CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

Siber Güvenlik İçin SAM ve SECURITY Hive Analizi Eğitimi

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

SAM ve SECURITY Hive analizi ile kimlik güvenliği kadrolarınızı güçlendirin. Bu eğitimde kritik konularda derinlemesine bilgi edinin.

Siber Güvenlik İçin SAM ve SECURITY Hive Analizi Eğitimi

Siber güvenlik alanında kimlik ve güvenlik yapılandırmalarını anlamak için SAM ve SECURITY Hive analizi önemlidir. Eğitimimiz, bu süreçte ihtiyaç duyduğunuz bilgi ve becerileri sunuyor.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, değişen tehdit manzarası ve sürekli gelişen teknolojilerle birlikte, bilginin korunmasına yönelik giderek daha fazla önem kazanmaktadır. Özellikle sistemlerde depolanan kullanıcı bilgileri, şirketlerin devi bir hedef haline gelmektedir. Bu bağlamda, Security Account Manager (SAM) ve SECURITY registry hive analizi, siber güvenlik uzmanları için kritik bir öneme sahiptir. Bu yazıda, SAM ve SECURITY hive analizinin kapsamını, önemini ve uygulama alanlarını ele alacağız.

SAM Hive Tanımı

SAM, işletim sistemlerinin kullanıcı hesabı bilgilerini saklayan bir registry hive bileşenidir. Bu yapı, hem kullanıcı hesaplarının hem de parolaların hash verilerini içerir. Parolaların bu şekilde depolanması, güvenlik politikaları açısından önemlidir; çünkü düzgün yapılandırıldığında, potansiyel saldırganların bu bilgilere erişimini zorlaştırır. SAM verileri, saldırı sonrası analizlerde kritik bilgiler sağlar ve bu nedenle güvenlik araştırmacılarının odak noktasıdır.

Neden Önemli?

Siber güvenlik alanında, özellikle penetrasyon testleri (pentest) ve savunma stratejileri için SAM ve SECURITY analizi, önemli bir yere sahiptir. Bu analiz, sistemde mevcut kullanıcı hesaplarının ve bunlara ait parolaların güvenliğini değerlendirmeye olanak tanır. Hackerların, zayıf parolalar veya açık güvenlik yapılandırmaları aracılığıyla sisteme sızabilme ihtimali göz önüne alındığında, bu sürecin önemi ortaya çıkmaktadır. 

Kimlik ve güvenlik yapılandırmalarına dair yapılan incelemeler, potansiyel tehditleri erken tespit etme şansı sunar.

Dolayısıyla, bir organizasyonun güvenlik durumunu iyileştirmek ve olası saldırıları önlemek için SAM ve SECURITY analizi kritik bir adım olarak ne denli gereklidir.

Siber Güvenlik ve Pentest Bağlamında Önemi

Pentest süreçlerinde, SAM ve SECURITY hive'larının analizi, iki temel amacı gerçekleştirmeye yardımcı olur: Birincisi, mevcut güvenlik açıklarını tespit etmek; ikincisi ise bu açıkların nasıl suistimal edileceğine dair bilgi sağlamaktır. Pentesterlar, SAM verilerini kullanarak kullanıcı hesaplarının zafiyetlerini açığa çıkarabilir ve bu hesapların nasıl korunduğunu anlama fırsatı bulurlar.

Ayrıca, analiz edilen verilerin hangi tür bilgilere sahip olduğunu anlamak, olay sonrası analizlerin ve savunma mekanizmalarının güçlendirilmesi açısından gereklidir.

Okuyucuyu Teknik İçeriğe Hazırlama

Bu yazıda, SAM ve SECURITY hive analizi ile ilgili temel kavramları öğrenerek ilerleyeceğiz. Öncelikle bu yapıların nasıl çalıştığını, hangi verilerin depolandığını ve analizin adımlarını ayrıntılı bir şekilde inceleyeceğiz. 

- SAM ve SECURITY hive'larında bulunan verilerin türleri ve bunların analizi.
- LSA Secrets'in tanımı ve önemi.
- Parola hash'lerinin güvenlik açısından taşıdığı riskler.

Sonuç olarak, siber güvenlik pratiklerinde önemli bir yer tutan bu analizler, organizasyonların güvenlik durumu hakkında kritik bilgiler sunmaktadır. Bu nedenle, SAM ve SECURITY hive analizi konusunda sağlam bir bilgi birikimi edinmek, güvenlik uzmanlarının görevlerini daha iyi yerine getirmelerini sağlayacaktır. Etkili bir analiz süreci, organizasyonların hedeflerine ulaşmalarında ve potansiyel tehditlere karşı savunma mekanizmalarını güçlendirmelerinde belirleyici bir öğe haline gelecektir.

Teknik Analiz ve Uygulama

SAM Hive Tanımı

Security Account Manager (SAM) hive, Windows işletim sisteminin yerel kullanıcı hesap bilgilerini ve bunların parolalarının hash değerlerini saklayan kritik bir bileşendir. SAM, sistemin güvenlik politikaları ve kullanıcı erişim denetimlerinin uygulanmasında önemli bir rol oynar. SAM hive, genellikle C:\Windows\System32\config\SAM yolu altında bulunur ve sadece sistem tarafından erişilebilir. Bu hive, hem yerel kullanıcı hesapları hem de grup hesapları ile ilgili bilgileri içermektedir.

SAM & SECURITY Analiz Süreci

SAM ve SECURITY hive analiz süreci, belirli adımlardan oluşur. Öncelikle, hive dosyaları erişilerek kullanıcı ve grup hesap verileri çıkarılmalıdır. Bunun ardından, sam komutu kullanarak parolaların hash değerleri analiz edilir ve güvenlik politikaları ile yapılandırmaları incelenir. Bu süreçte, muhtemel credential riskleri ve yetki ihlalleri tespit edilerek, analistin CSIRT (Cyber Security Incident Response Team) veya güvenlik ekibi ile iş birliği yapması gereken durumlar ortaya çıkar.

sam dump

Yukarıdaki komut, SAM ve SECURITY hive verilerini çıkartarak sistemdeki kullanıcı hesap bilgilerine erişim sağlar.

SAM & SECURITY Veri Türleri

SAM ve SECURITY hive bileşenleri, çeşitli veri türlerini içerir:

  • Kullanıcı Hesapları: Yerel hesap bilgilerinin kaydedildiği bölümdür.
  • Parola Hash Verileri: Parolaların şifrelenmiş temsilleridir. Bu veriler, kullanıcıların hesaplarının güvenliğini artırmak için tasarlanmıştır.
  • LSA Secrets: Sistemin güvenlik politikaları ve kimlik doğrulama süreçleri için saklanan gizli bilgileri içerir.

Bu bileşenlerin analizi, sistemdeki güvenlik açıklarını ortaya çıkarmaya yardımcı olur.

LSA Secrets Tanımı

LSA (Local Security Authority) Secrets, sistemde saklanan ve kimlik doğrulama süreçlerinde kullanılan gizli bilgilerdir. Bu bilgiler arasında parolar, özel anahtarlar ve diğer hassas veriler yer alabilir. LSA Secrets, güvenliğin sağlanmasında kritik bir rol oynar çünkü yetkisiz erişim durumlarında saldırganların bu bilgilere ulaşması, sistemin tamamen ele geçirilmesine yol açabilir.

# Örnek LSA Secrets analiz aracı
import lsa_secrets_parser

secrets = lsa_secrets_parser.parse('C:/Windows/System32/config/Security')
for secret in secrets:
    print(secret)

Yukarıdaki Python örneği, LSA Secrets dosyasını analiz ederek, içerdiği gizli verileri ortaya çıkarır.

SAM & SECURITY Analiz Avantajları

SAM ve SECURITY hive analizi, çeşitli avantajlar sunar. Aşağıdakiler bu avantajlardan bazılarıdır:

  1. Kimlik Bilgisi Forensic Analizi: Bu analiz, sistemdeki kimlik bilgilerini ve güvenlik yapılandırmalarını inceleyerek, potansiyel tehditleri tespit eder.
  2. Yetki Risklerinin Belirlenmesi: Kullanıcı hesaplarının yetkileri ve bu yetkilerin kötüye kullanım riskleri değerlendirilebilir.
  3. Credential Saldırılarını Önleyebilme: Sistem üzerinde yapılan analizler, kullanıcı bilgilerini kötüye kullanmaya yönelik saldırıları önlemekte yardımcı olup, kurumsal güvenliği artırır.

Password Hash Tanımı

Parola hashleri, kullanıcı parolalarının şifrelenmiş temsilleridir. Bu hashler, kullanıcıların parolalarının güvenliğini sağlamak amacıyla kullanılmakta ve doğrudan okunamaz hale getirilmektedir. Windows sistemleri genellikle NTLM (NT LAN Manager) hash algoritmasını kullanarak parolaları saklar. Analiz sırasında bu hash değerleri, kullanıcıların parolalarının korunup korunmadığını kontrol etmek için incelenir.

SAM Kullanım Alanları

SAM bileşenleri, özellikle aşağıdaki alanlarda kullanılır:

  • Sistem Forensic Analizi: Olay sonrası analizlerde, saldırganların eriştiği kullanıcı hesap bilgilerini belirlemek için kullanılır.
  • Tehdit Tespit ve Müdahale: Olası yetki ihlallerinin anlaşılması ve bunlara müdahale etmek için kritik veriler sağlar.
  • Sistem Güvenliği İncelemesi: Kurum içi güvenlik yapılandırmalarının uygulanarak, siber güvenlik politikalarının etkili bir şekilde denetlenmesine izin verir.

Policy Configuration Tanımı

Güvenlik politikası yapılandırması, bir sistemin nasıl güvenlik önlemleri alacağını belirleyen kurallar ve ayarlardır. Bu ayarlar, kullanıcı erişim haklarını, şifre politikalarını ve diğer güvenlik önlemlerini içerir. Güvenlik politikası yapılandırması, bir sistemin saldırılara karşı dayanıklılığını artıran temel unsurlardan biridir.

SOC L2 SAM & SECURITY Analiz Rolü

SOC L2 (Security Operations Center Level 2) analistleri, SAM ve SECURITY hive verilerini inceleyerek, credential risklerini ve yetki ihlallerini tespit eder. Bu rol, hem olay müdahale süreçlerinde hem de uzun vadeli güvenlik stratejilerinin oluşturulmasında kritik bir önceye sahiptir.

SAM & SECURITY Mastery

SAM ve SECURITY hive analizinin ustalaşılması, siber güvenlik analistleri için önemli bir yetkinliktir. Bu uzmanlık, hem pratik deneyim hem de teorik bilgilerle pekiştirilmelidir. İyi bir analiz süreci, tehditleri zamanında tespit etmek ve kurumsal güvenliği artırmak açısından hayati önem taşır. Özellikle SOC L2 analistleri için, bu beceri setinin geliştirilmesi, sistemlerin güvenliğinin sağlanmasında önemli bir katkı sunmaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Siber güvenlik alanında risklerin doğru bir şekilde değerlendirilmesi, tehditlerin etkisini anlamak ve etkili savunma mekanizmaları geliştirmek için kritik bir adımdır. SAM (Security Account Manager) ve SECURITY hive analizi, sistem üzerindeki kullanıcı hesap bilgileri, parola hash'leri ve gizli kimlik verileri üzerinde yapılan derinlemesine incelemeleri içerir. Bu süreç, açıklıkların ve zafiyetlerin tespit edilmesi açısından büyük bir öneme sahiptir.

Elde Edilen Bulguların Güvenlik Anlamı

SAM ve SECURITY hive analizi sırasında elde edilen bulgular, sistemin güvenlik durumunu değerlendirmeye yardımcı olur. Örneğin, kullanıcı hesaplarının ve bunlarla ilişkili oturum açma sertifikatlarının durumu, olası bir sızmanın temelini belirleyebilir. Yapılan analizlerde, kullanıcı hesaplarıyla ilişkili olarak;

  • Kullanıcı Hesapları: Son zamanlarda oluşturulmuş ya da kullanılan hesapların izlenmesi, olası kötü niyetli etkinlikleri tespit etmede ve yetkilendirmeyi gözden geçirmede önem taşır.
  • Parola Hash'leri: Şifreli veri biçimlerinde saklanan parola hash'leri, yanlış yapılandırmaların etkisini anlamak için incelenebilir. Güvenlik açısından, zayıf parolaların kullanıldığı veya standartlara uygun olmayan hash algoritmalarının tercih edildiği durumlar riski artırır.
Parola Hash Verisi Örneği: 
$1$e6XO4Z0b$QWPq6z8ucRU.IyBcRpwiP.

Bu tür veriler, kötü niyetli bir aktör tarafından ele geçirildiğinde, hesabın kontrolünü ele geçirme riski taşır.

Yanlış Yapılandırma veya Zafiyetin Etkisi

Yanlış yapılandırmalar, güvenlik postürünü zayıflatır. Örneğin, SAM ve SECURITY hive kayıtları arasında bir uyumsuzluk varsa, bu, sistemdeki bir güvenlik açığını gösterebilir. Zafiyetlerin tespit edilmesi, sızan verilerin değerlendirilmesinde önemlidir. Örneğin, sistemdeki bir LSA (Local Security Authority) gizli kimlik verisi açığa çıktığında, kötü niyetli kullanıcılar bu bilgilere erişebilir ve yetkisiz erişim gibi ciddi tehditler oluşturabilir.

Sızan Veri ve Topoloji

Yapılan analizler neticesinde belirli bir kullanıcı grubu veya servisin hedef alınıp alınmadığını anlamak mümkündür. Kullanıcılar arasında şu noktalar dikkate alınmalıdır:

  1. Veri Elde Etme Yöntemleri: Kim hangi yollarla verilerine erişiyor? Geriye dönük tarihçede açığa çıkmış bir erişim kaydı, kullanıcıların tehdit oluşturup oluşturmadığını anlamada tedbir alınmasını gerektirir.
  2. Servis Tespiti: Analiz, hangi servislerin potansiyel olarak zayıf yönlere sahip olduğunu belirlemek için kullanılabilir. Örneğin, zayıf konfigürasyona sahip bir LDAP servisi, kullanıcı hesapları üzerinde önemli bir zafiyet oluşturabilir.
Örnek Konfigürasyon Hatası:
- LDAP Anonymous Bind açık
- Şifreleme kullanılmıyor

Profesyonel Önlemler ve Hardening Önerileri

SAM ve SECURITY hive analizi sonrası belirlenen tehditleri en aza indirmek için aşağıdaki önlemler alınmalıdır:

  1. Kullanıcı Hesaplarının Yönetimi: Gereksiz kullanıcı hesaplarının silinmesi ve parola güvenliğinin sağlanması.
  2. Güçlü Parola Politikaları: Parola karmaşıklığı ve süreli değişim zorunluluğu getirilmeli.
  3. Log İzleme: Kullanıcı aktivitelerini izleyerek şüpheli aktiviteleri tespit etmek için log yönetim sistemleri kullanılmalı.
  4. Lisanslı Yazılımlar ve Güncellemeler: Tüm sistem ve uygulamaların güncel sürümlerini kullanmak, bilinen zafiyetlerin kapanması açısından kritik öneme sahiptir.

Sonuç

Risk değerlendirme ve yorumlama, SAM ve SECURITY hive analizi sırasında elde edilen verilerin anlamını derinlemesine anlamakla başlar. Yapılandırma hataları, sızan veriler ve potansiyel zafiyetler, başarılı bir siber savunma için göz önünde bulundurulmalıdır. Profesyonel önlemler ve sürekli gözlem, kuruluşların siber güvenlik postürünü güçlendirmeye yardımcı olur. Bu süreçler, kuruluşların mevcut durumlarını değerlendirmeleri ve gelecekteki tehditlerle başa çıkmaları için kritik bir araçtır.