CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

USB Cihaz Geçmişi ve Takip Analizi: Adli Bilişimdeki Önemi

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

USB cihazlarının adli bilişimdeki yeri ve nasıl analiz edildiği hakkında derinlemesine bilgi veriyoruz.

USB Cihaz Geçmişi ve Takip Analizi: Adli Bilişimdeki Önemi

USB cihaz geçmişi, adli bilişimde hayati bir rol oynamaktadır. Bu yazıda, USB cihazlarının etkinliklerini nasıl takip edeceğinizi ve analiz etmenin avantajlarını öğrenin.

Giriş ve Konumlandırma

USB Cihaz Geçmişi ve Takip Analizi

Günümüzde, dijital forensik disiplininin önemli bir parçası olan USB cihaz geçmişi ve takip analizi, adli bilişim uygulamalarında kritik bir rol oynamaktadır. Özellikle, bilgisayar sistemlerinde harici USB cihazlarının kullanımıyla ilgili meydana gelen olayların detaylı analizi, birçok siber güvenlik tehdidinin ortaya çıkmasına yardımcı olabilmektedir. Kullanıcı davranışlarını inceleme ve veri sızıntılarını tespit etme amacıyla, analistlerin USB cihazlarına dair tarihsel veri toplama becerisi, dijital delil yönetiminin önemli bir parçası haline gelmiştir.

USB Artifact Tanımı

USB artifact, bir sistemde harici USB cihazlarının kullanımına dair bıraktığı izlerdir. Bu izler, sistemin kayıt defteri (‘registry’) ve dosya sistemindeki bazı alanlarda tutulur. USB kullanımını izlemek ve analiz etmek, kriminal soruşturmalar veya veri sızıntısı analizleri açısından oldukça değerlidir. USB artifactleri, sadece hangi cihazların bağlandığını değil, aynı zamanda bu cihazların ne zaman ve hangi kullanıcılar tarafından kullanıldığını da ortaya çıkarabilir.

Neden Önemli?

USB cihazlarının yaygın kullanımı, potansiyel veri ihlalleri ve güvenlik tehditleri için büyük bir alan oluşturur. Harici depolama aygıtları aracılığıyla sisteme zarar vermek veya gizli verileri dışarıya çıkarmak oldukça kolay hale gelmiştir. Bu bağlamda, geçtiğimiz yıllarda birçok kurum ve kuruluş, iç tehditler ve veri sızıntılarına karşı daha dikkatli ve proaktif bir yaklaşım benimsemeye başlamıştır.

Özellikle Insider Threat Detection (iç tehdit analizi) ve Data Exfiltration Investigation (veri sızıntısı incelemesi) gibi alanlarda USB cihaz geçmişinin analizi, siber güvenlik uzmanlarına önemli bilgiler sunmaktadır. Bu bilgiler, kullanıcıların eylemlerinin detaylı bir zaman çizelgesi olarak sunulmasını ve potansiyel yasal süreçler için delil niteliğindeki verilerin toplanmasını sağlamaktadır.

Siber Güvenlik ile Pentest ve Savunma Açısından Bağlantı

Siber güvenlik stratejilerinin önemli bir bileşeni olan digital forensics, organizasyonların tehditlere karşı savunmalarını geliştirmelidir. Penetrasyon testleri (pentest), sistemlerdeki güvenlik açıklarını keşfetmek için etkin bir yol sunarken, USB cihazlarının analizi bu açığa ek bir boyut katmaktadır. Bu nedenle, siber güvenlik uzmanlarının USB artifact analizine dair bilgi sahibi olması, sadece açıkları kapatma değil, aynı zamanda potansiyel tehditleri tespit etme konusunda da önemli bir adım olacaktır.

Teknik İçeriğe Hazırlık

USB cihaz geçmişi ve takip analizi konusunda daha derinlemesine bilgi sahibi olmak için birkaç temel kavramı bilmek gerekmektedir. Bunun için aşağıda önemli registry alanları ve kavramlar hakkında kısa açıklamalar sunulmuştur:

  • USBSTOR: USB depolama cihazlarının geçmiş kaydını tutan registry alanıdır.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
  • MountedDevices: Bağlı cihazların sürücü harf geçmişini tutan registry alanıdır.
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
  • Serial Number: USB cihazını benzersiz tanımlayan kimliktir ve kullanıcıların cihazları tanımlamaları açısından kritiktir.

Bu kavramların anlaşılması, USB cihaz geçmişinin analizi sürecine ilişkin daha fazla bilgi edinmek için önemli bir temeldir. Adli bilişim uzmanları, bu bilgileri kullanarak, USB cihazlarının geçmişiyle ilgili kapsamlı bir analiz yapabilir ve elde ettikleri bulgularla potansiyel güvenlik tehditlerini ortaya çıkarabilirler.

Sonuç olarak, USB cihaz geçmişi ve takip analizi, yalnızca bilgisayar sistemlerinin güvenliği açısından değil, aynı zamanda adli bilişim süreçlerinde veri toplama ve izleme açısından da önemli bir konudur. Siber güvenlik alanında ilerlemek isteyen profesyonellerin, bu alanı daha iyi anlamaları ve etkili bir analiz yapabilmeleri için gerekli bilgi ve becerilere sahip olmaları gerekmektedir.

Teknik Analiz ve Uygulama

USB Artifact Tanımı

USB artifactleri, sisteme bağlanan harici USB cihazlarının bıraktığı dijital izlerdir. Bu izler, adli bilişim süreçlerinde kritik öneme sahiptir. USB cihazlarının geçmişi ve kullanım şekli, veri güvenliği analizleri için temel verileri sunmaktadır. USB cihazlarının analiz edilmesi, potansiyel veri sızıntılarını ve iç tehditleri tespit etmede önemli bir adım olarak değerlendirilir.

USB Forensic Analiz Süreci

USB forensic analiz süreci genellikle bir dizi adım içerir. İlk olarak, sistem ve yazılım hiveleri incelenir. Bu incelenmenin bir parçası olarak, USBSTOR kayıtları çıkarılmalı, cihazların serial number bilgileri tespit edilmeli ve bağlantı zaman çizelgeleri oluşturulmalıdır. Bu aşamalar, bağlı USB cihazlarının geçmişinin detaylı bir biçimde ortaya konmasına zemin hazırlar.

Örnek Komutlar

# USBSTOR kayıtlarının incelenmesi
reg query HKLM\SYSTEM\CurrentControlSet\Control\USBSTOR

# Serial numbers'ın kontrolü
reg query HKLM\SYSTEM\CurrentControlSet\Enum\USB\

# Bağlantı zaman çizelgesi oluşturma
# Bu işlem için özel yazılımlar ya da scriptler kullanılabilir.

USB Registry Alanları

USB cihazlarıyla ilgili kayıtlar, genellikle Windows Registry'de depolanır. İki önemli kayıt alanı USBSTOR ve MountedDevices olarak bilinir.

  • USBSTOR: Bu alan, sistemdeki tüm USB depolama cihazlarının geçmişini tutar. Buradan elde edilen bilgiler, hangi cihazların hangi tarihlerde bağlandığını gösterir.

  • MountedDevices: Bağlı cihazların sürücü harf geçmişini kaydeder. Bu veri, cihazların işletim sistemiyle etkileşim şekli hakkında bilgi verir.

USBSTOR Kullanım Örneği

USBSTOR kayıtları, özellikle veri sızıntısı araştırmalarında ve iç tehdit analizlerinde kullanılabilir. Örneğin, belirli bir cihazın sisteme ne zaman bağlandığını ve ne kadar süreyle kullanıldığını incelemek için aşağıdaki gibi bir sorgulama yapılabilir:

# USBSTOR'dan veri alma
reg query HKLM\SYSTEM\CurrentControlSet\Control\USBSTOR

Serial Number Tanımı

USB cihazlarının benzersiz tanımlayıcısı olarak bilinen serial number, her cihazın taneli olarak kimliklendirilmesini sağlar. Bu veri, özellikle forensic analizlerde cihazların izini sürmek için kullanılır.

Serial Number ile Cihaz Takibi

Serial numarası yardımıyla, bağlı olan bir cihazın geçmişine ulaşabilir ve cihazın istendiğinde tekrar analizi yapılabilir. Ayrıca, bu bilgi, cihaz kullanıcısını saptamak için kritik öneme sahiptir.

USB Analiz Avantajları

USB analizi, birçok avantaj sunar. Bu süreç, sadece cihaz kullanımını ortaya çıkarmakla kalmaz, aynı zamanda veri sızıntısını tespit etme, iç tehdit analizi yapma ve forensic kanıt sağlama gibi işlemleri içerir. Özetle, USB forensic analizi, güvenlik ihlallerinin önlenmesi ve sorunların daha hızlı bir biçimde çözüme kavuşturulması için önemli bir araçtır.

SOC L2 USB Analiz Rolü

SOC (Security Operations Center) L2 analistleri, USB artifactlerini detaylı bir şekilde inceleyerek veri güvenliği ve tehdit analizi yapmakla yükümlüdür. Analistler, USB cihaz geçmişini derinlemesine keşfederek potansiyel veri sızıntılarını belirler, iç tehditleri tespit eder ve böylelikle daha geniş bir güvenlik stratejisi oluştururlar.

MountedDevices Tanımı

MountedDevices, sistemin bağlı cihazlarının sürücü harflerini ve bunların geçmiş bağlantılarını takip eden önemli bir registry alanıdır. Bu veri, her bir cihazın sistemde nasıl bir yer kapladığını ve hangi zaman dilimlerinde aktif olduğunu gösterir. MountedDevices kayıtları üzerinde çalışarak, cihazların kullanıcılar tarafından hangi amaçlarla ve hangi zamanlarda kullanıldığı hakkında bilgiler elde edebilmek mümkündür.

USB Artifact Mastery

Son olarak, USB artifact analizi, adli bilişimde uzmanlaşmanın bir parçasıdır. Analistlerin, USB cihazlarının tamamen anlaşılması için bu süreçleri ve araçları etkili bir biçimde kullanmaları gerekir. Bu bilgi, sadece bir siber olayın ardından değil, aynı zamanda önleyici güvenlik politikalarının oluşturulmasında da kritik bir rol oynar.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Siber güvenlik alanında, dış USB cihazlarının kullanımı, ciddi riskler ile karşı karşıya kalmamıza sebep olabilir. Bu tür cihazlar, özellikle kötü niyetli kullanıcılar tarafından veri çalma veya kötü amaçlı yazılımlar yayma amacıyla kullanılabilir. Adli bilişim bağlamında, USB cihaz geçmişinin analizi, bu tür olumsuz senaryoların önüne geçebilmek için kritik bir rol oynamaktadır. Sisteme bağlanan harici USB cihazlarının bıraktığı izler, potansiyel veri sızıntılarını anlamamıza ve kötü amaçlı etkinlikleri tespit etmemize yardımcı olur.

Yanlış Yapılandırmalar ve Zafiyetler

USB cihazlarının yanlış yapılandırılması, organizasyonların güvenlik açıkları yaratmasına sebep olabilir. Örneğin, bir kullanıcı tarafından bağlanan USB bellek, sistemde yer alan zafiyetler aracılığıyla kötü niyetli yazılımlar taşıyabilir. Bu tür durumlar, cihazların güncel yazılım ve güvenlik yamaları ile korunmadığı durumlarda sıkça karşılaşılmaktadır.

Sistem loglarının yetersiz tutulması veya USB cihaz tespiti yapılmayan mimariler, bu tür kötü niyetli eylemlerin tespit edilmesini zorlaştırabilir. Özellikle, “MountedDevices” ve “USBSTOR” gibi registry anahtarlarının yeterince izlenmediği durumlarda, bağlantı geçmişi ve bağlı cihazların kimlik bilgileri gibi önemli verilerin kaybolması riski mevcuttur.

Sızan Veri ve Topoloji Analizi

Adli bilişim çalışmaları sonuçlandığında, sızan verilerin detaylı analizi yapılmalıdır. Örneğin, USB cihazları kullanılarak yapılan veri sızıntıları, cihazın benzersiz kimliğini ve bağlantı zamanını ortaya çıkarmak için dikkatle incelenmelidir. Bu bağlamda, “Serial Number” ve “USBSTOR” kayıtları, kullanıcıların hangi cihazları hangi zaman dilimlerinde bağladıklarını anlamak için önemli veriler sunar.

Analiz sonrası elde edilen bulgular, organizasyonel topolojiyi aydınlatarak, saldırganların nereden ve nasıl erişim sağladığını ortaya koyar. Böylece, güvenlik açıklarının yanı sıra, veri sızıntısının kaynağı ve biçimi hakkında da bilgi edinilmiş olur.

Profesyonel Önlemler ve Hardening Önerileri

USB cihazlarının güvenliğini artırmak ve olası tehditlerin önüne geçebilmek için bazı profesyonel önlemler almak kaçınılmazdır. Bu bağlamda, aşağıdaki strateji ve yaklaşımlar önerilmektedir:

  1. Cihaz Kontrol Listesi: Yalnızca belirli cihaza izin verilen bir beyaz liste oluşturulabilir. Bu, yalnızca onaylanmış USB cihazlarının sisteme bağlanmasına izin vererek olası tehditleri azaltır.

  2. Kullanıcı Farkındalık Eğitimi: Kullanıcıların dış USB cihazlarının riskleri hakkında eğitim verilmesi, bilinçli seçim yapmalarını sağlayacaktır. İnsan faktöründen kaynaklanan güvenlik açıklarını minimize etmek için araç ve süreçleri tanıtmak önemlidir.

  3. Gelişmiş İzleme ve Kayıt Tutma: USB cihaz bağlantılarına dair sistem günlüklerinin düzenli olarak izlenmesi, potansiyel tehditlerin zamanında tespit edilmesine olanak tanır. ilgili registry anahtarlarının, özellikle "MountedDevices" ve "SetupAPI" gibi alanların detaylı takibi, benzer tehditlerin belirlenmesine yardımcı olur.

  4. Düzenli Güvenlik Testleri: Sistemlerin güvenlik durumunu değerlendirmek adına düzenli penetrasyon testleri yapmak, yapılandırmalarda mevcut zafiyetlerin keşfedilmesine yardımcı olabilir.

Sonuç

USB cihaz geçmişi ve takip analizi, siber güvenlikte önemli bir bileşen olup, olası veri ihlallerini önleyebilmek için kritik bir araçtır. Yanlış yapılandırmalar ve zafiyetlerin etkilerini anlamak, saldırı yüzeyini minimize etmek ve tehditleri zamanında tespit etmek adına büyük önem taşır. Düzgün bir takip ve analiz süreci, organizasyonların güvenlik duruşunu güçlendirirken, veri güvenliğini de koruma altına alacaktır. İlerleyen süreçte, bu tür önlemler alınmadığı takdirde, organizasyonlar siber tehditlere karşı daha savunmasız hale gelebilir.