CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

ShellBags Artifact İncelemesi: Siber Güvenlikteki Rolü

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

ShellBags analizi, siber güvenlikte kritik veri izlerini takip etmede önemli bir yöntemdir. Bu yazıda ShellBags'ın temel özelliklerini öğreneceksiniz.

ShellBags Artifact İncelemesi: Siber Güvenlikteki Rolü

ShellBags, kullanıcıların klasör erişimlerini ve veri hareketlerini takip etmeye yarayan önemli bir forensic artifact'tir. Bu yazı, ShellBags'ın temel özellikleri ve analizi hakkında bilgi vermektedir.

Giriş ve Konumlandırma

ShellBags Artifact İncelemesi: Siber Güvenlikteki Rolü

Siber güvenlik alanında dijital delilleri analiz etmek, olayların anlaşılmasında kritik bir rol oynamaktadır. Bu bağlamda, ShellBags olarak bilinen forensik artefaktlar, Windows işletim sistemlerinde kullanıcıların klasör erişimlerini ve geçmişlerini takip etme şeklinde önemli bilgiler sunar. ShellBags, kullanıcıların Windows Explorer üzerinden eriştiği klasör, dizin ve taşınabilir medya gibi öğelerin geçmişini bir araya getiren bir veri yapısıdır. Bu veriler, işletim sistemi kayıt defterinde saklanmakta olup, siber olay incelenmesi ve dijital olay müdahalesi süreçlerinde büyük bir öneme sahiptir.

Neden ShellBags Önemli?

ShellBags, siber güvenlik profesyonelleri ve dijital adli bilişim uzmanları için kıymetli bir kaynak oluşturmaktadır. Kullanıcıların dosya sistemine dair hareketlerini kayıt altında alarak engin bir analiz imkanı tanır. Özellikle şüpheli veya saldırgan faaliyetlerin izlenmesi gereken senaryolar için ShellBags, geçmişte erişilen klasörlerin ve dosyaların izini sürmekte oldukça etkilidir. Bir kullanıcı profiline ait NTUSER.DAT dosyası içerisinde depolanan bu veriler, aynı zamanda silinmiş klasörlere dair kanıt da sağlayabilir.

Siber Güvenlik, Pentest ve Savunma Açısından ShellBags

Siber saldırganlar genellikle hedef sistemler üzerinde kalıcı erişim sağlamak amacıyla çeşitli teknikler kullanır. ShellBags, bu tür bir erişimi izlemek ve geriye dönük olarak analiz etmek için önemli bir araçtır. Bir pentest senaryosunda, saldırganın klasörlere nasıl eriştiği ve hangi dosyalara ulaştığına dair bilgilerin elde edilmesi, güvenlik açığı analizleri açısından kritik bir durumdur. ShellBags, olay zaman çizelgesi oluşturulmasında da yardımcı olur; bu sayede potansiyel saldırılar herhangi bir zamanda tespit edilebilir.

Aşağıda, ShellBags veri yapısına dair bazı bileşenler ve özellikler sıralanmıştır:

1. Klasör Yolları (Folder Paths)
2. Erişim Zamanları (Timestamps)
3. Harici Aygıtlar (External Devices)
4. Klasör Erişim Takibi (Folder Access Tracking)
5. Silinmiş Klasör İzleri (Deleted Path Evidence)
6. USB Kullanım Takibi (USB Usage Tracking)

Bu bileşenler, bir kullanıcının veri hareketleri hakkında kapsamlı bilgi sağlamaktadır. Örneğin, bir kullanıcının harici bir USB cihazına eriştiği belirtilirken, ShellBags üzerindeki zaman damgaları ve klasör yolları sayesinde bu erişimin doğru bir kronolojisi çizilebilir. Bu tür bilgilere ulaşmak, olası bir ihlalin veya kötü niyetli bir davranışın analizi açısından son derece değerlidir.

Okuyucuya Bilgilendirme

Bu makalede, ShellBags'ın tanımı, saklandığı konum, veri alanları, analizi için kullanılan araçlar ve bunun gibi çeşitli konular derinlemesine ele alınacaktır. Bu süreçte, ShellBags'ın siber güvenlik iş akışlarını nasıl etkilediğini ve dijital adli bilişim süreçlerine ne denli katkı sağladığını keşfetmek için gerekli teknik bilgilere ulaşacaksınız. ShellBags incelemesi; siber olay müdahaleleri, adli bilişim ve veri güvenliği alanlarında kullandığınız araç setine eklemek isteyeceğiniz kritik bir bileşen olabilir. Analiz süreçlerinde ShellBags’ı etkin bir şekilde kullanmak, herhangi bir siber olayı daha iyi anlamak ve yönetmek açısından hayati önem taşır.

Siber güvenlik alanı sürekli evrilen bir yapıya sahiptir. Bu nedenle, ShellBags gibi teknik artefaktların analizi, profesyonellerin güncel kalmalarını ve olaylara hızlı müdahale etmelerini sağlamak adına oldukça kritik bir reputasyona sahiptir.

Teknik Analiz ve Uygulama

ShellBags Tanımı

ShellBags, Windows işletim sistemlerinde kullanıcıların eriştiği klasörler ve dizinler hakkında bilgi saklayan bir registry veri yapısıdır. Kullanıcı Windows Explorer üzerinden belirli dizinleri açtığında veya klasörlere eriştiğinde, bu işlem ile ilgili bilgiler Windows kayıt defterinde tutulur. ShellBags, siber güvenlik ve dijital adli bilimlerde önemli bir forensic artifact olarak kabul edilmektedir. Özellikle kullanıcı davranışlarını analiz etme ve olayların zaman çizelgelerini oluşturma konusunda sağlam bir temel sunar.

ShellBags Registry Konumu

ShellBags verileri, NTUSER.DAT dosyası içerisinde yer alan HKEY_CURRENT_USER anahtarında saklanır. Aşağıdaki kayıt defteri yolu, ShellBags verilerine erişim sağlamak için kullanılır:

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU

Bu yol üzerinden kullanıcı klasörlerine erişim ile ilgili geçmiş verilerin bulunduğu alanlara ulaşmak mümkündür.

ShellBags Veri Alanları

ShellBags'teki veri yapısı, farklı alanları içerir. Bu alanlar, klavye ile yapılan her erişimde güncellenir ve aşağıdakiler gibi önemli bilgiler içerir:

  • Klasör Yolları: Kullanıcının eriştiği dizinlerin yolları.
  • Erişim Zamanları: Her bir klasör erişiminin zaman damgaları.
  • Harici Medya Erişimi: Kullanıcının bağlı harici depolama birimlerine erişimi.
  • Klasör Erişim Geçmişi: Kullanıcının hangi klasöre ne zaman eriştiğini gösteren geçmiş kayıtları.

SBECmd Aracı

ShellBags verilerinin analizi için Eric Zimmerman tarafından geliştirilen SBECmd aracı kullanılmaktadır. Bu araç, NTUSER.DAT dosyası içerisindeki ShellBags verilerini analiz etmekte ve anlaşılır bir çıktı sağlamaktadır. SBECmd kullanımı oldukça basittir ve genel komut yapısı aşağıdaki gibidir:

sbecmd.exe -d ntuser.dat

Burada -d parametresi, analiz edilecek dosyayı belirtmek için kullanılır.

SBECmd Kullanımı

SBECmd aracıyla ShellBags veri analizi yapmak için aşağıdaki adımları izleyebilirsiniz:

  1. SBECmd aracını edin: Aracın uygun versiyonunu indirip sisteminize kurun.
  2. NTUSER.DAT dosyasını temin edin: Kullanıcının profil dosyasına ait NTUSER.DAT dosyasını erişiminize açın.
  3. Komutu çalıştırın: Terminal veya komut istemcisinde yukarıda belirtilen komutu çalıştırarak, ShellBags verilerini görüntüleyin.

Örnek çıktı şu şekilde olabilir:

Folder Path: C:\Users\Kullanıcı\Documents
Last Accessed: 2023-10-01 14:30:00

Bu tür çıktı, kullanıcı davranışları üzerinde detaylı analiz yapma imkanı sunar.

ShellBags Forensic Avantajları

ShellBags kullanmanın birçok forensic avantajı bulunmaktadır. Bunlar arasında:

  • Silinmiş Kanıtlar: Kullanıcıların silmiş olduğu klasörlerle ilgili veriler hala ShellBags içerisinde saklanmaktadır. Bu, araştırmacıların daha önce var olan klasörleri tespit etmesine yardımcı olur.
  • Zaman Çizelgesi Oluşturma: ShellBags verileri, klasör erişiminin zaman çizelgesini oluşturarak olayların sıralı bir analizini yapmaya olanak tanır. Kullanıcıların hangi dosyalar üzerinde ne zaman çalıştığına dair detaylı veri sağlar.
  • Kullanıcı Davranışı Analizi: ShellBags verileri sayesinde, kullanıcıların dosya erişim alışkanlıkları ve hangi araçları kullandıkları hakkında bilgi edinilir.

Silinmiş Verinin Analizi

ShellBags, kullanıcıların geçmişte eriştiği fakat silinmiş olan klasörler hakkında bilgi sunar. Bu, adli incelemelerde önemli bir rol oynamaktadır. Örneğin, bir kullanıcı belirli bir klasörü sildiğinde, ShellBags verileri hala bu klasörün erişim bilgilerini saklayabilir. Araştırmacılar, bu verileri inceleyerek silinen klasörlerin izlerini takip edebilir ve olası delillere ulaşabilirler.

Zaman Çizelgesi Oluşturma

ShellBags verileri, kullanıcıların faaliyetlerini zaman çizelgesine dönüştürmek için kullanılabilir. Kullanıcıların hangi dosyalara hangi zaman dilimlerinde erişim sağladığını gözlemlemek, olay sonrası analizler için kritik öneme sahiptir.

ShellBags Anti-Forensics Riskleri

Ancak, ShellBags analizlerinde bazı anti-forensics riskleri de mevcuttur. Özellikle kullanıcılar, kayıt defterlerindeki verilerini temizleme veya zaman damgalarını manipüle etme eylemlerine başvurabilir. Bu tür aktiviteler, adli analizlerin geçerliliğini sorgulayabilir. Örneğin, bir kullanıcı NTUSER.DAT dosyasını temizlediğinde, ShellBags üzerindeki verilerin kaybolmasına yol açabilir. Bu nedenle, analistler bu tür manipülasyonları tespit etmek için ek önlemler almalıdır.

SOC L2 ShellBags Operasyonu

SOC (Security Operations Center) analistleri, ShellBags verilerini inceleyerek şüpheli klasör erişimlerini ve veri hareketlerini tespit eder. Analistler, ShellBags veri setlerini kullanarak kullanıcı davranışlarındaki anomalileri belirleyebilir ve potansiyel siber tehditleri tespit edebilir.

Sonuç olarak, ShellBags analizi, dijital forensics süreçlerinde kullanılan etkili bir yöntemdir ve kullanıcı eylemlerinin derinlemesine anlaşılmasına olanak tanır. Verimli bir ShellBags analizi için doğru araçların ve tekniklerin kullanılması kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme

ShellBags artifact'leri, Windows işletim sistemlerinde kullanıcıların klasör ve dizin erişimlerini kayıt altına alarak siber güvenlik alanında önemli bir rol oynamaktadır. Bu veriler, kullanıcı davranışlarının ve erişim yollarının izlenmesi açısından değerlidir. Ancak, bu bilgilere yanlış yapılandırma veya zafiyetler aynı zamanda kötüye kullanılabilir.

Yanlış Yapılandırmalar ve Zafiyetler

ShellBags, NTUSER.DAT dosyasında saklanan kullanıcı profiline ait verileri içermektedir. Kötü yapılandırmalar veya hatalı uygulamalar, bu verilerin güvenliğini zayıflatabilir. Örneğin, ShellBags kayıtlarını analiz ederken, kullanıcıların erişim izni olmayan klasörlere erişimlerinin tespit edilmesi, potansiyel bir güvenlik açığının göstergesi olabilir. Ayrıca, ShellBags'in içeriğinin yanıltıcı veya tam olmayan bilgiler içermesi, kullanıcıların gerçek erişim yollarını anlamakta güçlük çekmelerine neden olabilir.

Bir başka risk ise, ShellBags'in belirli bir süre içerisinde silinen klasörlerin izlerini koruyarak, geçmişteki kötü niyetli erişimlerin veya veri sızıntılarının izini sürme olanağı sağlamasıdır. Bu durum, kötü niyetli şahısların veya grupların daha önce yaptıkları sızma aktivitelerini gizlemeye çalışmasına yol açabilir.

Sızan Veriler ve Topoloji Tespiti

ShellBags'in sağladığı veriler arasında klasör yolları, zaman damgaları ve harici cihazların kullanımı gibi bilgiler bulunmaktadır. Bu bilgiler, siber olay incelemelerinde kritik öneme sahiptir. Örneğin, aşağıdaki gibi bir ShellBags analizi ile elde edilecek bilgiler, olası bir saldırının zaman çizelgesinin oluşturulmasında kullanılabilir:

sbecmd.exe -d ntuser.dat

Yukarıdaki komut, NTUSER.DAT dosyasındaki ShellBags verilerini çıkarmakta ve analiz edilmeye hazır hale getirmektedir. Elde edilen bilgiler ile hangi klasörlere, ne zaman ve hangi cihazlardan erişimlerin yapıldığı tespit edilebilir. Bu veriler, saldırının nasıl gerçekleştiğini ve hangi yollarla ilerlediğini anlamada kritik bir rol oynar.

Profesyonel Önlemler ve Hardening Önerileri

ShellBags ile ilgili olası riskleri minimize etmek için aşağıdaki önlemler alınmalıdır:

  1. Kayıt Temizliği: Kayıt temizleme işlemleri, ShellBags verilerini olumsuz etkileyebilir. Bu nedenle kullanıcıların nasıl bir program altında kayıt temizliği çalıştıkları denetlenmelidir.

  2. Kullanıcı Eğitimleri: Kullanıcıların güvenlik bilincini artırmak amacıyla düzenli eğitimler verilmelidir. Bu, yanlış yapılandırmaların ve kötüye kullanımın önüne geçmek için önemlidir.

  3. Sıklıkla Güncelleme: ShellBags verilerini analiz eden araçların güncel tutulması, yeni güncellemelerin ve zafiyetlerin izlenmesi açısından kritik öneme sahiptir.

  4. Erişim Kontrolleri: Kullanıcıların yalnızca yetkili oldukları klasörlere erişim izni verilmelidir. Bu tür kontroller, potansiyel sızıntıların ve kötü niyetli erişimlerin önlenmesi adına önem taşır.

  5. İzleme ve Uyarı Sistemleri: ShellBags gibi kritik artifact'leri izlemek için otomatik sistemlerin kurulması, şüpheli aktivitelerin anında tespit edilmesine olanak tanır.

Sonuç Özeti

ShellBags, siber güvenlik alanında hem fırsatlar hem de riskler barındırmaktadır. Elde edilen veriler, kullanıcı davranışlarını anlamak ve güvenlik tehditlerini tespit etmek açısından önemli olsa da, yanlış yapılandırmalar ve zafiyetler bu verilerin kötüye kullanılmasına yol açabilir. Siber güvenlik uzmanlarının ShellBags artifact'lerini doğru yorumlaması, yapılması gereken profesyonel önlemleri alması ve sürekli olarak bu bilgileri güncel tutması, siber güvenlik tehditleriyle başa çıkmada kritik bir adım olacaktır.