CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

Tarayıcı Geçmişi ve İndirme Verileri Analizi: Siber Güvenlikte Kritik Adımlar

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

Tarayıcı geçmişi ve indirme verileri, siber güvenlikte kritik analiz unsurlarıdır. Bu yazıda, verilerin analizi ve siber güvenlik üzerindeki etkileri incelenecek.

Tarayıcı Geçmişi ve İndirme Verileri Analizi: Siber Güvenlikte Kritik Adımlar

Tarayıcı geçmişi ve indirme verilerinin analizi, siber güvenlik süreçlerinde önemli bir rol oynamaktadır. Bu yazıda, bu tür verilerin nasıl değerlendirileceği ve kullanıcı aktivitelerinin nasıl izleneceği açıklanacak.

Giriş ve Konumlandırma

Siber güvenlik, sürekli değişen tehditler ve karmaşık saldırı vektörleriyle dolu bir alan olup, düzeltici önlemlerin yanı sıra proaktif tespit ve yanıt süreçleri gerektirir. Bu bağlamda, tarayıcı geçmişi ve indirme verileri analizi, birçok siber güvenlik veya dijital adli bilişim uygulamasında kritik bir öneme sahiptir. Tarayıcıların kullanıcı aktiviteleriyle ilgili önemli kalıntılar ve veriler depolaması, bu bilgilerin analizi yoluyla güvenlik tehditlerinin belirlenmesine olanak tanır.

Tarayıcı Artefaktları ve Önemi

Tarayıcı artefaktları, kullanıcıların web tarayıcılarında gerçekleştirdikleri aktivitelerle ilgili veriler olarak tanımlanabilir. Bu veriler, tarayıcı geçmişi, indirme kayıtları, çerezler ve oturum verilerini içerir. Bu tür verileri analiz etmek, siber güvenlik analistlerine kullanıcı davranışlarını izleme, şüpheli aktiviteleri tespit etme ve potansiyel tehditleri daha iyi anlama fırsatı sunar. Özellikle, kötü niyetli yazılım indirmeleri veya kimlik avı saldırıları gibi siber tehditlerin izlenmesinde tarayıcı verileri kritik bir rol oynamaktadır.

Web tarayıcıları, kullanıcıların çevrimiçi aktivitelerini kaydeden ve saklayan önemli bir araçtır. Örneğin, Google Chrome tarayıcısı, geçmiş verilerini SQLite veri tabanında depolar ve bu verilerin analizi, çeşitli DTS (Dijital Tehlike Yönetimi) süreçlerine entegre edilebilir. Ancak, bu verilerin kullanımında dikkat edilmesi gereken, kullanıcı gizliliği ve veri güvenliği gibi etik meselelerdir.

Siber Güvenlikte Kullanımı

Tarayıcı geçmişi ve indirme verileri analizi, Pentest (Penetrasyon Testi) süreçleri açısından da önemli bir yere sahiptir. Penetrasyon testleri, sistemlerin güvenlik açıklarını değerlendirmek ve bu açıkları maksimize eden saldırı yöntemlerini belirlemek için yapılan simülasyonlardır. Bu aşamada, tarayıcı verileri, saldırganların sistemleri hedef alma yöntemlerini ve kullanıcıların güvenlik davranışlarını anlama konusunda kritik bilgiler sunabilir.

Ayrıca, tarayıcı verileri analizi, tehdit avcılığı ve bilgisayar adli tıp süreçlerinin bir parçası olarak da kullanılır. SOC (Güvenlik Operasyon Merkezi) analistleri, tarayıcı artefaktlarını kullanarak kullanıcı internet aktivitelerini araştırma ve tehdit girişimlerini belirleme sürecini yürütmektedir. Örneğin, "hindsight" gibi araçlar, Chrome geçmiş verisini analiz ederek ilgili tehditlerin belirlenmesine yardımcı olur. İşte bu bağlamda araçların temel kullanım şekli:

hindsight.py -i history

Bu komut, Chrome geçmişi üzerinden analiz yaparak belirtilen şüpheli aktiviteleri tespit etme imkanı sunar.

Eğitim İçeriğine Giriş

Tarayıcı verileri analizi, siber güvenlik alanında büyük önem taşıdığı kadar, eğitim ve bilgi paylaşımı için de bir fırsat sunar. Bu doğrultuda, bu blog serisi boyunca tarayıcı artefaktlarının analizi, temel veri türleri, kullanılan araçlar ve sonuçların nasıl yorumlanacağı hakkında detaylı bir bilgi aktarımı sağlanacaktır.

Eğitim boyunca şu konulara değinilecektir:

  • Tarayıcı artefaktlarının tanımı ve türleri
  • Chrome tarayıcı geçmişinin konumu ve veri yapılandırması
  • Kullanıcı aktivitelerinin zaman çizelgesine dönüştürülmesi
  • Hindsight aracı ile analiz örnekleri
  • Tarayıcı analizi sırasında karşılaşılan riskler ve anti-forensics stratejileri

Bu alanlarda derinlemesine bilgi edinmek, hem bireysel hem de kurumsal düzeyde siber güvenlik önlemlerinin etkinliğini artırmak için kritik bir adımdır. Yararlı olabileceği gibi, aynı zamanda karşılaşabilecek tehditlerin önceden tahmin edilmesine ve yönetilmesine de olanak tanır.

Teknik Analiz ve Uygulama

Browser Artifact Tanımı

Web tarayıcıları, kullanıcıların internetteki aktivitelerini kaydeden kritik veri yapıları içerir. Bu yapı, "browser artifactleri" olarak adlandırılır ve bunlar genellikle ziyaret geçmişi, indirme kayıtları, çerezler (cookies) ve oturum verileri gibi verileri kapsar. Bu veriler, siber güvenlik analizleri için önemli bir kaynak sunar. Analistlerin, bu verileri inceleyerek kullanıcı davranışlarını anlaması ve olası tehdit girişimlerini tespit etmesi, siber güvenlik stratejilerinde kritik bir adım olarak öne çıkar.

Chrome History Konumu

Google Chrome tarayıcısında kullanıcı geçmişi, SQLite veri tabanı formatında saklanır. Bu veri tabanına erişim sağlamak için aşağıdaki yol kullanılır:

C:\Users\%username%\AppData\Local\Google\Chrome\User Data\Default\History

Bu yol, Windows işletim sisteminde Chrome geçmişine ulaşmak için standart bir konumdur. Bu veri tabanındaki bilgi, gözden geçirilmesi gereken önemli delillerdir.

Temel Browser Veri Türleri

Tarayıcı analizinde dikkate alınması gereken birkaç temel veri türü vardır:

  • Geçmiş (History): Kullanıcının ziyaret ettiği web siteleri.
  • İndirmeler (Downloads): Kullanıcının indirdiği dosyalar.
  • Çerezler (Cookies): Kullanıcı oturumuna ve izlemeye yönelik veriler.
  • Gizli Tarayıcı Modu (Private Browsing): Kullanıcının gizli modda gerçekleştirdiği aktiviteler.

Bu veri türleri, bir kullanıcının davranışını ve potansiyel siber tehditleri anlamak için analiz edilebilir.

Hindsight Aracı

Chrome ve Chromium tabanlı tarayıcıları analiz etmek için yaygın olarak kullanılan bir forensic (adli bilişim) aracı Hindsight'tır. Hindsight, tarayıcı geçmişini analiz etmek için etkili bir yöntem sunar. Chrome geçmiş verisini analiz etmek için Hindsight kullanmanın temel komutu şu şekildedir:

python hindsight.py -i history

Bu komut, tarayıcı geçmişini incelemek için gerekli veri tabanını işleyecek ve kullanıcı geçmişini detaylı bir şekilde sunacaktır.

Hindsight Kullanımı

Hindsight aracı, kullanıcının internet üzerindeki aktivitelerine dair önemli bilgiler sunarak şüpheli davranışları tespit etme konusunda sistemi yatay bir perspektif sunar. Bu aracın kullanımında elde edilen bilgiler, zaman çizelgesi (timeline) oluşturarak eylemler arasında bağlantılar kurmayı mümkün kılar. Uygulamanın kullanımına dair bir örnek:

python hindsight.py -i <path_to_history_file>

Bu komutta <path_to_history_file>, analiz edilmek istenen geçmiş verisinin dosya yolunu belirtir.

Browser Forensic Avantajları

Tarayıcı artifactlerinin sunduğu forensic faydalar arasında, şüpheli internet aktivitelerinin tespiti ve olası siber tehditlerin önlenmesi yer alır. Kullanıcıların hangi siteleri ziyaret ettiğini, hangi indirme işlemelerini gerçekleştirdiğini ve diğer internet aktivitelerini incelemek, tehdit analizinde kritik bir rol oynar. Kullanıcı davranışlarına dair sağlanan bu bilgiler, kimlik avı (phishing) gibi saldırılara karşı da koruma sağlamak için kullanılabilir.

Download Analysis

Tarayıcı indirme kayıtları, zararlı yazılım (malware) giriş vektörlerini analiz etmek için önemlidir. İndirilen dosyaların tarihçesi, kullanıcıların bilgisayarına sızmak isteyen kötü niyetli yazılımlara dair bilgi sunar. Download analizi, zararlı içeriklerin tespit edilmesine ve potansiyel zararın en aza indirilmesine yardımcı olur.

Timeline Reconstruction

Tarayıcı artifactleri, kullanıcı internet aktivitelerini zaman çizelgesine dönüştürme yeteneğine sahiptir. Bu süreç, bir olayın zamanlamasını ve sırasını belirlemek için gereklidir. Örneğin, bir kullanıcının bir kötü niyetli web sitesine ne zaman girdiği ve burada ne tür işlemler yaptığı gibi soruların yanıtlarını sağlayabilir.

Browser Anti-Forensics Riskleri

Tarayıcı artifact analizinde bazı riskler bulunmaktadır. Örneğin, kullanıcıların tarayıcı geçmişini silmesi veya çerezleri manipüle etmesi, araştırmaları zorlaştırabilir. Gizli mod kullanımı, siber güvenlik analistlerinin kullanıcı aktivitelerini izlemekteki etkinliğini azaltır. Bu tür anti-forensic teknikler, analiz süreçlerinde dikkatli olunması gerektiğini gösterir.

SOC L2 Browser Artifact Operasyonu

SOC (Security Operations Center) analistleri, browser artifactleri ile kullanıcı internet aktivitelerini ve tehdit girişlerini araştırarak kritik analizlerde görev alırlar. Bu süreçte, tarayıcı geçmişi ve indirme verileri, kullanıcıların potansiyel kötü niyetli aktivitelerini ve olası saldırıları tespit etmek için kullanılır. Bu noktada, veri analizi ve güvenlik stratejilerinin etkinliği, siber güvenliğin sağlanmasında hayati bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Elde Edilen Bulguların Güvenlik Anlamı

Tarayıcı geçmişi ve indirme verileri, bir kullanıcının çevrimiçi etkinliklerini analiz etmek için kritik öneme sahiptir. Bu veriler, kötü niyetli aktivitelerin izlerini sürme, kullanıcı davranışlarını anlama ve potansiyel tehditleri belirleme amacıyla kullanılır. Örneğin, kullanıcıların sürekli olarak belirli türdeki web sitelerini ziyaret etmesi, kimlik avı girişimlerini veya zararlı içeriklere yönlendiren bağlantıları gösteriyor olabilir. Elde edilen bulgular analiz edildiğinde, bir organizasyonun güvenlik durumunu değerlendirirken dikkate alınması gereken birçok faktör ortaya çıkar.

Verilerin güvenlik anlamı, şunları içerir:

  • Ziyaret Edilen Siteler: Kullanıcıların hangi web sitelerini ziyaret ettiğini gösterir. Kötü niyetli sitelere erişim, potansiyel bir tehdit oluşturabilir.
  • İndirme Geçmişi: Zararlı yazılımların indirildiği dosyalar için önemli bir gösterge niteliğindedir. Özellikle bilinmeyen veya güvenilir olmayan kaynaklardan yapılan indirmeler risk taşır.
  • Çerezler ve Oturum Verileri: Kullanıcının çevrimiçi kimliği ve oturumları üzerinde kontrol sahibi olmamak, kötüye kullanım riskini artırır.

Yanlış Yapılandırma veya Zafiyetin Etkisi

Tarayıcıların yanlış yapılandırılması veya siber güvenlik zafiyetleri, organizasyonların sistemi üzerinde ciddi etkiler yaratabilir. Örneğin, bir tarayıcıda "gizli mod" kullanıldıktan sonra bile geçmişin temizlenmemesi, iz bırakan etkinliklerin tespit edilmesine neden olabilir. Bu tür durumlar, kullanıcıların kötü niyetli içeriklere ulaşımında ve dolayısıyla zararlı yazılımların sisteme sızmasında etkili bir rol oynayabilir. Tarayıcıların varsayılan ayarlarının değiştirilmesi, güvenlik açıklarını artırırken, zararlılar için yeni kapılar açabilir.

Ayrıca, gizli modda gezinme veya geçmiş silme uygulamaları, yapılan araştırmaların manipüle edilmesine neden olabilir. Bunun yanı sıra, cookie manipülasyonları da kullanıcıların güvenliğini tehdit eden önemli risklerdendir.

Sızan Veri, Topoloji ve Servis Tespiti

Bir güvenlik olayı sonrası tarayıcı artefaktlarının analizi yapıldığında, birçok bilgi gün yüzüne çıkabilir. Özellikle doğru yöntemlerle analiz edildiğinde, veri bütünlüğü sağlanabilir. Sızan veriler genellikle aşağıdaki alanlarda elde edilir:

  • Topoloji: Internet trafiği ve kullanıcı etkinliklerinin haritası çıkarılabilir. Bu, kötü niyetli kullanıcıların hangi yolları kullandığını ve hangi kaynaklara erişim sağladığını göstermekte faydalıdır.
  • Servis Tespiti: Kullanıcıların hangi web servislerine eriştiği tespit edilebilir. Özellikle sosyal mühendislik girişimleri bu tür verilerle ilişkilendirilebilir.

Kod örneğiyle basit bir tarayıcı geçmişi sorgulaması yapacak olursak:

import sqlite3

# SQLite veritabanına bağlan
conn = sqlite3.connect('path/to/history')
cursor = conn.cursor()

# Geçmiş verilerini çek
cursor.execute("SELECT url, title, visit_count FROM urls ORDER BY last_visit_time DESC LIMIT 10")
results = cursor.fetchall()

for url, title, visit_count in results:
    print(f"Site: {title}, URL: {url}, Ziyaret Sayısı: {visit_count}")

conn.close()

Bu basit kod parçası, Chrome tarayıcı geçmişindeki son ziyaretleri sıralayıp görüntülemektedir. Elde edilen sonuçlar, daha sonra yorumlanarak kullanıcı aktiviteleri hakkında bilgi edinilebilir.

Profesyonel Önlemler ve Hardening Önerileri

Tarayıcı güvenliğini artırmak için aşağıdaki önlemler alınmalıdır:

  1. Güncel Tarayıcı Kullanımı: Her zaman en son güncellemeleri yüklemek, bilinen zafiyetlerden korunmanın temelidir.
  2. Gelişmiş Güvenlik Ayarları: Tarayıcının güvenlik ayarlarına erişim kısıtlandığında, kullanıcı aktivitelerinin kötüye kullanım riski azalır.
  3. Güvenilir Eklenti ve Uzantı Kullanımı: Bilinmeyen veya şüpheli uzantılardan kaçınılmalıdır.
  4. Gizli Mod Kullanımı: Kullanıcı aktivitelerinin kaydedilmesinin önüne geçmek için, yedekleme yapılmadan önce gizli modun hızlıca kullanılması tavsiye edilir.

Kısacası, siber güvenlik etkinliklerinin belirlenmesi, tarayıcı geçmişi ve indirme verileri filtrelenerek mümkün olmaktadır. Karşılaşılabilecek riskler, doğru yorumlamalar ve stratejilerle minimuma indirilebilir. Doğru yaklaşımlarla, siber tehditlerin tespit edilmesi ve önlenmesi kolaylaşacaktır.