CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Endpoint Edr

Process Tree: Ebeveyn-Çocuk İlişkisinin Gücü ile Siber Saldırılara Karşı Savunma

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Endpoint Edr

Ebeveyn-çocuk ilişkisini kullanarak siber saldırıları anlamak ve analiz etmek için önemli bilgileri keşfedin.

Process Tree: Ebeveyn-Çocuk İlişkisinin Gücü ile Siber Saldırılara Karşı Savunma

Siber güvenlikte saldırı tespiti için ebeveyn-çocuk süreç ilişkilerini anlamak kritik bir adımdır. Bu yazıda, süreç ağaçlarının analizi ve siber tehditlere karşı nasıl kullanılacağını öğreneceksiniz.

Giriş ve Konumlandırma

Hiyerarşinin Temeli

Siber güvenlik alanında, her bir işlem (process), sistemdeki diğer işlemlerle olan ilişkisiyle birlikte değerlendirilmelidir. Bir işlemin başka bir işlemi başlatması durumunda, bu iki işlem arasındaki hiyerarşinin dinamikleri oldukça önemlidir. "Ebeveyn" adı verilen başlatan işlem, yeni başlatılan "Çocuk" işlemine yön verir. Bu ebeveyn-çocuk ilişkisi, sistemin davranışını anlamak için kritik bir temel oluşturmaktadır. Sadece bir işlem ağacının yapısını inceleyerek, sistemde bulunan zararlı yazılım aktivitelerini tespit etmek ve analiz etmek mümkündür.

Birçok siber saldırı, masum görünen işlemlerle gizleniyor olabilir. Örneğin, bir Office belgesi açıldığında arka planda meşru görünen bir işlemle (örneğin, Word) zararlı bir terminallerin (shell) açılmasına neden olabilir. Bilhassa bu tür karmaşık ilişkilerin siber saldırılar için nasıl bir meydan okuma oluşturduğunu anlamak, sistem yöneticileri ve siber güvenlik profesyonelleri için kritik bir öneme sahiptir.

Anomaliyi Tanımak

Bir saldırganın siber saldırı gerçekleştirmek üzere kullandığı yöntemlerin birçoğu, sistemdeki normal aktivitelerin dışında kalmayı hedefler. İşte burada, hiyerarşik yapılar devreye giriyor. Normal bir ebeveyn-çocuk ilişkisi kurulduğunda, sistemdeki olası anormallikler, tespit edilmekte zorlanabilir. Ancak, EDR (Endpoint Detection and Response) sistemleri, bu ilişkiler arasındaki mantıksızlıkları tespit ederek olası tehditlerin önüne geçebilir. Örneğin, eğer bir çocuk işlem, kesinlikle meşru bir ebeveyn tarafından başlatılmıyorsa, bu durum sistemde bir güvenlik açığı olduğunu gösterebilir.

Bir EDR sisteminin en kritik görevlerinden biri, bu tür anormal durumları hızlı ve etkili bir şekilde belirlemektir. Kod örneği ile açıklamak gerekirse:

# Ebeveyn-çocuk ilişkisini inceleyen bir örnek
process_tree = {
    "explorer.exe": ["chrome.exe", "notepad.exe"],
    "svchost.exe": ["some_malicious_process.exe"]
}

for parent, children in process_tree.items():
    for child in children:
        if parent not in ["explorer.exe", "svchost.exe"]:
            print(f"Tespit edilen anomali: {parent} -> {child}")

Bu örnekte, sadece normal ebeveyn-çocuk ilişkilerini işleyen senaryo üzerinden, şüpheli ilişkilerin tespit edilmesi için bir temel oluşturulmuştur.

Masum ve Suçlu

Siber güvenlik bağlamında, bir işlemin ne kadar zararlı olduğunu belirlemek için masum ve suçlu olarak iki ana kategoriye ayırmak faydalıdır. Birçok zararlı yazılım, kendisini gizlemek için meşru olan bir işlemi kullanabilir. Örneğin, bir saldırgan meşru bir Windows uygulamasını (örneğin, svchost) kullanarak, bu işlemi askıya alıp, içine kendi zararlı kodunu yerleştirebilir. Bu durum "Process Hollowing" olarak adlandırılır ve siber güvenlik profesyonelleri için önemli bir tehlike oluşturur.

Yalan Söylemeyen Ağaç

Gerçek bir SOC (Security Operations Center) ortamında, meşru ve zararlı ebeveyn-çocuk ilişkilerini ayırt etmek kritik bir yetkinliktir. Tespit edilen bir bağlılık, zararlı yazılıma dair sağlam bir ipucu sunar. Örneğin, eğer svchost.exe adında bir dosya, beklenmedik bir ebeveyn tarafından başlatılmışsa, EDR sistemleri bu durumu alarm olarak kaydedebilir. Bu tür analizler, mevcut sistemin güvenliği için hayati öneme sahiptir.

Sistemi Sisteme Vurdurmak

Saldırganların kullandığı başka bir teknik ise "Living off the Land" taktiğidir. Bu strateji, siber saldırganlar tarafından sistemde zaten mevcut olan meşru araçların (örneğin, cmd, powershell, veya wmi) kullanılması olarak tanımlanır. Böylece, dışarıdan zararlı bir yazılım indirmektense mevcut sistem kaynaklarıyla saldırı gerçekleştirirler. Bu durum, siber güvenlik analistlerinin mevcut tehditleri tanımlama yeteneklerini daha da zorlaştırır.

Siber güvenlik sistemleri, bu tür vetirelerde succesful bir şekilde çalışabilmeleri için bir dizi kritik kavramı anlamalı ve uygulayabilmelidir. Bu noktada dikkat edilmesi gereken, عملية تحليل هيكل العمليات التي تساعد على ادراك تهديدات المحتمل الموجوده داخل النظام.

Teknik Analiz ve Uygulama

Hiyerarşinin Temeli

Siber güvenlik alanında, süreç ağaçları (process trees), bir sistemdeki tüm işlemler arasındaki ilişkileri görselleştiren önemli bir bileşendir. İşletim sistemleri, birbirlerini başlatan ve alt süreçler oluşturan işlemlerle çalışır. Bu ilişkiler, ebeveyn (parent) ve çocuk (child) işlemler olarak tanımlanır. Ebeveyn işlem, çocuk işlemi başlatan süreçken, çocuk işlem ise bu ebeveyn işleminden türemiştir. Ebeveyn-çocuk ilişkileri, işletim sistemlerinin çalışma mantığını yansıtır ve bu ilişkilerin analizi, güvenlik tehditlerini tespit etmek için hayati önem taşır.

Ebeveyn-çocuk ilişkilerini anlamak, potansiyel zararlı aktiviteleri gözlemlemek açısından kritik bir öneme sahiptir. Çoğu zararlı yazılım, meşru yazılımlar arasında gizlenmek için bu ilişkileri manipüle eder. Örneğin, bir EDR (Endpoint Detection and Response) sistemi, aşağıdaki gibi bir ilişkiyi tespit ettiğinde alarm üretebilir:

services.exe -> svchost.exe

Bu ilişki, Windows servislerinin standart başlatılma hiyerarşisini gösterir ve genellikle masum bir durumu temsil eder. Ancak olay analizi sırasında bu tür ilişkilerin yanıltıcı olabileceği akılda tutulmalıdır.

Anomaliyi Tanımak

Zararlı yazılımlar, sistemlerdeki meşru süreçleri hedef alarak yeni bir çocuk işlem oluşturabilir. Gerçek bir SOC (Security Operations Center) ortamında, analistlerin meşru ve meşru olmayan ebeveyn-çocuk ilişkilerini ayırt etmesi gerekir. Bu bağlamda, analistlerin ilişkileri incelemesi ve aşağıdaki gibi tipik bir ilişkiyi tespit etmesi önemlidir:

excel.exe -> powershell.exe

Bu ilişki, genellikle makro veya zararlı yazılım zincirinin başlangıç adımını gösterebilir. İlgili süreçleri incelemek, saldırının başlangıç noktasını belirlemek açısından kritik bir aşamadır.

Masum ve Suçlu

Ebeveyn süreçler tarafından başlatılan çocuk işlemlerin değerlendirilmesinde dikkatli olunması gereken bir diğer konu da, işlem bağlantılarındaki geçerlilik ve mantıklılıktır. EDR sistemleri süreç ağacındaki mantıksız uyumsuzlukları tespit ederek gizlenmiş zararlıları yakalayabilir. Örneğin, eğer bir işlem görünürde zararlı olmayan bir ebeveyn işlemden geliyorsa, bu durumda dikkatli olunmalıdır.

Bir analist, aşağıdaki ilişkiye göz attığında, bir şüphe baş gösterebilir:

cmd.exe -> powershell.exe

Cmd.exe'nin bir çocuk süreci olarak, normal görevlerin dışında bir işlem gerçekleştirmesi durumunda dikkatli olunmalıdır.

İçi Boşaltılmış Süreçler

Gelişmiş zararlılar, meşru bir uygulamayı (örneğin svchost.exe) askıya alarak, içindeki orijinal kodu boşaltabilir ve kendi zararlı kodunu yerleştirebilir. Bu gizlenme taktiğine "Process Hollowing" denir. Gereksinim duyulan durumlarda, bir analistin yapması gereken, şüpheli bir ebeveyn-çocuk ilişkisini hızlıca tespit etmektir.

Örneğin, aşağıdaki işlem zinciri, bir sürecin boşaltılması sonucunda ortaya çıkabilecek tehlikeli bir durumu gösterebilir:

explorer.exe -> svchost.exe

Bu tür bir durum, temel bir süreç boşaltma taktiği olarak ele alınmalıdır.

Yalan Söylemeyen Ağaç

Bir saldırganın zararlı dosyasının adını 'svchost.exe' yapması, işlemin eylemlerinin masumiyetini bozmaz. Eğer bu sahte dosya 'services.exe' yerine 'explorer.exe' tarafından başlatılmışsa, EDR sistemi anında alarm üretir. Dolayısıyla, EDR analistlerinin bu tür durumu göz önünde bulundurması şarttır.

Eğer aşağıdaki gibi bir durum gözlemlenirse:

explorer.exe -> svchost.exe

Analist, bu ilişkiyi sorgulayıp, potansiyel bir tehdit olup olmadığını belirlemek için derinlemesine bir analiz yapmalıdır.

Sistemi Sisteme Vurdurmak

Saldırganlar, dışarıdan zararlı bir dosya indirmek yerine, sistemde zaten mevcut olan komutları kullanarak saldırılar düzenleyebilir. Bu strateji "Living off the Land (LotL)" olarak adlandırılır ve işletim sisteminin kendi yasal araçlarıyla sisteme saldırma yöntemi olarak bilinir. Bu tür bir uygulama ile:

powershell.exe -ExecutionPolicy Bypass

şeklinde bir komut verildiğinde, bir analistin alarm koşulu gözden kaçmamalıdır. Meşru araçlardan kimliğini gizleyen bir saldırgan, bu yöntemleri kullanarak hızlı bir şekilde sistem üzerinde kontrol sağlayabilir.

Modül Sonu

Süreç ağaçları analizi, siber güvenlik alanında tehdit tespiti ve olay müdahaleleri için kritik bir metodolojidir. Ebeveyn-çocuk ilişkileri üzerinde yapılan analizler, zararlı yazılımların etkilerini azaltmak ve potansiyel tehlikeleri önleme açısından en önemli araçlardan biridir. Bu bölümde bahsedilen kavramları ve süreçleri akılda tutarak, siber güvenlik analistlerinin daha etkin bir şekilde çalışmaları hayati önem taşır.

Risk, Yorumlama ve Savunma

Hiyerarşinin Temeli

Siber güvenlik alanında risklerin doğru bir şekilde değerlendirilmesi, saldırıların erken tespitinde ve önlenmesinde kritik öneme sahiptir. Ebeveyn-çocuk ilişkisi, yani bir sürecin başka bir süreci başlatması, bu bağlamda önemli bir veri sunmaktadır. İyi bir risk değerlendirmesi, sürecin legiti olup olmadığını belirleyerek başlar. Meşru bir ebeveyn tarafından başlatılan çocuk süreçler; sistemin normal işleyişini yansıtırken, şüpheli bir ebeveynin başlattığı süreçler potansiyel bir tehdidi işaret edebilir. Bu tür ilişkileri dikkatlice analiz etmek, anormallikleri tanımanın ilk adımıdır.

Örnek:
Eğer bir 'excel.exe' uygulaması, arka planda bir 'powershell.exe' sürecini başlatmışsa, bu durum kritik bir tehlikeyi işaret eder.

Anomaliyi Tanımak

Bir sistemdeki potansiyel tehditleri tanımlarken, anomali tespiti büyük bir role sahiptir. Normal hiyerarşi dışında gerçekleşen süreç ilişkileri, sistemin uzaktan kontrol altında tutulduğunu gösteren ipuçları içerebilir. Örneğin, bir kullanıcı çalışma esnasında 'Word' uygulamasını başlatırken, arka planda 'cmd' ya da 'powershell' gibi komut satırı araçlarını çalıştırmak şüpheli bir davranıştır.

# Anomaliyi tespit etmek için kullanılabilecek bir PowerShell komutu:
Get-Process | Where-Object { $_.Path -like "*powershell*" -or $_.Path -like "*cmd*" }

Masum ve Suçlu

Aynı zamanda, şüpheli süreçlerin belirlenmesi için masum ve suçlu süreçler arasında bir ayrım yapılması önemlidir. Birçok zararlı yazılım, meşru uygulamaların adını alarak gizlenmeye çalışır. Örneğin bir zararlı yazılım, adını 'svchost.exe' olarak belirleyebilir, ancak eğer bu sahte dosya düzgün bir şekilde başlatılmadıysa, EDR sistemleri anında bir alarm üretebilir.

Normal işlem:
services.exe -> svchost.exe  (Yanlış yapılandırma durumu)
    
Zararlı işlem:
svchost.exe -> services.exe     (Şüpheli başlatma)

İçi Boşaltılmış Süreçler

Gelişmiş zararlılar, meşru bir uygulamanın belleğini boşaltabilir ve kendi zararlı kodunu yerleştirebilir. Bu süreç, "Process Hollowing" olarak bilinir. Bu teknik, sisteme yerleştirilen zararlı kodun tespit edilmesini zorlaştırmaktadır. Dolayısıyla, bu tür durumların tespiti için süreklilik arz eden izleme mekanizmalarının işletilmesi gerekir.

Tespit mekanizması:
- Süreç ağaçlarındaki mantıksız uyumsuzluklar.

Yalan Söylemeyen Ağaç

Bu bağlamda, EDR sistemlerinin kritik önemi büyük bir avantaj sunmaktadır. EDR (Endpoint Detection and Response), süreç ağaçlarındaki anormal bağlantıları tespit ederek bu tür saklı zararlıları ortaya çıkarmada oldukça etkilidir. Özellikle saldırganların meşru sistem araçlarını kullanarak gerçekleştirdiği "Living off the Land" taktiği, bu tür algılama sistemleri ile etkili bir şekilde izlenebilir.

Sistemi Sisteme Vurdurmak

Siber saldırılar genellikle sistemin meşru kaynaklarını kullanarak gerçekleştirilir. Saldırganlar, dışarıdan bir zararlı dosya indirmek yerine, sistemde zaten mevcut olan araçları kullanarak eylemlerini sürdürürler. Bu durum, saldırının tespit edilmesini zorlaştırdığı için sistem güvenliğinde "hardening" önlemleri almak kritik bir gerekliliktir.

Sonuç

Sonuç olarak, süreç ağaçlarının analizi, siber güvenlik alanında saldırı tespitinde önemli bir rol oynamaktadır. Ebeveyn-çocuk ilişkileri üzerinden yapılan analizler, sistemi korumanın yanı sıra potansiyel tehditlerin önceden belirlenmesini sağlamaktadır. Süreçlerin normal ve anormal olanlarının ayırımı, sistem güvenliği için önemli bir adım olup, EDR gibi çözümlerle desteklenen sürekli izleme ve değerlendirme süreçleri, siber saldırılara karşı daha sağlam bir savunma yapısı oluşturacaktır.