CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Endpoint Edr

İşletim Sistemi Katmanları: Kernel ve User Mode İzleme ile Güvenliğinizi Artırın

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Endpoint Edr

Kernel ve User Mode arasındaki farkları keşfedin. EDR çözümleri ile siber güvenliğinizi nasıl artırabileceğinizi öğrenin.

İşletim Sistemi Katmanları: Kernel ve User Mode İzleme ile Güvenliğinizi Artırın

Kernel ve User Mode arasındaki dengeyi anlamak, siber güvenlikte hayati öneme sahiptir. Bu yazıda, EDR sistemlerinin etkili izleme tekniklerini ve bu katmanların işleyişini keşfedeceksiniz.

Giriş ve Konumlandırma

İşletim sistemleri, günümüzde siber güvenlik stratejilerinin temel yapı taşlarını oluşturan karmaşık ve çok katmanlı bir mimariye sahiptir. Bu katmanlar, kullanıcılar ile donanım arasındaki etkileşimleri düzenlerken, aynı zamanda güvenlik önlemlerini de en üst düzeye çıkarmayı hedefler. İşletim sistemi mimarisinin en kritik parçalarından biri, çekirdek (Kernel) ve kullanıcı modunun (User Mode) arasındaki etkileşimdir. Bu yazıda, bu iki temel katmanın işlevlerini ve siber güvenlik bağlamındaki önemini inceleyeceğiz.

Kernel ve User Mode: Temel Kavramlar

İşletim sistemi, iki ana çalışma modu sunar: çekirdek modu (Kernel Mode) ve kullanıcı modu (User Mode). Çekirdek modu, işletim sisteminin en derin katmanı olarak, donanıma doğrudan erişim sağlar ve sistemin işleyişini kontrol ederken, kullanıcı modu ise uygulamaların çalıştığı, kısıtlı yetkilere sahip bir alandır. Kullanıcı uygulamaları, donanıma doğrudan erişim sağlayamaz; bunun yerine çekirdekten izin almak zorundadırlar. Bu yapı, güvenlik açısından kritik bir rol oynar, çünkü zararlı yazılımların sistemin derinliklerine inmeden önce engellenmesine olanak tanır.

Örneğin, bir kullanıcı uygulaması işletim sistemi ile etkileşimde bulunmak istediğinde, aşağıdaki gibi bir API çağrısı yapar:

int result = syscall(SYS_read, fd, buffer, count);

Bu işlem, kullanıcı modundaki uygulamanın, kernel modundaki çekirdekten işlem yapmasını talep etmesini sağlar. Bu durum, kötü niyetli yazılımların doğrudan sisteme sızmasını zorlaştırır.

Neden Önemli?

Kernel ve kullanıcı modunun ayırımı, siber güvenlik açısından hayati öneme sahiptir. Kullanıcı modu, zararlı yazılımların ilk adımlarını attığı alan olarak bilinirken, çekirdek modu, sistemin bütünlüğünü korumak için kritik bir savunma katmanıdır. Derin görünürlük sağlayan siber güvenlik çözümleri (EDR - Endpoint Detection and Response), özellikle çekirdek modunda çalışarak, gelişmiş tehditlere karşı daha etkili bir koruma sunar.

Eğer bir EDR sadece kullanıcı modunda izleme yapıyorsa, bir rootkit gibi gelişmiş zararlı yazılımlar çekirdek katmanına sızabilmekte ve EDR'ın gözlerini bağlayarak güvenlik önlemlerini devre dışı bırakabilmektedir. Böylece, siber saldırganlar, sistemin en kritik bileşenlerini hedef alarak daha derin bir tehdit oluşturma imkanına sahip olurlar. Bu nedenle, EDR çözümlerinin kernel modunda da etkin bir şekilde çalışması, güvenlik açısından kritik bir gereksinimdir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Siber güvenlik alanında çekirdek ve kullanıcı modunun anlaşılması, hem saldırganların hem de savunmacıların stratejilerini belirlemelerinde önemli bir etken haline gelmiştir. Penetrasyon testlerinde (pentest), kötü niyetli şahısların kullandığı teknikler genellikle kullanıcı modunda başlar. Ancak, sistemin çekirdek moduna sızabilme yeteneği, zararlı yazılımın etkisini artırır.

Buna bağlı olarak, siber güvenlik uzmanları, çevresel izleme ve risk yönetimi stratejilerini geliştirirken, işlem katmanları arasındaki etkileşimleri daha derinlemesine analiz etmelidirler. Bu süreçte, EDR çözümleri, sistemin tüm katmanlarında güvenlik zafiyetlerini tespit edip müdahale edebilme yeteneği sayesinde kritik bir rol oynamaktadır.

Sonuç

Sonuç olarak, işletim sistemlerinin çekirdek ve kullanıcı modları, siber güvenlik stratejilerinin yapı taşlarını oluşturur. Her iki mod da kendi içinde belirli riskler ve avantajlar barındırırken, bunların optimizasyonu, siber tehditlere karşı mücadelenin en önemli unsurlarından biridir. Bu yazıda, bu katmanların işleyişine dair genel bir bakış sunduk ve ileri düzey güvenlik uygulamalarının bu yapılarla nasıl etkileşimde bulunduğunu araştırdık. Siber güvenlik uzmanları için bu bilgiler, daha etkili savunma stratejileri geliştirmelerine yardımcı olacaktır.

Teknik Analiz ve Uygulama

Kısıtlı Bölge

İşletim sistemleri, kullanıcı uygulamalarını kısıtlı yetkilere sahip bir alanda çalıştırarak güvenliği artırmayı hedefler. Bu alan, genellikle "User Mode" olarak adlandırılır ve bu mod içerisinde çalıştırılan uygulamalar, sistemin çekirdek bileşenlerine (kernel) doğrudan erişim sağlayamaz. Bunun yerine, donanım kaynaklarına erişim talep etmek için işletim sisteminin çekirdek katmanına başvurmak zorundadır. Bu yapı, potansiyel bir zararlı yazılımın, sistemin kalbine doğrudan saldırmasını engelleyerek genel sistem güvenliğini artırır.

Bu modun bir yetersizliği ise, kullanıcı alanında oluşan bir hata veya çökme durumunun yalnızca o uygulamayı etkilemesidir. Bunun sonucunda, işletim sistemi genel olarak çalışmaya devam eder. Kullanıcı modunda çalışan zararlı yazılımlar, genellikle ilk penetrasyonlarını burada gerçekleştirirler.

Sistemin Kalbi

İşletim sisteminin çekirdek katmanı, yani "Kernel Mode" ya da Ring 0, sistemin yönetim ve kontrol merkezi olarak işlev görür. Çekirdek katmanı, donanıma doğrudan erişim sağlayan tek yetkili alandır. Bu, sistem kaynaklarını yönetme ve kritik işlemleri gerçekleştirme açısından büyük bir güç ve yetki sağlar.

Kernel Mode'da çalışan EDR (Endpoint Detection and Response) çözümleri, sistemin derinliklerinde izleme ve analiz yaparak, gelişmiş zararlı yazılımların sızmalarını önler. Ancak buradaki kritik nokta, EDR çözümlerinin yalnızca User Mode'da çalışıyor olması durumunda, elverişli bir durum yaratmadığıdır. Çünkü kötü niyetli yazılımlar bu seviyeye inip EDR'ı pasif hale getirebilirler. Bu nedenle EDR ajanları, kernel seviyesinde çalışarak sistemin güvenliğini sağlamalıdır.

# Kernel Mode'da çalışan bir EDR'ın önemi
Kötü niyetli yazılımlar, kernel seviyesine inerek güvenlik yazılımlarını devre dışı bırakabilirler.

Risk ve Yetki Dağılımı

İşletim sistemi katmanları arasındaki dinamik ve yetki dağılımı, saldırılara karşı koyma açısından oldukça kritiktir. Kullanıcı modunda oluşan bir çökme, yalnızca o uygulamanın kapanmasıyla sonuçlanırken, çekirdek modundan kaynaklanan bir hata tüm sistemin durmasına yol açar; bu duruma Mavi Ekran (BSOD) hatası denir. Bu nedenle, kritik uygulamaların ve bileşenlerin çekirdek modda çalışması gereklidir.

# Çökme senaryoları
- User Mode (Ring 3) çökmesi: Uygulama hata verir, sistem çalışmaya devam eder.
- Kernel Mode (Ring 0) çökmesi: Tüm sistem durur.

Derin Görünürlük

EDR sistemleri, kullanıcı modundaki işlemleri izlemekle kalmayıp, Kernel Mode'daki tüm işlemleri de gözlemleyebilmek için tasarlanmıştır. EDR, işletim sistemine giden API çağrılarını hedefe ulaşmadan önce havada yakalayıp, bu işlemin güvenli olup olmadığını kontrol ederek güvenlik sağlama altyapısına sahiptir. Bu süreçte "hooking" terimiyle tanımlanan teknik, fonksiyon çağrılarını araya girerek yakalayıp yönlendirme fonksiyonunu içerir. Böylelikle EDR'lar, zararlı aktiviteleri ve olası saldırıları proaktif bir şekilde engelleyebilirler.

# Hooking Tekniği
EDR, sistem API çağrılarını havada yakalayarak, işlemin güvenli olup olmadığını kontrol eder.

Kendini Koruma İçgüdüsü

Bu derin görünürlük ve izleme işlevi sadece zararlı yazılımları tespit edip engellemekle kalmaz; aynı zamanda EDR sisteminin kendini koruma yeteneğini de artırır. "Tamper Protection" adı verilen bir mekanizma, EDR'in kendi bileşenlerinin, servislerinin ve registry anahtarlarının silinme veya değiştirilme tehditlerine karşı korunmasını sağlar. Bu özellik, saldırganların yalnızca kullanıcı uygulamalarını değil, aynı zamanda kritik güvenlik bileşenlerini de hedef alacağı ihtimalini göz önünde bulundurur.

# Tamper Protection
EDR bileşenlerinin silinmesini ve değiştirilmesini engelleyerek, kendini koruma sağlar.

Çağrıları Yakalamak

Sistem güvenliğinin gelişmiş ve dinamik bir şekilde yönetilmesi için EDR'ların Kernel Mode'dan çalışmaları gereklidir. Kullanıcı alanındaki uygulamalar, yalnızca Kernel üzerinden işlem yapabilirler. EDR çözümleri, bu işlemleri denetlemek ve zararlı aktiviteleri tespit etmek amacıyla kritik bir işlev sunarlar. Kullanıcı uygulamalarında zararlı yazılımlar başarılı olursa, bunun sonuçları sistemin tamamını etkileyebilir.

EDR'ın Kernel Mode'daki varlığı, güvenlik yeteneklerini artırarak, kullanıcı alanındaki tehditlerden daha derinlemesine bir görüş açısı sunar. Bu yapı, günümüz siber tehdit ortamında kritik bir güvenlik katmanı oluşturur.

Sonuç olarak, işletim sisteminin farklı katmanlarını etkili bir şekilde kullanmak, siber güvenliğin derinlemesine sağlanması açısından önemlidir. Kernel ve User Mode arasında sağlam bir güvenlik katmanı oluşturmak, sistemin bütünlüğü ve güvenliği için elzemdir.

Risk, Yorumlama ve Savunma

Siber güvenlik ortamında, işletim sistemleri ve bunların çeşitli katmanlarının güvenilirliği büyük bir önem taşımaktadır. Bu katmanlar, donanım kaynakları üzerinde kontrol sağlamak ve uygulamaların birbirinden izole edilmesine yardımcı olmak için tasarlanmıştır. Kernel ve User Mode’un güvenlik dinamiklerini anlamak, potansiyel risklerin nasıl yönetileceği konusunda kritik bilgiler sağlar.

Elde Edilen Bulguların Değerlendirilmesi

Bir işletim sisteminin yapısı, kullanıcı uygulamalarının belirli kısıtlamalar içinde çalışmasını sağlar. User Mode (Ring 3) içerisinde çalışan uygulamalar, sistemin donanımına doğrudan erişim sağlayamaz; bunun yerine Kernel Mode (Ring 0) üzerinden API çağrıları yaparak erişim talep ederler. Eğer bu yapı düzgün şekilde korunmazsa, zararlı yazılımlar faydalanabilir ve sistem üzerinde kötü niyetli işlemler gerçekleştirebilir.

Örneğin, bir kötü amaçlı yazılım User Mode'dan sızdığında, hedef sistem sızma tespit sistemlerini (EDR) geçebilir. Ancak, bu tür bir sızma durumunda, sistemin güvenliğini sağlamak için yapılan tespitlerin ve izleme işlemlerinin önemini vurgulamak gereklidir. EDR çözümlerinin, Kernel Mode seviyesinde çalışabilmesi, derin sistem izleme ve tamper protection (kendi bütünlüğünü koruma) sağlaması açısından hayati bir öneme sahiptir.

Kernel Mode'da çalışan EDR çözümleri, zararlılar tarafından devre dışı bırakılamaz ve bu sayede daha etkin bir güvenlik sağlar.

Yanlış Yapılandırmaların Etkisi

Yanlış yapılandırmalar, siber güvenliğin en büyük düşmanlarından biridir. Kurulum esnasında yapılan hatalar, sistem açığının oluşmasına yol açarak, hacker’ların hedef alabileceği yüzeyleri genişletir. Örneğin, EDR yazılımlarının yanlış yapılandırılması, kritik sistem olaylarının gözden kaçmasına sebep olabilir. Eğer bir EDR sadece User Mode’da çalışıyorsa, bir rootkit gibi zararlı yazılımlar tarafından göz ardı edilebilir.

Yanlış yapılandırmalara örnek olarak, ağ servislerinin korunmaması ya da güncellemelerin yapılmaması gösterilebilir. Bu durumlar, sistemin genel güvenlik seviyesini düşürerek maliyetli veri ihlallerine yol açabilir.

Sızma Tespiti ve Çözüm Önerileri

Sistem topolojisi ve veri akışını izlemek, sızma tespitinin temel bileşenlerindendir. EDR'ın derin görünürlük sağlaması, bu tür sızmaları zamanında tespit etme ve engelleme konusunda kritik rol oynar. EDR çözümleri, API çağrılarını izleyerek kötü niyetli işlemlerin önceden tespit edilmesini sağlar.

Sızma tespitinin yanı sıra, servislerin sürekli izlenmesi de önemlidir. Örneğin, bir sunucuda çalışmakta olan Web sunucusu hizmetinin beklenmedik bir şekilde kapanması, sistemin daha derin bir sorun ile karşı karşıya olduğunu gösterir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik desteği sağlayan profesyonel çözümler, sistemin güvenliğini artırmak için çeşitli hardening teknikleri önerir. Temel olarak:

  1. Minimum Erişim İzni: Kullanıcıların sadece işlerini yürütmek için gerekli olan izinlere sahip olduklarından emin olun.
  2. Sürekli Güncellemeler: Tüm yazılımların en son güvenlik yamaları ile güncel tutulması gerekir.
  3. Tamper Protection: EDR yazılımlarının kendilerini koruyabilme yeteneklerini artırmak, siber tehditlerin zararlı etkilerini en aza indirir.
  4. Ağ Segmentasyonu: Ağ içerisindeki farklı bileşenlerin izole edilmesi, sızma riski durumunda tehdidin yayılmasını engeller.

Sonuç

İşletim sistemi katmanlarının güvenliğinin sağlanması, günümüz siber tehditleri karşısında kritik bir öneme sahiptir. Kernel ve User Mode arasındaki dinamikleri anlamak, sızma tespitinde etkinlik sağlar. Doğru yapılandırmalar, sürekli izleme ve proaktif güvenlik önlemleri ile birlikte, işletmelerin siber tehditlere karşı daha dayanıklı hale gelmesine katkıda bulunacaktır. Yeterli bir güvenlik katmanı oluşturmak, kuruluşların korunmasında temel bir yaklaşım olmalıdır.