CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

Master File Table (MFT) Analizi: Siber Güvenlikte Yeni Bir Dönem

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

Siber güvenlikte MFT analizi ile dosya kayıtlarına dair derinlemesine bilgi edinin. Tehdit analizi ve zaman çizelgesi oluşturmanın sırlarını keşfedin.

Master File Table (MFT) Analizi: Siber Güvenlikte Yeni Bir Dönem

Master File Table (MFT) analizi, NTFS dosya sisteminin derinliklerine inmeyi sağlar. Bu yazıda MFT'nin tanımını, analiz sürecini ve avantajlarını keşfedeceksiniz. Siber güvenlikte kritik bir rol oynayan MFT, tehdit analizinde nasıl kullanılacağını öğrenin.

Giriş ve Konumlandırma

Master File Table (MFT) Analizi: Siber Güvenlikte Yeni Bir Dönem

Günümüzde dijital güvenlik tehditlerinin artış göstermesi, veri analizi ve dijital forensik alanındaki uygulamaları daha kritik hale getirmiştir. Bu bağlamda, NTFS dosya sisteminin temel bileşeni olan Master File Table (MFT), siber güvenlik alanında önemli bir rol oynamaktadır. MFT, bir disk üzerindeki tüm dosyaların kayıtlarını içeren veritabanı niteliğinde bir yapıdır ve dosya sisteminin çalışmasını düzenleyen temel unsurlardan biridir.

MFT'nin Tanımı ve Önemi

MFT, NTFS dosya sisteminde var olan her dosyanın ve dizinin özelliklerini saklayan merkezi bir veritabanıdır. Her bir dosya veya dizin için bir kayıt (entry) bulunur ve bu kayıtlar dosyaların yönetilmesi için kritik bilgiler içerir. Bu kayıtlarda dosya adı, boyutu, zaman damgaları ve erişim bilgileri gibi veriler bulunur. Böylelikle MFT, dosya yönetiminin yanı sıra veri kurtarma süreçlerinde de hayati bir rol oynar.

MFT'nin bu denli önemli olmasının nedenlerinden biri, sistem üzerinde gerçekleşen aktivitelerin izlenmesine olanak sağlamasıdır. Siber güvenlik uzmanları, MFT verilerini kullanarak potansiyel saldırıları tespit edebilir, sistem anormalliklerini belirleyebilir ve dijital kanıtları analiz edebilir. Dolayısıyla, MFT analizi, güvenlik tehditlerinin önceden tespiti ve sistemin güçlendirilmesi açısından hayati bir bileşen haline gelmiştir.

MFT ve Siber Güvenlik Bağlantısı

Siber güvenlik alanında MFT analizi, saldırı vektörlerini anlamada ve olay sonrası analiz süreçlerinde oldukça yararlıdır. Penetrasyon testi ve savunma mekanizmalarının geliştirilmesinde MFT'nin sağladığı veriler, sistemin zayıf noktalarını ortaya koyarak güvenliğin artırılmasını sağlar. MFT'den elde edilen veriler, forensik analiz için kullanılan temel kaynaklardan biridir ve siber olaylara ilişkin anlık bir görünürlük sunar.

MFT Analiz Süreci: Temel Aşamalar

MFT analizi, birkaç aşamadan oluşan sistematik bir süreçtir. Bu süreç, veri çıkarımı, kaydın incelenmesi ve zaman damgalarının analizi gibi adımları içerir. 

1. MFT çıkarılması
2. Kayıtların incelenmesi
3. Dosya adı ve zaman damgalarının analizi
4. Silinmiş dosyaların bulunması
5. Aktivite zaman çizelgesinin oluşturulması

Bu aşamalar, MFT'nin yapısı içerisinde her bir dosyanın ne zaman oluşturulduğunu, değiştirildiğini ve silindiğini ortaya çıkarır. Özellikle "MACB" zaman damgaları (Modified, Accessed, Changed, Born) sayesinde dosyaların yaşam döngüsü hakkında kapsamlı bilgiler elde edilir.

MFT Analizinin Sağladığı Avantajlar

MFT analizi, siber güvenlik uzmanlarına birçok avantaj sunmaktadır. İlk olarak, bu analiz sayesinde sistem aktiviteleri üzerine detaylı ve kapsamlı bir görünürlük sağlanır. Ayrıca, silinmiş dosya kayıtlarına dair detaylar elde edilerek dijital delillerin güçlendirilmesi mümkün hale gelir. Buna ek olarak, MFT analizi, potansiyel tehditlerin ve kötü niyetli aktivitelerin erken aşamada tespit edilmesine katkıda bulunur ve olaylara ilişkin zaman tablosunun oluşturulmasını kolaylaştırır.

MFT analizi sayesinde sağlanan avantajlar:
- Detaylı tehdit görünürlüğü
- Silinmiş dosya izlerinin tespiti
- Aktivite zaman çizelgesinin oluşturulması

Sonuç

Sonuç olarak, Master File Table (MFT) analizi, dijital forensik uygulamaları ve siber güvenlik alanında kritik bir öneme sahiptir. NTFS dosya sisteminin temel bileşeni olarak, MFT yalnızca verilerin yönetimini sağlamakla kalmaz, aynı zamanda tehdit tespiti ve siber olaylara müdahale süreçlerine de zemin hazırlar. Bu bağlamda, MFT analizi bilgisi, siber güvenlik uzmanlarının becerilerini geliştirecek ve sistemlerin güvenliğini artıracaktır. Siber tehditlerin giderek karmaşıklaştığı günümüz dünyasında, MFT'nin sağladığı bilgiler daha da kritik hale gelmektedir.

Teknik Analiz ve Uygulama

MFT Tanımı

Master File Table (MFT), NTFS dosya sistemi içerisinde, tüm dosya ve dizin kayıtlarının tutulduğu temel yapı taşını ifade eder. MFT, dosyaların ve dizinlerin meta verilerini saklayarak veri yönetimini sağlar. Bu kayıtlar, dosya adı, konumu, boyutu ve tarih bilgileri gibi çeşitli bilgileri içerir. Her dosya ve dizin için benzersiz bir kayıt numarası atanır, bu da dosyaların yönetimini ve izlenebilirliğini kolaylaştırır.

MFT Analiz Süreci

MFT analizi, siber güvenlik uzmanlarının dosya ve dizinlerin durumunu değerlendirmek, olası kötü niyetli aktiviteleri belirlemek ve veri kaybı ya da sızıntısının izlerini takip etmek için uyguladığı sistematik bir süreçtir. Bu analizde, öncelikle MFT'den gerekli veriler çıkarılır. Bu veriler üzerinde detaylı bir inceleme yapılırken, aşağıdaki adımlar sıklıkla takip edilir:

  1. MFT Çıkarma: MFT verileri, genellikle forensic yazılımlar aracılığıyla çıkarılır. Örnek bir komut ile MFT verilerini çekmek mümkündür:

    mft_parser --extract MFT

  2. Kayıt İncelemesi: Çıkarılan MFT verilerinde dosya adları, zaman damgaları ve diğer meta verilerin analizi yapılır.

  3. Zaman Damgaları Analizi: Zaman damgaları (MACB timestamps) kullanılarak dosyanın ne zaman oluşturulduğu, erişildiği, değiştirildiği ve silindiği tespit edilir:

    • Modified (M): Dosya en son ne zaman değiştirildi?
    • Accessed (A): Dosyaya en son ne zaman erişildi?
    • Changed (C): Dosya içeriğinde herhangi bir değişiklik ne zaman gerçekleşti?
    • Born (B): Dosya yaratma tarihi.

  4. Silinmiş Kayıtların Tespiti: MFT analizi sırasında, silinmiş dosyalara ait izlerin tespit edilmesi de kritik bir adımdır. Bu sayede, kötü niyetli eylemler veya verilerin silinmesi gibi aktivitelerin izleri bulunabilir.

  5. Zaman Çizelgesi Oluşturma: Elde edilen veriler ışığında, olay akışı ve zaman çizelgesi oluşturmak mümkündür. Bu çizelge, saldırı vektörlerini ve olayları daha iyi anlamaya yardımcı olur.

MFT Kayıt Alanları

Her MFT kaydı, birkaç temel alanı içerir. Bu alanların başlıcaları şunlardır:

  • Standard Information: Dosyanın temel zaman bilgilerini içerir.
  • File Name: Dosyanın adı ve ilgili meta veralar (örneğin, uzantısı).
  • Data Attribute: Dosya içerik bilgilerini saklar.
  • Deleted File Recovery: Silinmiş dosyaların izlerini bulmaya yarayan alanlar içerir.
  • Entry Number: Her dosyayı benzersiz olarak tanımlayan bir kayıt numarasıdır.

Resident vs Non-Resident Tanımı

MFT kayıtları, "resident" ve "non-resident" olmak üzere iki türde bulunabilir. Resident attribute, verilerin doğrudan MFT kaydında tutulması anlamına gelirken; non-resident attribute, verilerin disk üzerinde başka bir konumda tutulduğu durumları ifade eder. MFT'deki resident alanlar genellikle daha küçük dosyalar için kullanılır, büyük dosyalar ise non-resident olarak saklanır.

MACB Timestamp Tanımı

MACB timestamps, dosyanın yaşam döngüsünü belirten dört önemli zamana işaret eder. Bu damgalar, dosya aktivitelerini izlemek için kritik öneme sahiptirler. Hem analistlerin hem de düzenleyicilerin siber olayları incelemelerine olanak tanır ve olay sonrası analizlerde önemli bir rol oynar.

MFT Analiz Avantajları

MFT analizi, birkaç önemli avantaj sağlar:

  • Detaylı Tehdit Görünürlüğü: MFT analizi, sistem üzerindeki tüm aktivitelerin izlenmesini mümkün kılar. Bu sayede, kötü niyetli faaliyetlerin önceden tespit edilmesi avantajı sunar.
  • Forensic Kanıt Güçlendirme: MFT üzerinde yapılan analizler, adli kanıtların toplanmasını ve güçlendirilmesini sağlar.
  • Zaman Çizelgesi Oluşturma: Olayların zaman sırasına göre organize edilmesi, olayın detaylarının daha iyi anlaşılmasını kolaylaştırır.

SOC L2 MFT Operasyonel Rolü

SOC L2 analistleri, MFT verilerini kullanarak sistem aktivitelerini analiz eder. Bu bağlamda, şu görevleri yerine getirirler:

  • Tehdit aktivitelerini belirleme,
  • Silinmiş izleri tespit etme,
  • Forensic timeline oluşturma.

Bütün bu süreç, analistlerin sistemin durumunu detaylı bir şekilde gözlemlemelerine ve olası tehditleri hızlıca tanımlamalarına yardımcı olur.

MFT analizi, siber güvenlik alanında kritik bir rol oynar. Bu süreç; veri kurtarma, tehdit tespiti ve forensik analiz gibi konuların temelini oluşturarak, güvenlik uzmanlarına kapsamlı bir veri seti sunar.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Master File Table (MFT) analizi, siber güvenlik alanında yaşanan gelişmelerle birlikte önem kazanmış bir teknik olduğundan, elde edilen bulguların güvenlik açısından değerlendirilmesi kritik bir adım olarak öne çıkmaktadır. Özellikle NTFS dosya sistemi üzerinde gerçekleştirilen bu analiz, sistemde bulunan dosyaların geçmişi, durumu ve olası tehditleri hakkında detaylı bilgiler sunmaktadır.

MFT analizi yapılan bir sistemde, çeşitli güvenlik riskleri ve yanlış yapılandırmalar tespit edilebilir. Bu riskler genellikle, sistemin güvenirliğini tehdit eden zafiyetler, yanlış yapılandırmalar ya da zamanında güncellenmeyen yazılımlar aracılığıyla ortaya çıkmaktadır. Örneğin, silinmiş dosya izleri, yetkisiz erişimler veya beklenmedik dosya değişiklikleri, MFT verileri üzerinden izlenebilir. Aşağıdaki örnek, bu konuda net bir anlayış sağlamaktadır:

Entry Number: 12345
File Name: sensitive_data.txt
Created: 2023-01-01 10:00:00
Modified: 2023-01-02 15:00:00
Deleted: 2023-01-03 16:00:00

Yukarıdaki kayıt, "sensitive_data.txt" dosyasının oluşturulduğu, değiştirildiği ve silindiği tarihleri içermektedir. Eğer dosya sisteminin geçmişinde yetkisiz bir değişiklik tespit ediliyorsa, bu durum, veri ihlali veya kötü niyetli bir etkinliğin belirtisi olabilir.

Savunma ve Önlemler

MFT analizi sonucunda elde edilen verilerin yorumlanması, güvenlik stratejilerinin belirlenmesinde büyük bir rol oynamaktadır. Eğer analiz sonucunda kritik zafiyetler doğrulanırsa, bu durumun etkisi sistemin genel güvenlik durumu üzerinde oldukça yıkıcı olabilir. Dolayısıyla, izlenmesi gereken bazı önemli önlemler vardır:

  1. Güvenlik Patching: Yazılımlarda bulunan zafiyetleri kapatmak için düzenli olarak güncellemelerin kontrol edilmesi ve uygulanması gerekmektedir. Özellikle işletim sistemi ve kritik uygulamalar için güvenlik güncellemeleri son derece önemlidir.

  2. Erişim Kontrolleri: Kullanıcı ve grup bazında yetkilendirme politikalarının gözden geçirilmesi, gereksiz yetkilerin kaldırılması ve sadece gerekli olan erişim izinlerinin tanımlanması, olası kötü niyetli erişimlerin engellenmesine yardımcı olacaktır.

  3. Zaman Senkronizasyonu: MFT'de bulunan zaman damgalarının doğruluğu, olayların izlenebilirliği açısından kritik öneme sahiptir. Bu nedenle, sistem saatlerinin, güvenilir bir zaman sunucusuna senkronize edilmesi sağlanmalıdır.

  4. Olay Müdahale Planları: MFT analizi sonucu belirlenen tehditlere karşı hızlı müdahale edebilmek için, olay müdahale planlarının oluşturulması ve tatbikatların düzenlenmesi önerilmektedir.

  5. Logging ve Monitoring: Sistem üzerinde gerçekleşen olayların loglanması ve izlenmesi, olası tehditlerin erken tespit edilmesi için gereklidir. MFT analizi ile üretilecek loglar, potansiyel risklerin belirlenmesinde ve analizin niteliğinin artırılmasında önemli bir yer tutar.

Sonuç Özeti

Master File Table analizi, siber güvenlikte derin bir tehdit görünürlüğü sağlamaktadır. Analiz sürecinde elde edilen bilgiler, sistemin güvenliğinin artırılması, zafiyetlerin giderilmesi ve stratejik savunma planlarının entegre edilmesi için önemli bir kaynak oluşturmaktadır. Özellikle siber tehditlerin sürekli evrim geçirdiği günümüzde, MFT gibi tekniklerin etkin kullanımı, organizasyonların güvenlik duruşunu büyük ölçüde güçlendirecektir. Saldırıların ve izinsiz erişimlerin artmasıyla, MFT analizinin etkin bir güvenlik aracı olarak değerlendirilmesi kaçınılmaz hale gelmektedir.