CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

Registry Transaction Logs Analizi: Siber Güvenlikte İzlerin Takibi

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

Registry transaction logs analizi ile siber güvenlik tehditlerini ortaya çıkarın. Bilgi güvenliği uzmanları için kapsamlı bir rehber.

Registry Transaction Logs Analizi: Siber Güvenlikte İzlerin Takibi

Registry transaction logs analizi, siber güvenlik tehditlerinin ve kalıcılığının tespitinde kritik bir rol oynar. Bu blog yazısında, analiz sürecinin adımlarını keşfedeceksiniz.

Giriş ve Konumlandırma

Registry Transaction Log Tanımı

Registry transaction logs, Windows işletim sistemlerinde registry değişikliklerinin kaydedildiği işlem kayıt dosyalarıdır. Genellikle "LOG1" ve "LOG2" olarak adlandırılan bu dosyalar, yapılan her değişikliği, erişim zamanını ve değişikliğe dair detayları saklar. Bu log dosyaları, forensic analiz süreçlerinde kritik bir rol oynamaktadır. Siber güvenlik uzmanları, bu loglardan yararlanarak sistemdeki herhangi bir anormal durumu izlemek ve anlamlandırmak için önemli veriler elde eder.

Neden Önemlidir?

Registry transaction log analizi, siber güvenlik açısından önemli birçok noktayı kapsar. İlk olarak, bu analizler, bir sistemin geçmişteki değişikliklerini incelemek için kritik bir kaynak sağlar. Siber saldırılar genellikle sistemin registry'sinde kalıcı izler bırakır. Bu izler, etkili siber savunmaların geliştirilmesinde yardımcı olur. Ayrıca, log dosyalarının analizi sayesinde yapılan değişikliklerin zararlı aktivitelerle bağlantılı olup olmadığı tespit edilebilir. Özellikle, sistemin ne zaman nasıl değiştirilmiş olduğu ile ilgili detaylar, saldırganların amaçlarını anlamak için gereklidir.

Siber Güvenlikte Daha Derin Bir Bağlam

Registry transaction log analizi, yalnızca geçmişi incelemekle kalmaz; aynı zamanda proaktif bir siber savunma aracıdır. Pentest (penetrasyon testi) süreçlerinde, siber güvenlik uzmanları, log dosyalarını tarayarak sistemde var olan açıkları, güvenlik zaafiyetlerini ve kullanıcı ihlallerini tespit edebilir. Bu tür analizler, hacker’ların sistemde ne tür değişiklikler yapabileceğine dair öngörüler sağlamaktadır. Ayrıca, log dosyaları üzerinden yapılacak dezenformasyon ve anti-forensics stratejileri, siber güvenlik uzmanlarının olayların gerçek zamanlı izini sürmelerine yardımcı olur.

Tehdit Avcılığı (Threat Hunting)

Siber tehdit avcıları, registry transaction loglarını kullanarak sistemdeki olası zararlı aktiviteleri tespit edebilir. Örneğin, bir saldırgan sistemdeki registry ayarlarını değiştirerek kötü amaçlı yazılımlar yerleştirebilir veya sistemin normal işleyişini bozan güncellemeler gerçekleştirebilir. Bu durumlar, registry analizi ile zamanında tespit edilip önlenebilir. 

// Örnek: Registry transaction loglarının temel izleme süreci
1. Registry değişikliklerinin tespiti
2. Kötü amaçlı değişikliklerin belirlenmesi
3. Potansiyel tehditlerin izlenmesi

Okuyucunun Teknik İçeriğe Hazırlanması

Bu blog serisinde registry transaction logs analizi ile ilgili çeşitli teknik konulara derinlemesine gireceğiz. İşlem kayıt dosyalarının yapısını, analiz sürecini, bileşenlerini ve farklı kullanım alanlarını inceleyeceğiz. Ayrıca, bu analizlerin forensic güvenilirliği artırma ve kalıcılık incelemeleri konusundaki başlıca avantajlarını derinlemesine irdeleyeceğiz.

Binary dosyalar teknoloji olarak karmaşık gelebilir; bu nedenle, her bir bölümde ele alacağımız kavramları ve uygulamaları açık bir şekilde açıklayarak okuyucuya en yüksek düzeyde bilgi sunmayı hedefliyoruz. Okuyucular, özellikle SOC (Security Operations Center) ana analistlerinin rolünü ve registry log analizinin tarihi kayıtları nasıl ortaya çıkarabileceğini daha iyi anlamalarını sağlayacak bölüm başlıklarıyla yolculuğa çıkacaklardır.

Bu bağlamda, konunun teknik detayları ile ilgili hazırlıklara başlayarak ilerleyeceğiz. Her bölümde, okuyucuların kendi yeteneklerini geliştirmelerine yardımcı olacak çözümler ve yöntemler sunulacaktır. Bu, siber güvenlik alanında bilgi birikimini artırmayı hedefleyenler için değerli bir kaynak olacaktır.

Teknik Analiz ve Uygulama

Registry Transaction Log Tanımı

Registry transaction logları, Windows işletim sistemlerinde yapılan registry değişikliklerinin kaydını tutan dosyalardır. Genellikle LOG1 ve LOG2 gibi adlarla anılırlar ve her birini belirli bir işlem kaydının sırasını gösteren bir yapı içinde düzenler. Bir registry değişikliği yapıldığında, bu değişiklik öncelikle bir "dirty page" olarak kaydedilir. "Dirty page" kavramı, henüz tam olarak işlenmemiş veya onaylanmamış olan registry değişikliklerini ifade eder. Bu işlem kaydı, forensic analizlerde kritik bir öneme sahiptir çünkü silinmiş veya geri alınmış değişikliklere ulaşmamıza yardımcı olabilir.

Transaction Log Analiz Süreci

Registry transaction log analizi süreci birkaç adımdan oluşur. İlk olarak, registry log dosyaları, sistemin yedekleme veya kurtarma özelliğiyle çıkarılmalıdır. Bunu yaparken aşağıdaki adımlar izlenir:

  1. Log dosyalarının elde edilmesi: Sistemde mevcut olan LOG1 ve LOG2 dosyaları erişimi sağlanarak alınmalıdır.
reg save HKLM\SYSTEM C:\path\to\log\SYSTEM.hive

  1. Hive recovery: Alınan registry dosyaları üzerinde recovery işlemi uygulanır. Bu adımda, sistemin geçmiş değişiklikleri ve bunların detayları çıkarılır.

  2. Dirty page analizi: Bekleyen registry değişiklikleri tespit edilerek, hangi değişikliklerin uygulamalarının henüz tamamlanmadığı belirlenir.

  3. Kalıcılık incelemesi: Analiz edilen loglardan, zararlı kalıcılık izleri belirlenebilir. Bu aşama, sistemde var olan kötü amaçlı yazılımların veya tehditlerin varlığını ortaya çıkarır.

Transaction Log Bileşenleri

Transaction loglarının iki temel bileşeni bulunur: LOG1 ve LOG2. LOG1, ilk işlem günlüğü olarak adlandırılırken, LOG2 yedek işlem günlüğüdür. Bu log dosyaları, sistemdeki registry değişikliklerini düzenli bir şekilde kaydetmekte önemli rol oynar. Her iki log, farklı işlemlerin izini sürmek için gereklidir:

  • LOG1: İlk işlemler, hangi değerlerin değiştirildiğini gösterir.
  • LOG2: İşlemlerin tamamlanma sürecini ve yedekleme bilgilerini içerebilir.

Dirty Page Tanımı

Dirty page'ler, henüz onaylanmamış registry değişiklikleridir. Bu sayede, sistemde yapılan değişikliklerin izini sürmek ve bu değişikliklerin ne zaman yapıldığını tanımlamak mümkün hale gelir. Bu kavram, forensic analizde silinmiş değişikliklerin tespit edilmesinde kritik bir rol oynar.

Transaction Log Analiz Avantajları

Registry transaction log analizi, bir dizi önemli avantaj sunar:

  • Geçmiş değişikliklerin ortaya çıkarılması: Analiz, sistemde daha önce yapılmış işlemleri geri dönük olarak keşfetmeyi sağlar.
  • Zararlı kalıcılık tespiti: Kötü amaçlı yazılımların sistemde ne şekilde kalıcı hale geldiği belirlenebilir.
  • Anti-forensics teknikleri tespiti: Silinmiş olan değişikliklerin izini sürmek için kullanılır. Bu önemlidir çünkü hackerlar, izlerini gizlemek için çeşitli yöntemler kullanabilir.
  • Forensic güvenilirliğinin artırılması: Detaylı bir analiz sayesinde yapılan işlemlerin kesinliği artırılabilir.

Hive Recovery Tanımı

Hive recovery, geçmiş registry değişikliklerinin çıkarılmasına yönelik bir süreçtir. Kayıtların geri çıkarılması, malware tespiti ve sistemin geçmişte hangi değişikliklere maruz kaldığını belirlemede kritik bir aşamadır. Recovery süreci, alınan log dosyalarından önceki registry durumlarının ortaya çıkmasını sağlar.

Transaction Log Kullanım Alanları

Registry transaction logları, farklı amaçlar için kullanılabilir:

  • Tehdit avcılığı (Threat Hunting): SOC L2 analistleri, logları aynı zamanda tehdit belirleme ve kötü amaçlı faaliyetlerin tespiti için kullanır.
  • Hata düzeltme: Sistemdeki hataların belirlenmesi ve önlenmesi için geçmiş değişikliklerin incelenmesi.
  • Forensic analiz: Silinmiş veriler ve işlemler üzerine derinlemesine bir inceleme yapılması.

Registry Replay Tanımı

Registry replay, log kayıtlarından registry işlemlerinin yeniden oluşturulması sürecidir. Bu, hackerların sistemde yaptığı değişiklikleri ya da kullanıcı hatalarını geri almayı mümkün kılar. Yapılan değişikliklerin kayıt altında olması, sistem yöneticilerine oldukça fazla esneklik kazandırır.

Yukarıda belirtilenlerin yanı sıra, sistem yöneticileri ve SOC L2 analistleri için registry transaction log analizi, hem proaktif bir savunma mekanizması hem de geri bildirim sağlama aracı olarak işlev görmektedir. Elde edilen analizler, gelecekte sistemin güvenliğini sağlamak için kritik bilgi sunmaktadır.

Risk, Yorumlama ve Savunma

Kayıpların Anlaşılması ve Savunmanın Güçlendirilmesi

Registry transaction logs, bir sistemdeki tüm registry değişikliklerini kaydetme işlevi görür. Bu yapı, siber güvenlik uzmanları için önemli bir veri kaynağıdır. Bu bölümde, registry transaction loglarının analizi ile elde edilen bulguların güvenlik anlamını, olası yanlış yapılandırmaların etkisini ve sızan verilerin, sistem topolojisinin yanı sıra servis tespitinin nasıl değerlendirilmesi gerektiğini detaylı bir biçimde ele alacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Registry transaction log analizi, güvenlik otoriteleri tarafından gerçekleştirilen siber saldırılara karşı tespit ve yanıt süreçlerinin temelini oluşturur. Bu loglarda yer alan veriler, sistem üzerinde hangi değişikliklerin yapıldığını ve bu değişikliklerin hangi zaman diliminde gerçekleştiğini gösterir. Her bir log kaydı, bir olayın başlangıcını ve sonucunu gözler önüne serer. Aşağıda bir log kaydının örneği verilmiştir:

LOG1 [2023-10-05 14:30:00] – Registry Key Modified: HKEY_LOCAL_MACHINE\SOFTWARE\Example

Bu tür bir kayıt, bir uygulamanın veya sistem yöneticisinin, belirli bir kayıt anahtarında bir değişiklik yaptığını gösterir. Logların analiz edilmesi, bu tür değişikliklerin zararlı olup olmadığını belirlemek açısından kritik öneme sahiptir. Özellikle zararlı yazılımlar, sistem üzerinde kalıcılık sağlamak için registry ayarlarını hedef alabilir. Bu durum, log analizi sayesinde tespit edilebilir.

Yanlış Yapılandırma ve Zafiyetler

Registry log analizi sırasında, bilinçsizce yapılan yanlış yapılandırmalar siber güvenlik zafiyetlerine yol açabilir. Yanlış bir yapılandırma, sistemin beklenmedik bir şekilde çalışmasına ya da kullanıcıların güvenliğini tehlikeye atacak bir duruma sürükleyebilir. Hatalı bir ayar sonucunda sistemin savunma mekanizmalarının devre dışı kalması, saldırganların girişimlerini kolaylaştırmaktadır.

Ayrıca, kaydedilmiş olan değişikliklerin silinmesi, güvenlik teriminde "silinmiş değişiklik analizi" olarak bilinen bir kavramı gün yüzüne çıkartır. Saldırganlar, izlerini silmek adına sistemdeki değişiklikleri geri almayı hedefleyebilir. Bu tür durumlar, anti-forensics teknikleri kullanılarak tespit edilebilir.

Sızan Veri, Topoloji ve Servis Tespiti

Registry transaction loglarının sağladığı veriler, sızan verilerin ve sistem topolojisinin izlenmesine yardımcı olur. Kayıtların incelenmesi, belirli bir zaman diliminde hangi verilerin sızdırıldığı ve hangi etkilerin meydana geldiği konusunda bilgi sunar. Örneğin, aşağıdaki log, bir dosya yolunda değişiklik yapıldığını elden geçirir:

LOG2 [2023-10-05 14:40:00] – File Path Accessed: C:\SensitiveData\exposed.txt

Bu tür girişler, hangi dosyaların hedef alındığını göstermekte ve sistemin güvenlik durumunu değerlendirmek için hayati bilgiler sunmaktadır. Ayrıca, bu loglar, sistem topolojisini analiz ederek mevcut teknik savunmaların ne derece etkili olduğunu ölçmeye yardımcı olur.

Profesyonel Önlemler ve Hardening Önerileri

Registry log analizi sonucunda belirlenen zafiyetler ve yanlış yapılandırmalar için uygulanabilecek birkaç profesyonel önlem bulunmaktadır:

  1. Erişim Kontrollerinin Sıkılaştırılması: Registry üzerinde işlem yapma yetkisi, yalnızca güvenilir kullanıcılarla sınırlandırılmalıdır. Kullanıcı rolleri açıkça tanımlanmalı ve yetkisiz erişimlerin önüne geçilmelidir.

  2. Düzenli Log İncelemesi: Log kayıtları tüm kullanıcılardan bağımsız olarak düzenli olarak incelenmeli ve anormallikler tespit edilmelidir. Bu sayede, olası tehditler daha hızlı bir şekilde belirlenebilir.

  3. Eğitim ve Bilinçlendirme: Kullanıcıların güvenlik farkındalığının artırılması, yanlış yapılandırmaların önlenmesine yardımcı olabilir. Güvenlik eğitimi, çalışanların bilinçli davranmalarını sağlamak için önemli bir adımdır.

  4. Güvenlik Duvarı ve IPS Kullanımı: Sistem üzerindeki potansiyel saldırılara karşı güvenlik duvarları ve saldırı tespit sistemleri (IPS) kullanılmalıdır. Bu yapı, zararlı etkinlikleri önceden tespit etmeye yardımcı olur.

Sonuç

Registry transaction log analizi, sistemlerdeki güvenlik zafiyetlerinin tespit edilmesi ve gidermesi açısından son derece önemlidir. Elde edilen bulgular, sistemin güvenlik durumunu net bir biçimde ortaya koymakta ve yanıt süreçlerini şekillendirmektedir. Yanlış yapılandırmaların ve zafiyetlerin farkındalığı arttıkça, siber güvenlik önlemleri de güçlenmektedir. Düzenli log incelemeleri, profesyonel önlemler ve kullanıcıların bilinçlendirilmesi, gelecekteki tehditlere karşı sistemlerin daha dayanıklı olmasını sağlayacaktır.