CyberFlow Logo CyberFlow BLOG
Oracle Pentest

Log Manipülasyonu ve İzlerin Kapatılması: Siber Güvenlikte Temel Teknikler

✍️ Ahmet BİRKAN 📂 Oracle Pentest

Bu yazımızda Oracle veri tabanlarında log manipülasyonu ve iz kapama tekniklerinin nasıl yapılacağını öğreneceksiniz.

Log Manipülasyonu ve İzlerin Kapatılması: Siber Güvenlikte Temel Teknikler

Siber güvenlik bağlamında log manipülasyonu, izlerin kapatılması için kritik bir rol oynar. Bu yazıda, Oracle veri tabanlarında kullanılan teknikleri keşfedin.

Giriş ve Konumlandırma

Siber güvenlik alanında, log manipülasyonu ve izlerin kapatılması, hem saldırganlar hem de güvenlik uzmanları için kritik öneme sahiptir. Loglar, bir sistemin faaliyetlerini, hatalarını ve güvenlik olaylarını kaydeden önemli bir izleme aracıdır. Ancak, kötü niyetli kişiler bu kayıtları manipüle ederek izlerini gizleme çabasına girebilir. Bu durum, yalnızca güvenlik açıklarını arttırmakla kalmaz, aynı zamanda adli bilişim süreçlerini de zorlaştırır.

Logların Önemi

Loglar, siber güvenlik için temel bir bilgi kaynağıdır. Sistem yöneticileri ve güvenlik analistleri, logları kullanarak sistemin durumu, kullanıcı aktiviteleri, olası güvenlik ihlalleri ve sistem hataları hakkında bilgi sahibi olurlar. Her türlü saldırıda, loglar genellikle olayların yeniden inşa edilmesi için temel bir referans noktası oluşturur. Bu nedenle, bir saldırganın logları manipüle etmesi, siber saldırının tespit edilmesini zorlaştırabilir ve güvenlik ekiplerinin müdahale süreçlerini etkileyebilir.

Siber Güvenlik ve Pentest Açısından Log Manipülasyonu

Sızma testleri (pentest) sırasında, güvenlik uzmanları sistemin zayıf noktalarını tespit etmeye çalışır. Ancak, bazı durumlarda uzaktan erişim ve sistemin loglarının incelenmesi, sızma testlerinin sonrasında yapılan analizlerde önemli bir rol oynar. Saldırganlar, denetim (audit) loglarını kapatarak, yaptıkları eylemleri gizleyebilirler. Bu tür bir durum, siber güvenlik açıklarının göz ardı edilmesine yol açabilir. Örneğin;

ALTER SYSTEM SET AUDIT_TRAIL = 'NONE' SCOPE=SPFILE;

Bu komut, denetim kayıtlarını devre dışı bırakırken, saldırganların sistem üzerinde gerçekleştirdiği eylemler hakkında bilgi edinilmesini imkânsız hale getirebilir.

İzlerin Kapatılması ve Audit Mekanizmaları

Log manipülasyonu, izlerin kapatılmasını içerir. İzlerin kapatılmasının çeşitli yöntemleri vardır; bunlar arasında belirli log kayıtlarını silmek, loglama mekanizmalarını devre dışı bırakmak ve zaman damgalarını değiştirmek yer almaktadır. Bu teknikler, bir saldırganın gerçekleştirdiği işlemleri görünmez hale getirirken, aynı zamanda siber güvenlik uzmanlarının sızma testlerini değerlendirmesini de karmaşık hale getirebilir.

Adli bilişim uzmanları için bu durum, karşılaştıkları zorlukları arttırırken, aynı zamanda yanıt verme sürelerini uzatarak etkilenen sistemin genel güvenliğini tehdit eder. Log manipülasyonu süreci, genellikle saldırganların etkinliğini incelemek ve etkilerini değerlendirmek için kullanılan analiz araçları ve sistemleri üzerinde büyük bir etkiye sahiptir.

Siber Güvenliğe Yönelik Savunma Stratejileri

Doğru savunma stratejileri geliştirirken, sistemlerin loglama yeteneklerinin kuvvetlendirilmesi gerekmektedir. Örneğin, logların merkezi bir sistemde (SIEM) toplanması, saldırganların izlerini kapatma girişimlerini zorlaştıran ve saldırı sonrası analiz sürecini kolaylaştıran önemli bir önlemdir. Ayrıca, veri tabanı ve uygulama düzeyinde izlerin daha güvenli bir biçimde kaydedilmesini sağlamak için yapılandırmalar yapılabilir.

Sonuç olarak, log manipülasyonu ve izlerin kapatılması, siber güvenlik alanında hem saldırganlar hem de güvenlik profesyonelleri açısından büyük bir öneme sahiptir. Siber güvenlik uzmanlarının ve organizasyonların bu tehditlere karşı hazırlıklı olması, güvenlik yükümlülüklerini yerine getirebilmeleri için elzemdir. Okuyucular, bu blog serisi boyunca log manipülasyonu tekniklerini ve bunlara karşı geliştirilmesi gereken savunma stratejilerini daha derinlemesine keşfedeceklerdir.

Teknik Analiz ve Uygulama

Siber güvenlikte log manipülasyonu, saldırganlar tarafından gerçekleştirilen kritik bir tekniktir. Bu süreçte, izlerin silinmesi ya da manipüle edilmesi gibi yöntemler kullanılarak, saldırıların tespit edilmesi zorlaştırılır. Aşağıda, sızma testleri esnasında uygulanan çeşitli teknikler detaylı bir şekilde ele alınacaktır.

Denetim (Audit) Durumunu Sorgulama

Log manipülasyonunun ilk adımı, sistemin hangi seviyede kayıt tuttuğunu anlamaktır. Oracle sistemleri, denetim kayıtlarını farklı formatlarda tutabilir. Bu durumu kontrol etmek için aşağıdaki sorgu kullanılabilir:

SELECT name, value FROM v$parameter WHERE name = 'audit_trail';

Bu sorgu, denetim parametrelerini ve değerlerini getirir, böylece logların nasıl tutulduğunu öğrenmiş oluruz.

Oracle Log Türleri

Oracle'da kaydedilen log türleri arasında "Alert Log", "Listener Log" ve "Audit Trail" bulunmaktadır. Her biri farklı bilgileri içerir ve sızma testleri esnasında hedef alınabilir. Bu logları anlamak, hangi alanların manipüle edileceği konusunda rehberlik eder:

  • Alert Log: Veri tabanının başlatılması, durdurulması ve kritik sistem hatalarının kaydedildiği ana metin dosyasıdır.
  • Listener Log: Ağ üzerinden gelen tüm bağlantı isteklerini, IP adreslerini ve zaman damgalarını tutar.
  • Audit Trail (SYS.AUD$): Kullanıcıların yaptığı SQL işlemlerini (SELECT, INSERT vb.) kaydeden sistem tablosudur.

Denetimi Geçici Olarak Kapatma

Denetim mekanizmasının devre dışı bırakılması, saldırganların aktivitelerinin kaydedilmesini engelleyebilir. SYSDBA yetkisine sahip bir saldırgan, denetimi geçici olarak kapatmak için aşağıdaki komutu kullanabilir. Ancak bu işlemin, veri tabanı restart gerektireceği unutulmamalıdır:

ALTER SYSTEM SET AUDIT_TRAIL = NONE SCOPE=SPFILE;

Belirli Denetim Kayıtlarını Silme

Log silme işlemi, dikkat çekmemek adına özenle yapılmalıdır. Tüm tabloyu silmek yerine, yalnızca saldırganın kendi IP adresinden gelen kayıtları silmek daha az risklidir. Örnek bir sorgu:

DELETE FROM sys.aud$ WHERE userid = 'HACKER_USER';

Bu komut, belirli bir kullanıcıya ait log kayıtlarını silerek izlerin kapatılmasını sağlar.

İşletim Sistemi Log Yolları

İşletim sistemi seviyesindeki logların fiziksel olarak temizlenmesi, izleri yok etmenin bir diğer yoludur. Bu noktada, dosya yollarının %ORACLE_HOME/network/log/ gibi yerlerde bulunabileceğini eleyerek, silinme potansiyelini değerlendirmelisiniz.

SQL History Temizliği

Kullanıcıların çalıştırdığı sorgular belli bir süre boyunca bellekte kalır. Bu nedenle, "SHARED_POOL" alanını temizlemek izleri silmek açısından önemlidir:

ALTER SYSTEM FLUSH SHARED_POOL;

Listener Log Manipülasyonu

Listener loglarının boşaltılması, sızma testleri sırasında gelen IP kayıtlarının gizlenmesine olanak tanır. Aşağıdaki komut, loglamayı durdurur:

lsnrctl set log_status off

Timestamp (Zaman Damgası) Manipülasyonu

Saldırı anındaki kayıtların zamanını değiştirerek analizi zorlaştırmak "Timestomping" olarak adlandırılmaktadır. Bu işlem, belirli dosyaların veya kayıtların oluşturulma tarihlerini değiştirme yöntemlerini içerir. Linux'ta bir dosyanın tarihini değiştirmek için "Touch" komutu kullanılabilir:

touch <filename>

Ağ Trafiği İzlerini Gizleme

SQLNet trafiğini şifrelemek (Native Network Encryption), sızma testinin başından itibaren yapılması gereken bir uygulamadır. Bu, ağ üzerinden iletişimin gizliliğini sağlar. Aşağıdaki parametre, SQLNet için şifrelemeyi aktif hale getirir:

ALTER SYSTEM SET SQLNET.ENCRYPTION_SERVER = REQUIRED;

Unified Auditing Temizliği

Yeni nesil "Unified Auditing" kayıtları, "AUDSYS" şemasında tutulur ve bu kayıtların silinmesi, standart denetimden daha zordur. Bu tür logların temizlenmesi için şu komut kullanılabilir:

DBMS_AUDIT_MGMT.CLEAN_AUDIT_TRAIL;

Defansif Karşı Önlemler

Bu işlemlerin gerçekleştirilmesi, bir saldırının adli bilişim ekipleri tarafından yeniden inşa edilmesini engellemeye yönelik çeşitli önlemleri zorunlu kılar. İzlerin silinmesini engellemek amacıyla logların anlık olarak uzak bir log sunucusuna aktarılması (SIEM) önerilmektedir.

Nihai Amaç: Anti-Forensics

Sonuçta, log manipülasyonu ve izlerin kapatılmasına ilişkin bu tekniklerin tümü, sızma testleri esnasında izlerin silinmesi ve potansiyel olarak geri dönülmez bir süreç oluşturmak için uygulanmaktadır. Ancak, siber güvenlik uygulamaları ve araştırmaları için bu tür manipülasyon tekniklerinin anlaşılması, sistemlerin daha iyi korunmasına yardımcı olacaktır. Saldırganlar tarafından sıkça kullanılan bu yöntemler karşısında, savunma mekanizmalarının güçlendirilmesi kritik bir gereklilik haline gelmektedir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Siber güvenlikte log manipülasyonu ve izlerin kapatılması, bir saldırganın veya kötü niyetli aktörün sistemde bıraktığı izleri gizlemek amacıyla yürüttüğü stratejik bir süreçtir. Bu faaliyetlerin analizi, güvenlik uzmanlarının potansiyel riskleri değerlendirmelerine ve gerekli savunma önlemlerini almalarına olanak tanır. Bu bölümde, log manipülasyonun risklerini, etkilerini ve savunma mekanizmalarını ele alacağız.

Güvenlik Anlamında Bulguların Yorumlanması

Log kayıtları, sistemin güvenlik durumu hakkında kritik bilgiler sağlar. Saldırganların sistem loglarını manipüle etmesi durumunda, bu kayıtların silinmesi veya değiştirilmesi, güvenlik uzmanlarının olayları analiz etmesini büyük ölçüde zorlaştırır. Örneğin, bir saldırgan SYSDBA yetkisi ile denetimi kapatabilir. Bu işlem, aşağıdaki gibi bir sorguyla yapılabilir:

ALTER SYSTEM SET AUDIT_TRAIL = NONE SCOPE=SPFILE;

Bu durum, yapılan tüm işlemlerin kaydını engellemekte ve analiz süreçlerini akamete uğratmaktadır. Küçük bir yapılandırmanın veya yanlış konfigürasyonun sonucu olarak logların silinmesi, sonuç olarak daha ciddi güvenlik ihlallerine yol açabilir.

Log Türleri ve Oluşabilecek Zafiyetler

Oracle veri tabanında, denetim kayıtları çeşitli formatlarda tutulmaktadır. Bunlar arasında DB, OS ve XML formatları bulunmaktadır. Eğer log kayıtları düzgün bir şekilde korunmazsa, sistemde önemli bilgilerin kaybolmasına ve dolayısıyla veri kaybına sebep olabilir. Örneğin:

  • Alert Log: Kritik sistem hata mesajlarını ve veri tabanının başlatılıp durdurulma işlemlerini içerir.
  • Listener Log: Ağ üzerinden gelen bağlantı isteklerini kaydeder; buradaki bir boşluk, kötü niyetli bir kullanıcının izini kaybettirmesine olanak tanır.

Sızan Veriler ve Topoloji

Bir sızma testi sırasında sızma vakalarının analiz edilmesi, veri tabanının topoloji yapısı ve sahip olduğu zayıflıklar hakkında derinlemesine bilgi sağlar. Örneğin, bir saldırganın belirli bir IP adresinden gelen log kayıtlarını silmek istemesi, şu sorgu ile yapılabilir:

DELETE FROM sys.aud$ WHERE userid = 'HACKER_USER';

Bu tür işlemler göz önüne alındığında, sızan verilerin nasıl korunduğu ve hangi mekanizmaların kullanıldığı büyük önem arz etmektedir. Özellikle, Unified Auditing sisteminde kayıtların silinmesi daha karmaşık hale gelmekte, bu da sızma testi sırasında daha dikkatli olunması gerektiğini ortaya koymaktadır.

Savunma Stratejileri ve Hardening Önerileri

Güvenlik yatırımlarının düzgün bir şekilde yönetilmesi, veri kaybı ve sistem bozulmasını engellemenin en etkili yoludur. İşte bazı profesyonel savunma önlemleri:

  1. Logların Uzak Sunuculara Aktarılması: Log verilerinin anlık olarak merkezi bir yapı üzerinde toplanması, izlerin silinmesini engelleyebilir. SIEM sistemleri, bu geçişi hızlı ve etkili bir şekilde gerçekleştirebilir.
  2. SQLNet Trafiği Şifreleme: Sızma testinin başından itibaren, SQLNet trafiğinin şifrelenmesi önerilir. Aşağıdaki gibi bir ayar ile bu işlem gerçekleştirilebilir:
ALTER SYSTEM SET SQLNET.ENCRYPTION_SERVER = REQUIRED;

  1. Güçlü Denetim Mekanizmaları: Unified Auditing kullanımı, standart denetimden daha fazla Veri güvenliği sağlar. Kayıtları korumak ve manipülasyonu önlemek için sağlam bir yapı taahhüt edilmelidir.

  2. Defansif Karşı Önlemler: Olası saldırılara karşı hazırlıklı olmak için güncellemeler, yamanmalar ve rutin güvenlik taramaları yapılmalıdır.

Sonuç

Siber güvenlikte log manipülasyonu, sistemlerin izlenebilirliğini önemli ölçüde etkileyebilir. Doğru yapılandırma ve güvenlik önlemleri ile bu tür durumların etkileri en aza indirilebilir. Güvenlik uzmanları, gerçekleştirdikleri analizlerde, log kayıtlarının gerçekte ne anlama geldiğini dikkatle yorumlamalı, potansiyel riskleri değerlendirmeli ve gerekli savunma mekanizmalarını hayata geçirmelidir. Bu bağlamda, uygun önlemler alınarak sistemin güvenliği artırılabilir ve siber saldırıların etkileri minimize edilebilir.