CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Bellek Analizi

Bellek Analizinde Process Enumeration: Pslist, Pstree ve Psscan Kullanımı

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Bellek Analizi

Process enumeration, bellek analizinde kritik bir rol oynar. Pslist, pstree ve psscan komutları ile süreçleri etkili bir şekilde analiz edin.

Bellek Analizinde Process Enumeration: Pslist, Pstree ve Psscan Kullanımı

Bellek analizi, siber güvenlikte önemli bir adımdır. Process enumeration, pslist, pstree ve psscan komutlarıyla gizli süreçleri ortaya çıkartmanın etkili yollarını sunar.

Giriş ve Konumlandırma

Bellek analizi, dijital adli tıp alanında önemli bir yere sahip olan bir süreçtir. Bu süreç, bellek imajı içerisindeki çalışan ve geçmiş süreçlerin listelenmesi faslını içerir. CyberFlow olarak, bellek analizinin temellerini anlamak ve bunları etkili bir şekilde uygulamak için bu yazıda, process enumeration kavramını ele alacağız. Özellikle pslist, pstree ve psscan komutlarının nasıl kullanılacağını açıklayarak, bu araçların siber güvenlik perspektifinde sağladığı faydaları gözler önüne sereceğiz.

Process Enumeration Tanımı

Process enumeration, belleklerdeki aktif süreçlerin detaylı bir şekilde incelenmesini sağlamaktadır. Bu, dijital adli tıp analizlerinde kritik bir rol oynamaktadır, çünkü siber saldırıların çoğu, çalışan süreçler üzerinden yürütülmektedir. Süreçlerin analizi, olayların doğru bir şekilde değerlendirilmesine, yani bir güvenlik açığı veya ihlali durumunda, hangi süreçlerin şüpheli olduğunun tanımlanmasına olanak tanır. Özellikle SOC L2 analistleri, tehdit araştırmalarında bu verileri aktif bir biçimde kullanmaktadır.

Neden Önemlidir?

Siber güvenlik ve penetrasyon testleri bağlamında process enumeration, güvenlik açıklarının tespit edilmesi ve zararlı yazılım analizinin yapılabilmesi adına mühim bir adımdır. Bu tür analizler, yalnızca saldırganların izini sürmekle kalmaz, aynı zamanda güvenlik ekiplerinin olaylara nasıl müdahale edeceğini de belirlemede yardımcı olur. Örneğin, bir siber saldırının etkisinin analizini yapmak için süreçlerin hiyerarşisini anlamak gereklidir. Saldırganlar çoğu zaman gizli süreçler veya sonlanmış durumdaki süreçler kullanarak sistem üzerinde kontrol sağlamaya çalışırlar; bu nedenle, bu tür bilgilerin tespit edilmesi gerekmektedir.

Temel Enumeration Komutları

Bellek analizi bağlamında kullanılan temel komutlar arasında pslist, pstree ve psscan yer alır. Bu komutlar, bellek imajındaki süreçleri görüntülemek ve analiz etmek için farklı yöntemler sunmaktadır.

!pslist

Yukarıdaki komut, aktif süreçlerin bir listesini görüntülemeye yarar. Bu komut, kullanıcıların sistemde hangi süreçlerin çalıştığını anlamalarına olanak sağlar.

!pstree

Bu komut ise sürecin hiyerarşisini gösterir. Hiyerarşi, parent-child ilişkileri üzerinden inceleme yaparak olası zararlı yazılımların davranışlarını analiz etmeye yardımcı olur.

!psscan

Son olarak, bu komut, bellek taraması yaparak gizli veya sonlanmış süreçleri tespit eder. Bu süreçlerin izlenmesi, özellikle malware (zararlı yazılım) analizinde kritik rol oynamaktadır.

Hedefler ve Kullanım Bağlamı

Siber güvenlik uzmanları, process enumeration'ı kullanarak tehdit görünürlüğünü artırma amacı taşırlar. Elde edilen bu bilgiler, malware analizi ve olaylara müdahale süreçlerinde büyük önem arz etmektedir. Örneğin, bir siber mücadelenin başında, şüpheli süreçlerin tespit edilmesi, olası bir sızıntının etkilerini azaltabilir.

Bellek analizi ve process enumeration, aynı zamanda EPROCESS adı verilen çekirdek veri yapısı üzerinde işlem yaparak, Windows işletim sistemindeki süreç bilgilerini düzenlemeye de yarar. Bu bilgiler, güvenlik eylemlerinin daha iyi yönetilmesi için kritik bir zemin oluşturur.

Technik yazım alanında, sürecin doğru bir şekilde kavranması ve ilgili araçların etkin bir şekilde kullanılması, yalnızca bilgi edinimi değil, aynı zamanda analitik düşünme yeteneğini de gerektirir. Dolayısıyla, sürecin farklı yönlerine dair sağlam bir bilgi birikimi oluşturmak, siber güvenlik alanında büyük fayda sağlayacaktır.

Sonuç olarak, bu bölümde, bellek analizinde process enumeration kavramını ve temel komutları tanıtarak, bu tekniklerin siber güvenlik perspektifinde neden önemli olduğunu vurgulamış olduk. İlerleyen bölümlerde, bu komutların nasıl kullanılacağına dair daha Derinlemesine bilgiler vererek, okuyucuların siber güvenlik alanındaki uygulama becerilerini pekiştireceğiz.

Teknik Analiz ve Uygulama

Process Enumeration Tanımı

Bellek analizinde "process enumeration", bellek imajı içerisinde aktif ve geçmiş süreçlerin listelenmesi işlemini tanımlar. Bu süreç, bir siber güvenlik olayının analizinde kritik bir rol oynar, zira süreçler, sistemin çalışma halinde olan durumunu ve potansiyel tehditleri anlamada anahtar bilgiler sunar. Özellikle SOC L2 analistleri, process analizi kullanarak şüpheli süreçleri tespit eder ve bu bilgi, tehdit araştırmalarında oldukça değerlidir.

Enumeration Workflow

Process enumeration işlemi, belirli araçlarla sistem üzerinde yürütülen adımları içerir. Bu araçlar, aktif süreçlerin görüntülenmesi, hiyerarşilerinin belirlenmesi ve gizli ya da sonlanmış süreçlerin tespit edilmesini sağlar. Aşağıdaki adımlar, tipik bir process enumeration akışını oluşturmaktadır:

  1. Bellek imajının yüklenmesi
  2. Aktif süreçlerin listelenmesi (pslist)
  3. Süreç hiyerarşilerinin belirlenmesi (pstree)
  4. Gizli ve sonlanmış süreçlerin taranması (psscan)

Temel Enumeration Komutları

Bellek süreç analizinde kullanılan temel komutlar şunlardır:

  • pslist: Aktif süreçlerin listesini sağlar ve genel süreç bilgilerini görüntüler.
  • pstree: Süreçlerin hiyerarşisini gösterir ve parent-child ilişkilerini anlamaya yardımcı olur.
  • psscan: Belleikte gizli veya sonlanmış süreçleri tespit etmeye yarar.

Bu komutlar, siber güvenlik analistlerinin tehditleri keşfetmesi ve olayları daha iyi anlaması için zorunlu araçlardır.

pslist Tanımı

Pslist, bellek içerisindeki aktif olan süreçlerin listesini görüntülemek için kullanılan bir araçtır. Herhangi bir saldırının etkilerini anlamak veya süreçlerin durumunu kontrol etmek için sıklıkla ilk tercih edilen komuttur. Pslist kullanıldığında, belirli bir bellekteki süreçlerin isimlerini, PID’lerini ve durumlarını görebiliriz.

Kullanımı şu şekildedir:

pslist

Bu komut çalıştırıldığında, toplam süreç sayısı, her bir sürecin bellekteki konumu (adres), PID ve süreç durumu gibi bilgiler sağlanır.

pstree Avantajları

Pstree, süreçlerin hiyerarşisini gösteren bir araçtır ve özellikle parent-child ilişkilerini analiz etmede büyük avantajlar sunar. Şüpheli bir davranış tespit etmek için bu ilişkiler kritik öneme sahiptir, zira bir zararlı yazılım genellikle belirli bir sürecin çocuk süreci olarak çalışır.

Pstree komutu kullanılırken genel bir görsellik sağlamak amacıyla aşağıdaki komut çalıştırılabilir:

pstree

Bu komutu çalıştırdığınızda tüm süreçlerin hiyerarşisini göreceksiniz ve bu, potansiyel olarak zararlı olan süreçleri hızlıca tespit etmenize yardımcı olabilir.

psscan Tanımı

Psscan, bellek içerisindeki gizli veya sonlanmış süreçleri tespit etmeye yarayan bir modüldür. Gizli süreçlerin tespiti, özellikle zararlı yazılımların incelenmesinde önemlidir. Psscan kullanıldığında, belirli bir zaman diliminde çalışmayı durdurmuş veya sistemde görünmeyen süreçler ortaya çıkarılabilir.

Psscan'ı kullanmak için basit bir komut aşağıda verilmiştir:

psscan

Bu komut, sistemdeki gizli süreçleri listeler ve potansiyel tehditlerin tespit edilmesine yardımcı olur.

Process Enumeration Hedefleri

Process enumeration'ın hedefleri genel olarak şunlardır:

  • Aktif süreçlerin tespit edilmesi
  • Süreç hiyerarşilerinin ve ilişkilerinin analizi
  • Gizli veya sonlanmış süreçlerin belirlenmesi

Bu hedefler, tehdit analizi sırasında analistlerin dikkatli bir şekilde ele alması gereken yönlerdir.

EPROCESS Tanımı

Windows işletim sisteminde süreç bilgilerini tutan çekirdek veri yapısına EPROCESS denir. EPROCESS yapısı, bir sürecin yönetimi için gerekli olan tüm bilgileri içerir. Bu nedenle bellek analizi sırasında EPROCESS yapısının incelenmesi son derece kritik bir adımdır. EPROCESS yapısı, süreçler hakkında kapsamlı bilgi sunarak, zararlı aktiviteleri anlamada önemli bir rol oynar.

Process Enumeration Mastery

SOC L2 analistlerinin, process enumeration konusunu iyi bir şekilde kavrayarak şüpheli süreçleri tespit etmesi ve bu süreçlerin analizini gerçekleştirmesi, olay müdahale süreçlerinin başarısını artıracaktır. Süreçlerin detaylı incelenmesi, saldırı davranışlarının anlaşılması ve olayların önlenmesi açısından kritik bir adımdır.

Bu bilgilerle birlikte, bellek analizi alanında siber güvenlik profesyonellerinin sağlam bir temel oluşturması gerekmektedir. Process enumeration araçlarının doğru ve etkin bir biçimde kullanılması, siber güvenlik alanında etkili bir strateji yaratmada belirleyici olacaktır.

Risk, Yorumlama ve Savunma

Bellek analizi, siber güvenlik tehditlerini anlamak ve etkili bir savunma mekanizması oluşturmak için kritik bir bileşendir. Özellikle process enumeration araçları olan pslist, pstree ve psscan kullanılarak gerçekleştirilen analizler, potansiyel risklerin belirlenmesi ve yorumlanması sürecinde önemli bir rol oynamaktadır. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayacak, olası yanlış yapılandırma veya zafiyetlerin etkilerini açıklayacak, sızan veri, topoloji ve servis tespiti sonuçlarını ele alacağız. Son olarak, profesyonel önlemler ve hardening önerileri sunarak, analizi tamamlayacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Elde edilen verilerin güvenlik açısından doğru bir şekilde yorumlanması, saldırıların tespit edilmesi ve gelecekteki saldırılara karşı önlemler almak için hayati önem taşır. Örneğin, pslist komutuyla elde edilen aktif süreç listesi, sistemde halen çalışan uygulamalar ve hizmetler hakkında bilgi verir. Eğer şüpheli bir süreç tespit edilirse, bu durum potansiyel bir zararlı yazılım (malware) veya başka bir tehdit göstergesi olabilir.

!pslist

Yukarıdaki komut, sistemde aktif olarak çalışan süreçlerin listesini sunar. Bu liste üzerinden, tanımadığınız veya beklenmedik bir süreç bulunuyorsa, kritik bir tehdit olarak değerlendirilmelidir. Aynı zamanda, süreçlerin kimler tarafından başlatıldığı ve hangi kullanıcı hesaplarının bu süreçlere erişimi olduğu da göz önünde bulundurulmalıdır.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar, sistemin savunma mekanizmalarını zayıflatabilir. Örneğin, bir uygulama hizmetinin yanlış bir hesap üzerinden çalışması, bu hizmetin daha kolay bir şekilde hedef alınmasına yol açabilir. Ayrıca, işletim sisteminin yaptığı varsayılan ayarlar da güvenlik açısından zafiyetler oluşturabilir. Örneğin, ağdaki tüm kullanıcıların aynı yetkilere sahip olması, bir kullanıcının kötü niyetli hareket etmesi durumunda tüm sistemi tehlikeye atabilir.

Analiz sırasında pstree komutunu kullanarak süreçlerin hiyerarşisi incelenebilir. Bu, zararlı süreçlerin hangi ebeveyn süreçlere bağlı olduğunu ve böylece kötü niyetli faaliyetlerin görünürlüğünü artırır.

!pstree

Bu komut, süreçlerin ebeveyn-çocuk ilişkilerini gösterir ve şüpheli parent-child yapılarını tespit etmede kritik bir rol oynar. Şüpheli ilişkiler tespit edildiğinde, zararlı yazılım analizi yapılmalı ve gerekirse sistemden kaldırılmalıdır.

Sızan Veri ve Servis Tespiti

Bellek analizinin en önemli çıktılarından biri de, sistemin ne tür verilere sahip olduğunun belirlenmesidir. Özellikle psscan komutu kullanılarak gizli veya sonlanmış süreçler tespit edilir. Sızan veriler, kötü niyetli bir aktör tarafından elde edilebilir ve bu da ciddi veri ihlallerine yol açabilir.

!psscan

Bu komutla, sistemde gizli veya daha önce sonlandırılmış süreçlerin tespiti yapılır. Bu verileri analiz ederek, daha önce tespit edilememiş zararlı yazılımlar veya kaybolmuş süreçler hakkında bilgi sahibi olunabilir.

Profesyonel Önlemler ve Hardening Önerileri

Elde edilen veriler ışığında, güvenlik önlemlerinin alınması hayati bir önem taşır. Aşağıda bazı profesyonel önlemler ve hardening önerileri sıralanmıştır:

  1. Güncellemeleri Düzenli Yapın: İşletim sistemlerinin ve yazılımların güncel tutulması, bilinen zafiyetlere karşı koruma sağlar.
  2. Erişim Kontrollerini Gözden Geçirin: Kullanıcı hesaplarının yetkileri düzenli olarak kontrol edilmeli ve en az yetki prensibi uygulanmalıdır.
  3. Ağ İzleme Araçlarını Kullanın: Ağdaki tüm aktiviteleri izlemek için yükseklikte güvenlik duvarı ve izleme araçları kullanılmalıdır.
  4. Düzenli Bellek Analizi Yapın: İşletim sisteminin bellek yapısını düzenli aralıklarla analiz ederek potansiyel tehditlerin önüne geçilebilir.

Sonuç

Bellek analizi, siber güvenlik uygulamalarında kritik bir öneme sahiptir. Özel olarak pslist, pstree ve psscan araçları kullanılarak yapılan süreç analizleri, sistemdeki potansiyel tehditleri tespit etme konusunda büyük bir katkı sağlar. Elde edilen bulguların yorumlanması, tehditlerin gerçekleşme olasılığını azaltmak ve sistemin güvenliğini artırmak için gerekli adımların atılmasında temel bir rol oynamaktadır. Uygulanan güvenlik önlemleri ve hardening teknikleri, sistemin güvenlik duruşunu sağlamlaştırmak için vazgeçilmezdir.