CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Artifact Avciligi

USB Cihazlarının Forensic Analizi: USBSTOR ve MountedDevices İncelemesi

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Artifact Avciligi

USB cihazlarının forensic analizi, veri güvenliği için kritik öneme sahiptir. USBSTOR ve MountedDevices ile cihaz geçmişi analizi yapın.

USB Cihazlarının Forensic Analizi: USBSTOR ve MountedDevices İncelemesi

Windows sistemlerinde USB cihazlarının forensic analizi, veri sızıntısı tespitinde önemli bir rol oynamaktadır. Bu blogda USBSTOR ve MountedDevices registry analizini öğreneceksiniz.

Giriş ve Konumlandırma

USB cihazları, günlük yaşamda yaygın olarak kullanılan, ancak siber güvenlik bağlamında ciddi riskler taşıyan veri depolama araçlarıdır. Gelişen teknoloji ile birlikte, bu cihazların kullanım oranı hızla artmakta; dolayısıyla, cihazların forensic analizi de gündeme gelmektedir. Bu süreç, USB cihazlarının kullanım geçmişini ve bunların sistemde bıraktığı artefaktları incelemeyi içerir. Bu bağlamda, Windows sistemlerinde USB cihazlarıyla ilgili kaydedilen bilgilerin saklandığı iki önemli kayıt bölgesi bulunmaktadır: USBSTOR ve MountedDevices.

USB Artifact Tanımı

USB cihazlarının forensic analizi, sistemdeki potansiyel veri sızıntılarını, yetkisiz erişimleri ve kullanıcı aktivitelerini değerlendirmek için önemli bir adımdır. USBSTOR, bağlı USB depolama cihazlarının tanımlayıcı kayıtlarını içeren bir registry bölümüdür. Bu kayıt, cihazın seri numarası, bağlantı tarihi ve son kullanım zamanı gibi bilgiler sunar. MountedDevices bölümü ise bu cihazların sistem üzerindeki disk harflerine eşleştirilmesini sağlar. Her iki bölüm de, siber güvenlik analistlerinin USB cihazlarının kullanımıyla ilgili kapsamlı bir değerlendirme yapmalarına olanak tanır.

Neden Önemli?

USB cihazları, veri taşımak için sıklıkla tercih edilse de, bu cihazlar siber saldırganlar tarafından veri dışa aktarma, önemli bilgileri çalma veya hatta zararlı yazılım yayma amacıyla kullanılabilir. Forensic analiz süreci, bu tür olayların tespiti ve incelenmesi açısından kritik öneme sahiptir. Disk üzerinde bırakılan izlerin, USBSTOR ve MountedDevices kayıtları ile nasıl değerlendirileceği, olayların zaman çizelgesinin oluşturulmasında önemli bir araçtır.

Siber Güvenlik Bağlamında

Siber güvenlik, verilerin korunması ve sistemlerin güvenliğinin sağlanması ile ilgili bir alandır; bu yüzden USB cihazlarının forensic analizi, siber güvenliğin önemli bir parçasıdır. Penetrasyon testi (pentest) sırasında, bu kayıtları incelemek, sistemin zayıf noktalarını belirlemeye ve potansiyel tehditleri anlamaya yardımcı olur. Örneğin, bir analist USBSTOR bölümünde şüpheli bir cihaz kaydı bulduğunda, bu kayıt üzerinden kullanıcı aktivitelerini korrelendirmek ve hangi dosyalara erişildiğini analiz etmek mümkündür.

Teknik İçeriğe Hazırlık

Forensic analiz süreçleri, belirli adımları ve teknik bilgileri gerektirir. USBSTOR ve MountedDevices analizinde kullanılan araçlar, genellikle "Registry Explorer" gibi registry inceleme yazılımlarıdır. Bu araçlar, kullanıcıların USB cihazlarının bağlı olduğu tarihler, kullanılan disk harfleri ve cihazların kimlik bilgileri hakkında detaylı bilgi edinmelerini sağlar.

Kullanıcıların bu bilgilerle donatılması, özellikle adli bilişim alanında uzmanlaşmak isteyen profesyoneller için hayati öneme sahiptir. Analiz sürecinde, USB cihazlarının takıldığı anı ve verilerin nasıl dışarı çıkarıldığına dair ipuçları elde edilmekte; bu da olayların yeniden yapılandırılmasını sağlar. 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Yukarıda verilen kayıt yolu, USBSTOR bölümüne erişimi sağlar. Bu bölge, sistemde bulunan tüm USB cihazlarının kayıtlarını tutmaktadır.

Kısacası, USB cihazlarının forensic analizi, hem kullanıcı aktivitelerinin kaydedilmesi hem de veri güvenliği açılarından önemli bir süreçtir. Bu analizlerin derinlemesine anlaşılması, siber güvenlik uzmanlarının doğru tespitler yapabilmesi ve potansiyel riskleri minimize edebilmesi için elzemdir. Gelecek bölümlerde, USBSTOR ve MountedDevices kayıtlarının etkili bir şekilde nasıl analiz edileceğine dair daha ayrıntılı bilgiler sunulacaktır.

Teknik Analiz ve Uygulama

USB Artifact Tanımı

USB cihazlarının forensic analizi, bir bilgisayara bağlanan USB aygıtlarının izlerini ve kullanım geçmişini inceleme sürecidir. Windows sistemlerinde, bu araçların ilgili kayıtları bilgi güvenliği açısından kritik öneme sahip olan registry tabanlı mühendislik yapılardır. Özellikle USBSTOR ve MountedDevices anahtarları, geçmişte bağlanmış olan USB cihazlarına dair verilerin tutulduğu önemli yapı taşlarıdır.

USBSTOR Registry Konumu

USB cihazlarının forensic incelemesi için, ilk olarak sistemi üzerinde hangi USB cihazlarının kullanıldığını belirlemek gerekmektedir. Bu noktada, Windows sistemlerinde USBSTOR ile ilgili bilgiler HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR altında depolanmaktadır. Bu konumda, bağlı USB cihazların türleri, seri numaraları ve diğer kritik meta veriler bulunmaktadır.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Bu anahtar altında, her bir USB cihazı için bir alt anahtar oluşturulmakta ve her cihazın bilgileri burada saklanmaktadır. USBSTOR anahtarının içeriği, forensic analizi gerçekleştiren kişilere USB cihazlarının geçmişi hakkında derin bir bakış açısı sunar.

USB Artifact Kaynakları

USB forensic analizinde kullanılan temel artifact kaynakları arasında USBSTOR ve MountedDevices kayıtları öne çıkar. MountedDevices, bilgisayara takılan disklerin harf eşleştirmelerini tutar ve bu sayede kullanıcıların hangi aygıtları takıp çıkardığına dair önemli verileri bize sunar.

Bu iki temel yapı, aynı zamanda SetupAPI logları ile birlikte analiz edilir. SetupAPI logları, cihazların kurulum geçmişlerini tutarak hangi cihazların ne zaman bağlandığına dair daha kapsamlı bilgi sağlar.

Registry Explorer

Forensic inceleme araçları arasında yer alan Registry Explorer, analistlerin registry'de bulunan verileri daha kolay bir şekilde incelemelerine yardımcı olur. Bu araç ile USBSTOR ve MountedDevices altındaki verileri derinlemesine analiz etmek mümkündür. Ayrıca, USB cihazlarının kullanım geçmişini görebilmek için bu araç kullanılarak detaylı sorgulamalar yapılabilir.

Örneğin, USBSTOR anahtarında yer alan cihazlara ait verileri sorgulamak ve çıkarım yapmak için aşağıda yer alan gibi bir işlem yapılabilir.

Registry Explorer ile HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR yolunu açarak verileri inceleyin.

USB Forensic Süreci

USB forensic sürecine başlamadan önce, kullanılacak araçların ve analiz yöntemlerinin belirlenmesi gerekmektedir. Öncelikle registry'de USBSTOR ve MountedDevices anahtarlarının yanı sıra SetupAPI loglarının da gözden geçirilmesi önemlidir. Bu veriler, kullanılacak cihazların zaman çizelgesinin oluşturulmasında kritik rol oynar.

Bir USB forensic süreci aşağıdaki gibi ilerleyebilir:

  1. Registry Analizi: USBSTOR ve MountedDevices anahtarlarını inceleyin.
  2. Log Analizi: SetupAPI logları ile veri sızıntılarına dair belirti arayın.
  3. Zaman Çizelgesi Oluşturma: Kullanıcı etkinliklerini ve cihaz bağlantılarını zaman çizelgesine aktararak kullanıcı davranışlarını analiz edin.

USB Forensic Avantajları

USB forensic analizinin birçok avantajı bulunmaktadır. Bu analiz süreci, özellikle veri sızıntılarının tespit edilmesinde ve cihaz bağlantı geçmişlerinin incelenmesinde önemli bir rol oynar. USB artifactleri üzerinden kullanıcı etkinliklerinin korelasyonu sağlanarak, şüpheli harici cihaz kullanımını tespit etmek mümkündür.

Veri dışa aktarımı, bir organizasyon için ciddi güvenlik riskleri taşıyabileceğinden, USB forensic süreci, bu doğrultuda önleyici bir güvenlik tedbiri olarak ele alınmalıdır. USB cihazlarının nasıl kullanıldığı ve hangi verilerin dışarı çıkartıldığına yönelik detaylı bilgi edinmek, kuruluşun bilgi güvenliği politikalarının geliştirilmesine yardımcı olur.

Exfiltration Tespiti ve Timeline Reconstruction

Veri sızıntısı analizinde, USB artifactleri kullanılarak, cihaz bağlantı geçmişinin zaman çizelgesine eklenmesi önemlidir. Bu, olayların ne zaman gerçekleştiğini belirlemenin yanı sıra, hangi verilerin söz konusu olduğuna dair bir perspektif de kazandırır.

Verilerin doğru analiz edilmesi ile birlikte, potansiyel veri dışa aktarımları tespit edilebilir ve bu durumun arka planında yatan nedenler araştırılabilir. Ayrıca, kullanıcı aktivite korelasyonu sayesinde, bir cihazın ne zaman, kim tarafından ve neden kullanıldığı gibi önemli bilgilere ulaşılır.

USB Anti-Forensics Riskleri

USB forensic analizi sırasında karşılaşılabilecek riskler arasında anti-forensic teknikler dikkat çekmektedir. Kayıt temizleme ve log silme işlemleri, yangın güvenliği açısından tehdit oluşturabilir. Bu gibi durumlarda, USB cihazlarının geçmişini araştırmak ve analiz ederken daha dikkatli olmak gerekmektedir.

Forensic süreçlerde, cihazlar üzerinde yapılan bu potansiyel gizleme işlemleri, görevlilerin işini zorlaştırabilir ve güvenlik açıklarına neden olabilir. Bu nedenle, USB forensic sürecinde yapılan analizlerin doğru bir şekilde kayıt altında tutulması ve belgelenmesi, ilerleyen süreçlerdeki incelemeler için büyük önem taşır.

Sonuç olarak, USBSTOR ve MountedDevices kayıtlarının dikkatli bir şekilde incelenmesi, USB cihazları ile ilgili olayların anlaşılması ve gerekli güvenlik tedbirlerinin alınması açısından kritik bir süreçtir. Bu süreçlerin doğru bir şekilde yürütülmesi, bilgi güvenliği uygulamalarının etkinliğini artırırken, aynı zamanda veri güvenliği ihlallerinin önlenmesine katkı sağlar.

Risk, Yorumlama ve Savunma

USB cihazlarının forensic analizi, özellikle USBSTOR ve MountedDevices kayıtlarının incelenmesi, siber güvenlik açısından büyük bir öneme sahiptir. USB cihazları, veri sızıntısı, yetkisiz erişim ve kötü amaçlı yazılım bulaşması gibi çeşitli güvenlik riskleri taşır. Bu bölümde, elde edilen bulguların güvenlik anlamını, yanlış yapılandırmaların veya zafiyetlerin etkilerini, sızan veri, topoloji ve servis tespitini ele alacağız. Ayrıca, profesyonel önlemler ve hardening önerileri ile kısa bir sonuç özeti sunacağız.

Bulguların Güvenlik Anlamı

USBSTOR ve MountedDevices kayıtları, cihaza bağlı USB aygıtlarının detaylarını içerir. USBSTOR, cihaz tanımlayıcı kayıtları sağlar ve hangi USB cihazlarının sisteme bağlandığını gösterir. Öte yandan, MountedDevices kayıtları, disk harf eşleştirmelerini barındırarak, bağlı cihazların sistemdeki rollerini tanımlar. Bu kayıtlar incelendiğinde, hangi cihazların ne zaman kullanıldığı, hangi kullanıcılar tarafından erişildiği gibi bilgilere ulaşmak mümkün olur.

Güvenlik açısından bu bilgilerin analizi, özellikle veri sızıntıları veya yetkisiz erişimlerin araştırılmasında kritik bir öneme sahiptir. Örneğin:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Bu yol altında yapılan bir inceleme, sistemde oturum açan kullanıcıların hangi USB cihazlarını kullandığını sağlam bir şekilde ortaya koyabilir. Analiz sırasında, kötü niyetli bir kullanıcının kullanmadığı veya gizlemek istediği bir cihazın kaydını bulmak, güvenlik ihlalleri için önemli bir gösterge olabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar veya zafiyetler, USB aygıtlarının kötüye kullanılmasına neden olabilir. Örneğin, USB portlarının gerektiğinden fazla açık bırakılması, korumasız bir veri transferine olanak tanır. Bu bağlamda, USB aygıtlarının kullanımını sınırlamak, yetkisiz erişimi en aza indirmek için gereklidir.

Ayrıca, USBSTOR ve MountedDevices kayıtlarının silinmesi veya değiştirilmesi durumunda, bu durum olası veri sızıntılarını gizlemeye yönelik bir çaba olabilir. Log silme işlemleri, "Log Deletion" olarak bilinir ve bu, forensic analiz esnasında bulguların kaybolmasına yol açabilir. Kötü niyetli bir birey, veri sızıntılarını gizlemek veya izlerini kaybettirmek için bu tür bir yöntem kullanabilir.

Sızan Veri ve Topoloji

USB forensic analizinin bir diğer önemli yönü, sızan verilerin tespitidir. Herhangi bir sızıntı durumunda, hangi verilerin dışarı çıkartıldığını anlamak için, sistemin topolojisini incelemek önemlidir. Veriler, genellikle organizasyon içindeki belirli kullanıcı hesapları üzerinden sızabilir. Bu bağlamda, "User Activity Correlation" analizi, hallka olan tüm kullanıcı aktivitelerini kıyaslayarak şüpheli aktiviteleri tespit etmeye yardımcı olur.

Veri sızıntısı analizi, sızan verilerin türünü, kaynağını ve verilerin hangi yollarla dışarı çıkartıldığını anlamak için de kritik öneme sahiptir. Örneğin, bir çalışanın işyerindeki duyarlı verileri bir USB bellekle dışarı çıkarttığı tespit edilebilir. Bu tür bir durum, hem organizasyon için ciddi riskler taşır hem de olası cezaî sonuçlar doğurabilir.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik önlemleri almak, siber güvenliği güçlendirmek açısından önemli bir adımdır. İşte bazı profesyonel öneriler:

  1. USB Port Yönetimi: Sistemlerde kullanılmayan USB portları devre dışı bırakılmalıdır. Bu, yetkisiz cihaz bağlantılarını önlemek için ilk basamaktır.
  2. Veri Şifreleme: Duyarlı verilerin USB cihazları üzerinde taşınması durumunda, bu verilerin şifrelenmesi önerilir. Böylece, kaybolan veya çalınan bir cihazda verilerin güvenliği sağlanmış olur.
  3. Erişim Kontrolleri: Kullanıcı hesapları üzerinde sıkı erişim kontrolleri uygulamak, kimin ne tür verilere erişim sağladığını kontrol etmeye yardımcı olur.
  4. İzleme ve Uyarı Sistemleri: USB cihazlarının kullanımı ile ilgili izleme sistemleri kurulmalı ve olağan dışı aktiviteler tespit edildiğinde yöneticilere uyarılar yapılmalıdır.

Sonuç Özeti

USBSTOR ve MountedDevices kayıtları, USB cihazlarının forensic analizi için önemli bir kaynak sağlar. Ancak, bu kayıtların analizi sırasında ortaya çıkan bulguların doğru yorumlanması, yanlış yapılandırmaların ve zafiyetlerin etkilerinin anlaşılması kritik öneme sahiptir. Veri sızıntısı ve yetkisiz erişimin önlenmesi amacıyla profesyonel önlemler almak, siber güvenlik stratejilerinin önemli bir parçasıdır. Yeterli güvenlik önlemleri alındığında, USB cihazlarının oluşturduğu riskler büyük ölçüde azaltılabilir.