CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Bellek Analizi

Scheduled Tasks ve Autoruns Analizi: Güvenlik İçin Kritik Adımlar

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Bellek Analizi

Siber güvenlikte görev zamanlama ve otomatik başlatma mekanizmalarını anlamak, tehdit algılaması için kritik öneme sahiptir.

Scheduled Tasks ve Autoruns Analizi: Güvenlik İçin Kritik Adımlar

Scheduled tasks ve autoruns analizi, siber güvenlikte kalıcılık tehditlerini ortadan kaldırmak için son derece önemlidir. Bu yazıda, bu analizlerin nasıl gerçekleştirileceğini öğreneceksiniz.

Giriş ve Konumlandırma

Siber güvenlik dünyasında, tehditlerin tespit edilmesi ve bertaraf edilmesi açısından izleme ve analiz yöntemleri kritik bir rol oynamaktadır. Bu bağlamda, "Scheduled Tasks" ve "Autoruns" analizi, sistemlerin güvenliğini sağlamak için iki önemli bileşen olarak öne çıkmaktadır. Bu analizler, kötü niyetli yazılımların, arka kapı tehditlerinin ve kalıcılık mekanizmalarının belirlenmesinde ve ortadan kaldırılmasında temel bir yaklaşım sunar.

Scheduled Tasks Nedir?

Scheduled Tasks, Windows işletim sistemlerinde, belirli zaman dilimlerinde otomatik olarak çalıştırılması gereken görevlerin tanımlandığı bir yapıdır. Bu görevler, sistemin açılışı, kullanıcıların girişleri veya belirli zaman dilimleri gibi olaylara bağlı olarak tetiklenebilir. Kötü niyetli yazılımlar, bu görevlere sızarak uzun süreli erişim sağlama imkanı bulabilir. Örneğin, bir zararlı yazılım, açık kalmasını istediği bir arka kapıyı yeniden başlatmak için Scheduled Tasks'ı kullanabilir. Aşağıda, Windows işletim sisteminde bir Scheduled Task yaratma örneği verilmiştir:

$action = New-ScheduledTaskAction -Execute "C:\malware.exe"
$trigger = New-ScheduledTaskTrigger -AtStartup
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName "MaliciousTask"

Bu kod parçası, sistem açıldığında "malware.exe" dosyasını çalıştıran bir görev oluşturmaktadır. Böylelikle, sisteme her açıldığında zararlı yazılım çalışmaya devam edebilir.

Autoruns Nedir?

Autoruns ise, bilgisayarda açılışta otomatik olarak çalışan tüm uygulamaların, hizmetlerin ve görevlerin listesini sunan bir yapı olarak tanımlanabilir. Bu analiz, sistemin başlangıç zamanında hangi uygulamaların çalıştığını ve hangi kalıcılık mekanizmalarının devrede olduğunu göstermektedir. Windows kayıt defteri (registry) ve başlangıç klasörleri (Startup Folder) gibi kaynaklardan gelen bilgiler, Autoruns aracı tarafından derlenir. Özellikle, kötü niyetli yazılımlar sıklıkla bu kaynakları hedef alarak kendilerini gizleyecek yöntemler geliştirir.

Siber Güvenlik İçin Önemi

Scheduled Tasks ve Autoruns analizi, siber güvenlik uzmanları ve penetrasyon test uzmanları (pentester) için son derece önemlidir. Bu analizler, kötü niyetli yazılımların kalıcılık sağlamasına yönelik kullanımlarını ortaya çıkarılmasını ve etkin bir şekilde müdahale edilmesini sağlar. Böylelikle, sistem üzerindeki tehditler tespit edilerek temizlenebilir ve kurumsal güvenlik daha güçlü hale getirilebilir. Bu analizlerin yok sayılması, saldırganların uzun süreli erişim elde etmesine ve sistemin daha fazla zarar görmesine yol açabilir.

Buna ek olarak, SOC (Security Operations Center) L2 analistleri, Scheduled Tasks ve Autoruns analizini, tehditlerin temizlenmesi ve sistem güvenliğinin artırılması amacıyla bir savunma mekanizması olarak kullanır. Kötü niyetli görevlerin belirlenmesi ve temizlenmesi, güvenlik açığı bulunan bir sistemin kurumsal yapısını koruma altına almak açısından hayati bir adım olarak değerlendirilmektedir.

Sonuç

Scheduled Tasks ve Autoruns analizi, siber güvenlik ortamında kritik bir yer tutmaktadır. Bu iki bileşen, sistem üzerindeki kötü niyetli etkinliklerin belirlenmesi ve kalıcılık mekanizmalarının ortadan kaldırılması için önemli veriler sunar. Önümüzdeki bölümlerde, bu analizlerin nasıl gerçekleştirileceği, hedeflerinin neler olduğu ve karşılaşılabilecek riskler detaylandırılacaktır. Siber güvenlik alanında edinilen tecrübeler, analistlerin bu tür analiz yöntemlerini etkin bir şekilde kullanmalarına yardımcı olacak ve sistem güvenliğini artırma yolunda olumlu katkılarda bulunacaktır.

Teknik Analiz ve Uygulama

Scheduled Tasks Analysis Tanımı

Scheduled Tasks (Zamanlanmış Görevler) analizi, sistemdeki kalıcılığı sağlayan, zararlı yazılımların yeniden çalıştırılmasını veya yeniden başlatılmasını sağlayan görevlerin araştırılması olarak tanımlanabilir. Bu süreç, siber güvenlik uzmanları için kritik bir öneme sahiptir, çünkü bu tür görevler, kötü niyetli yazılımlar tarafından sıklıkla kullanılmakta ve sistemlerin güvenliğini tehdit etmektedir.

Persistence Workflow

Kalıcılık alıntısı, kötü amaçlı yazılımların sistemde uzun süre varlık göstermesini sağlayarak zararlı etkinliklerin gerçekleşmesine olanak tanır. Dolayısıyla, takip edilmesi gereken bir çalışma akışına ihtiyaç vardır. Bu akış, Zamanlanmış Görevlerin, registre anahtarlarının ve başlangıç klasörlerinin analiz edilmesini içerir.

schtasks /query

Yukarıdaki komut, sistemdeki mevcut zamanlanmış görevleri listeleyecektir. Analiz sırasında, özellikle beklenmedik veya bilinmeyen kaynaklardan gelen görevler üzerinde yoğunlaşmak önemlidir.

Persistence Kaynakları

Zamanlanmış görevlerin kalıcılık sağladığı belirli kaynaklar bulunmaktadır. Bunlar arasında:

  • Scheduled Tasks: Sistem açılırken veya belirli bir zaman diliminde otomatik olarak çalışan görevler.
  • Autoruns: Başlangıçta otomatik çalışan uygulamaların ve bileşenlerin yapılandırmalarını içeren kaynaklar.
  • Run Keys: Windows kayıt defteri üzerinde, otomatik olarak başlatılacak programların kalıcılık mekanizmalarını belirleyen anahtarlar.

Analiz sürecinin bir parçası olarak, bu kaynakların incelenmesi, kötü niyetli yazılımların sistemdeki potansiyel kalıcılığını değerlendirmenize olanak tanır.

Autoruns Tanımı

Autoruns, Microsoft'un sağladığı bir yardımcı programdır ve sistem açılışında veya oturum açma sırasında otomatik olarak çalışan uygulamaların takibine imkan verir. Bu araç, güvenlik uzmanlarının zararlı yazılımları ve bunların koruma mekanizmalarını tespit etmelerine olanak tanır.

Autoruns.exe

Yukarıdaki komut, Autoruns programını çalıştırarak sistemdeki başlamayı otomatik şekilde gerçekleştiren uygulamaların ve görevlerin listesini çıkartır. İlgili kontrollerin yapılması, sistem güvenliğinin sağlanması için kritik öneme sahiptir.

Scheduled Task Riskleri

Zamanlanmış görevlerin doğru şekilde yönetilmemesi halinde, sistem üzerinde ciddi güvenlik riskleri oluşturabilir. Güvenilir görünen bir görev bile, kötü niyetli yazılımlar tarafından manipüle edilip erişim sağlamak için kullanılabilir. Aşağıdakiler bu risklerden bazılarıdır:

  • Kötü Amaçlı Payload'ların Yeniden Çalıştırılması: Günlük işletim sistem faaliyetleri gibi görünse de, bu tür görevler yeniden kalan kötü niyetli yazılımları aktive edebilir.
  • Arka Kapı Oluşturma: Saldırganlar, zamanlanmış görevler aracılığıyla sistem üzerinde kalıcı kontrol sağlayabilir.
  • Savunmayı Atlatma: Zamanlanmış görevlerin arka planda çalışması, güvenlik yazılımlarının veya izleme mekanizmalarının bu aktiviteleri gözden kaçırmasına neden olabilir.

Run Keys Tanımı

Run Keys, Windows kayıt defteri üzerinde yer alan, sistem açıldığında çalışan programları belirten anahtardır. Bu anahtarların kötü niyetli biçimde değiştirilmesi, zararlı yazılımların kendilerini gizlice çalıştırmasına olanak tanır.

  • Örnek Run Keys:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
REG QUERY HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Yukarıdaki komut, belirtilen kayıt defteri yolundaki girişleri listeleyerek, sistem üzerinde potansiyel tehditlere dair bilgiler sağlayacaktır.

Scheduled Tasks ve Autoruns Analizi Hedefleri

SOC L2 analistleri, bu analizleri gerçekleştirirken aşağıdaki hedeflere ulaşmayı amaçlar:

  • Kötü niyetli görevlerin tespiti.
  • Sistem üzerindeki kalıcılık mekanizmalarının ortaya çıkarılması.
  • Tehdit temizliği için gerekli adımların atılması.
  • Sistemin güvenliğini artırmak için öneriler geliştirmek.

Bu süreç, hem siber tehditlerin ortadan kaldırılması hem de güvenlik açıklarının kapatılması için stratejik bir yaklaşımdır.

Startup Folder Artifact Tanımı

Startup Folder (Başlangıç Klasörü), sistem açılırken otomatik olarak çalışan uygulamaların yer aldığı bir yerdir. Bu klasör üzerindeki mevcut dosyaların incelenmesi, zararlı yazılımların kalıcılığını ortadan kaldırmak için kritik bir adımdır.

Get-ChildItem -Path "$env:APPDATA\Microsoft\Windows\Start Menu\Programs\Startup"

Yukarıdaki PowerShell komutu, belirli bir kullanıcı tarafından açıldığında otomatik olarak çalışan dosyaların listesini döndürür. Bu verilerin analiz edilmesi, zararlı yazılımların potansiyel olarak sistemde kalıcı hale gelmesini engelleme açısından önemlidir.

SOC L2 Operational Role

SOC L2 analistleri, bu tür analizler yaparak sistemin güvenliğini sağlama ve kalıcılık mekanizmalarını tespit etme konusunda sorumlu bir rol üstlenir. Kötü niyetli görevlerin tespiti ve temizlenmesi, güvenlik analitiklerinin en temel görevleri arasında yer alır.

Scheduled Tasks Mastery

Sonuç olarak, scheduled tasks ve autoruns analizi, siber güvenlik alanında özellik arz eden ve dikkatle ele alınması gereken bir konudur. Bu süreçlerin doğru bir şekilde yürütülmesi, sistemin güvenliğini artıracak ve olası tehditlerin minimize edilmesine yardımcı olacaktır.

Risk, Yorumlama ve Savunma

Risk ve Yorumlama

Siber güvenlikte scheduled tasks (zamanlanmış görevler) ve autoruns (otomatik başlatmalar) analizi, sistemde kalıcılığa sahip zararlı bileşenlerin tespit edilmesi açısından kritik bir öneme sahiptir. Bu tür analizler, yalnızca zararlı yazılımlar tarafından oluşturulan tehlikeleri belirlemekle kalmayıp aynı zamanda sistemin genel güvenlik durumunu da değerlendirmeye yardımcı olur.

Zamanlanmış Görevler ve Riskleri

Zamanlanmış görevler, sistem yöneticileri tarafından belirli bir zaman diliminde veya belirli bir olay gerçekleştiğinde otomatik olarak çalıştırılan komut veya programlardır. Ancak, saldırganlar bu özelliği kötüye kullanarak sistemde uzun süre kalmayı ve yeniden enfekte olmayı hedefleyebilirler. Örneğin, bir zararlı yazılım bir zamanlanmış görev oluşturarak kendisini otomatik olarak her sistem açılışında çalıştırabilir. Bu durumda sistem yöneticileri, belirli bir görevden şüphelenildiğinde aşağıdaki gibi bir inceleme yapmalıdır:

schtasks /query /fo LIST /v

Bu komut, sistemdeki tüm zamanlanmış görevleri listeleyerek yöneticilerin şüpheli görevleri tanımlamasına yardımcı olur.

Autorun Kaynaklarının Değerlendirilmesi

Autoruns, sistemin başlangıçta çalıştırdığı uygulamalara ve görevlerin tümüne işaret eder. Windows işletim sisteminde, zararlıların bu özelliğini kullanarak sistemde kalıcılık sağlaması oldukça yaygındır. Autoruns, aynı zamanda kullanıcılara veya sistem yöneticilerine fark edilmeyen zararlı yazılımların da başlangıçta çalıştırılmasına olanak tanır. Aşağıda, autorun kaynağına dair birkaç önemli bilgi sağlanmaktadır:

  • Run Keys (Başlangıç Anahtarları): Windows kayıt defteri içerisinde yer alan ve sistem başlangıcında çalıştırılacak tüm uygulamaları belirten anahtarlardır. Yanlış yapılandırılmış veya zararlı yazılımlar tarafından değiştirilmiş anahtarlar, sistemin güvenliğini tehdit eder.

  • Startup Folder: Windows’a ait otomatik başlatma klasörü, bir kullanıcı oturumu açıldığında çalıştırılacak uygulamaları barındırır. Burada da zararlı yazılımlar gizlenebilmekte ve kullanıcılar tarafından fark edilmemektedir.

Savunma Mekanizmaları ve Profesyonel Önlemler

Elde edilen bulgular, bir sistemin güvenlik seviyesi için önemli birer göstergedir. Öncelikli olarak, zararlı veya şüpheli zamanlanmış görevler ve autorun girdileri tespit edildikten sonra uygulanacak bazı profesyonel önlemler şunlardır:

  1. Gözden Geçirme ve Temizleme: Tespit edilen güvenlik tehditleri, sistem yöneticileri tarafından hızlıca analiz edilmeli ve gerektiğinde temizlenmelidir. Örneğin, şüpheli zamanlanmış görevlerin ve autorun girdilerinin silinmesi, sistemin güvenliğini artırır.

  2. Kayıt Defteri Yönetimi: Windows kayıt defteri zorunlu olarak düzenli aralıklarla gözden geçirilmeli ve bilinen iyi uygulamalarla karşılaştırılmalıdır. Herhangi bir anormallik tespit edildiğinde, derhal müdahale edilmelidir.

  3. Kılavuz Güncellemeleri ve Hardening: Sistem güvenliğinin artırılması amacıyla işletim sisteminin ve uygulamaların güncel tutulması sağlanmalıdır. Bununla birlikte, güvenlik duvarı, antivirüs yazılımları gibi önlemlerin de etkinliği sürekli olarak gözden geçirilmelidir.

  4. Eğitim ve Farkındalık: Kullanıcılar, zafiyetler ve kötü niyetli yazılımlar hakkında sürekli bilgilendirilmelidir. Eğitim programları aracılığıyla, çalışanların güvenlik konusunda farkındalığı artırılmalıdır.

Sonuç Özeti

Scheduled tasks ve autoruns analizi, bir sistemin siber güvenlik durumu açısından kritik unsurlardır. Yanlış yapılandırmalar ve zafiyetler, yalnızca zararlı yazılımların yayılması için birer kapı aralamakla kalmaz, aynı zamanda veri sızıntılarına da yol açabilir. Bu nedenle, sistem yöneticilerinin bu tür analizleri düzenli olarak gerçekleştirmeleri ve güvenlik önlemlerini sürekli olarak güncellemeleri büyük önem taşımaktadır. Zamanla, bu tür önlemler, sistemin dayanıklılığını artıracak ve kurumsal verilerin güvenliğini sağlayacaktır.