CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

Scheduled Tasks Artifact Analizi: Siber Güvenlikte Kalıcılığı Anlama

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

Scheduled Tasks artifact analizi ile siber güvenlikte kalıcılığı öğrenin. Windows sistemlerinde tehditleri tespit etmenin yollarını keşfedin.

Scheduled Tasks Artifact Analizi: Siber Güvenlikte Kalıcılığı Anlama

Siber güvenlikte önemli bir konu olan Scheduled Tasks artifact analizi, sistemlerdeki kalıcılığı ve otomasyon tehditlerini anlamanızı sağlayacak. Bu yazıda Windows sistemlerinde kullanılabilecek yöntemleri keşfedeceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, sistemlerin güvenliğini sağlamak ve olası tehditleri tespit etmek için çeşitli yöntemler ve araçlar kullanılmaktadır. Bu bağlamda, "Scheduled Tasks" (Zamanlanmış Görevler) analizi, bir sistemdeki kalıcılık mekanizmalarını anlamada kritik bir rol oynamaktadır. Ancak, bu mekanizmaların ne olduğu, nasıl çalıştığı ve tehdit aktörleri tarafından nasıl kullanılabileceği konuları çoğu zaman göz ardı edilmektedir. İşte bu noktada, Scheduled Tasks artifact analizi devreye girmektedir.

Scheduled Task Tanımı

Windows işletim sistemlerinde, zamanlanmış görevler belirli zaman aralıklarında ya da belirli bir olay meydana geldiğinde otomatik olarak çalışan işlemleri yönetmektedir. Bu işlemler, arka planda kullanıcı müdahalesi olmaksızın çalışır ve sistemde kalıcılık sağlamak için etkili bir yöntem olarak kullanılır. Özellikle zararlı yazılımlar, sistemin güç kaybı gibi durumlarında bile yeniden etkinleşebilmek için bu mekanizmaları sıklıkla hedef alır.

Neden Önemli?

Zamanlanmış görevlerin siber güvenlik açısından önemi iki ana faktör etrafında şekillenmektedir: kalıcılık ve otomasyon. Tehdit aktörleri, sistemleri ele geçirdiklerinde veya zararlı yazılım dağıttıklarında, birkaç gün veya hafta boyunca tespit edilmeden kalabilmek için zamanlanmış görevler kullanma eğilimindedir. Bu durum, siber savunma ekiplerinin zamanlanmış görevleri analiz etmelerinin ne denli önemli olduğunu ortaya koymaktadır. Bu tür analizler, sistemdeki şüpheli kalıcılık mekanizmalarını tespit ederken, aynı zamanda olası yetki yükseltme izlerini de açığa çıkarır.

Siber Güvenlik ve Pentesting

Pentest (sızma testi) uygulamaları sırasında, güvenlik uzmanları sıklıkla bu tür kalıcılık mekanizmalarını hedef alırlar. Zamanlanmış görevler, hareketli bir hedefe dönüşebilir; bu yüzden, onların analiz edilmesi, bir sistemdeki güvenlik açıklarını değerlendirme aşamasında önem arz etmektedir. Ayrıca, yapılan bu tip analizler hem zararlı yazılımların otomatik çalışmasını hem de sistem yöneticilerinin güvenlik politikalarını test etmelerine olanak tanır. Pentest süreci, güvenlik açıkları tespit edilirken zamanlanmış görevlerin etkili bir şekilde yönetilmesini sağlamalıdır.

Teknik İçeriğe Hazırlık

Bu blog yazısında, zamanlanmış görevlerin analizindeki temel kavramlar, ilgili komutlar ve forensic (bilişimsel adli) avantajlar üzerinde durulacaktır. Özellikle schtasks komutu gibi araçlar, bu süreçte kritik bir rol oynamaktadır. Örneğin, tüm zamanlanmış görevlerin listelenmesi için sıklıkla kullanılan komut aşağıdaki gibidir:

schtasks /query /fo list /v

Bu komut, sistemdeki tüm zamanlanmış görevleri detaylı bir biçimde görüntülememizi sağlar. Güvenlik analistleri, burada elde edilen verilerle görevlerin durumunu inceleyebilir ve potansiyel riskleri belirleyebilir. İlgili görevlerin izlenmesi, olası zararlı otomasyona karşı proaktif bir yaklaşım sergilemeye yardımcı olur.

Bu noktada, zamanlanmış görevlerin yalnızca sistemlerin otomatik çalıştırma işlevlerini sağlamakla kalmayıp, aynı zamanda bir tehdit aktörlerinin kalıcılık ve gizlilik mekanizmalarını da içerdiğini vurgulamak gerekmektedir. Bu yazının ilerleyen bölümlerinde, zamanlanmış görevlerin forensic avantajları, kalıcılık analizi, tehdit avlama süreci ve karşılaşılan anti-forensics riskleri gibi konulara dair daha detaylı bilgiler sunulacaktır. Зamanlanmış görevlerin bilinçli bir şekilde analizi, yalnızca bir sistemin güvenliğini korumakla kalmayıp, aynı zamanda potansiyel zafiyetleri içgörülü bir şekilde değerlendirmemize de olanak tanıyacaktır.

Teknik Analiz ve Uygulama

Scheduled Task Tanımı

Windows işletim sistemlerinde, zamanlanmış görevler (Scheduled Tasks), belirli bir zaman diliminde veya belirli bir olay tetiklendiğinde otomatik olarak çalışan işlemleri yönetmek için kullanılan bir mekanizmadır. Bu mekanizma, sistem yöneticileri tarafından bakım, güncelleme veya belirli uygulamaların çalıştırılması gibi işlemler için kullanılırken, tehdit aktörleri tarafından da kötü niyetli faaliyetlerin otomasyonunu sağlamak amacıyla kullanılabilir.

Scheduled Tasks Konumu

Zamanlanmış görevler, Windows işletim sistemlerinde C:\Windows\System32\Tasks dizininde yapılandırılmış dosyalar olarak saklanır. Bu dosyalar, XML formatında tutulur ve sistemde otomatik olarak çalıştırılacak olan görevlerin betimlemelerini içerir. Bu dizinde yer alan her bir dosya, belirli bir zamanlanmış görevi temsil eder.

Scheduled Task Veri Alanları

Zamanlanmış görevlerin analizinde dikkate alınması gereken birkaç temel veri alanı bulunmaktadır. Bu alanlar:

  • Görev Adı (Task Name): Zamanlanmış görevin tanımlayıcı adı.
  • Çalıştırma Koşulu (Trigger): Görevin ne zaman ve hangi koşullarda çalışacağını belirten parametreler.
  • Yürütülen İşlem (Action): Görev çalıştığında hangi işlemin yapılacağını tanımlar.

Bu veri alanlarının analizi, sistemdeki kalıcılık mekanizmalarının tanımlanmasına yardımcı olur.

schtasks Komutu

Windows üzerinde zamanlanmış görevlerle çalışmak için schtasks komutu kullanılmaktadır. Bu komut, görevlerin oluşturulması, listelenmesi, silinmesi ve diğer yönetim işlemleri için çeşitli parametrelerle birlikte kullanılabilir. Örneğin, mevcut tüm zamanlanmış görevleri listelemek için aşağıdaki komut kullanılabilir:

schtasks /query /fo list /v

Bu komut, görevlerin detaylı bir listesini ve her bir görevin durumunu gösterir.

Scheduled Task Listeleme

SCHTASKS komutunun tam olarak nasıl kullanılacağına dair birkaç örnek vermek gerekir. Tüm zamanlanmış görevleri görüntülemek için yukarıda belirtilen komut kullanarak sonuç elde edilebilirken, belirli bir görevin yalnızca temel bilgilerini almak için aşağıdaki komut kullanılabilir:

schtasks /query /tn "Görev Adı" /fo CSV

Burada "Görev Adı" kısmı, sorgulamak istediğiniz spesifik zamanlanmış görevin adıdır.

Scheduled Task Forensic Avantajları

Zamanlanmış görevlerin forensic analizi, sistemdeki kalıcılık mekanizmalarını ve kötü niyetli otomasyon süreçlerini keşfetmek açısından büyük önem taşır. Zararlı yazılım otomasyonu, genellikle zamanlanmış görevlerin bu şekilde kötüye kullanılmasını içerir. Görev dosyalarında yer alan verilerin detaylı analizi, yetki yükseltme izleri veya gizli görev kullanımı gibi önemli kalıcılık mekanizmalarının tespitini sağlar.

Persistence Analizi

Kalıcılık (Persistence) analizi, zararlı bir yazılımın sisteme yeniden yüklenmesini veya otomatik olarak çalışmasına olanak tanıyan mekanizmaların tespit edilmesini içerir. Zamanlanmış görevler, böyle bir otomasyon sağladığı için, tehdit avcıları (Threat Hunters) tarafından sıklıkla incelenir. Zamanlanmış görevlerde bulunan potansiyel kalıcılık işaretleri arasında:

  • Yetki Yükseltme İzleri (Privilege Escalation Clues): Yüksek düzeyde erişim sağlamak için yapılan girişimler.
  • Zararlı Görev Otomasyonu (Malware Automation): Zararlı yazılımların otomatik olarak çalıştırılmasına dair belirtiler.

Threat Hunting Süreci

Zamanlanmış görevlerin analiz süreci genellikle şu adımları içerir:

  1. Görevlerin Listeleme: Sistemdeki tüm zamanlanmış görevlerin listelenmesi.
  2. Detaylı İnceleme: Görevlerin farklı veri alanlarının (gerekirse değişiklikleriyle birlikte) detaylı incelenmesi.
  3. Kalıcılık Mekanizması Analizi: Zamanlanmış görevlerin, olası kalıcılık mekanizmaları açısından analiz edilmesi.

Herhangi bir şüpheli görev belirlendiğinde, izleme ödevleri devreye girer ve detaylandırılır.

Anti-Forensics Riskleri

Zamanlanmış görevlerin incelenmesi sırasında karşılaşılan bir diğer önemli konu ise anti-forensics (karşı-forensik) riskleridir. Kötü niyetli aktörler, analizden kaçınmak için görevlerini gizlemek veya manipüle etmek amacıyla görev dosyalarını değiştirebilir. Bu tür manipülasyonlar, görev silme (Task Deletion) veya görev dosyalarının XML formatında değiştirilmesi gibi tehditler içerir.

SOC L2 Scheduled Task Operasyonu

Siber Güvenlik Operasyon Merkezleri (SOC) analistleri, zamanlanmış görev artifactleri üzerindeki analizleriyle kalıcılık ve otomasyon tehditlerini izlemektedir. SOC L2 analisti, zamanlanmış görevleri inceleyerek potansiyel tehditleri tespit ederken, sistemin güvenliğini sağlamak amacıyla özellikle dikkatli davranılmalıdır. Bu süreç, hem araçsal yeteneklerin kullanımını gerektirirken hem de derinlemesine bir analitik düşünme biçimi talep etmektedir.

Zamanlanmış görevlerin analizi, siber güvenlikte kalıcılığı anlamak ve potansiyel tehditleri ortadan kaldırmak için kritik bir bileşen oluşturmaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirme

Windows sistemlerinde, "Scheduled Tasks" yani zamanlanmış görevler, belirli zamanlarda veya olaylar meydana geldiğinde belirli işlemlerin otomatik olarak gerçekleştirilmesini sağlayan önemli bir mekanizmadır. Ancak, bu mekanizma siber saldırganlar tarafından da kötü amaçlarla kullanılabilir. Analiz sırasında, zamanlanmış görevlerin varlığı, yalnızca sistemin işlevselliğini değil, aynı zamanda potansiyel bir siber saldırının izlerini de sunar.

Zamanlanmış görevlerin analizi, sistemdeki bu görevlerin ne zaman oluşturulduğunu, hangi işlemleri yerine getirdiğini ve sızan verilere ulaşmak için hangi yolları takip ettiğini anlamakta kritik öneme sahiptir. Örneğin, aşağıda bulunan bir schtasks komutu ile gerekli bilgilere ulaşılabilir:

schtasks /query /fo list /v

Yukarıdaki komut, sistemdeki tüm zamanlanmış görevlerin ayrıntılı bir listesini sağlayarak, kullanıcıların hangi görevlerin var olduğunu, hangi işlemlerin çalıştırıldığını ve bu görevlerin hangi koşullar altında tetiklendiğini belirlemesine yardımcı olur.

Yorumlama

Zamanlanmış görevlerdeki olası yanlış yapılandırmalar ya da zafiyetler, bunun yanında zararlı yazılım otomasyonu ve yetki yükseltme izleri gibi bulgular ortaya çıkarabilir. Örneğin, bir görevde "Trigger" (Çalıştırma Koşulu) yanlış ayarlandığında, istenmeyen durumlar meydana gelebilir. Bu tür yanlış yapılandırmalar, sistemin beklenmedik davranışlar sergilemesine ya da belirli bir süreç için zafiyetlere neden olabilir.

Ayrıca "Persistence Detection" (Kalıcılık Tespiti) kavramı, siber suçluların sistemde kalıcı hale gelmesini sağlamak için kullandıkları yöntemleri tanımlamakta yardımcı olur. Zamanlanmış görevlerde görülen "Hidden Tasks" (Gizli Görev Kullanımı) bu tür teknikler arasında yer alır. Gizli görevlerin varlığı, bir tehdit aktörünün sistemde uzun süre kalabileceği anlamına gelir ve bu durum sistem karşısındaki riski artırır.

Savunma

Bu tür risklerin minimize edilmesi için bazı profesyonel önlemler ve hardening (sertleştirme) önerileri bulunmaktadır.

  1. Gözlemlerinizi Sıkılaştırın: Zamanlanmış görevlerin arka planını sürekli gözlemleyin. Komutları ve yürütülen işlemleri düzenli olarak incelemek, potansiyel tehditlerin erken tespiti açısından önemlidir.

  2. Yetkileri Kontrol Edin: Zamanlanmış görevleri oluşturabilen kullanıcıların yetkilerini gözden geçirin. Yetkilerin minimize edilmesi, potansiyel bir zafiyet durumunda saldırıların etkisini azaltabilir.

  3. Eğitim ve Farkındalık: Kullanıcılarınızı eğitimlerle zamanlanmış görevler ve potansiyel tehditler konusunda bilinçlendirin. Özellikle güvenlik açıklarına karşı bireysel tepkilerin geliştirilmesi kritik öneme sahiptir.

  4. Sistem Güncellemeleri: Windows işletim sisteminizin güncel olduğundan emin olun ve ilgili yamaları zamanında uygulayın. Eski sistemler, daha fazla zafiyet barındırma riski taşır.

  5. Güvenlik Duvarı ve İzleme Araçları: Güvenlik duvarı ve izleme sistemleri kullanarak anormal aktiviteleri tespit edin. Anormal bir zamanlanmış görev kaydedildiğinde, ilgili durumu hemen incelemek kritik bir adım olacaktır.

Sonuç

Zamanlanmış görevlerin analizi, siber güvenlikte kalıcılığı anlamak ve potansiyel riskleri tespit etmek açısından son derece önemlidir. Zamanlanmış görevlerdeki yanlış yapılandırmalar veya güvenlik açıkları, siber saldırganların sistemde kalıcı hale gelmesinin yollarını açabilir. Risk değerlendirmesi ve yorumlama aşamalarında elde edilen bulgular, güçlü bir savunma stratejisi oluşturmak için gerekli girdileri sağlar. Uygun önlemler alınmadığında, zamanlanmış görevler potansiyel bir güvenlik açığına dönüşebilir, bu nedenle sürekli izleme ve güncellemelerle sistemin güvenliğini sağlamak temel bir gerekliliktir.