CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

Run Keys ve Kalıcılık Mekanizmaları: Siber Güvenlik Eğitimi

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

Run Keys ve kalıcılık mekanizmaları, siber güvenlik açısından kritik bir konudur. Bu yazıda bu mekanizmaların detaylarını keşfedin.

Run Keys ve Kalıcılık Mekanizmaları: Siber Güvenlik Eğitimi

Run Keys ve kalıcılık mekanizmaları, zararlı yazılımların sistemde kalıcı olmasını sağlamakta önemli bir rol oynar. Bu blog yazısında, SOC L2 analistlerinin bu mekanizmaları nasıl analiz ettiğini öğrenin.

Giriş ve Konumlandırma

Siber güvenlik, günümüz dijital dünyasında önemi giderek artan bir alan olup, bilgisayar sistemlerini ve ağları korumak için bir dizi strateji ve teknik geliştirilmesini gerektirir. Bu bağlamda, zararlı yazılımların kalıcı bir şekilde sistemlere yerleşmesine olanak tanıyan kalıcılık mekanizmaları ve run key'ler (çalıştırma anahtarları) gibi teknikler, bir siber güvenlik analisti için kritik bilgiler sunar.

Run Keys Tanımı

Run key kavramı, bir bilgisayar sisteminin her açılışında otomatik olarak çalışacak programları belirleyen Windows kayıt defteri alanlarını ifade eder. Bu alanlar, zararlı yazılımların sistem üzerinde kalıcı bir varlık göstermesine olanak tanıyan önemli bir vektör olarak karşımıza çıkar. Bilgisayarda başlatılmak istenen uygulamaların otomatik olarak yüklenmesini sağlamak için kullanılırlar ve genellikle zararlılar tarafından manipüle edilerek kötü niyetli işlemler için kullanılırlar.

Özellikle bir siber saldırı sonrası yapılan adli analizlerde, run key'lerin detaylı incelenmesi, zararlının sistemde kalıcılığını sağlamak için kullandığı teknikleri ortaya koyabilir. Bu, bir saldırının etkilerini azaltmak ve sistemi temizlemek için kritik öneme sahiptir.

Kalıcılığın Önemi

Siber güvenlikte kalıcılık, tehdit aktörlerinin, sistemlerin kontrolünü ele geçirdikten sonra varlıklarını sürdürmek için kullandıkları yöntemleri ifade eder. Kalıcılık teknikleri, bir zararlının sistem üzerinde uzun süreli bir etki bırakmasını sağlar. Gelişmiş tehdit aktörleri, etkili kalıcılık mekanizmaları kullanarak, sistemdeki varlıklarını gizli tutabilir ve algılanmadan kalabilirler.

Pentest (penetrasyon testi) sürecinde, kalıcılık mekanizmalarının tespit edilmesi kritik öneme sahiptir. Bir saldırganın yalnızca bir kez sisteme girmesi yeterli olmayıp, aynı zamanda sistemdeki kalıcılığını sağlaması da gerekmektedir. Bu nedenle, pentest sırasında run key'lerin ve diğer kalıcılık tekniklerinin analizi, hem tehditlerin belirlenmesi hem de potansiyel güvenlik açıklarının iyi anlaşılması açısından elzemdir.

Kalıcılık Mekanizmaları ve Analiz Süreci

Zararlı yazılımların sistemde nasıl kalıcı hale geldiği üzerine yapılan analizler, birkaç temel adım içerir. İlk olarak, sistemdeki değişiklikler ve kayıt defteri alanları incelenir. Bu alanların analizi, kullanıcıların veya sistem yöneticilerinin bilmediği fakat zararlı yazılımlar tarafından eklenen kayıt girdilerini belirlemeye yardımcı olur. Aşağıda bu sürecin temel adımlarından bazıları örneklenmiştir:

1. Kayıt Defteri Girdilerinin Tespiti
   - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   - HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

2. Şüpheli Girdilerin Analizi
   - Tanımadığınız veya gereksiz olarak görülen girdileri belirleyin.
   - Bu girdilerin hangi yazılımlar tarafından kullanıldığını ve nasıl çalıştığını araştırın.

3. IOC (Indictors of Compromise) Belirleme
   - Şüpheli binary dosyaların tespiti ve bunların hangi girdilerle ilişkilendirildiğini belirleyin.

Bu analiz süreci, SOC (Security Operations Center) L2 analistlerinin önemli bir parçasıdır. SOC L2 analistleri, siber tehditleri analiz ederek olaylara hızla müdahale etmek ve saldırganların sistemde kalıcı bir etki bırakmasını önlemek için run key ve kalıcılık mekanizmalarını derinlemesine incelemektedir. Bu bağlamda, kalıcılık mekanizmalarının incelenmesi, bir sistemdeki tehditlerin tamamen ortadan kaldırılması ve güvenliğin sağlanması açısından kritik bir rol oynamaktadır.

Sonuç olarak, run key'ler ve kalıcılık mekanizmaları, siber güvenlik eğitiminde temel bir konuyu kapsar. Bu mekanizmaların anlaşılması, zararlı yazılımların sisteme nasıl sızdığı ve ne şekilde uzun vadeli kalıcılık sağladığı hakkında önemli bilgiler sunar. Bu bilgiler, hem savunma stratejileri geliştirilmesinde hem de olaylara müdahale süreçlerinde kritik bir rol oynamaktadır.

Teknik Analiz ve Uygulama

Run Keys Tanımı

Run keys, bilgisayarın başlangıç aşamasında otomatik olarak çalışacak programları belirleyen önemli registry alanlarıdır. Bu anahtarlar, sistemin her açılışında belirli uygulamaları çalıştırarak kalıcılık (persistence) sağlar. Windows işletim sistemleri, bu tür kilit alanlar için farklı registry konumlarına sahiptir. Örneğin, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run veya HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run gibi konumlar, kullanıcı oturum açtığında otomatik olarak çalıştırılması gereken uygulamaların listesini barındırır.

Kötü niyetli yazılımlar, kullanıcıların bilgisayarlarını etkilemek için bu alanları kullanarak sistemde kalıcı hale gelebilir. Yani, run keys analizi, bir siber olay sonrası yapılan incelemelerde önemli bir rol oynar ve saldırganların sistemdeki kalıcılık yöntemlerini ortaya çıkarmaya yardımcı olur.

Persistence Analiz Süreci

Kalıcılık analizi, bir sistemde zararlı yazılımın ne şekilde kalıcı hale getirildiğinin açığa çıkarılması sürecidir. Bu işlem genellikle aşağıdaki temel adımlardan oluşur:

  1. Run Keys’in İncelenmesi: Sistem registry'sindeki run keys analiz edilir. Bu adımda, şüpheli ve gereksiz görülen kayıt girdileri seçilir.

  2. Autorun Girdilerinin Analizi: Zararlı yazılımlar için önemli olan diğer bir mekanizma da autorun entry olarak adlandırılan otomatik başlangıç girdileridir. Bu girdiler de benzer şekilde çalışır ve sistemdeki tehditleri açığa çıkarabilir.

  3. Şüpheli Binarylerin Tespiti: Belirlenen kayıt girdileri üzerinden çalıştırılacak olan uygulamalara ait binary dosyaları araştırılır. Bu aşamada, dosyaların imzaları ve yolları incelenerek zararlı yazılım olup olmadığına dair bilgi edinilir.

# Örnek olarak, Windows PowerShell kullanarak Run Keys'i listeleme
Get-ItemProperty -Path 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Run'

Yukarıdaki PowerShell komutu, kullanıcı profiline göre yüklenmiş olan run keys'lerin listesini döndürecektir.

Persistence Registry Alanları

Gelişmiş siber tehditleri analiz ederken dikkate alınması gereken bazı önemli registry alanları şunlardır:

  • HKEY_LOCAL_MACHINE (HKLM): Sistem genelinde kalıcılık sağlamak için kullanılan alan. Her kullanıcının oturum açma durumunda çalıştırılan uygulamaların kayıtlarını barındırır.

  • HKEY_CURRENT_USER (HKCU): Sadece oturum açmış kullanıcının çalıştırdığı uygulamaları içerir.

Bu alanlardaki girdiler, bir sistemdeki kalıcılığı anlamada kritik öneme sahiptir. Bir diğer önemli kavram ise RunOnce dır; bu anahtar, yalnızca bir kez çalıştırılması gereken uygulamaları tanımlar.

Persistence Tanımı

Siber güvenlik bağlamında kalıcılık (persistence), zararlı yazılımın sistemden silinse bile, kendisini yeniden yükleyebilme yeteneğini ifade eder. Saldırganlar genellikle bu mekanizmayı kullanarak, sistemden çıkarılmalarını zorlaştırırlar. Kalıcılık sağlamak için tercih edilen teknikler şunlardır:

  • Run Keyler: Sürekli olarak açılışta çalışması gereken yazılımlar.
  • Scheduled Tasks: Zamanlayıcılar aracılığıyla belirli dönemlerde gerçekleştirilmesi gereken görevler.
  • Service Installation: Sistem servisleri aracılığıyla kalıcılık sağlama.

Run Keys Analiz Avantajları

Run key’lerin analizi, siber güvenlik araştırmacılarının zararlı başlangıç mekanizmalarını tespit etmesine yardımcı olur. Bunun yanında analiz, aşağıdaki avantajları sağlar:

  • Kalıcılık Tekniklerinin Ortaya Çıkması: Analiz sonucunda, zararlı yazılımların kullandığı kalıcılık yöntemleri belirlenir.

  • Incident Response Sürecinin Hızlandırılması: Kayıt girdileri üzerinden bilgi toplanması, olay müdahale ekiplerinin daha hızlı harekete geçmesini sağlar.

  • Tehdit Avcılığının Geliştirilmesi: Run key analizi, mevcut tehditlerin yanı sıra gelecekteki potansiyel saldırılara karşı önceden tetkik yapmaya olanak tanır.

# Run keyleri analiz ederken dikkat edilmesi gereken bir PowerShell komutu
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'

Bu PowerShell komutu, sistem genelindeki run key girdilerini listeleyerek analistlere önemli bilgiler sunar.

Sonuç olarak, run keys ve kalıcılık mekanizmaları, zararlı yazılımların tespit edilmesi ve sistemden temizlenmesi sürecinde kritik bir yere sahiptir. SOC L2 analistleri bu bilgileri kullanarak saldırı sonrası analiz yapar ve tehditlerin köküne inmek için gerekli adımları atarlar. Kalıcılık mekanizmaları üzerine sağlam bir anlayış, hem güvenlik tehditlerinin önünde durmak hem de bu tür olayların tekrarlanmasını engellemek için gereklidir.

Risk, Yorumlama ve Savunma

Giriş

Siber güvenlik alanında, bir sistemin güvenliğini sağlamak ve potansiyel tehditlere karşı korunmak için risk değerlendirmesi kritik bir adımdır. Bu yazıda, Run Keys ve kalıcılık mekanizmalarının güvenlik anlamını yorumlayacak, yapılandırma hatalarının ve zafiyetlerin etkilerini açığa çıkaracak, ayrıca sistemde sahtecilik tespitine yönelik profesyonel önlemleri ve hardening önerilerini vereceğiz.

Run Keys Tanımı ve Uyumluluk

Run keys, bir sistemin başlangıcında otomatik olarak çalışacak programları belirleyen registry alanlarına işaret eder. Windows işletim sistemi gibi platformlarda, bu mekanizmalar, zararlı yazılımların kalıcı hale gelmesine olanak tanıyan önemli bir araçtır. Run Keys, saldırganların sistemde kalıcı bir varlık oluşturma çabalarının anlaşılmasında kritik rol oynar. Run Keys, zararlı yazılımların kendini gizlemesine ve sistemin güvenliğini ihlal etmesine olanak tanır.

Yanlış Yapılandırma ve Zafiyetler

Sistem yöneticileri tarafından yanlış yapılandırılmış olan registry alanları, zararlı yazılımlara giriş imkanı sağlamaktadır. Örneğin, bir kuruluşun falyeti olan önemli bir uygulamanın startup ayarları yanlış bir şekilde yapılandırıldığında, saldırganlar bu açığı kullanarak kendi zararlı bileşenlerini de bu alana yerleştirebilirler. Bu durumda, sızan veriler veya tüm sistem topolojisi üzerinde potansiyel bir tehdit oluşturdukları gibi, hizmet kesintilerine neden olabilirler.

Bir registry girdisi şu şekilde analiz edilebilir:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Bu girdi içerisinde yer alan her bir kayıt, sistem başladığında hangi uygulamaların çalıştırılacağını gösterir. Eğer burada bilinmeyen bir uygulama tespit edilirse, bu uygulama zararlı olabilir. Dolayısıyla bu girdinin dikkatlice incelenmesi, tehditleri yönetmek açısından kritik öneme sahiptir.

Sızan Veri ve Topoloji

Bir sızma olayı sonrasında düzenlenecek araştırma, sadece hedeflenen verilerin tespiti ile sınırlı kalmamalıdır. Özellikle sistemin topolojisini analiz ederek, hangi servislerin hangi koşullarda çalıştığını anlamak gereklidir. Sızan verilerin, kullanıcı kimlik bilgileri veya finansal bilgiler gibi hassas bilgilere dair olması, riskin boyutunu artırmaktadır.

Profesyonel Önlemler ve Hardening

Risk değerlendirmesi yapılırken, elde edilen bulguların güvenliği sağlaması için uygulanacak profesyonel önlemler önemlidir. Bu bağlamda, aşağıdaki adımlar dikkate alınmalıdır:

  • Yapılandırma Yönetimi: Sistemlerdeki registry ayarlarının dönemsel olarak gözden geçirilmesi ve düzenlenmesi.
  • Şüpheli Girdilerin Tespiti: Unutulan veya kurumsal politikalara aykırı girdilerin tespit edilmesi ve silinmesi.
  • Eğitim ve Farkındalık: Kullanıcıların siber güvenlik tehditleri konusunda bilinçlendirilmesi.

Aynı zamanda, kalıcılık mekanizmalarının azaltılması için "Hardening" işlemleri uygulanmalıdır. Örneğin, kullanılmayan servislerin devre dışı bırakılması ve gereksiz autorun girdilerinin temizlenmesi önerilmektedir.

Sonuç

Sonuç olarak, Run Keys ve kalıcılık mekanizmalarının analizi, siber güvenlik alanında bulguların yorumlanması açısından büyük bir öneme sahiptir. Doğru yorumlama, yanlış yapılandırma ve zafiyetlerin belirlenmesi, etkin bir savunma mekanizması geliştirmenin anahtarıdır. Yönetilen riskler ve alınan profesyonel önlemler, sistemlerin güvenliğini sağlamak için kritik bir gereklilik oluşturmaktadır.