CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

Recycle Bin Forensics: Silinen Dosya İzlerini Keşfedin

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

Recycle Bin analizi ile silinen dosyaların izlerini ortaya çıkarın ve dijital forensics becerilerinizi geliştirin.

Recycle Bin Forensics: Silinen Dosya İzlerini Keşfedin

Bu yazıda, Recycle Bin forensics hakkında bilmeniz gerekenler, silinen dosyaların izlerinin nasıl takip edileceği ve analizin avantajları ele alınıyor. Siber güvenlik alanında, bu bilgiler kritik öneme sahip!

Giriş ve Konumlandırma

Recycle Bin Tanımı

Geri dönüşüm kutusu (Recycle Bin), Windows işletim sistemlerinde silinmiş dosyaların geçici olarak saklandığı bir alandır. Kullanıcılar dosyalarını bu kutuya attıklarında, dosyalar fiziksel olarak diskten silinmez; bunun yerine geri dönüşüm kutusuna taşınır. Bu süreç, dosyaların geri alınma imkanını sunar. Ancak, geri dönüşüm kutusundaki verilerin analizi; siber güvenlik uygulamaları, dijital adli bilimler ve olay yanıtı süreçleri açısından kritik öneme sahiptir.

Neden Önemli?

Geri dönüşüm kutusu, yalnızca kullanıcılar için bir kolaylık sağlamaz, aynı zamanda siber güvenlik uzmanları ve adli bilişim analistleri için önemli bir veri kaynağıdır. Silinmiş dosyaların izlerini takip edebilmek, özellikle olası bir veri ihlali veya kötü niyetli bir атак sonrası önemli bilgiler sunabilir. Bu bağlamda, rekabette avantaj sağlamak adına geri dönüşüm kutusu verilerini analiz etmek, olayın doğası hakkında daha fazla bilgi edinmeye yardımcı olur.

Siber Güvenlik ve Pentest ile Bağlantı

Siber güvenlik, çeşitli tehditlerin ve saldırıların önlenmesi ile ilgili tüm süreçleri kapsar. Pentesting (penetrasyon testi) ise sistemlerin güvenlik açıklarını belirlemek amacıyla yapılan bir test metodudur. Geri dönüşüm kutusunun analizi, bu tür testlerde kullanışlı bir bilgi kaynağı sunabilir. Örneğin, bir saldırganın sistemden silmeyi tercih ettiği dosyalar; bu dosyaların kritik öneme sahip olabileceğinin bir göstergesi olabilir. Ayrıca, saldırı sonrası izlerinin takip edilmesi, faillerin belirlenmesi açısından önemli bulgular sunar.

Geri dönüşüm kutusu artefaktları, kullanıcıların dosyaları nasıl ve neden sildiğine dair bilgiler sağlarken, aynı zamanda şüpheli işlemlerin izini sürmeye yardımcı olur. Özellikle önemli bir verinin silinmesi durumunda, bu artefaktlar sayesinde zaman çizelgesinin yeniden inşası mümkün hale gelir. Bu, olayın zamanlamasını ve olası nedenlerini anlamak için kritik bir aşamadır.

Teknik İçeriğe Hazırlık

Geri dönüşüm kutusu forensik analizi; belirli metodolojiler, araçlar ve stratejiler gerektirir. Bu blog yazısının ilerleyen bölümlerinde, geri dönüşüm kutusunun yapısı, veri analizi için kullanılan araçlar ve bu süreçte karşılaşılabilecek zorluklar hakkında detaylı bilgi verilecektir. Aynı zamanda, kullanıcıların silinen dosyalarına dair bilgi toplama teknikleri ve bunların siber güvenlik operasyonlarında nasıl kullanılabileceği de ele alınacaktır. Teknik konulara geçmeden önce, sizinle paylaşacağımız bazı başlıca araçları ve bunların kullanım şekillerini tanımak faydalı olacaktır.

RBCmd aracı ile geri dönüşüm kutusu analizini gerçekleştirmek için temel bir komut:
rbcmd.exe -d c:\$recycle.bin

Sonuç olarak, geri dönüşüm kutusunun forensik analizi, hem siber güvenlik uzmanları hem de adli bilişim analistleri için önemli bir konu olarak öne çıkmaktadır. Bu, gelecekteki tehditler karşısında daha hazırlıklı olmaya ve mevcut güvenlik durumunu iyileştirmeye yardımcı olacak temel bir bileşendir.

Teknik Analiz ve Uygulama

Recycle Bin Tanımı

Recycle Bin, Windows işletim sistemlerinde kullanıcıların yanlışlıkla sildikleri dosyaların geçici olarak saklandığı bir depolama alanıdır. Kullanıcılar dosyalarını Recycle Bin'e taşıyarak, bu dosyaların geri yüklenmesini sağlarlar. Ancak, sistem yöneticileri ve siber güvenlik uzmanları için Recycle Bin, silinmiş dosyaların izlerini takip etmek adına önemli bir forensic artifact (adli delil) kaynağıdır.

Recycle Bin Konumu

Recycle Bin verileri, her kullanıcının diskindeki özel bir klasörde tutulur. Windows işletim sistemlerinde bu klasör, genellikle C:\$Recycle.Bin altında bulunan alt klasörler olarak yapılandırılır. Kullanıcılara ait dosyalar, bu klasörlerde "SID Folder" (Kullanıcı bazlı klasör) adı verilen bir yapıda bulunur. Her kullanıcı için ayrı bir SID (Security Identifier) kısmı bulunurken, içinde bulunan dosyalar $I file (metadata ve silinme bilgileri) ve $R file (gerçek silinen veri) olarak iki farklı formatta kaydedilir.

Recycle Bin Dosya Yapısı

Recycle Bin, silinen dosyaların yanında çeşitli metadata bilgilerini de tutarak kullanıcıların silme işlemiyle ilgili detaylı istatistikler sunar. Bu dosya yapıları şu şekildedir:

  • $I Dosyası: Bu dosya, silinen dosyanın metadata bilgilerini ve silinme tarihini içerir.
  • $R Dosyası: Gerçek anlamda silindiği varsayılan veri, bu dosyada bulunur. Eğer dosya Recycle Bin’den tamamen silinmişse, bu arşivler üzerinde herhangi bir erişim sağlanamaz.

RBCmd Aracı

Recycle Bin içerisindeki verileri analiz etmek için sıklıkla Eric Zimmerman tarafından geliştirilen RBCmd aracı kullanılır. RBCmd, Recycle Bin'e ait verileri geri kazanma, analiz etme ve düzenleme gibi işlevleri yerine getirir. Kullanımı oldukça basittir ve çeşitli komutlarla özelleştirilebilir.

RBCmd Kullanımı

RBCmd ile Recycle Bin içerisindeki dosyalar üzerinde işlem yapmak oldukça basittir. Örneğin, Recycle Bin içerisindeki dosyaları listelemek için şu komut kullanılabilir:

rbcmd.exe -l c:\$recycle.bin

Bu komut, belirtilen Recycle Bin klasöründeki dosyaları listeleyecektir. Aynı zamanda, kullanıcıların silinen dosyaların metadata bilgilerine de erişebilmesi mümkündür. Burada, silinmiş dosyaların detaylarını görmek için şu komut kullanılabilir:

rbcmd.exe -d c:\$recycle.bin

Bu komut, Recycle Bin'deki tüm silinen dosyaların metadata bilgilerini sunarak, silinme tarihleri ve dosya yolları gibi bilinmesi gereken bilgileri sağlar.

Forensic Avantajları

Recycle Bin, özellikle forensic analizlerinde kullanıcıların yanlışlıkla silinen dosyalarının geri kazanılabilir olmasının yanı sıra silinmiş dosya izlerini inceleme avantajı sunar. Yani, bir dosya silindiğinde, bu silinme işlemi yasal bir delil olarak kabul edilebilir ve silinen dosyaların olay zaman çizelgesine (deletion timeline) dahil edilmesi sağlanabilir. Bu işlem, siber suçların araştırılması ve olay sonrası analizlerde önemli bir ışık tutar.

Deleted Artifact Analysis

Silinen dosyaların analizi, büyük veri kayıplarını önlemek ve olası siber saldırıları tespit etmek adına kritik bir öneme sahiptir. Recycle Bin artifactleri üzerinden yapılan bu analiz, siber güvenlik açısından hayati öneme sahip olabilir. Örneğin, bir SOC (Security Operations Center) analisti, Recycle Bin'deki silinmiş dosyaları inceleyerek şüpheli etkinlikleri ve veri kayıplarını belirleyebilir.

Timeline Reconstruction

Silinmiş dosyaların zaman çizelgesi, olayın nasıl geliştiğine dair önemli ipuçları sunabilir. Recycle Bin'den elde edilen verilerle, bir kullanıcının hangi dosyaları ne zaman sildiği gibi bilgiler analiz edilebilir ve böylece daha derinlemesine bir olay incelemesi yapılabilir.

rbcmd.exe -t c:\$recycle.bin

Bu komut, silinmiş dosyaların zaman çizelgesini oluşturmak için kullanılabilir. Analiz sonucunda çıkan veriler, kullanıcı davranışlarını anlamak açısından oldukça değerlidir.

Anti-Forensics Riskleri

Recycle Bin analizinde karşılaşılabilecek anti-forensics riskleri, siber güvenlik uzmanları için dikkat edilmesi gereken unsurlardır. Kullanıcılar, Recycle Bin'in içeriğini temizleyerek ya da dosyaları kalıcı olarak (Shift+Delete) silerek silme izlerini ortadan kaldırma çabasına girişebilir. Bu nedenle, analistlerin bu tür işlemleri dikkate alarak analizlerini artırmaları gerekmektedir.

Bu bölüm, Recycle Bin forensics konusunu derinlemesine incelemiş ve uygulamalı bilgi sunarak hem teknik hem de pratik bir yaklaşım sağlamıştır. Recycle Bin, yalnızca basit bir silme işlemi için değil, aynı zamanda siber güvenlik olaylarının aydınlatılması için de önemli bir kaynak oluşturmaktadır.

Risk, Yorumlama ve Savunma

Elde Edilen Bulguların Güvenlik Anlamı

Recycle Bin içeriği, silinen dosyaların geriye dönük analizini mümkün kılan kritik bir forensic artifact yapısını temsil eder. Windows işletim sistemlerinde, silinen dosyalara dair bilgiler (metadata gibi) burada tutulur. Bu, kullanıcıların yanlışlıkla sildikleri veya kasıtlı olarak gizledikleri verilerin kurtarılmasını sağlamak amacıyla kullanılır. Elde edilen bulguların yorumlanması, hem güvenlik durumunu anlamak hem de sistemde meydana gelen olası tehditleri belirlemek için esas teşkil eder.

Yanlış Yapılandırma ve Zafiyetler

Recycle Bin’ın yanlış yapılandırılması, çeşitli güvenlik risklerini beraberinde getirir. Örneğin, silinmiş dosyaların sisteme ait verilerle entegrasyonu, kullanıcıların kötü niyetli amaçlarla bu verileri kullanmasına olanak tanıyabilir. Eğer geri dönüşüm kutusundaki veriler yeterince korunmuyorsa veya sık sık temizlenmiyorsa, bu durum bilgi sızıntısına ya da veri kaybına neden olabilir.

Verilerin kalıcı olarak silinmesinin (örneğin Shift + Delete kullanılarak) gerçekleştiği durumlarda, kesinlikle bu verilerin geri kazanılmasının daha zor olduğu unutulmamalıdır. Kullanıcılar için gerçekleştirilecek veri kurtarma işlemleri bu tür durumlarda zaman alıcı ve maliyetli olabilir.

Sızan Veri ve Topoloji Tespiti

Recycle Bin'deki silinmiş dosyalar üzerinde yapılan bir forensic analiz, silinen veri miktarını ve bu verilerin kaynaklarını belirleme yeteneğini kazandırır. Güvenlik analistleri, sızan verilerin nereden geldiğini, hangi uygulamalar veya kullanıcılar tarafından silindiğini belirleyerek, güvenlik protokollerinde gerekli değişiklikleri yapma fırsatına sahip olurlar.

Ayrıca, Recycle Bin içerisindeki dosya yapısının analizi, sistemdeki kullanıcıların aktivitelerini gözlemlemek için de kullanılabilir. Örneğin, kullanıcı bazlı klasörler (SID Folder) ve silinme zaman çizelgeleri (Deletion Timeline) kullanılarak kullanıcı atfının (User Attribution) yapılması sağlanabilir. Bu teknik, saldırıların kaynağını tespit etmeyi ve izole etmeyi kolaylaştırır.

Profesyonel Önlemler ve Hardening Önerileri

Veri güvenliği sağlamak için aşağıdaki profesyonel önlemler ve hardening önerileri alınabilir:

  1. İzleme ve Loglama: Recycle Bin üzerinde sürekli izleme yaparak, silinmiş dosyaların hangi kullanıcılar tarafından ve ne zaman kaldırıldığını loglamak önemlidir.

  2. Güvenli Silme Prosedürleri: Kullanıcıların veri silme süreçlerinin kontrol altında tutulması ve güvenli silme yöntemlerinin benimsenmesi gerekmektedir. Permanent Deletion (kalıcı silme) işlemlerine dikkat edilmesi, merkezi izinler ile sağlanmalıdır.

  3. Veri Şifreleme: Silinmiş dosyaların analizinde elde edilen bilgilerin kötü amaçlı kişiler tarafından kullanılmasını önlemek için, veri şifreleme yöntemlerinin kullanılması önerilmektedir.

  4. Sistem Güncellemeleri: Windows sistemlerinde güncellemelerin düzenli olarak yapılması, bilinen güvenlik açıklarının kapatılmasına yardımcı olur. Sistem zafiyetlerini gidermek için sürüm güncellemeleri takip edilmelidir.

Sonuç

Recycle Bin analizi, sistemdeki olası güvenlik tehditlerini tespit etme ve kullanıcı davranışlarını anlamada önemli bir rol oynamaktadır. Silinen dosya izlerinin geri kazanılması ve bu verilerin detaylı analizi, güvenlik incelemeleri için önemlidir. Uygulanan profesyonel önlemler ile birlikte, bu alanın güçlendirilmesi, olası veri kaybı ve güvenlik ihlallerinin önüne geçmeyi sağlayabilir. Bu nedenle, sistem yöneticilerinin Recycle Bin verilerini dikkatli bir şekilde izlemeleri ve yönetmeleri, siber güvenliğin sağlanması adına elzemdir.