CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

ShimCache (AppCompatCache) Analizi ile Siber Güvenlikte İz Sürme

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

ShimCache analizi, Windows sistemlerindeki uygulama izlerini inceleyerek siber tehditleri tespit etme yöntemlerini açıklar.

ShimCache (AppCompatCache) Analizi ile Siber Güvenlikte İz Sürme

Windows işletim sistemlerinde uygulama izlerini analiz etmek için ShimCache'in önemi ve nasıl kullanılacağı hakkında kapsamlı bilgiler veriyoruz. Siber güvenlikte iz sürmenin inceliklerine dalın!

Giriş ve Konumlandırma

Siber güvenlik dünyasında iz sürme (artifact hunting), saldırıların anlaşılması, analiz edilmesi ve tespit edilmesi için kritik bir süreçtir. Bu bağlamda, Windows işletim sistemlerinde uygulamaların çalıştırıldığına dair izleri tutan bir mekanizma olan ShimCache, güvenlik uzmanlarının ve dijital adli bilimcilerin en önemli araçlarından biri haline gelmiştir. ShimCache, ayrıca AppCompatCache olarak da bilinir ve kullanıcıların sistemlerinde hangi uygulamaların ne zaman çalıştığı hakkında önemli verileri sunar.

ShimCache Nedir?

ShimCache, Windows işletim sistemlerinde yapılan uygulama yürütmelerinin izlerini saklamak için kullanılan bir yapıdadır. Bu mekanizma, uygulamaların çalıştırıldığı zamanı, dosya yollarını, dosya boyutlarını ve daha birçok kritik bilgiyi içerir. ShimCache verileri, "System" kayıt defterinin bir parçası olarak bulunur ve özel bir analiz gerektirir. Bu veri yapısı, henüz silinmemiş dosyalar için son derece değerli bilgiler sunar, böylece bir siber saldırının ardındaki motivasyon ve yöntemleri anlamak mümkün hale gelir.

Neden Önemlidir?

ShimCache'in önemli olmasının en büyük sebeplerinden biri, siber güvenlik uzmanlarının geçmişteki uygulama yürütmelerini izlerken elde ettikleri bilgilerdir. Bu bilgiler, bir sistemin ne tür tehditlerle karşı karşıya kalabileceğini anlamalarına yardımcı olur. Özellikle pentest (penetrasyon testi) süreçlerinde, bu veriler saldırganların hangi yolları kullandığını ve hangi uygulamaların hedef alındığını belirlemede kritik önem taşır. Ayrıca, kötü niyetli yazılımların ve diğer zararlı unsurların davranışlarının izlenmesi açısından da son derecede yol göstericidir.

Şirketler ve Bireyler Açısından Bağlam

Birçok şirket, siber saldırılara karşı aktif bir savunma mekanizması geliştirmek için ShimCache verilerini kullanır. Bu tür analizler, kötü amaçlı yazılımların izlerinin sürülmesi, kalıcılık tespiti ve veri ihlalleri sırasında uygulama geçmişinin takip edilmesi adına son derece faydalıdır. Aksi halde, bir saldırının kaynağını ve etkilerini anlamak oldukça zorlaşır. Örneğin, bir şirketin sisteminde kötü amaçlı yazılım yayılması durumunda, ShimCache analizleri, tehlikeli uygulamaların ne zaman ve ne şekilde çalıştığını ortaya koyarak, tehditlerin anlık ve gelecekteki olasılıklarını değerlendirmeye yardımcı olabilir.

Teknik İçeriğe Hazırlık

Bu blog yazısında, ShimCache analizi ile ilgili derinlemesine bir bakış sunacağız. İlk olarak, ShimCache'in nasıl çalıştığını ve hangi veri alanlarını içerdiğini keşfedeceğiz. Devamında, ShimCache verilerini analiz etmek için kullanılan popüler araçlara ve komutlara göz atacağız. Ayrıca bu analizlerin sağladığı avantajları, sınırlamaları ve olası tehditleri ortaya koyacağız. Tüm süreç boyunca, okuyucuyu teknik açıdan bilgilendirerek, pratik uygulamalar üzerinde fikir yürütme imkanı sağlamayı amaçlıyoruz.

Teknik terminoloji ve araçların kullanımıyla birlikte, okuyucuların bu konuda yeterli bilgi edinmelerini sağlamak amacıyla pratik örnekler ve veri akışları ile zenginleştirilmiş bir içerik sunulacaktır. Bu bağlamda, okuyuculardan bazı ön bilgi veya teknik becerilere sahip olmaları beklenmektedir. Örneğin, Windows işletim sistemleri ve kayıt defteri yapıları hakkında temel bir bilgi sahibi olmak, ShimCache'in etkili bir şekilde analiz edilmesine yardımcı olacaktır.

Sonuç olarak, bu yazı siber güvenlik alanında önemli bir kaynak oluşturarak, iz sürme süreçlerini geliştirmek isteyen uzmanlar için değerli bir rehber sunmayı hedeflemektedir. ShimCache analizi, yalnızca geçmiş bilgi edinmekle kalmayıp, aynı zamanda gelecekteki potansiyel tehditleri de anlamak için önemli bir araçtır.

Teknik Analiz ve Uygulama

ShimCache Tanımı

ShimCache, Windows işletim sisteminde çalıştırılan uygulamaların izlerini saklayan bir mekanizmadır. Bu mekanizma, uygulamaların açılış zamanı, dosya yolu ve boyutu gibi bilgileri tutarak, siber güvenlik analistlerine ve dijital adli bilişim uzmanlarına derinlemesine analiz olanakları sunar. "Application Compatibility Execution Cache" (Uygulama Uyumluluğu Yürütme Önbelleği) olarak da bilinir ve özellikle kötü niyetli yazılımların ve izinsiz uygulamaların tespiti açısından değerlidir.

ShimCache Registry Konumu

ShimCache kayıtları, Windows sistemlerinde SYSTEM hive içerisinde yer alan aşağıdaki registry altında saklanır:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

Bu konumda, sistemin hangi uygulamaları çalıştırdığı ve bu uygulamaların çalışma süreleri hakkında bilgiler bulunur. Registry'nin bu kısmına erişerek, uygulamaların tarihçesini incelemek mümkündür.

ShimCache Veri Alanları

ShimCache verileri, temel olarak aşağıdaki alanları içerir:

  • Executable Path (Çalıştırılan dosya yolu): Uygulamanın sistemdeki yeri.
  • Last Modified (Son değişiklik zamanı): Uygulamanın en son ne zaman değiştirildiği bilgisi.
  • File Size (Dosya boyutu): Uygulamanın boyutu.
  • Historical Execution (Geçmiş uygulama izleri): Uygulamanın geçmişte ne zaman ve hangi sıklıkla çalıştırıldığı.

Bu verilerin analizi, bir uygulamanın kötü niyetli olup olmadığını belirlemede önemli bir rol oynar.

AppCompatCacheParser

ShimCache analizini hızlı ve etkili bir şekilde yapmak için yaygın olarak kullanılan araçlardan biri AppCompatCacheParser'dır. Bu araç, ShimCache verilerini daha anlamlı hale getirmek ve analiz sürecini hızlandırmak için geliştirilmiştir. Kullanımı oldukça basit bir komut yapısına sahiptir. ShimCache verilerini analiz etmek için aşağıdaki komutu kullanabilirsiniz:

appcompatcacheparser.exe -f system

Bu komut, belirtilen sistem kütüğündeki ShimCache kayıtlarını çözümler ve yorumlar.

ShimCache Analiz Komutu

ShimCache verilerini analiz etmek için, sistem kütüğünde doğru yolu belirlemek kritik öneme sahiptir. Aşağıdaki komut, ShimCache kayıtlarını göstermek için kullanılacak örnek bir komuttur:

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache"

Bu komut, sistemdeki uygulamaların yürütülmesi ile ilgili bilgileri listeler. Sonuçlar arasında uygulama isimleri, yolları ve yürütme süresi gibi önemli veriler bulunur.

ShimCache Avantajları

ShimCache'in sağladığı bazı temel avantajlar şunlardır:

  • Zararlı Yazılım Takibi: Zararlı yazılımların geçmişi hakkında bilgi edinilmesine yardımcı olur.
  • Kalıcılık İzi Analizi: Bir yazılımın ne kadar süreyle çalıştığına dair izler sunar.
  • Olay Zaman Çizelgesi Oluşturma: Uygulamaların geçmişteki çalıştırılma zamanlarını analiz ederek olayları zaman çizelgesinde yerleştirmeye yardımcı olur.

Bu özellikler, güvenlik olaylarının daha iyi anlaşılmasını ve izlenmesini sağlar.

Execution Limitation

ShimCache verileri bir dosyanın varlığını gösterse de, kesin yürütme kanıtı sunmayabilir. Yani, bir uygulamanın gerçekten kötü niyetli olup olmadığını belirlemek için yalnızca bu verilere dayanmak yeterli değildir. Bazı durumlarda, yanlış negatifler veya yanlış pozitifler oluşabilir. Bu nedenle, ek analiz ve doğrulama yöntemleri kullanmak önemlidir.

Timeline Kullanımı

ShimCache verileri, bir olay zaman çizelgesi oluşturulmasına yardımcı olabilir. Analistler tarafından sürekli olarak kullanılan bu veriler, belirli uygulamaların hangi tarihlerde çalıştığını ve hangi sıklıkta kullanıldığını göstermektedir. Bu, olası saldırıların veya ihlallerin zamanlamasını belirlemek için kritik bir bilgidir.

Anti-Forensics Riskleri

ShimCache analizi, bazı riskleri de beraberinde getirir. Örneğin, bir saldırgan registry üzerinde manipülasyon yaparak kayıtları temizleyebilir veya değiştirebilir. Bu tür durumlarda, doğru verilere ulaşmak daha zor hale gelir. Ayrıca, cache üzerinde yapılan her yeni kayıt, önceki kayıtlarla çakışma yaşanmasına neden olabilir ve bu da verilerin kaybolmasına yol açabilir.

SOC L2 ShimCache Operasyonu

Siber Operasyon Merkezleri (SOC) L2 analistleri, ShimCache verilerini inceleyerek herhangi bir şüpheli uygulama geçmişini tespit etmeye çalışırlar. Bu süreç, başta kötü niyetli yazılımlar olmak üzere, sistemdeki potansiyel tehditleri tanımlamak için önemlidir. Analistler, bu verileri bir dizi güvenlik aracı ve süreçle entegre ederek daha kapsamlı bir analiz yapabilirler.

Sonuç olarak, ShimCache analizi, siber güvenlik alanında önemli bir araçtır. Sistem yöneticileri ve siber güvenlik profesyonelleri, bu verileri etkili bir şekilde kullanarak olası tehditleri tanımlama ve önleme süreçlerini güçlendirebilirler.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

ShimCache, özellikle Windows sistemlerinde çalıştırılan uygulamalara dair önemli verileri saklayan bir tanımı temsil eder. Bu kayıtlar, belirli bir zaman diliminde işletim sisteminin hangi uygulamaları çalıştırdığını gösterir. Analiz edildiğinde, bu bilgiler siber güvenlik açısından kritik öneme sahip olabilir. Örneğin, bir siber saldırı sırasında kanıt toplayarak, saldırının hangi araçlarla gerçekleştirildiğine dair öngörüler sağlayabilir.

Yanlış Yapılandırma ve Zafiyetler

ShimCache verileri bazı durumlarda yanlış yapılandırmalardan veya çeşitli zafiyetlerden etkilenebilir. Eğer bir sistemde ShimCache verileri düzgün bir şekilde güncellenmiyorsa veya güvenlik ayarları uygun şekilde yapılandırılmamışsa, bu durum potansiyel zararlı yazılımların izini sürmeyi zorlaştırabilir. Örneğin, yanlış yapılandırma nedeniyle kaydedilen verilere erişim sağlanamaması, analiz sürecini olumsuz etkileyebilir.

Bu tür bir yanlış yapılandırma, iz sürme sürecini zorlaştırır ve dolayısıyla, sızan verilerin tespiti de yapılmaz hale gelir. Ayrıca, ShimCache’in oluşturduğu verilerin üzerine yeni kayıtların eklenmesi, eski verilerin kaybolmasına, yani cache overwrite sorununa yol açabilir. Bu durum, saldırının tüm aşamalarının izlenmesini imkansız hale getirir.

Sızan Veri ve Analiz Sonuçları

Sistemlerdeki izlerin analizi, saldırganların hangi araçları kullandığı ve hangi verileri hedef aldığı hakkında bilgi sunar. Örneğin, bir kullanıcı tarafından çalıştırılmış olan zararlı bir yazılımın izini sürmek mümkündür. Bu bağlamda, bir sızma durumunda aşağıdaki gibi birkaç önemli veri noktası üzerinden analiz yapılabilir:

  • Executable Path: Çalıştırılan dosya yolu, kullanıcıların sistemde ne tür uygulamalar kullanıldığını gösterir.
  • Last Modified: Son değişiklik zamanı, zararlı yazılımların ne zaman yerleştirildiğini anlamak açısından kritik öneme sahiptir.
  • Historical Execution: Geçmiş uygulama izleri, uzun süreli kuşak izleme için önemlidir.

Yukarıda belirtilen veriler, sızan verilerin tespiti için kullanılırken, aynı zamanda zararlı yazılımların hangi uygulamalarla bağlantılı olduğuna dair fikir verir. Bu noktada şüpheli uygulama geçmişinin tespiti, SOC analistlerine önemli bir avantaj sunar.

Profesyonel Önlemler ve Hardening Önerileri

ShimCache analizinde bazı profesyonel önlemler, sistem güvenliğini artırabilir. Bu öneriler arasında şunlar yer alır:

  1. Düzenli Güncellemeler: Windows işletim sisteminin düzenli olarak güncellenmesi, bilinen zafiyetlerin kapatılmasını sağlar.

  2. Erişim Kontrolü: Registry’ye erişim kontrolünün sıkı bir şekilde yönetilmesi, veri güvenliğini artırabilir. Bu, Registry Tampering riskini de azaltır.

  3. Güvenlik İzleme Araçları Kullanmak: ShimCache verilerini analiz etmek için kullanılan AppCompatCacheParser gibi araçlar, düzenli olarak kullanılmalıdır. 

    appcompatcacheparser.exe -f system

  4. Veri Yedekleme: Herhangi bir cache overwrite durumunda kaybolan verilerin tekrar elde edilebilmesi için düzenli yedekleme yapılmalıdır.

  5. Performans ve Süreklilik İzleme: Uygulamalar üzerinde yapılan değişikliklerin sürekli izlenmesi, zararlı yazılımların hızlıca tespit edilmesine olanak tanır.

Sonuç Özet

ShimCache analizi, siber güvenlikte iz sürme konusunda önemli bir araçtır. Ancak, yanlış yapılandırmalar ve zafiyetler nedeniyle elde edilen bulguların güvenilirliği sorgulanabilir. Elde edilen verilerin analizi, saldırganların kullandığı araçlar ve sızan verilerin tespiti açısından kritik bilgiler sunar. Kullanılan profesyonel önlemler, sistemin güvenliğini artırarak, olası tehditlerin etkisini en aza indirmeye yardımcı olur. Bu nedenle, siber güvenlik alanında ShimCache verilerinin etkin bir şekilde kullanılması, saldırıların önlenmesi ve iz sürme süreçlerinin iyileştirilmesi açısından büyük önem taşır.