CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

ShellBags Analizi: Siber Güvenlikte Klasör Erişim Geçmişinin Önemi

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

ShellBags analizi ile klasör erişim geçmişini açığa çıkarmak ve forensik kanıtları ortaya koymak için gerekli bilgiler.

ShellBags Analizi: Siber Güvenlikte Klasör Erişim Geçmişinin Önemi

Siber güvenlikte ShellBags analizi, kullanıcıların klasör erişim geçmişlerini anlamak ve şüpheli aktiviteleri tespit etmek için önemli bir araçtır. Bu blog, ShellBags'ın özelliklerini ele alacak.

Giriş ve Konumlandırma

ShellBags Analizi: Klasör Erişim Geçmişinin Önemi

Siber güvenlik alanında, dijital delilleri etkin bir şekilde analiz etmek, olayların arka planını anlamak ve siber saldırılara karşı etkili savunma stratejileri geliştirmek büyük önem taşır. Bu bağlamda, Windows işletim sistemlerinde bulunan "ShellBags" analizi, kullanıcıların klasörlere erişim geçmişini ortaya çıkarmak için kritik bir bilgi kaynağıdır. ShellBags, bir kullanıcının Windows Gezgini (Explorer) aracılığıyla eriştiği klasörlerin yapılandırma geçmişini tutan registry artifact’leridir. Bu analiz, dijital forensik süreçlerde önemli bir rol oynar, çünkü silinmiş veya kaybolmuş dizinlere ait verileri yeniden görünür kılma yeteneğine sahiptir.

ShellBags analizi, kullanıcının hangi klasörlere eriştiğini, bu klasörlerde hangi işlemleri gerçekleştirdiğini ve erişim sırasını takip etme amacı güder. Bu veri, potansiyel bir siber olayı araştırırken, kötü niyetli faaliyetlerin tespit edilmesine yardımcı olur. Özellikle sızma testleri (pentest) ve siber güvenlik izlemleri sırasında, analistler, ShellBags verilerini kullanarak kullanıcı davranışlarını daha iyi anlayabilir ve şüpheli aktiviteleri gün yüzüne çıkarabilir.

ShellBags'in Önemi

ShellBags'in önemi, birkaç temel faktörden kaynaklanmaktadır:

  1. Kullanım Geçmişinin İzlenmesi: ShellBags, dosyalara ve dizinlere yapılan erişimlerle ilgili detaylı bir geçmiş sunar. Bu, kullanıcıların hangi dosyalara ulaşmaya çalıştığını veya hangi alanlarda sıkça çalıştığını analiz etmeyi mümkün kılar.

  2. Silinmiş Dizinlerin Tespiti: Kullanıcılar, çeşitli sebeplerle klasörlerini silebilir. ShellBags analizi sayesinde, silinmiş dizinlerin geçmişi yeniden ortaya çıkarılabilir. Bu, özellikle bir saldırganın, delil bırakmamaya çalışırken hangi dizinleri sildiği konusunda bilgi sağlar.

  3. Kullanıcı Davranışı Profilleme: ShellBags verileri, kullanıcı davranışlarını analiz etmek için kullanılabilir. Analistler, belirli bir zaman aralığında hangi dizinlerin ziyaret edildiğini ve hangi işlemlerin yapıldığını inceleyerek, kullanıcıların alışkanlıkları hakkında derinlemesine bilgiler edinebilir.

  4. Forensik Zaman Çizelgesi Oluşturma: ShellBags verileri, analiz edilerek bir forensik zaman çizelgesi oluşturulmasına yardımcı olabilir. Bu, belirli bir olaydan önce ve sonra kullanıcıların hangi dosyalara eriştiğini göstererek olayların zamanlamasını anlamayı kolaylaştırır.

Siber Güvenlik ve Pentest Bağlantısı

Siber güvenlikte ShellBags analizi, iki önemli bağlamda kendini gösterir: olay müdahale süreçlerinde ve penetrasyon testlerinde. Olay müdahale sürecinde, analistler ShellBags verilerini kullanarak bir saldırının nasıl gerçekleştirildiğini ve hangi veri setlerinin hedef alındığını anlamaya çalışırlar. Bunun yanında, pentest süreçlerinde de ShellBags, bir sistem üzerindeki potansiyel açıkların gözlemlenmesi ve riskli davranışların tespit edilmesi adına kritik bir kaynak olabilir.

Bir örnek vermek gerekirse, aşağıdaki gibi bir analiz süreci düşünelim:

# ShellBags yönetimi için sıklıkla kullanılan bir araç
shellbags -analyze usrclass.dat

Yukarıdaki komut, "usrclass.dat" dosyasını analiz ederek sistemdeki ShellBags verilerini çıkartmaya yarar. Bu gibi araçlar, analistlerin sistem üzerinde daha derinlemesine analizler yapmasına olanak tanır.

Sonuç olarak, ShellBags analizi, siber güvenlik alanında kritik bir yere sahiptir. Hem olay müdahale süreçlerinde hem de proaktif güvenlik önlemleri almak için kullanıcı davranışlarını ve erişim geçmişini analiz edebilmek, siber tehditlerle başa çıkmak için büyük bir avantaj sağlar. Veri analizi ve dijital forensik uygulamalarının birleşimi, siber güvenlik uzmanlarının daha bilinçli ve etkili kararlar almasını destekler. Bu nedenle, ShellBags analizi, modern siber güvenlik uygulamalarının ayrılmaz bir parçası haline gelmiştir.

Teknik Analiz ve Uygulama

ShellBags Tanımı

ShellBags, Windows işletim sistemi üzerindeki kullanıcıların klasör yapılandırma geçmişini tutan registry artifactleridir. Bu yapı, kullanıcıların Windows Explorer üzerinden eriştiği dizinlerin izlerini kaydederek, kullanıcı davranışlarının analiz edilmesi için önemli bir kaynak sağlar. Klasör erişim geçmişi, kullanıcının hangi dizinlere ne zaman eriştiği konusunda detaylı bilgi sunarak, dijital adli bilimlerde kritik bir rol oynar.

ShellBags Analiz Süreci

ShellBags analizi, birkaç temel adım içermektedir. İlk olarak, kullanıcıların Windows'un sunduğu klasör yapılandırma geçmişini bulmak için gerekli registry kayıtları incelenir. Bu işlem sırasında, öncelikle USERCLASS.DAT dosyası üzerinde yoğunlaşmak gerekmektedir. Aşağıda, ShellBags analiz sürecinin genel adımları sıralanmıştır:

  1. Registry'nin Erişimi: İlk adım, uygun araçlar kullanarak ilgili registry hive'ına erişmektir. Bu genellikle C:\Users\<KullanıcıAdı>\AppData\Local\Microsoft\Windows\Explorer dizinindeki bilgileri içerir.
  2. Verilerin Çıkartılması: Verilerin çıkartılması için usrclass.dat dosyası üzerinde çalışılır. Bu dosya, kullanıcının ShellBags'ına erişim sağlayan forensik bir kaynaktır.
  3. BagMRU Analizi: Klasör geçmişinin hiyerarşik yapısını bulmak için BagMRU (Most Recently Used) kayıtları gözlemlenir. Bu noktada, özellikle silinmiş dizinlerin tespiti yapılandırma ile mümkündür.
  4. Zaman Çizelgesi Oluşturma: Analiz sonrasında, erişim zamanları ve yolları için bir zaman çizelgesi oluşturulur. Bu, kullanıcı davranışlarının daha iyi bir şekilde anlaşılmasını sağlar.
# Örnek bir ShellBags verisini çıkarmak için kullanılabilecek bir komut
reg query HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags /s

ShellBags Veri Alanları

ShellBags verisi, çeşitli alanları içermektedir. Ana bileşenleri şunlardır:

  • Folder Paths (Klasör Erişim Yolları): Kullanıcının eriştiği dizin yollarını gösterir.
  • View Settings (Görünüm Ayarları): Explorer'da hangi yapılandırmanın kullanıldığına dair bilgileri içerir.
  • Access History (Kullanım Geçmişi): Kullanıcının klasörlere erişim sıklığı ve tarihleri hakkında veri sunar.
  • BagMRU (Klasör Hiyerarşisi): BagMRU verisi, geçtiğimiz dizinlerin düzenlenmiş halidir.

Bu anahtarlar, dijital delillerin analizinde önemli ipuçları sağlar.

BagMRU Tanımı

BagMRU, Windows işletim sistemi üzerinde kullanılan bir yapıdır ve kullanıcının en son eriştiği dizinleri takip eder. Klasörlerin geçmiş yapılarını saklayarak, silinmiş klasörlerin bile izlerini bulmamıza yardımcı olur. Analiz sırasında bu bilgiler, kullanıcıların nasıl hareket ettiğine dair önemli veriler sunar.

ShellBags Analiz Avantajları

ShellBags analizi, aşağıdaki avantajları sağlayarak siber güvenlik alanında kritik bir rol üstlenir:

  1. Silinmiş Dizinlerin Tespiti: Kullanıcıların silinmiş dizinlerine dair izleri bulma imkanı sunar.
  2. Kullanıcı Davranışını Analiz Etme: Kullanım geçmişine erişim, belirli kullanıcı davranışlarını ortaya koyar.
  3. Forensik Kanıt Sağlama: Elde edilen veriler, mahkemelerde veya soruşturmalarda kanıt niteliği taşır.

Bu avantajlar, ShellBags'ı dijital adli bilimlerin temel taşlarından biri haline getirir.

USRCLASS.DAT Tanımı

USRCLASS.DAT, kullanıcıya ait ShellBags artifactlerinin tutulduğu registry hive dosyasıdır. Bu dosya, sistemdeki kullanıcı profillerinin yapılandırmalarını saklarken, ShellBags ile ilgili verilerin de yönetilmesini sağlar. Analiz edecek olan uzmanların, bu dosya üzerinde derinlemesine çalışma yapması gerekir.

ShellBags Kullanım Alanları

ShellBags analizi, çok sayıda alanda kullanılabilmektedir:

  • Dijital Adli Bilimler: Ceza soruşturmalarında kullanıcı davranışlarını ortaya çıkarmak için önemli veriler sunar.
  • Tehdit Algılama: Anomalileri ve şüpheli erişimleri tespit etmek için kullanılabilir.
  • İç Denetim: Kullanım geçmişinin incelenmesi yoluyla sistemdeki tutarsızlıkların belirlenmesine yardımcı olabilir.

Explorer View Artifact Tanımı

Explorer view artifacts, kullanıcının Windows Explorer'da yaptığı işlemleri izleyerek, kullanıcı davranışına dair veri sağlayan bir bileşendir. Bu veriler, ShellBags kayıtlarıyla bir araya gelerek daha kapsamlı bir analiz yapılmasına olanak tanır.

SOC L2 ShellBags Analiz Rolü

SOC L2 (Güvenlik Operasyon Merkezi Seviyesi 2) analistleri, ShellBags verilerini kullanarak kullanıcıların sisteme ne zaman ve nasıl eriştiklerini inceleyerek, bu verileri güvenlik analizi için kullanır. Şüpheli erişimlerin tespiti ve forensik zaman çizelgeleri oluşturma gibi görevleri yerine getirirler.

ShellBags Mastery

ShellBags analizi, uzmanlık gerektiren bir alan olup, analistlerin çeşitli teknik bilgi ve becerilere sahip olmasını gerektirir. Bu bilgi ve beceriler, düzenli eğitimler ve pratikler ile geliştirilebilir. ShellBags yapı taşlarını anladıkça, analistler siber güvenlikteki etkinliklerini artırabilirler.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Siber güvenlik bağlamında ShellBags analizi, bir kullanıcının Windows işletim sistemi üzerinde gerçekleştirdiği klasör erişim davranışlarını açığa çıkaran önemli bir süreçtir. ShellBags, Windows kayıt defterinde tutulan ve Explorer üzerinden erişilen klasörlerin geçmişini içeren veri yapılarını temsil eder. Kullanıcıların eriştikleri klasörler, bu klasörlerin yolları ve görüntüleme ayarları gibi bilgilerle birlikte kaydedilir. Bu bilgi, siber güvenlik tehditleri ve kullanıcı davranışları hakkında derinlemesine anlayış sağlar.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

ShellBags analizi, yanlış yapılandırmalar veya mevcut zafiyetlerin saptanmasında kritik bir rol oynar. Örneğin, kullanıcıların sürekli olarak belirli bir dizine eriştikleri gözlemlenirse, bu durum bir siber saldırganın hedef alabileceği zayıf noktaları açığa çıkarabilir. Eğer ShellBags kayıtları, kullanıcıların yalnızca yasadışı veya tehdit oluşturabilecek içeriklere erişimi gösteriyorsa, bu durum bir güvenlik riski işareti olarak kabul edilmelidir. Ayrıca, silinmiş klasörlere dair bilgiler bulmak, veri ihlali veya yetkisiz erişim durumlarında faillerin izini sürmek için değerlidir.

Veri Sızıntısı ve Topoloji Tespiti

ShellBags analizi, potansiyel veri sızıntılarını tespit etmenin yanı sıra, bir ağın topolojisinin anlaşılmasına da olanak tanır. Kullanıcıların hangi dizinlere eriştiği, şüpheli veya yetkisiz erişim senaryolarını belirlemek için analiz edilmektedir. Örneğin, aşağıdaki şekilde veriler çıkarılabilir:

Kullanıcı: abc_user
Erişim Yolu: C:\SensitiveData\Report.docx
Son Erişim: 2023-10-04 15:30

Bu tür bir veri, yalnızca kullanıcının hangi belgelere eriştiğini değil, aynı zamanda bu belgelerin önemini vurgular. Eğer bu tür bilgilere erişim, sanal bir tehdit tarafından ele geçirilirse, sonuçları felaket olabilir.

Profesyonel Önlemler ve Hardening Önerileri

ShellBags kayıtlarının incelenmesi, güvenlik ekiplerine hem mevcut durumu değerlendirme hem de önceki tehditlere dair bilgi sağlama imkanı verir. Bu bağlamda, aşağıdaki önlemler önerilebilir:

  1. Güncel Sistem Güncellemeleri: Windows işletim sisteminin en güncel yamalarının ve güvenlik güncellemelerinin uygulanması, zafiyetlerin kapatılması için gereklidir.

  2. Sıkı Erişim Kontrolleri: Yetkisiz erişim riskini azaltmak amacıyla, kullanıcıların hangi dosyalara erişebileceği sınırlanmalıdır. Bu, “en az ayrıcalık” ilkesine dayalı olarak yönetilmelidir.

  3. Kayıtları İzleme ve Analiz: ShellBags ve diğer sistem kayıtları düzenli olarak gözden geçirilmeli ve analiz edilmelidir. Anormal erişim davranışları hemen tespit edilmelidir.

  4. Eğitim ve Bilinçlendirme: Kullanıcıların güvenlik bilinci artırılmalı, sosyal mühendislik tehditlerine karşı farkındalık sağlanmalıdır.

Sonuç Özeti

ShellBags analizi, siber güvenlikte kritik bir bileşen olup, kullanıcı davranışlarını, yanlış yapılandırmaları ve potansiyel tehditleri anlama konusunda derinlemesine bilgiler sunmaktadır. Düzenli analizler ve profesyonel önlemler ile organizasyonlar, siber güvenlik altyapılarını güçlendirebilir ve olası riskleri minimize edebilir. Klasör erişim geçmişinin bilinçli takibi, güvenlik olaylarının daha hızlı ve etkili bir şekilde yönetilmesine olanak tanır.