CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Hipotez

Şüpheli Parent-Child Süreç Analizi: Siber Güvenlikte Davranış Tespiti

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Hipotez

Parent-child süreç analizi ile siber güvenlikte şüpheli davranışları tespit edin.

Şüpheli Parent-Child Süreç Analizi: Siber Güvenlikte Davranış Tespiti

Siber güvenlikte şüpheli parent-child süreç analizi, saldırgan davranışlarını erken tespit etmek için kritik öneme sahiptir. Bu yazıda, kapsamlı bir analiz sürecine dair bilgiler bulacaksınız.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, günümüzün dijital dünyasında savunma stratejilerinin merkezinde yer alır. Bilgi sistemleri ve ağı iletimi sırasında potansiyel tehditleri belirlemek, saldırganların faaliyetlerini engellemek ve veri bütünlüğünü korumak, güvenlik uzmanlarının öncelikleri arasındadır. Bu bağlamda, "şüpheli parent-child süreç analizi" kritik bir rol oynamaktadır. Parent-child ilişkileri, bir sürecin başka bir süreç tarafından başlatılmasıyla oluşan dinamik yapıları ifade eder ve bu analizi gerçekleştirmek, çeşitli siber tehditleri tespit etme konusunda uzmanlara yardımcı olmaktadır.

Parent-Child Süreçleri

Parent-child süreçleri, temel bir işletim sistemi terimidir ve bir sürecin (parent) bir veya daha fazla süreci (child) başlattığı durumu tanımlar. Örneğin, bir kullanıcı uygulaması açıldığında, bu uygulama, işletim sistemi kaynaklarından faydalanan birçok alt süreci (child) devreye alır. Normal koşullar altında, belirli uygulamalar kendilerine özgü çocuk süreçlerini başlatırken, beklenmeyen veya şüpheli parent-child ilişkileri kritikti; burada anormallikler, potansiyel saldırı veya kötü amaçlı yazılım etkinliğinin göstergeleri olarak değerlendirilir.

Neden Önemlidir?

Siber güvenlikte, anormal parent-child ilişkileri önemli bir gösterge olabilir. Bu ilişkileri izlemek, güvenlik analistlerine, sistemi tehdit eden kötü niyetli yazılımları, komut dosyalarını veya diğer zararlı aktiviteleri belirleme konusunda imkan tanır. Özellikle, bir sürecin, diğer bir süreci başlatmak için beklenmeyen yollarla hareket etmesi, genellikle bir saldırı davranışını işaret edebilir. Örneğin, normalde bir Microsoft Word dokümanından bir PowerShell komutu başlatılmamalıdır; bunun bir göstergesi, potansiyel bir kötü amaçlı makro saldırısını akla getirir.

Tehdit Avcılığı ve Davranış Tespiti

Tehdit avcılığı, proaktif çok katmanlı bir savunma stratejisidir. Analistler, sistemdeki normal davranışları belirlemek ve bunları şüpheli aktivitelerle karşılaştırmak için veri analizi yapar. Parent-child süreç analizi, bu sürecin önemli bir parçasını oluşturur. Anomalilerin tespiti genellikle şu şekilde gerçekleşir:

  1. Normal Davranışın Tanımlanması: Yönetici, belirli uygulamaların sadece beklenen child süreçleri başlattığını gözlemleyerek standardizasyon sağlar.

  2. Şüpheli İlişkilerin İzlenmesi: Beklenmedik bir child sürecin başlaması durumunda, sistemde anormallikler tespit edilir.

  3. Davranışsal Eşleştirmeler: Parent-child ilişkileri ile diğer aktiviteler arasında ilişkiler analiz edilerek şüpheli davranışlar belirlenir.

# PowerShell komutu ile süreçleri izleme örneği
Get-Process | Where-Object { $_.Parent.Id -eq (Get-Process -Name "YourParentProcess").Id }

Bu örnekte, belirli bir parent sürecinin child süreçleri sorgulanırken, normal ve anormal süreçlerin ayrımı yapılır.

İleri Analiz ve Zorluklar

Parent-child süreç analizi, saldırı davranışlarını erken tespit etme konusunda güçlü bir araçtır. Ancak, bu analiz sırasında dikkate alınması gereken bazı zorluklar bulunmaktadır. Özellikle büyük veri hacimleri, yanıltıcı pozitifler ve karmaşık analiz gereklilikleri, analistlerin karşılaştığı başlıca engellerdir. Ayrıca, belirlenen davranışların doğru bir şekilde kategorize edilmesi ve anormal davranışların saptanması için yetkinlik gereklidir.

Sonuç olarak, şüpheli parent-child süreç analizi, siber güvenlik alanında önemli bir tehdit tespiti aracı olarak öne çıkmaktadır. Bu konu üzerinde daha derinlemesine bir anlayış geliştirmek, güvenlik uzmanlarına siber tehditleri proaktif bir şekilde takip etme ve önleme yetisi kazandıracaktır. Okuyucular, bu blog dizisinin devamında teknik detaylar ve uygulama yöntemleri ile birlikte derinlemesine bir anlayış edinme fırsatı bulacaktır.

Teknik Analiz ve Uygulama

Parent-Child Tanımı

Siber güvenlik bağlamında "parent-child process" (ebeveyn-alt işlem) ilişkisi, bir süreç (ebeveyn) tarafından başlatılan başka bir sürecin (alt işlem) varlığını ifade eder. Bu tür ilişkiler, işletim sistemlerinde süreçlerin kontrolü ve yönetimi açısından önemli bir rol oynar. Parent süreç, genellikle belirli bir işlevi yerine getiren bir uygulamadan kaynaklanırken, child süreç, bu işlevin devamı olarak bir hizmet veya başka bir uygulama olabilir.

Normal Davranış

Normal davranış, sistem üzerinde meydana gelen süreç ilişkilerinin beklenen şekliyle gerçekleşmesidir. Örneğin, bir ofis uygulaması içerisinde bir makro çalıştığında, bu makro genellikle PowerShell gibi ikinci bir süreci başlatır. Bu durumda, Office → PowerShell ilişkisi normal kabul edilir. Beklenen süreç ilişkileri, belirli süreçlerin sadece belirli uygulamaları tetiklemesi ile karakterize edilir. Bu tür analizler, sistemin ne zaman anormal bir davranış sergilediğini tespit etmek için kritik önem taşır.

# Örneğin, PowerShell'de bir script çalıştırılması
Start-Process powershell -ArgumentList "-File 'C:\path\to\script.ps1'"

Şüpheli İlişkiler

Anormal ve şüpheli parent-child ilişkileri, genellikle saldırı göstergesi olarak değerlendirilir. Şüpheli ilişkiler, beklenmeyen süreçlerin başlatılması ile karakterizedir. Örneğin, bir tarayıcı (Browser) sürecinden gelen CMD başlatılması, bir exploit sonrası komut çalıştırma girişimine işaret edebilir. 

# Şüpheli bir durumu tespit etmek için kullanılabilecek bir komut
tasklist /fi "imagename eq cmd.exe"

Bu tür durumlar, bir saldırının izini sürmek için kritik tespit noktalarıdır.

Davranış Analizi

Şüpheli parent-child ilişkileri genellikle davranış analizi ile tespit edilir. Davranış analizi, sürecin tarihçesi, başlatma şekli ve süreçler arası etkileşim gibi çeşitli faktörlere dayanır. Normal iletişim biçimlerinin dışındaki her durum, derinlemesine bir analiz gerektirir.

Örneğin, yalnızca belirli süreçlerin başka süreçleri başlatması beklenirken, bu kuralları ihlal eden bir durum gelişiyorsa, bu durum zararlı bir aktiviteyi işaret edebilir.

Tespit Yaklaşımı

Parent-child süreç analizi, çeşitli araç ve teknikler kullanılarak gerçekleştirilir. Sistem yöneticileri, PowerShell ve diğer script dilleri ile süreçlerin ilişkisini izleme ve analiz etme yeteneğine sahiptir.

# Süreç durumu ve ilişkilerini izleme
Get-Process | Select-Object Id, ProcessName, Parent

Bu komut, mevcut tüm süreçleri ve onları başlatan ebeveyn süreçlerini listeleyerek, şüpheli davranışların analizine olanak tanır.

Hunting Süreci

Siber tehdit avlama (threat hunting) sürecinde, parent-child analizinde belirli adımlar izlenir. Analistlerin öncelikle normal süreç ilişkilerini anlaması, daha sonra da bu ilişkilerdeki anormallikleri tespit etmesi gerekir.

Bu süreçte, büyük veri hacminin yönetilmesi ve yanlış pozitiflerin önlenmesi, analistin en büyük zorluklarındandır.

Şüpheli Davranışlar

Şüpheli aktiviteler arasında, belirli bir scriptin normalden farklı olarak sistem işlemine doğrudan erişim sağlama girişimleri, yetki kötüye kullanımı ve sistem süreçlerinin beklenen kurallara uymadan başlatılması yer alır. Örneğin:

  • Script → System Process: Beklenmedik bir şekilde bir sistem sürecinin, bir script tarafından başlatılması.
  • Office → PowerShell: Makro saldırıları ile bir PowerShell sürecinin başlatılması.

Avantaj

Parent-child analizi, saldırgan davranışlarını erken tespit etme imkanı sağlar. Sistemdeki normal ve anormal ilişkilerin belirlenmesi, olası bir saldırının önlenmesi için kritik bir adımdır.

Zorluklar

Parent-child ilişkileri analizi, bazı zorluklar içerir. Yanlış pozitiflerin ortaya çıkması, büyük veri hacimlerinin yönetim zorluğu ve karmaşık analiz süreçleri, analistlerin etkili bir şekilde çalışmasını zorlaştırabilir.

SOC L2 Final Süreci

Sonuç olarak, SOC L2 analistleri, parent-child ilişkilerini analiz ederek potansiyel tehditleri daha etkili bir şekilde tespit edebilir. Bu süreç, sürekli öğrenme ve adaptasyon gerektiren dinamik bir ortamda güvenlik düzeyini artırma çabası olarak değerlendirilebilir.

Risk, Yorumlama ve Savunma

Risk Değerlendirme ve Yorumlama

Siber güvenlikte parent-child süreç analizi, bir sürecin başka bir süreç üzerindeki etkilerini inceleyerek olası tehditleri tespit etme konusunda kritik bir adımdır. Bu analiz sırasında elde edilen bulguların güvenlik açısından anlamlarını yorumlamak, olası zafiyetleri belirlemek ve savunma stratejilerini geliştirerek sistemin güvenliğini artırmak esastır.

Elde Edilen Bulguların Güvenlik Anlamı

Sistem içindeki süreçlerin analizi, özellikle anormal parent-child ilişkilerin ortaya çıkması durumunda güvenlik uzmanları için önemli bir gösterge oluşturur. Normal bir sistem davranışında belirli süreçler, yalnızca belirli uygulamalar tarafından başlatılmalıdır. Örneğin, bir ofis uygulaması normalde yalnızca kendi çocuk süreçlerini başlatmalıdır. Ancak, eğer bir ofis uygulaması sonrasında bir PowerShell süreci başlatılıyorsa, bu durum şüpheli bir aktivite olarak değerlendirilebilir. Bu tür durumlar, zararlı yazılım veya iç tehdit olasılığını artırır ve sistemin güvenliği açısından acil müdahale gerektirebilir.

Yanlış Yapılandırma veya Zafiyet Etkisi

Yanlış yapılandırmalar, siber saldırganlar için bir kapı aralayabilir. Örneğin, bir uygulamanın yetkisiz çocuk süreçler başlatması, sistem zafiyetine işaret eden bir durumdur. Bu tür zafiyetler, kötü niyetli yazılımların sistemde daha fazla yetki kazanmasına neden olur. Örnek vermek gerekirse:

# İzinlerin yönetimi
Get-Process | Where-Object { $_.Path -match "C:\\Program Files\\Office" } | Select-Object Name, Path

Yukarıdaki PowerShell kodu, belirli bir dizin altında çalışan süreçleri listeler. Eğer burada normal beklenen süreçlerin dışında, gereken izinlere sahip olmaması gereken bir süreç görülüyorsa, bu durum güvenlik açığına işaret edebilir.

Sızan Veri, Topoloji ve Servis Tespiti

Parent-child analizinin bir diğer avantajı, sızan verilerin ve sistem topolojisinin tespit edilmesi konusunda sağladığı katkıdır. Anormal süreç ilişkileri tespit edildiğinde, bu durumun arkasındaki potansiyel sorunları anlayabilmek, yanı sıra sistemi etkileyen diğer hizmetlerin kontrol edilmesi gerekmektedir. Örneğin, bir web tarayıcısından CMD'ye geçen bir süreç, genellikle bir exploit sonrasında gerçekleşir ve bu durum, sistemin nasıl bir saldırıya maruz kaldığını anlamaya yardımcı olur.

Profesyonel Önlemler ve Hardening Önerileri

Elde edilen analiz bulgularına dayanarak, aşağıdaki profesyonel önlemler ve hardening önerileri uygulanmalıdır:

  1. Sistem Güncellemeleri: Tüm yazılımların en güncel sürümde kullanılması, bilinen zafiyetlerin kapatılmasına yardımcı olur.
  2. Erişim Kontrolleri: Yetki yönetiminin dikkatli bir şekilde yapılması, kullanıcıların sadece ihtiyaçları olan süreçleri başlatabilmesi için önemli bir adımdır.
  3. Güvenlik Duvarı Kuralları: Şüpheli süreç ilişkilerini izleyen ve engelleyen güvenlik duvarı kurallarının uygulanması gerekmektedir.
  4. Davranışsal Analiz Araçları: Süreç ilişki analizi yapabilen ve alışılmadık aktiviteleri tespit edebilen araçların kullanımı, potansiyel tehditlerin erkenden tespit edilmesine yardımcı olur.

Sonuç Özeti

Parent-child süreç analizi, siber güvenlik alanında önemli bir yere sahiptir. Bu analiz, şüpheli aktivitelerin tespit edilmesine, zafiyetlerin belirlenmesine ve etkili savunma stratejilerinin geliştirilmesine olanak sağlar. Dolayısıyla, bu tür analizlerin düzenli olarak yapılması ve sistemlerin güncel tutulması, siber tehditlerin etkilerini minimize etmek adına kritik bir öneme sahiptir. Kapsamlı bir yaklaşım benimseyerek, sistemlerimizi daha güvenli hale getirebilir ve olası saldırılara karşı koruma sağlayabiliriz.