CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Bellek Analizi

Bellek İzleri Analizi ile Lateral Hareketin Anlaşılması

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Bellek Analizi

Lateral hareket bellek izleri analizi, siber saldırıların derinlemesine incelenmesini sağlar. Bu yazıda temel kavramları ve teknikleri keşfedeceksiniz.

Bellek İzleri Analizi ile Lateral Hareketin Anlaşılması

Siber güvenlikte lateral hareket, saldırganların kurumsal ağda daha fazla erişim sağlamasını mümkün kılar. Bellek izleri analizi ile bu hareketlerin anlaşılmasına yönelik detayları öğrenin.

Giriş ve Konumlandırma

Siber güvenlik alanında, olayların kökenini anlamak ve saldırıların nasıl gerçekleştiğini tespit etmek kritik bir öneme sahiptir. Bu bağlamda, bellek izleri analizi, saldırganların ağ içinde yatay yayılım davranışlarını incelemek için önemli bir yöntemdir. Lateral hareket olarak bilinen bu süreç, bir sistemden diğerine geçiş yaparak saldırganların ağa hızla yayılmasına olanak tanır. Bu yazıda, bellek izleri analizi ile lateral hareketin anlaşılmasına yönelik temel kavramları ve bu süreçteki önemini keşfedeceğiz.

Lateral Hareket Nedir?

Lateral hareket, bir saldırganın bir ağ ortamında tek bir sistemden başlayarak diğer sistemlere geçiş yapma davranışını ifade eder. Bu tür hareketler genellikle kötü niyetli bir kullanıcı tarafından gerçekleştirilir ve kurumların bilgi güvenliğini ciddi şekilde tehdit eder. Saldırganlar, kimlik bilgilerini kullanarak veya çeşitli uzaktan komut çalıştırma teknikleri ile sistemlere erişim sağlamaktadır.

Lateral hareketin dışında, bellek izleri analizi, bu tür hareketlerin tespitinde önemli bir rol oynar. Bellek izleri, bir sistemin RAM (Rastgele Erişim Belleği) içeriğinde kalan kayıtların incelenmesi ile elde edilir. Bu analizler, saldırganların bilinçli veya bilinçsiz olarak bıraktıkları izleri ortaya çıkarır ve böylece olayların kökenine inilmesini sağlar.

Neden Önemlidir?

Siber güvenlikte, olayların hızlı bir şekilde tespit edilmesi ve olay sonrası analizlerin yapılması hayati öneme sahiptir. Lateral hareketlerin tespiti, bir saldırının yayılma potansiyelini anlamak ve bu yayılımı durdurmak için kritik bir adımdır. Bellek izleri analizi, SOC (Güvenlik Operasyon Merkezi) L2 analistleri tarafından kullanılarak, saldırganların ağ içindeki hareketlerini incelemek ve olayın boyutunu genişletmek amacıyla kullanılır.

Bu analizler, bellek artefact’larının detaylı incelenmesi ile yapılır. Örneğin, PsExec gibi araçların bıraktığı izler, saldırganın diğer sistemlere gerçekleştirdiği uzaktan hizmet yürütme (Remote Service Execution) süreçlerini anlamamıza yardımcı olabilir. Bu tür analizler sayesinde, ağ güvenliğini sağlamak adına gerekli önlemler alınabilir ve saldırılara karşı daha dirençli bir yapı oluşturulabilir.

Savunma ve Test Açısından Bağlamlandırma

Pentest (penetrasyon testi) uygulamaları sırasında, lateral hareketlerin belirlenmesi ve bu hareketlerin bellek izleri üzerinden analizi, güvenlik açıklarının tespit edilmesinde büyük bir öneme sahiptir. Saldırganların hangi yollarla ağa sızdığını ve bu sızmanın hangi sistemlerde etkili olduğunu anlamak, güvenlik stratejilerinin belirlenmesinde kritik bir veridir.

Bellek izleri analizi, aynı zamanda olay sonrası analizlerde (post mortem analysis) de büyük fayda sağlar. Bir saldırı gerçekleştiğinde, izlerin analizi; saldırının nasıl yapıldığını, hangi yollarla sistemlere erişildiğini ve saldırılarda hangi kaynakların kullanıldığını ortaya koyar.

Teknik İçeriğe Hazırlık

Bu yazı dizisinin ilerleyen bölümlerinde, lateral hareket bellek izleri analizi için temel kavramlar detaylı olarak ele alınacaktır. Analiz süreçlerine dair teknik adımlar, örnekler ve kullanılabilecek araçlar üzerinde durulacaktır. Ayrıca, bellek izleri analizi için kullanılan spesifik teknikler ve bu tekniklerin uygulanmasına yönelik gerçek dünya örnekleri de sunulacaktır.

Sonuç olarak, lateral hareket bellek izleri analizi, siber güvenlik alanında yaşanan tehditlerin daha iyi anlaşılmasını sağlarken, bu tehditleri en aza indirgemek için etkili yollar geliştirilmesine katkı sağlamaktadır. Bu bağlamda, bellek izleri analizi, öngörülebilir bir siber güvenlik stratejisi oluşturmanın temel unsurlarından birini oluşturmaktadır.

Teknik Analiz ve Uygulama

Lateral Hareket Memory Analizi

Siber güvenlik alanında, "lateral hareket" kavramı, bir saldırganın bir sistemden diğerine geçerken iz bırakmadan ilerlemesini ifade eder. Yani, ağ içindeki farklı sistemlere yayılma yeteneğidir. Bu tür saldırılar genellikle bir kurumsal ağın savunmasını bypass ederek kritik veri veya sistemlere erişim sağlamak için gerçekleştirilir. Lateral hareketin tespit edilmesi, bellek izleri analizi gibi tekniklerle mümkün olmaktadır.

Lateral Hareketin Tanımı ve Çalışma Prensibi

Lateral hareket memory analizi, saldırganların ağ içinde yaptığı bu yayılma davranışlarının bellek artefaktları üzerinden analiz edilmesini sağlamaktadır. Analistler, bellek yığınlarını inceleyerek saldırganların hangi kaynakları kullandığını ve hangi yollarla diğer sistemlere sızdığını belirleyebilir.

Lateral hareket sürecini takip etmek için bir iş akışı oluşturmak oldukça önemlidir. Bu süreç, kullanıcının bilgisayarındaki bellek içeriğini alarak başlar. Ardından bellek içeriği üzerinde özel analizler yapılır. 

# WinDbg kullanarak bellek dump dosyasını açma
!open <dumpfile>

Bellek dump'ını açtıktan sonra, PSExec gibi araçların kullanımı ile ilgili kalıntıları aramak gerekir. PsExec, uzaktan hizmet yürütme amaçlı bir araçtır ve bellek izleri bırakabilir. Bu izler arasında, aktif süreçlerin listesi, ağ bağlantıları ve kimlik bilgileri geçişleri yer alabilir.

PsExec Artefaktları ve Lateral Hareket

PsExec kullanımı bellek üzerindeki artefaktların en belirgin örneklerinden birini oluşturur. PsExec aracılığıyla uzaktan sistemlere erişim sağlandığında, bellek üzerinde belli kalıntılar kalır. Bu kalıntılar arasında süreç ID'leri, ağ bağlantı bilgileri ve kullanılan kimlik bilgileri bulunmaktadır. Temel PsExec artefaktları şunları içerir:

  • PsExec süreci için oluşturulan kaynaklarımız,
  • Uzak sistemlerde çalıştırılan komutların kalıntıları,
  • Kimlik bilgisi değişimlerinin izleri.

Örnek bir arama komutu şu şekilde olabilir:

# PsExec tarafından başlatılan süreçleri arama
!process

Böylece, bellek içerisinde PsExec kullanılarak başlatılan süreçlerin listesini elde edebiliriz. Bu süreçlerin zaman damgaları ve diğer parametreleri, saldırının zamanlamasını anlamakta yardımcı olur.

Lateral Hareket Riskleri

Lateral hareketin birden fazla riski bulunmaktadır. Saldırganlar, ağ içerisinde yayılmayı hızlandırarak kritik sistemlere erişim sağlamayı hedefler. Bu durum, ayrıcalıklı hedefleri tehlikeye atarak kurumsal bir ihlali büyütebilir. Bu nedenle, lateral hareketin tespit edilmesi büyük önem taşır. Lateral hareket tehdidinin belirtileri arasında şunlar bulunmaktadır:

  • Beklenmedik ağ trafiği,
  • Bilinmeyen süreçlerin başlatılması,
  • Alışılmadık kimlik bilgisi kullanımı.

Bu tür belirtilerin incelenmesi, SOC L2 analistlerinin iş akışında kritik bir rol oynamaktadır.

Uzaktan Yürütme ve Credential Reuse

Uzaktan yürütme (remote execution), başka sistemlerde komut çalıştırma işlemi olarak tanımlanabilir. Saldırganlar genellikle WMI (Windows Management Instrumentation) veya RDP (Remote Desktop Protocol) gibi yöntemler kullanır. Bu tür saldırılar, güvenlik duvarları ve diğer savunma mekanizmalarını atlayarak yapılabilir.

Aynı zamanda, çalınan kimlik bilgilerini farklı sistemlerde yeniden kullanma durumu da credential reuse olarak bilinir. Bu durum, bir saldırganın aynı kimlik bilgileriyle birden fazla sisteme erişim sağlamasına imkan tanır. Analyze esnasında bu tür izlerin tespit edilmesi, savunma için kritik öneme sahiptir.

Sonuç

Bellek izleri analizi, lateral hareketlerin tespit edilmesi ve engellenmesi açısından büyük önem taşır. SOC L2 analistleri, bu tür analizin etkili bir şekilde yapılması için çeşitli teknik araçlar ve yöntemler kullanmaktadır. Lateral hareketin kaynağını ve izlerini anlayarak, hem mevcut saldırılarla mücadele etmek hem de gelecekteki riskleri minimize etmek mümkün hale gelir. Bu nedenle, bellek analizi, siber güvenlik alanında kritik bir beceri olarak öne çıkmaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Lateral hareket, bir siber saldırı sırasında sızan bir sistem üzerinden diğer sistemlere erişim sağlama işlemidir. Bellek izleri analizi, bu tür hareketlerin tespit edilmesinde önemli bir rol oynar. Analiz sonuçları, organizasyonun ağı içindeki potansiyel saldırı yüzeylerini ve güvenlik zafiyetlerini ortaya koyar.

Elde Edilen Bulguların Güvenlik Anlamı

Lateral hareket sırasında, saldırganlar genellikle PsExec, RDP ve WMI gibi araçları kullanır. Bu araçların kullanımı, bellek üzerinde belirli artefaktlar bırakır. İşte bu artefaktların analizi, saldırının çapını anlamak için kritik öneme sahiptir. Örneğin, bir bulguda PsExec artefaktlarının mevcut olması, saldırganların uzak hizmet çalıştırma yeteneğine sahip olduğunu gösterir. 

PsExec artefaktları, bellek üzerinde aşağıdaki bilgileri içerebilir:
- Çalıştırılan komutlar
- Hedef bilgisayar isimleri
- Kullanılan kimlik bilgileri

Bu tür bulgular, ağın güvenliğini ne denli tehdit altında olduğunu anlamada yardımcı olur ve belirli sistemlerde zafiyet olup olmadığını gösterir.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Ağdaki yanlış yapılandırmalar veya sistemlerin güvenlik zafiyetleri, saldırganların erişimini kolaylaştırır. Örneğin, zayıf parolalar veya güncellenmemiş sistemler, kimlik bilgisi hırsızlığına ve lateral hareket işlemine kapı açar. Bellek analizi sırasında, çalınan kimlik bilgilerini tespit ettiğimizde, bu durum bir zafiyetin varlığına ışık tutar ve bunun hangi sistemleri tehdit altında bıraktığını belirlemek için daha derinlemesine bir analiz gerekliliğini ortaya koyar.

Sızan Veri ve Topoloji Analizi

Saldırganların lateral hareketleri neticesinde, genellikle sistemler arasında kimlik bilgileri yeniden kullanılır. Bu durumu tespit etmek, ağın topolojisini anlamak adına kritik öneme sahiptir. Örneğin, bir bellek analizinde, uzak komut çalıştırma (remote execution) verilerine ulaşılması, ağ içindeki farklı sistemlerin nasıl etkileşime girdiğini gösterir. 

Uzak komut çalıştırma ile ilgili bulguların analizi, aşağıdaki bilgileri sunabilir:
- Hedef sistemler
- Bağlantı süreleri
- İlgili kullanıcı hesapları

Bu bilgileri anlamak, ağın güvenliğini artırmak için alınacak önlemleri belirlemede faydalıdır.

Profesyonel Önlemler ve Hardening Önerileri

Saldırganların lateral hareketlerini engellemek için, organizasyonların bir dizi profesyonel önlem alması gerekmektedir. İşte öneriler:

  1. Güçlü Kimlik Doğrulama Mekanizmaları: Çok faktörlü kimlik doğrulama (MFA) uygulamak, çalıntı kimlik bilgileri ile yapılan saldırılara karşı önemli bir koruma sağlar.

  2. Sistem Güncellemeleri: Tüm sistemlerin düzenli olarak güncellenmesi, bilinen güvenlik açıklarının kapatılmasına yardımcı olur.

  3. Ağ Segmentasyonu: Ağ segmentasyonu uygulamak, saldırganların bir sistemden diğerine geçişini zorlaştırır ve potansiyel tehditleri izole eder.

  4. Eğitim ve Farkındalık: Çalışanların, phishing ve diğer sosyal mühendislik saldırıları hakkında bilinçlendirilmesi önemlidir.

  5. İzleme ve Analiz: Uzaktan hizmet yürütme (Remote service execution) ve ağ pivot tespiti gibi metriklerin izlenmesi, anomalilerin erken tespit edilmesine yardımcı olur.

Sonuç

Lateral hareketin tespit edilmesi ve analizi, siber güvenlikte vazgeçilmez bir unsurdur. Bellek izleri analizi sayesinde, saldırganların ağı nasıl manipüle ettiğini, hangi sistemlere erişim sağladığını ve hangi zafiyetlerin mevcut olduğunu belirlemek mümkündür. Elde edilen bulguların güvenlik anlamı ve etkili önlemler alındıkça, kuruluşların siber saldırılara karşı savunma yetenekleri büyük ölçüde güçlenir.