini kullanarak, farklı tehdit senaryolarını göz önünde bulundurarak güvenlik stratejilerini geliştirebilir. Böylece zayıf noktaların giderilmesi konusunda önceden bilgi sahibi olurlar.

Pentest ve Savunma Açısından Bağlam

BAM/DAM analizi, penetrasyon testleri (pentest) sırasında elde edilen bulguları destekleyici bilgiler sunar. Pentestler genellikle sistemin savunma mekanizmalarını test etmek için yapılırken, BAM/DAM analizi yapılan test sonuçlarını detaylandırarak, tehditlerin nereden ve nasıl geldiğini daha iyi anlamaya yardımcı olur.

Veri güvenliğini sağlamak için bu iki yöntemin bir arada kullanılması, hem mevcut güvenlik açıklarını belirlemek hem de bu açıkların nasıl suiistimal edilebileceğini incelemek açısından faydalıdır. Örneğin, bir pentest sırasında aşikar olan bir zayıflık, BAM/DAM analizi ile desteklenerek daha göze çarpan hale gelebilir.

Teknik İçeriğe Hazırlık

BAM/DAM artifact analizi, çeşitli veri alanları ve kullanıcı bilgilerini içerir. Bir sonraki bölümlerde, analiz süreci, veri alanları, User SID (Security Identifier) tanımı ve BAM/DAM'ın sunduğu avantajlar gibi kritik konulara derinlemesine bir bakış yapacağız. Okuyucular, bu süreçlerin nasıl işlediğini anlamak ve siber güvenlik tehditleriyle başa çıkmak için gerekli teknik bilgi ve becerileri edinecektir.

BAM/DAM analizi, dijital adli bilişim dünyasında önemli bir yer tutmakla birlikte, yalnızca bir analiz aracı olmaktan öte, siber güvenlik stratejilerinin yapı taşlarını oluşturmaktadır. Bu bağlamda, siber güvenlik uzmanlarının ve SOC analistlerinin bu analizi dahil etmeleri, hem güvenlik tehditlerini önlemede hem de etkili savunma planları oluşturma konusunda önemli bir adım olacaktır.

Teknik Analiz ve Uygulama

BAM (Background Activity Monitoring) ve DAM (Digital Activity Monitoring) artifact analizi, siber güvenlik alanında kritik bir rol oynamaktadır. Bu analiz süreci, kullanıcı ve uygulama etkinliğini izlemeyi, şüpheli aktiviteleri belirlemeyi ve tehditlerin tespit edilmesi için önemli bilgiler sağlamayı hedeflemektedir. Bu bölümde, BAM/DAM analizi sürecinin teknik detaylarını, uygulama ortamlarını ve örnek kullanım senaryolarını ele alacağız.

BAM/DAM Tanımı

BAM ve DAM, Windows işletim sistemi üzerinde arka planda çalışan uygulamaların faaliyetlerini izlemek için kullanılan registry artifactleridir. Bu artifactler, belirli uygulamaların ne zaman çalıştırıldığını, hangi kullanıcılar tarafından kullanıldığını ve bunların ne kadar süreyle aktif kaldığını kaydeder. Bu veriler, forensic analizinde önemli bir kaynak teşkil eder.

BAM/DAM Analiz Süreci

1. Veri Toplama

Analiz süreci öncelikle BAM ve DAM registry anahtarlarının toplanmasıyla başlar. Bu anahtarlar, uygulamaların yürütme zamanları ve kullanıcı bilgileri hakkında bilgi sağlar. regedit komutu veya PowerShell kullanarak belirli registry anahtarlarına erişim sağlanabilir. Örneğin, aşağıdaki PowerShell komutu ile BAM ve DAM anahtarlarının yer aldığı registry yolu incelenebilir:

Get-Item -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree'

2. Uygulama Yürütme Kayıtları İncelemesi

Toplanan veriler, uygulama yürütme kayıtları ile analiz edilir. Veriler, çalışan binary'lerin sistem üzerindeki konumu ve kullanıcı tanımlayıcıları ile bir araya getirilir. Örneğin, bir kullanıcının hangi programları kullandığı ve bu programların yürütme zamanları dikkate alınır.

3. Şüpheli Aktivitelerin Tespiti

Bu aşamada, elde edilen veriler ile şüpheli aktiviteler incelenir. Program kullanım geçmişi analiz edilerek, olağandışı davranışlar belirlenebilir. Bunun için, belirli bir kullanıcıya ait User SID'ler kullanılır. User SID, kullanıcının benzersiz kimliğini temsil eder ve şüpheli aktivitelerin belirlenmesine yardımcı olur.

User SID: S-1-5-21-123456789-123456789-123456789-1001

4. Last Execution Time (Son Yürütme Zamanı) İncelemesi

Bir uygulamanın en son ne zaman çalıştırıldığını belirlemek için "Last Execution Time" verisi incelenir. Bu veri, özellikle zamana duyarlı analizlerde kritik öneme sahiptir.

Son Yürütme Zamanı: 2023-10-01 14:53:00

BAM/DAM Veri Alanları

Kullanıcı Aktiviteleri

Kullanıcı aktiviteleri, BAM ve DAM analizinin temelini oluşturur. Bu veriler arasında uygulama yürütme zamanları, kullanıcı bilgilerinin yanı sıra şüpheli aktivitelerin analizi yer alır. Örnek olarak:

  • Program Kullanım Geçmişi: Kullanıcı tarafından çalıştırılan veya etkileşime geçilen uygulamalar.
  • Şüpheli Aktivite Analizi: Olumsuz veya olağandışı etkinliklerin tespiti.

BAM/DAM Analiz Avantajları

BAM ve DAM analizi, birkaç önemli avantaj sunar:

  1. Uygulama Kullanım Geçmişinin Görünür Kılınması: Hangi uygulamaların ne zaman kullanıldığını gösterir.
  2. Kullanıcı Davranış Analizi: Kullanıcıların aktiviteleri arasında korelasyonlar kurarak anomali tespiti sağlar.
  3. Tehdit Tespiti: Şüpheli aktivitelerin tespiti ve potansiyel bir tehditin belirlenmesi.

Execution Path Tanımı

"Execution Path", bir uygulamanın hangi konumdan çalıştırıldığını gösterir. Bu bilgi, forensic analizlerde hayati bir öneme sahiptir, zira kullanıcının hangi uygulamaları kullanarak ne amaçla hareket ettiğinin anlaşılmasına yardımcı olur.

BAM/DAM Kullanım Alanları

BAM ve DAM analizi çeşitli alanlarda kullanılabilir:

  • Forensic Analizler: Hükümet ve güvenlik birimleri tarafından suç incelemelerinde.
  • Tehdit Tespiti: Güvenlik şirketlerinde siber saldırıların tespit edilmesi ve önlenmesinde.
  • Kullanıcı Davranışları Analizi: Şirket içi süreçlerin optimize edilmesi ve kullanıcı verimliliğinin artırılması.

SONUÇ

BAM/DAM artifact analizi, siber güvenlik alanında kritik bir araçtır ve kullanıcı ile uygulama etkileşimlerini derinlemesine incelemeyi sağlar. Uygulama yürütme geçmişinin ve kullanıcı aktivitelerinin analizi, güvenlik açıklarının bulunması ve tehditlerin zamanında tespit edilmesi açısından büyük önem taşımaktadır. Sahip olduğu veri alanları ve analiz süreçleri ile BAM/DAM, siber güvenlik uzmanlarının elindeki en güçlü araçlardan biridir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Siber güvenlik bağlamında BAM (Binary Application Monitoring) ve DAM (Digital Application Monitoring) artifact analizi, sistemin güvenlik durumunu değerlendirmek ve olası tehditleri saptamak için kritik öneme sahiptir. Bu tür bir analiz, kötü niyetli aktiviteleri ve sistem zafiyetlerini tespit etmek için önemli ipuçları sunar. Kullanıcıların ve uygulamaların yürütme geçmişinin incelenmesi, yanlış yapılandırmaların ve zafiyetlerin etkilerini görselleştirmeye yardımcı olur.

BAM/DAM analizi sırasında elde edilen bulgular, kullanıcının siber güvenlik durumunu anlamada temel bir rol oynar. Özellikle, uygulamanın son çalıştırıldığı zaman (Last Execution Time) ve çalıştırıldığı yol (Execution Path) gibi kritik veri alanları, güvenlik analistlerinin olası tehditleri hızlı bir şekilde saptamasını sağlar. Aşağıda bu bulguların yorumlanması ve olası risklerin değerlendirilmesi hakkında daha fazla bilgi verilmektedir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, sistemin güvenliğini ciddi şekilde tehlikeye atabilir. Örneğin, yanlış uygulama izinleri veya açılmış açık portlar, yetkisiz kullanıcıların sistem üzerindeki erişimlerini kolaylaştırabilir. Bu bağlamda, BAM ve DAM artifact analizi yapıldığında, izinsiz erişim sağlanmış uygulamalar veya şüpheli yürütme aktiviteleri ortaya çıkarılabilir.

Bir örnek senaryo olarak, aşağıdaki gibi bir kod bloğu incelenebilir:

Get-EventLog -LogName Security -InstanceId 4688 | 
Where-Object { $_.Message -like "*C:\Program Files\Malware.exe*" }

Bu PowerShell komutu, güvenlik günlüğü üzerinden kötü niyetli bir uygulamanın çalıştığı durumları tespit etmek için kullanılabilir. Malware.exe isimli bir uygulamanın çalıştırılması, sistem müdahalesine ve veri sızıntısına yol açabilir. Bu tür bir bulgu, analistler tarafından hemen değerlendirilmeli ve sistemden kaldırılması gereken adımlar atılmalıdır.

Sızan Veri ve Servis Tespiti

BAM/DAM analizi, sızan verilerin tespiti için etkili bir yöntemdir. Kullanıcının etkileşimde bulunduğu dosyalar ve uygulama yolları, belirli bir saldırı vektörünü analiz etmeye olanak tanır. Örneğin, bazı durumlarda kullanıcıların belleğindeki hassas bilgileri izlemek üzere kötü amaçlı yazılımlar kullanılır.

Özellikle, sistemdeki kullanıcı aktivitelerinin ve yürütme geçmişinin detaylı analizi, şüpheli dosyaların tespit edilmesini sağlar. Bu süreçte, aşağıdaki veri alanları dikkatlice incelenmelidir:

  • User SID: Kullanıcı kimliğini tanımlar ve hangi kullanıcıların sistemi etkilediğini gösterir.
  • Last Execution Time: Belirtilen bir uygulamanın en son ne zaman çalıştırıldığını gösterir.

Profesyonel Önlemler ve Hardening Önerileri

Kötü niyetli aktivitelerden korunmak ve sistemin güvenliğini artırmak için, belirli profesyonel önlemler almak önemlidir. Öncelikle, sistemin düzenli olarak güncellenmesi ve yamalarının uygulanması sağlanmalıdır. Ayrıca, aşağıdaki hardening önerilerine dikkat edilmelidir:

  1. Uygulama İzinlerini Kısıtlama: Kullanıcıların yalnızca ihtiyaç duydukları uygulamalara erişimini sağlamak, potansiyel suistimalleri azaltır.
  2. Ağ Segmentasyonu: Kritik sistemlerin diğerlerinden ayrılması, bir saldırı durumunda hasarın sınırlı kalmasını sağlar.
  3. Düzenli Güvenlik Taramaları: Sistem üzerindeki zafiyetlerin tespit edilmesi için düzenli güvenlik taramaları yapılmalıdır.
  4. Log Yönetimi: Sistem etkinliklerini düzenli olarak kaydederek, inceleme ve analiz süreçlerini kolaylaştırmak gerekir.

Sonuç

BAM/DAM artifact analizi, siber güvenlikte riskleri anlamak ve yönetmek için kritik bir araçtır. Yanlış yapılandırmalar, potansiyel zafiyetler ve şüpheli aktiviteler, bu analiz ile açığa çıkarılabilir. Uygun güvenlik önlemleri ve sistem hardening uygulamaları ile, kötü niyetli saldırılara karşı etkili bir savunma stratejisi geliştirmek mümkündür. BAM/DAM analizi, siber güvenlik analistlerine hem tarihsel bir perspektif sunar hem de mevcut güvenlik açıklarını hızla saptamalarına yardımcı olur.