CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

ShimCache ve AppCompatCache: Adli Analiz Aracı Olarak Kullanımı

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

ShimCache ve AppCompatCache, Windows sistemlerinde uygulama yürütme izlerinin analizi için kritik öneme sahiptir. Bu yazıda bu araçların kullanımını keşfedeceksiniz.

ShimCache ve AppCompatCache: Adli Analiz Aracı Olarak Kullanımı

ShimCache ve AppCompatCache, Windows sistemlerdeki uygulama aktivitelerini ortaya çıkarmak için önemli adli analiz araçlarıdır. Bu yazıda analizin detayları ve avantajları ele alınacaktır.

Giriş ve Konumlandırma

ShimCache ve AppCompatCache: Adli Analiz Aracı Olarak Kullanımı

Siber güvenlik alanında, dijital delil toplama ve analiz süreçleri her geçen gün daha kritik bir önem kazanıyor. Özellikle, Windows işletim sistemlerinde yürütülen uygulamaların izlerini kaydeden iki önemli yapı olan ShimCache ve AppCompatCache, adli analiz sürecinin önemli araçları arasında yer alıyor. Bu blog yazısında, bu iki yapı üzerinde durarak, adli analizde sağladıkları katkıları ve neden bu kadar önemli olduklarını detaylı bir şekilde inceleyeceğiz.

ShimCache ve AppCompatCache Nedir?

ShimCache, Windows sistemlerde çalıştırılmış uygulamalara ait izleri tutan bir data yapısıdır. Bu yapı, uygulama uyumluluğu sağlamak amacıyla tasarlanmış bir sizin çerçevesi olarak işlemesi artırmayı hedefler. Uygulama çalıştırma geçmişini belirlemek için kritik bilgiler sağlayarak, olası şüpheli aktiviteleri tespit etme konusunda önemli avantajlar sunmaktadır.

AppCompatCache ise, uyum sağlamakta güçlük çeken uygulamaların çalışmasını kolaylaştıran bir başka mekanizmadır. Windows'un uygulama uyumluluk özelliklerini kullanarak, uygulamaların ne zaman çalıştırıldığını ve hangi dosyaların kullanıldığını kaydeder. Bu hafıza yapısı, sistemde gerçekleşen olayların anlaşılmasında büyük rol oynamaktadır.

Neden Önemli?

ShimCache ve AppCompatCache, siber güvenlik, penetration testing (pentest) ve savunma açısından birçok önemli veri sağlar. Özellikle, olası bir siber saldırı durumunda geçmiş uygulama aktivitelerini analiz edebilme yeteneği, etkili bir incident response sürecinin en önemli unsurlarından biridir.

Kod bloklarıyla birlikte örneklendirdiğimizde, ShimCache verisi sayesinde aşağıdaki türde bilgilere ulaşabiliyoruz:

Executable Path:  C:\Program Files\ExampleApp\app.exe
Last Modified Time: 2023-10-03 12:45:00
File Size:  15 MB

Bu tür bilgiler, bir uygulamanın ne zaman çalıştırıldığı, dosya boyutu ve yola dair detaylar sunarak potansiyel bir tehlikeye karşı tedbir almaya olanak tanır.

Adli Analiz ve Siber Güvenlikte Kullanımı

ShimCache ve AppCompatCache'in sağladığı veriler, adli analiz süreçlerinde çok değerlidir. SOC L2 analistleri, bu verileri kullanarak şüpheli uygulamaları tespit edebilir, zararlı yazılımların izlerini bulabilir ve zaman çizelgesi oluşturma gibi süreçleri kolaylaştırabilir. Örneğin, bir kötü amaçlı yazılımın sistemde ne zaman ortaya çıktığına ve hangi diğer uygulamalarla etkileşime geçtiğine dair detaylar, siber güvenlik uzmanları için kritik öneme sahiptir.

Bunların yanı sıra, bu iki yapı, savunma hatlarını güçlendirmek ve tehdit avcılığı yapmak için de kullanılabilir. Analistler, verileri inceleyerek, sahtecilik vakalarını açığa çıkarabilir ve zararlı uygulamaların sistem üzerinde yarattığı etkileri daha net bir şekilde değerlendirebilir.

Teknik Bağlam

ShimCache ve AppCompatCache’in sunduğu bilgiler, yapılacak analizlerde kritik etmekte, adli bilişim uzmanlarının hem geçmişteki olayları anlayabilmesini hem de gelecekte yaşanabilecek siber tehditlerin önünü almalarını sağlamaktadır. Digital forensics (dijital adli bilimler) alanındaki uygulamalarda, bu tür verilerin analizi sıklıkla kullanılmakta ve risk yönetiminde önemli bir rol oynamaktadır.

Sonuç olarak, ShimCache ve AppCompatCache, siber güvenlik pratiklerinin vazgeçilmez unsurlarıdır. Bu yapılar, hem geçmiş veri analizi hem de mevcut tehdit analizi yapmak için önemli enstrümanlar sunarak analistlerin işlerini kolaylaştırmaktadır. Siber güvenlik alanında bu yapıların analiz edilmesi, güvenlik stratejilerinin geliştirilmesi açısından da faydalı sonuçlar doğuracaktır.

Okuyucuları, önümüzdeki bölümlerde bu iki yapının daha derinlemesine analiz süreçlerine ve kullanım alanlarına dair detaylı bilgiyle donatmayı hedefliyoruz.

Teknik Analiz ve Uygulama

ShimCache ve AppCompatCache: Adli Analiz Aracı Olarak Kullanımı

ShimCache Tanımı

ShimCache, Windows işletim sistemleri üzerinde çalıştırılan uygulamaların izlerini tutan bir yapı olarak bilinir. Bu yapı, programların çalıştırılma bilgilerini içeren bir önbellek oluşturur. Özellikle yüklü yazılımların hangi tarihlerde çalıştırıldığına dair önemli bilgiler sunar. ShimCache, zararlı yazılımların tespiti ve uygulama yürütme geçmişinin belirlenmesi açısından kritik öneme sahiptir.

ShimCache Analiz Süreci

ShimCache verilerini analiz etmek için aşağıdaki adımlar genellikle izlenir:

  1. Sistem Hive’i Çıkarma: Öncelikle, Windows kayıt defterinden sistem hive dosyası çıkarılmalıdır. Bu işlem, ShimCache verilerine erişebilmek için gereklidir.

  2. Veri Parse Edilmesi: Çıkarılan sistem hive’i ile ilgili araç kullanarak appcompatcache verisi parse edilmelidir. Bu işlem, çalıştırılan uygulamaların ve ilgili zaman damgalarının belirlenmesine yardımcı olur.

  3. Threat Analizi: Elde edilen bilgiler ile tehdit analizi gerçekleştirilir. Uygulama geçmişinin yanı sıra, zararlı yazılımlara dair bulgular da bu süreçte ele alınabilir.

# ShimCache verilerinin elde edilmesi için kullanabileceğiniz bir komut örneği:
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\AeDebug" /s

ShimCache Veri Alanları

ShimCache verisi genellikle birkaç önemli alan içerir. Bu alanlar, adli analiz sürecinde kritik bilgiler sağlayabilir:

  • Executable Path: Çalıştırılan dosyanın yolu.
  • Last Modified Time: Dosyanın en son değiştirildiği tarih.
  • File Size: Dosyanın boyutu.
  • Execution History: Uygulamanın geçmişteki çalıştırılma kayıtları.

Bu alanlar, uygulama yürütme aktiviteleriyle ilgili derinlemesine bilgiler sunarak forensic timeline oluşturmasında yardımcı olur.

AppCompatCache Tanımı

AppCompatCache, uyumluluk kayıt sistemi olarak bilinir ve ShimCache ile benzer bir amaca hizmet eder. Uygulamaların çalışmasına dair bilgiler depolar. Bu özellik, özellikle kullanıcılar çeşitli uyumluluk düzeltmeleri yaptığında önem kazanır. Uygulama performansını artırmak ve kullanıcı deneyimini iyileştirmek için gerekli analizleri yapabilmek için bu verilerin incelenmesi gereklidir.

ShimCache Analiz Avantajları

ShimCache kullanmanın çeşitli avantajları bulunmaktadır:

  • Zararlı Binarylerin Ortaya Çıkarılması: ShimCache, sadece uygulama yürütme izlerini tutmakla kalmaz; zararlı yazılımların tespit edilmesine yardımcı olur.
  • Forensic Timeline Oluşturma: Geçmişe dönük uygulama çalıştırma verileri ile zaman çizelgeleri oluşturmak mümkündür. Bu sayede olayların kronolojik sıralaması belirlenebilir.
  • Incident Response Süreçlerine Katkı: ShimCache verileri, olay müdahale süreçlerini güçlendirir ve analiz süreçlerine hız kazandırır.

Execution Artifact Tanımı

Execution artifact, bir programın yürütme izlerine atıfta bulunur. Bu kavram, uygulama yürütme süreçlerini analiz ederken karşımıza çıkan önemli bir referanstır. Özellikle olayların izlenmesi ve analiz edilmesi açısından bu tür bilgiler hayati önem taşır.

ShimCache Kullanım Alanları

ShimCache verileri, pek çok farklı alanda kullanılabilir. Örneğin:

  • Zararlı Yazılım Tespiti: ShimCache, kötü niyetli yazılımlar hakkında bilgiler sunarak, zararlı uygulamaların tespiti konusunda etkili bir araçtır.
  • Çalıştırılan Uygulamaların Analizi: Üzerinde çalışılan cihazlardaki uygulama geçmişleri hakkında derinlemesine bilgi sağlar.
  • Threat Hunting Geliştirme: Özellikle SOC L2 analistleri, ShimCache verilerini kullanarak olası güvenlik tehditlerini daha iyi anlamak için kullanabilir.

Parser Tanımı

Parser, ham forensic veriyi okunabilir hale getiren bir araçtır. ShimCache ve AppCompatCache verilerini analiz etmek için kullanılır. Elde edilen verilerin düzenlenmesi, yorumlanması ve sunulması açısından kritik bir rol oynar.

SOC L2 ShimCache Rolü

SOC L2 analistleri, ShimCache verilerini detaylı bir şekilde inceler. Bu veriler, zararlı uygulamaların tespiti, çalıştırma geçmişinin analizi ve tehdit avlama süreçlerinin geliştirilmesi açısından oldukça değerlidir. Analistlerin bu verileri etkili bir şekilde kullanabilmesi, siber güvenlik olaylarına hızlı yanıt verme yeteneğini artırır.

ShimCache Mastery

Kısacası, ShimCache ve AppCompatCache analizi, siber güvenlik alanında kritik bir önem taşımaktadır. Uygulamaların geçmiş performansı hakkında bilgi edinmek, tehdit analizi yapmak ve zararlı yazılımları tespit etmek için bu yapıların etkin bir şekilde kullanılması gerekmektedir. Analiz sürecinde izlenecek adımlar ve elde edilen veriler, bir siber güvenlik olayının nasıl yönetileceği ve önleneceği konusunda önemli çıkarımlar yapmamıza olanak tanır.

Risk, Yorumlama ve Savunma

ShimCache ve AppCompatCache analizi, adli analiz sürecinde kritik bir rol oynamaktadır. Bu iki yapı, bir Windows sistemde çalıştırılmış uygulamaların izlerini tutarak, hem güvenlik analistlerine hem de adli müfettişlere hukuki ve teknik anlamda resmi veriler sağlar. Ancak bu verilerin nasıl yorumlandığı ve aktarıldığı, bir sistemin güvenliği üzerinde doğrudan etkili olabilir. Bu nedenle, elde edilen bulguların yorumlanması, potansiyel yanlış yapılandırmaların veya zafiyetlerin etkisinin anlaşılması ve profesyonel önlemlerin alınması büyük önem taşımaktadır.

Elde Edilen Bulguların Güvenlik Değeri

ShimCache verisi, sistemdeki uygulamaların çalıştırılmasına dair önemli bilgiler sunar. Örneğin, aşağıdaki kod bloğunda, ilgili verilerin nasıl okunacağına dair bir çıktı örneği verilmiştir:

# ShimCache ile uygulama bilgilerini almak için gereken komut
Get-ItemProperty "HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\*" | Select-Object DisplayName, LastWriteTime

Elde edilen veriler, Workbook veya benzeri bir formatta listelenebilir. Analiz sonucunda aşağıdaki alanlarda bilgiler toplayabilirsiniz:

  • Executable Path: Çalıştırılan dosya yolu
  • Last Modified Time: Son değiştirilme zamanı
  • File Size: Dosya boyutu

Bu tür bilgiler, kötü niyetli bir yazılımın veya yetkisiz bir kullanıcının sistemdeki varlığını tespit etmek için kritik olabilir. Eğer uygulamanın beklenmedik zamanlarda çalıştığı veya bilinen zararlı yazılımlar tarafından etkilendiği tespit edilirse, sistem yöneticileri için ciddi bir risk söz konusudur.

Yanlış Yapılandırma ve Zafiyetler

ShimCache ve AppCompatCache kullanılarak elde edilen sonuçlar, yanlış yapılandırmaların veya zafiyetlerin etkisini anlamak açısından da önem arz eder. Örneğin, uygulama güncellemeleri yapılmadığında veya varsayılan güvenlik ayarları değiştirilmediğinde, sistemin belirli açıklarına meydan okunabilir. Böyle bir durumda, sızan verilerin; veri tabanları, kimlik bilgileri veya kişisel bilgiler olabileceğini göz önünde bulundurmalıyız.

Veri sızıntılarının kaynağı genellikle bilgi güvenliği açığı içeren uygulamalar veya yapılandırmalardır. Örneğin, kötü niyetli bir yazılımın izleri ShimCache üzerinden tespit edilirse, bu, yazılımın sistemin güvenliğini ciddi anlamda tehdit ettiğini gösterir. Bu tür bulgular, zorunlu güvenlik yamalarının uygulanmadığı ve zararlı yazılımlara karşı koruma eksikliği olduğu anlamına gelebilir.

Profesyonel Önlemler ve Hardening Önerileri

Analiz süreci sonucunda tespit edilen güvenlik açıklarını kapatmak ve sistemin genel güvenliğini artırmak için aşağıdaki önerilere dikkat edilmelidir:

  1. Güncellemeleri Düzenli Olarak Yapın: Tüm yazılımların güncel olduğundan emin olun. Yazılım geliştiricleri tarafından sağlanan yamalar, bilinen güvenlik açıklarını kapatır.

  2. Güvenlik Duvarı ve Antivirüs Kullanımı: Aktif bir güvenlik duvarı ve güncel bir antivirüs yazılımı kullanmak, siber saldırılara karşı önemli bir savunma mekanizması oluşturur.

  3. Eğitim ve Tatbikat: Kullanıcılar için düzenli güvenlik eğitimi sağlanmalı ve olası güvenlik ihlallerine karşı tatbikatlar gerçekleştirilmelidir.

  4. Yedekleme Stratejisi: Verilerin düzenli olarak yedeklenmesi, olası bir veri kaybında geri dönüş önlemi sağlar.

  5. Log İzleme: Sistem aktivitelerini sürekli izlemek, beklenmeyen davranışları hızlıca tespit etmenizi sağlar.

Sonuç

ShimCache ve AppCompatCache analizi, siber güvenlik uzmanlarına, Windows tabanlı sistemlerde meydana gelen uygulama aktivitelerini anlamada önemli bir yaklaşım sunar. Elde edilen bulgular, gerekli güvenlik önlemlerinin alınması açısından büyük bir öneme sahiptir. Doğru yorumlama ve etkili savunma mekanizmaları ile sistemlerin güvenliğini artırmak, siber tehditlere karşı koyma kapasitesini artırır. Eğitimli bir güvenlik ekibi, bu tür analizleri etkili bir şekilde kullanarak sistem güvenliğini sağlama noktasında başarılı olabilir.