CyberFlow Logo CyberFlow BLOG
Soc L2 Malware Analysis Statik Dinamik

Dosya Sistemi İzleme: Zararlı Yazılımların Davranışlarını Anlamak

✍️ Ahmet BİRKAN 📂 Soc L2 Malware Analysis Statik Dinamik

Dosya sistemi izleme, zararlı yazılımların davranışlarını analiz etmenin temelidir. Bu rehber, izleme sürecini detaylandırıyor.

Dosya Sistemi İzleme: Zararlı Yazılımların Davranışlarını Anlamak

Zararlı yazılımların dosya sistemi aktivitelerini izlemek, güvenlik analizlerinde kritik öneme sahiptir. Bu blog yazısında dosya izleme süreçlerini ve araçlarını keşfedin.

Giriş ve Konumlandırma

Dosya Sistemi İzleme: Zararlı Yazılımların Davranışlarını Anlamak

Siber güvenlik alanında etkin bir savunma stratejisi geliştirmek, organizasyonların sürekli olarak evrilen tehditler karşısında proaktif olmasını gerektirir. Bu bağlamda, dosya sistemi izleme, zararlı yazılımların davranışlarını anlamak için kritik bir bileşen olarak öne çıkmaktadır. Zararlı yazılımlar, dosya oluşturma, silme, değiştirme ve kopyalama gibi aktiviteler gerçekleştirirken, bu eylemlerin izlenmesi, potansiyel tehditlerin erken tespiti için hayati öneme sahiptir.

Dosya Sistemi İzleme Tanımı

Dosya sistemi izleme, zararlı yazılımların dosya aktivitelerini inceleme sürecidir. Bu süreç, dinamik analiz aşamasında dosya sistemindeki hareketlerin dikkatle takip edilmesini içerir. Organizasyonlar, bu izlemeyi gerçekleştirerek, sistemdeki şüpheli veya zararlı aktiviteleri hızlı bir şekilde tespit edebilirler. Örneğin, bir zararlı yazılım kurban sistemde yeni dosyalar oluşturabilir veya mevcut dosyaları silerek etkisiz hale getirebilir. Bu tür aktiviteler, güvenlik analistleri tarafından izlenmelidir.

# Sysinternals araç setinden bir örnek
procmon.exe /minimized /quiet

Yukarıdaki komut, Microsoft Sysinternals tarafından sağlanan Procmon aracını başlatarak, arka planda dosya aktivitelerinin izlenmesini sağlar. Bu tür araçlar, sistemde gerçekleşen tüm dosya işlemlerini kaydeder ve analistlerin zararlı davranışları anlamasına yardımcı olur.

Neden Önemlidir?

Dosya sistemi izleme, siber güvenlik uyumunu sağlamak için temel bir unsurdur. Günümüzdeki birçok siber saldırı, zararlı yazılımlar aracılığıyla gerçekleşmektedir ve bu yazılımlar, kullanılabilir kaynakları hedef alarak sistemin işleyişini bozmayı amaçlar. Dolayısıyla, zararlı yazılımlar tarafından gerçekleştirilen dosya aktivitelerinin izlenmesi, hem organizasyonel güvenlik açısından hem de yasal uyumluluk için büyük önem taşır.

Bunun yanı sıra, dosya izleme, siber güvenlikteki tehdit avı (threat hunting) ve penetrasyon testleri (pentest) uygulamalarında da kritik bir rol oynar. Pentest sırasında, sistem yöneticileri veya analistler, dosya aktivitelerini izleyerek saldırganların potansiyel saldırı vektörlerini belirleyebilirler. Dolayısıyla, bu izleme süreci, güvenlik boşluklarının tespit edilmesine olanak tanır.

Siber Güvenlik ve SOC Bağlamı

Siber güvenlik bağlamında, dosya sistemi izleme, Güvenlik Operasyon Merkezi (SOC) ekipleri için önemli bir görevdir. SOC analistleri, dosya aktivitelerini izleyerek, şüpheli hareketleri hızlı bir şekilde tespit edebilir ve tehditleri önceden önleyebilir. Özellikle, Continued Monitoring (Sürekli İzleme) stratejileri çerçevesinde, zararlı yazılımların izlediği yolların belirlenmesi ve bu yolların kapatılması sağlanır.

Analistler, dosya yolunu, hash değerlerini ve diğer indikatörleri (IOC) analiz ederek, zararlı yazılımlar tarafından bırakılan izleri takip ederler. Örneğin, bir ransomware (fidye yazılımı) saldırısında, dosyaların şifrelenmesi veya silinmesi, izleme sürecindeki kritik aşamalardır. Aynı zamanda, ayrıca bir "anti-forensics" stratejisi olarak, saldırganlar log dosyalarını silmeyi de hedefleyebilirler.

Hazırlık ve Teknik İçerik

Gelecek bölümlerde, dosya sistemi izleme süreçlerinin nasıl gerçekleştirileceği, temel dosya davranışları ve Procmon gibi araçların kullanımı gibi konulara derinlemesine bir bakış sunulacaktır. Ayrıca, bu süreçlerin avantajları, riskleri ve mevcut en iyi uygulamaları da ele alınacaktır. Okuyucuların, bu teknik sürece hazırlanmasını sağlamak amacıyla, dosya sisteminin nasıl çalıştığını ve zararlı yazılımların bu sistemi nasıl etkileyebileceğine dair kapsamlı bilgi vermek önemlidir.

Siber güvenlik dünyasında, dosya sistemi izlemenin bilinçli ve etkili bir biçimde yapılandırılması, saldırılara karşı etkili bir savunma mekanizmasının oluşturulmasında kritik bir adımdır. Analiz süreçlerine derinlemesine hakim olmak ve teknolojik araçları etkili bir şekilde kullanmak, güvenlik profesyonellerinin başarı şansını artıracaktır.

Teknik Analiz ve Uygulama

Dosya Sistemi İzleme Tanımı

Dosya sistemi izleme, bir sistemdeki zararlı yazılım aktivitelerinin izlenmesi süreçlerinden biridir. Bu süreç, zararlı yazılımların dosya oluşturma, silme, değiştirme ve kopyalama gibi davranışlarını dikkatle kaydeder. Dolayısıyla, siber güvenlik analistleri için zararlı yazılımın etkilerini anlamak ve etkili bir şekilde mücadele edebilmek adına kritik bir araçtır.

Temel Dosya Davranışları

Zararlı yazılımlar çeşitli biçimde davranış gösterebilir. Bu davranışlar genel olarak aşağıdaki kategorilere ayrılabilir:

  • Oluşturma: Zararlı yazılımlar yeni dosyalar oluşturabilir; bu, genellikle yeni bir payload bırakma (dropper activity) ile ilişkilidir.

  • Silme: Anti-forensics amaçlarıyla log ve diğer dosyaların silinmesi (log deletion) sık rastlanan bir davranıştır.

  • Değiştirme: Ransomware gibi yazılımlar, kurbanın dosyalarını şifreleyerek onları değiştirebilir (file encryption).

  • Kopyalama: Belirli dosyaların kopyalanması, zararlı yazılımların kalıcılık sağlama veya veri hırsızlığı amacıyla gerçekleştirdiği bir eylemdir.

Bu davranışların izlenmesi, malware analizi sırasında kritik verilere ulaşmayı sağlar.

Dosya Davranış Türleri

Zararlı yazılım aktivitelerinin izlenmesi sürecinde belirli dosya davranış türleri beş ana grupta toplanabilir:

  1. Dropper Activity: Yeni payload bırakma.
  2. File Encryption: Ransomware davranışı, dosyaların erişiminin kısıtlanması.
  3. Log Deletion: Anti-forensics izi amacıyla silinen log dosyaları.
  4. Dropped File Discovery: Bırakılan dosyaların tespit edilmesi.
  5. Persistence Clues: Zararlı yazılımların sistemde kalıcılık sağlama yöntemleri.

Bu davranışların her biri, belirli tehdit analizleri ve siber olay müdahale süreçlerine ışık tutar.

Procmon Kullanımı

Dosya sistemi izleme için en etkili araçlardan biri Microsoft'un Sysinternals aracıdır: Procmon. Bu araç, Windows sistemlerinde dosya, registry ve process aktivitelerini izlemek için kullanılır.

Procmon ile izleme yapmak için aşağıdaki adımları izleyebilirsiniz:

  1. Aracı Başlatma: Procmon'u açarak izlemeye başlamak için "File" menüsünden "Capture Events" seçeneğini aktifleştirin.

  2. Filtre Ayarları: Belirli dosya türlerini veya işlemleri izlemek için filtreleme yapabilirsiniz. Örneğin:

Process Name is malicious.exe
  1. Veri Analizi: İzleme işlemi başladıktan sonra, görüntülenen aktiviteleri inceleyerek şüpheli davranışları tanımlayabilirsiniz. Örneğin, belirli bir dosyanın ne zaman oluşturulup silindiğini görebilirsiniz.

Bu süreç, zararlı yazılımın davranışlarını anlamak için kritik öneme sahiptir.

İzleme Süreci

İzleme süreci genel olarak şu adımlardan oluşur:

  1. İlk Kurulum: Sistem üzerinde Procmon veya benzeri bir araç kurulur.
  2. Hedef Belirleme: İzlenecek dosyalar ve süreçler tanımlanır.
  3. Veri Toplama: Araç kullanılarak dosya sistemi aktiviteleri toplanır.
  4. Veri Analizi: Toplanan veriler detaylı şekilde incelenerek şüpheli aktiviteler tespit edilir.
  5. Raporlama: Elde edilen bulgular rapor haline getirilir ve ilgili birimlere iletilir.

File Monitoring Avantajları

Dosya sistemi izleme, birçok avantaj sunar:

  • Malware Davranışlarının Görünür Hale Gelmesi: Zararlı yazılımlar tarafından gerçekleştirilen aktivitelerin tespiti, analistlerin incelemelerine yardımcı olur.
  • Tehdit Analizi Güçlendirme: İzleme verileri, hızlı ve doğru tehdit analizleri yapabilmek için kullanılabilir.
  • IOC Çıkarma: Belirli dosya yolu, hash ve diğer bilgiler IOC (Indicators of Compromise) olarak kullanılabilir.

Bu avantajlar, izleme süreçlerinin etkinliğini artırır ve siber güvenlik önlemlerinin geliştirilmesine katkıda bulunur.

Dosya Sistemi İzleme Riskleri

Her ne kadar dosya sistemi izleme faydalı bir işlem olsa da bazı riskler de içerir. Bunlar arasında:

  • Yüksek Gürültü: Sürekli olarak çok fazla veri toplamak, analistlerin dikkatini dağıtabilir.
  • Yanlış Pozitifler: Normal faaliyetler sırasında oluşabilecek yanlış pozitif sonuçlar, zaman kaybına yol açabilir.

Bu riskleri minimize etmek için, izleme sürecinin dikkatli bir şekilde planlanması ve yürütülmesi gerekmektedir.

SOC L2 Final Operasyonu

Siber Güvenlik Operasyon Merkezi (SOC) düzeyinde, dosya sistemi izleme ile elde edilen sonuçlar, detaylı bir analiz ve sonuca bağlama sürecine tabi tutulur. SOC L2 analistleri, izleme sürecinden elde edilen bulgularla, zararlı dosya izlerini tespit eder ve gerekli önlemleri alır.

Dosya sistemi izleme, siber güvenlik dünyasında kritik bir yer tutmakta olup, zararlı yazılımların investigate edilmesi ve enjeksiyonlarının engellenmesi noktasında etkin bir çözüm sunmaktadır.

Risk, Yorumlama ve Savunma

Dosya sistemi izleme, zararlı yazılımların davranışlarını anlamada kritik bir süreçtir. Bu süreçte elde edilen bulguların güvenlik anlamı, siber tehditlerin etkin bir şekilde tespit ve analiz edilmesi için büyük bir öneme sahiptir. Bu bölümde, dosya sistemi izleme ile elde edilen verilerin yorumlanması, potansiyel yanlış yapılandırmalar ve zafiyetlerin etkileri, sızan veriler, topolojiler ve profesyonel savunma önlemleri üzerinde durulacaktır.

Elde Edilen Bulguların Yorumu

Dosya sistemi izleme, zararlı yazılım analiz sürecinde kritik öneme sahiptir. Zararlı yazılımlar genellikle dosya oluşturma, silme, değiştirme ve kopyalama gibi temel dosya davranışları sergiler. Bu aktiviteler, dosya yolu, hash ve dropped payload bilgileri ile ilişkilandırılabilir. Örneğin, bir zararlı yazılımın yeni bir payload bırakma (dropper activity) davranışı, sistemde daha fazla zararlı etkinliğe yol açabilir. Aşağıda, bazı dosya davranış türlerinin güvenlik anlamına gelen açıklamaları yer almaktadır:

- Dosya oluşturma: Yeni zararlı yazılım bileşenlerinin kurulumu.
- Dosya silme: Önceki zararlı aktivitelerin izlerini yok etme.
- Dosya değiştirme: Şifreleme veya dosya içeriğini değiştirme gibi çıkış yapma.
- Kopyalama: Zararlı yazılımın benzer dosyaları çoğaltması.

Bu tür davranışları dikkatle izlemek, saldırılara karşı daha etkin savunma stratejileri geliştirmenin yanı sıra, saldırı sonrası forensics sürecine de katkı sağlar.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırma ve zafiyetler, dosya sistemi izleme süreçlerinde ciddi güvenlik riskleri oluşturabilir. Örneğin, izleme araçlarının yanlışlıkla devre dışı bırakılması veya etkin olmayan izleme politikaları, saldırganların faaliyetlerini gizlemelerini kolaylaştırabilir. Bu durum, dosya sistemindeki zararlı aktivitelerin tespitini zorlaştırır. Ayrıca, yüksek gürültü seviyeleri (high noise) durumunda, güvenlik analistleri önemli olayları gözden kaçırabilir.

Bir örnek vermek gerekirse, bir sistemi izlerken elinizde çok fazla veri bulunabilir. Eğer bu veriler doğru bir şekilde filtrelenmezse, önemli bir tehdit gözden kaçabilir. Aşağıdaki kod parçası, basit bir filtreleme işlemi örneğidir:

# Procmon'da belirli bir dosya türünü filtrelemek için
procmon.exe /minimize /quiet /Backingfile activity.pml
# Belirli bir dosyayı izlemek için
procmon.exe /filter "Process Name is malware.exe" /delete

Bu tür filtrelemeler, güvenlik analistlerinin kritik verileri hızla analiz etmelerine yardımcı olabilir.

Sızan Veri, Topoloji ve Servis Tespiti

Elde edilen dosya sistemi aktiviteleri, sızan veriler ve sistem topolojisi hakkında önemli bilgiler sunar. Örneğin, bir saldırı sonrasında hangi dosyaların bulunduğu ve hangi sistem bileşenlerinin etkilendiği, saldırıya uğrayan sistemin topolojisini anlamada faydalıdır. Bununla birlikte, sadece içerik bilgisinin değil, servislerin tespiti de siber tehditlerin gözlemlenmesinde önem taşır.

Fail olan bir hizmet veya açık bir servisin, saldırganların etkinlik alanına dönüşmesi, belirli bir sistemi savunmasız hale getirebilir. Bu nedenle, dosya sistemi izlemenin sağladığı veriler, tehdit modelleme sırasında son derece değerlidir.

Profesyonel Önlemler ve Hardening Önerileri

Zararlı yazılımların dosya sistemi üzerindeki etkilerini minimize etmek için alabilecek birkaç önlem bulunmaktadır:

  1. İzleme Politikaları: Geliştirilecek izleme politikaları açıkça belirlenmeli ve uygulanmalıdır. İyi yapılandırılmış bir izleme politikası, anormal aktivitelerin tespit edilmesine yardımcı olur.

  2. Güvenlik Duvakları ve Next-Gen Ajanları: Güncel güvenlik yazılımları ve teknolojileri kullanılmalı, sürekli güncellemeler yapılmalıdır.

  3. Eğitim: Personelin sürekli olarak eğitim alması sağlanmalıdır. Zararlı yazılımlar hakkında farkındalık, insan hatası kaynaklı tehditlerin önlenmesine katkı sağlar.

  4. Düzenli İstemci Kontrolleri: Sistemler üzerinde düzenli kontroller yapılmalı ve potansiyel zafiyetler gidermelidir.

Sonuç Özeti

Dosya sistemi izleme, zararlı yazılımların davranışlarını anlamak ve siber tehditlerle etkili mücadele etmek için hayati bir araçtır. Elde edilen verilerin güvenlik anlamının yorumlanması, zafiyetlerin etkilerinin sorgulanması ve uygun savunma önlemlerinin alınması, organizasyonların daha güvenli bir altyapıya sahip olmasına yardımcı olur. Doğru yapılandırma ve sürekli izleme stratejileri ile siber güvenlik tehditlerine karşı daha güçlü bir duruş sergilemek mümkündür.