CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

Scheduled Tasks ve Autoruns İncelemesi: Siber Güvenlikte Kalıcılık Mekanizmaları

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

Scheduled Tasks ve Autoruns analizi ile siber güvenlik tehditlerine karşı etkili bir savunma oluşturun.

Scheduled Tasks ve Autoruns İncelemesi: Siber Güvenlikte Kalıcılık Mekanizmaları

Siber güvenlikte kalıcılık mekanizmalarının analizi, sistemleri korumanın en etkili yollarından biridir. Bu yazıda Scheduled Tasks ve Autoruns incelemeleri ile tehdit tespiti üzerine bilgileri keşfedin.

Giriş ve Konumlandırma

Siber güvenlik alanında kalıcılık mekanizmaları, bir sistemde zararlı yazılımların veya kötü niyetli faaliyetlerin sürdürülmesine olanak tanıyan yöntemlerdir. Bu mekanizmaların anlaşılması, bir siber saldırının etkilerinin azaltılması ve sistemlerin güvenliğinin sağlanması açısından kritik bir öneme sahiptir. "Scheduled Tasks" (Zamanlanmış Görevler) ve "Autoruns" (Otomatik Çalıştırmalar) konuları, bu bağlamda özellikle dikkat çekmektedir.

Scheduled Tasks Nedir?

Windows işletim sistemlerinde, Zamanlanmış Görevler, belirli koşullara bağlı olarak otomatik olarak çalışan görevlerdir. Bu görevler, belirli bir zaman diliminde veya belirli bir olayın gerçekleşmesi durumunda devreye girecek şekilde yapılandırılabilir. Zamanlanmış görevler, sistemin çalışmasını optimize etmek, rutin bakım işlemlerini otomatikleştirmek ve kullanıcı etkileşimini azaltmak için kullanılır. Ancak, aynı zamanda kötü niyetli kişiler tarafından sistemde kalıcılığını sürdüren yazılımların yerleştirilmesi için de bir araç olarak kullanılabilir.

Neden Önemlidir?

Zamanlanmış görevlerin güvenli bir şekilde yönetilmemesi durumunda, kötü amaçlı yazılımlar, bu görevleri kullanarak sistemde kalıcı bir varlık oluşturabilir. Özellikle hedefli saldırılarda, saldırganlar, sistem açıldığında otomatik olarak çalışacak görevler ekleyerek, izlenmeden veya tespit edilmeden yeniden erişim elde edebilirler. Dolayısıyla, siber güvenlik profesyonellerinin, bu mekanizmaları tanıması ve analiz edebilmesi, sistemin güvenliğini sağlamak adına kritik bir gereksinimdir.

Pentest ve Savunma Bağlamında

Penetrasyon testleri (pentest), bir sistemin güvenlik açıklarını tespit etmek amacıyla gerçekleştirilen simüle saldırılardır. Pentest sırasında, sızma testçilerinin Zamanlanmış Görevleri analiz etmeleri, sistemin potansiyel zayıf noktalarını anlamalarına yardımcı olur. Kötü niyetli bir yazılımın Zamanlanmış Görevler aracılığıyla kalıcı hale gelmiş olup olmadığını belirlemek, kritik öneme sahiptir. Ayrıca, savunma güvenliği alanında çalışan analistler, Zamanlanmış Görevler yoluyla gerçekleştirilen kötü niyetli aktiviteleri tespit etmek ve engellemek için bu bilgileri kullanmalıdır.

Scheduled Tasks Analiz Süreci

Zamanlanmış görevlerin analizi, genel olarak şu adımları içermektedir:

  1. Görev Listesini Çıkarma: Sistem üzerindeki tüm zamanlanmış görevlerin listesi çıkarılır.

    Get-ScheduledTask | Select-Object TaskName,State,Actions,Triggers

  2. XML Görev Dosyalarının İncelenmesi: Zamanlanmış görevler hakkında daha fazla bilgi, XML formatında saklanan yapılandırma dosyalarından elde edilir. Bu dosyalarda, görevlerin hangi koşullarda çalışacağı ve ne tür işlemler yapacağı detaylı bir şekilde belirtilmiştir.

  3. Tespit ve Korelasyon: Zamanlanmış görevlerin davranışları analiz edilerek şüpheli tetikleyiciler ve istem dışı eklemeler tespit edilmeye çalışılır. Bu aşamada, Autoruns verileriyle korelasyon yapılabilir.

Sonuç

Zamanlanmış görevler ve otomatik çalıştırmalar, kötü niyetli yazılımların kalıcılığı için kullanılan etkili araçlar olduğundan, siber güvenlik alanındaki profesyonellerin bu konuda derinlemesine bilgi sahibi olmaları gereklidir. Sistemlerin güvenliğini sağlamak, potansiyel saldırı yollarını anlamak ve zamanında müdahale edebilmek için bu mekanizmaların analizi, siber güvenlik stratejilerinin temel bir parçası olmalıdır. Bu yazıda, üst düzey bir anlayış geliştirmek için Zamanlanmış Görevler ve Autoruns konularına daha derinlemesine bakacağız.

Teknik Analiz ve Uygulama

Scheduled Tasks Tanımı

Scheduled Tasks, Windows sistemlerde zamanlanmış ya da tetiklenmiş otomatik görev yapılarına verilen isimdir. Bu mekanizmalar, belirli zaman dilimlerinde veya belirli olaylara bağlı olarak otomatik olarak çalışan görevlerdir. Genellikle sistem noktalarını otomatikleştirmek için kullanılırlar ve kötü niyetli yazılımların kalıcılık sağlamak amacıyla da istismar edilebilirler.

Scheduled Task Analiz Süreci

Gelişmiş siber tehditlerle mücadele etmek için SOC L2 analistleri, görev tabanlı kalıcılık mekanizmalarını analiz eder. Analiz süreci aşağıdaki adımları içermektedir:

  1. Görev Kayıtları İncelemesi: Sistem üzerinde varolan tüm scheduled tasks kayıtları çıkarılmalıdır.

    schtasks /query /fo xml /v

    Yukarıdaki komut, sistemdeki tüm zamanlanmış görevleri XML formatında listeleyecektir. Bu format, görevler hakkında daha derinlemesine bilgi edinmemizi sağlar.

  2. XML Dosyalarının Analizi: Elde edilen XML dosyaları incelenerek, her bir görevin yapılandırması, çalışma zamanları ve tetikleyicileri belirlenecektir.

  3. Şüpheli Tetikleyicilerin Tespiti: Analistler, görevlerin hangi koşullarda çalıştığını belirleyen tetikleyicileri inceleyerek şüpheli durumları tespit etmeye çalışır.

  4. Autoruns Korelasyonu: Görevlerin başlangıç noktaları ile autorun bilgileri arasındaki ilişkilerin kurulması, kötü niyetli yazılımların kalıcılık mekanizmalarını ortaya çıkarmada yardımcı olur.

Persistence Mekanizmaları

Siber saldırganlar, sistemlerde kalıcı olarak varlık göstermek için çeşitli mekânizmalar kullanır. Scheduled Tasks, bu tür mekanizmalardan biridir. Görev tabanlı kalıcılığın yanı sıra, registry tabanlı başlangıç (Run Keys) ve servis kalıcılığı gibi diğer yöntemler de bulunmaktadır. Her bir mekanizma, zararlı yazılımın hedef sistem üzerinde ne kadar süre kalabileceğini artırmak için tasarlanmıştır.

Autoruns Tanımı

Autoruns, sistem başlangıcında çalışan tüm kalıcılık noktalarının bir araya getirildiği bir görünüm sunar. Microsoft'un Sysinternals araç setinde yer alır ve kullanıcıya hangi uygulamaların, hizmetlerin ve görevlerin başlangıçta yüklendiğini gösterir. Autoruns, sistem güvenliği analizi için kritik bir araçtır, çünkü zararlı yazılımların ve istenmeyen uygulamaların kolayca tespit edilmesine yardımcı olur.

Scheduled Tasks Analiz Avantajları

Scheduled Tasks analizi, birkaç önemli avantaj sunar:

  • Zararlı Görevlerin Tespiti: Zararlı yazılımların zamanlanmış görevler aracılığıyla sistemde kalıcı hale gelmesini önlemek için bu görevlerin tespit edilmesi gerekmektedir.
  • Kalıcılık Mekanizmalarının Ortaya Çıkarılması: Analiz, kötü niyetli bir saldırının ardındaki kalıcılık mekanizmalarını açığa çıkarır.
  • Incident Response Desteği: Tespit edilen kalıcılık noktaları, olay müdahale süreçlerinde yol gösterici bilgiler sunar.

Trigger Tanımı

Trigger, bir scheduled task'ın ne zaman çalışacağını belirleyen koşul veya olaydır. Örneğin, belirli bir zaman, sistemin açılması veya bir kullanıcı girişinin yapılması gibi olaylar tetikleyici olarak işlev görebilir. Her bir görev, yalnızca tanımlanan tetikleyiciler doğrultusunda çalışır.

Scheduled Tasks Kullanım Alanları

Scheduled Tasks, hem sistem yöneticileri hem de güvenlik uzmanları tarafından çeşitli amaçlarla kullanılır. Örneğin;

  • Otomatik Yedekleme: Belirli zaman dilimlerinde sistem yedekleme görevlerini otomatik olarak gerçekleştirmek için kullanılır.
  • Güncellemelerin Otomasyonu: Yazılım güncellemeleri için otomatik kontrol ve yükleme işlemlerini gerçekleştirmek amacıyla görevler tanımlanabilir.
  • Tehdit Avcılığı: Kötü niyetli yazılımları tespit etmek için güvenlik analistleri tarafından incelenir.

Task XML Tanımı

Scheduled task yapılandırmasının tutulduğu dosya formatına Task XML denir. Bu format, görevlerle ilgili tüm yapılandırma bilgisini içerir. Örneğin, bir görev açıldığında hangi programın çalışacağını, ne zaman çalışacağını ve hangi kullanıcı ile çalıştırılacağını gösteren bilgileri barındırır. XML dosyaları, analistler tarafından kolayca okunabilir ve üzerinde değişiklik yapılabilir.

SOC L2 Scheduled Tasks Analiz Rolü

SOC L2 analistleri, scheduled tasks ve autoruns verilerini dikkatlice inceleyerek zararlı kalıcılıkları tespit eder. Bu veriler, sistemlerin güvenliğini artırmak için stratejilerin oluşturulmasına yardımcı olur. Zararlı aktivitelerin izlenmesi ve tespit edilmesi, kötü niyetli yazılımların etkisiz hale getirilmesi için kritik öneme sahiptir. Ayrıca, sağlanan bilgiler aracılığıyla savunma süreçleri güçlendirilebilir.

Scheduled Tasks & Autoruns Mastery

Siber güvenlik alanında uzmanlaşmanın bir yolu, scheduled tasks ve autoruns gibi kalıcılık mekanizmalarının derinlemesine anlaşılmasıdır. Bu mekanizmaları analiz etme yeteneği, bir sistemin güvenlik durumunu değerlendirmenin yanı sıra, kötü niyetli faaliyetlerin tespiti için de kritik öneme sahiptir. Analistler, bu bilgileri kullanarak daha etkili savunma mekanizmaları oluşturabilir ve siber tehditlerle daha etkin bir şekilde mücadele edebilir.

Bu yazıda yapılan derinlemesine inceleme, siber güvenlik uzmanlarının görev tabanlı kalıcılık mekanizmaları konusunda bilgilerini artırmalarına yardımcı olmayı hedeflemektedir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, kalıcılık mekanizmaları, yani "persistence" yöntemleri, bir saldırganın hedef sisteme yerleşip orada kalabilmesi için kullandığı yolları ifade eder. Scheduled Tasks (Zamanlanmış Görevler) ve Autoruns (Otomatik Başlatmalar), bu tür mekanizmaların en yaygın örneklerindendir. Bu bölümde, bu mekanizmaların güvenlik anlamını değerlendirecek, olası yanlış yapılandırmaların veya zafiyetlerin etkilerini açıklayacak ve uygun savunma stratejilerini önereceğiz.

Scheduled Tasks Tanımı ve Analiz Süreci

Scheduled Tasks, belirli zaman dilimlerinde veya belirli olaylar gerçekleştiğinde otomatik olarak çalıştırılmak üzere yapılandırılan görevlerdir. Windows sistemlerde bu görevler, sistem yöneticileri için avantajlar sunarken, kötü niyetli kullanıcılar tarafından da kullanılabilir. Örneğin, bir saldırgan sistemde bir görev oluşturarak, kendini otomatik olarak her yeniden başlatmada çalıştırılacak şekilde programlayabilir.

Scheduled Tasks'ların analizi, iki ana aşamayı içerir: görevlerin incelenmesi ve tetikleyicilerin analiz edilmesi. Sistemdeki tüm zamanlanmış görevlerin kayıtları çıkarılarak burada yer alan şüpheli tetikleyiciler tespit edilir.

Get-ScheduledTask | Where-Object {$_.State -eq 'Ready'}

Yukarıdaki PowerShell komutu, sistemdeki tüm "hazır" durumda olan zamanlanmış görevleri listeleyecektir. Bu görevlerin içeriği ve tetikleyicileri detaylı bir şekilde analiz edilmelidir.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Scheduled Tasks veya Autoruns yapılandırmalarında yapılan basit hatalar, ciddi güvenlik zafiyetlerine yol açabilir. Örneğin, bir zamanlanmış görev oluştururken kullanıcı izinleri gereksinimlerinin göz ardı edilmesi veya yanlış kullanıcı gruplarına erişim verilmesi, saldırganların kötüye kullanımına sebep olabilir. Ayrıca, yanlış yapılandırılmış tetikleyiciler, istenmeyen durumların meydana gelmesine neden olabilir.

Özellikle, bir çalıştırma koşulunun (trigger) doğru bir şekilde ayarlanmaması, zararlı yazılımların belirli zaman dilimlerinde otomatik olarak çalışmasına izin verebilir. Bu bağlamda, dikkatli bir yapılandırmanın gerçekleştirilmesi, siber güvenlik açısından kritik önem taşımaktadır.

Sızan Veri, Topoloji ve Servis Tespiti

Siber güvenlik olayları sırasında, zamanlanmış görevler ve autorun mekanizmalarının analiz edilmesi, elde edilen verilerin sızma noktalarının ve hizmetlerin tespitinde büyük rol oynar. Örneğin, bir görev dosyası (task XML), zararlı yazılımlar hakkında ön bilgiler sağlayabilir ve bu da güvenlik analistlerinin saldırganın adımlarını daha iyi anlamalarına yardımcı olur.

Görevlerin otomatik olarak çalıştırılmasının izlenmesi, potansiyel siber tehditlerin belirlenmesi ve zararlı yazılım tetkiki için önemli veriler sunar. Üst düzey durumlarda, sistemin topolojisi ve ait olduğu ağ yapısı da bu süreçte incelenmelidir.

Profesyonel Önlemler ve Hardening Önerileri

  1. Düzenli İzleme ve Analiz: Zamanlanmış görevlerin düzenli olarak izlenmesi, sistem yöneticilerine herhangi bir şüpheli aktivitenin erken tespit edilmesi konusunda yardımcı olur. Bu nedenle, görevlerin sıkı bir şekilde incelenmesi önerilir.

  2. Hesap Yönetimi: Tüm zamanlanmış görevlerin hangi kullanıcı hesaplarıyla çalıştırıldığını izleyin. Yanlış yapılandırılmış erişim izinleri, sistemin güvenliğini tehlikeye atabilir.

  3. Belgelendirme: Tüm önemli yapılandırmaların belgelendirilmesi, izlenebilirliği artırır. Bu, yanlış yapılandırmaların kolayca geri alınmasına olanak tanır.

  4. Firewall ve IDS/IPS Kullanımı: Dışarıdan gelen istenmeyen bağlantıları en aza indirmek ve olası aktarımları engellemek için gelişmiş güvenlik duvarları ve IDS/IPS sistemleri kurulmalıdır.

  5. Güncellemeler: Sistem güncellemeleri ve yamalarının düzenli olarak uygulanması, bilinen zafiyetlerin kapatılmasına yardımcı olur.

Sonuç

Scheduled Tasks ve Autoruns, sistemlerde yaygın olarak kullanılan ve siber saldırılara açık kalıcılık yöntemleridir. Yanlış yapılandırmalar, güvenlik açıklarına neden olabilir ve sistemin bütünlüğünü tehdit edebilir. Dolayısıyla, bu mekanizmaların düzenli olarak izlenmesi, detaylı analiz edilmesi ve uygun güvenlik önlemlerinin alınması, organizasyonların siber güvenlik stratejisinin kritik bir parçasıdır. Bu bağlamda, her zaman proaktif bir yaklaşım benimsemek, siber tehditlerle başa çıkmanın en etkili yoludur.