CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

USB Forensics: Harici Cihaz İzlerinin Önemi

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

USB forensic analizi, harici cihazların kullanım izlerini inceleyerek veri sızıntılarını ve tehditleri önlemeye yardımcı olur.

USB Forensics: Harici Cihaz İzlerinin Önemi

USB forensics, harici cihazların bağlantı geçmişini detaylı bir şekilde inceleyerek, siber güvenlikte önemli veriler sunar. Bu blog yazısında USB forensic analizinin temel bileşenleri ve avantajları üzerinde duruyoruz.

Giriş ve Konumlandırma

USB Forensics Tanımı

Siber güvenlik ekosisteminde, USB forensics, sisteme bağlı harici USB cihazların geçmişinin ve kullanım izlerinin incelenmesi süreçlerine verilen isimdir. Bu süreç, cihazların ne zaman bağlandığını, hangi verilerin transfer edildiğini ve bu cihazların kullanıcı davranışları üzerindeki etkilerini anlamaya yönelik önemli bilgiler sunar. USB forensics, bilgi güvenliği alanında kritik bir öneme sahip olup, veri sızıntıları, yetkisiz erişim ve diğer siber tehditlerle başa çıkmada önemli bir yardımcıdır.

Neden Önemlidir?

Günümüzde veri güvenliği tehditleri, özellikle dış kaynaklardan gelen saldırılar nedeniyle giderek artmaktadır. Harici USB cihazları, veri taşınabilirliğini artırsa da, aynı zamanda bilgi güvenliği açısından riskli unsurları da beraberinde getirir. USB forensics, bu riskleri analiz etmek ve azaltmak için önemli bir araçtır. Özellikle, siber saldırganların sistemlere sızmak için kullandıkları yöntemlerden biri olan fiziksel erişim noktasında, USB forensics, olay sonrası analizlerin yapılabilmesi için kritik bir veri kaynağı sağlar.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Siber güvenlik profesyonelleri, sistemlerin güvenliğini sağlamak ve olası tehditleri tespit etmek amacıyla çeşitli metodolojiler kullanmaktadır. Bu bağlamda, penetrasyon testleri (pentest) ile beraber yürütülen USB forensics analizi, sistemlerin zayıf noktalarını belirlemek için önemli bir katkı sağlar. Harici cihazların kullanım kayıtları ve transfer edilen verilerin izlenmesi, sızma testlerinin sonuçlarını daha anlamlı hale getirir. Ayrıca, olay müdahale süreçlerinde USB forensics verileri, tehditlerin kaynağına ulaşmak için kullanılabilir, böylece uzun vadeli savunma stratejileri oluşturulabilir.

Okuyucuyu Teknik İçeriğe Hazırlama

USB forensics, farklı bileşenleri ve analiz aşamaları ile zengin bir konu yelpazesi sunmaktadır. Bu bağlamda, konunun temel kavramlarına ve analiz süreçlerine dair bilgi edinmek, okuyucuya önemli bir vizyon kazandıracaktır. Örneğin, USBSTOR anahtarı, sisteme takılan tüm USB depolama cihazlarının kaydını tutar. Cihazların serial number bilgileri ve connection timestamp (bağlantı zamanı) gibi bilgiler, USB forensics analizinde kritik rol oynamaktadır.

Bu süreçte, yuvalama noktaları (mount points) da önemli bir yer tutar. Her bir wasconnectedUSB aygıtı için, sistemdeki alternatif bağlantı alanları belirlenebilir. Aşağıda yer alan basit kod örneği, sisteme bağlanan USB cihazlarının kayıtlarının elde edilmesine dair temel bir örnek sunmaktadır:

# USB Depolama Cihazlarını Listeler
Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Enum\USBSTOR\* | 
    Select-Object DeviceDesc, SerialNumber, LastConnected

Bu komut, USBSTOR kayıtları üzerinde çalışarak her bir USB depolama cihazının açıkladığı özellikleri listeler. Bu tür analizler, kullanıcı davranışını anlamak ve olası veri ihlalleri ile tehditleri tespit etmek için hayati öneme sahiptir.

Sonuç olarak, USB forensics, yalnızca bir tehdit analizi aracı değil, aynı zamanda sistemlerin güvenliği için kritik bir bilgi kaynağıdır. Siber güvenlik uzmanları, validasyon süreçlerinden geçerek USB forensics bilgilerini kullanarak daha güvenli sistemler inşa edebilir. Kısa bir süre içinde bu alandaki güncel yöntemler ve analitik teknikler hakkında daha derinlemesine bilgi sahibi olacağımız devam eden bölümlerde, USB forensics konusunu daha yakından inceleyeceğiz. Bu, sadece teknik bilgi edinmekle kalmayıp aynı zamanda siber güvenlik savunmasını güçlendirmek için de önemli bir adımdır.

Teknik Analiz ve Uygulama

USB Forensics Tanımı

USB forensics, bir sisteme bağlanan harici USB cihazların geçmişini ve kullanım izlerini inceleyen bir adli analiz sürecidir. Bu süreç, siber güvenlik alanında önemli bir yere sahiptir ve olası veri sızıntılarını, yetkisiz erişimleri ve kullanıcı etkileşimlerini tespit etme amacı taşır. Analizler, USBSTOR kayıtlarından elde edilen verilerle başlar ve bu kayıtlar kullanılarak cihazların bağlantı zamanları, serial numaraları ve bağlantı noktaları gibi bilgilerin belirlenmesi sağlanır.

USB Analiz Süreci

USB forensic analiz süreci belirli adımlardan oluşur. İlk olarak, USBSTOR (USB storage) kayıtları incelenerek bağlı cihazların geçmişi ortaya konur. Kayıtlar, aşağıdaki bilgileri içerir:

  • Cihazın Seri Numarası: Cihazın benzersiz kimliğini belirler.
  • Bağlantı Zamanları: Cihazın sisteme hangi tarihlerde bağlandığını kaydeder.
  • Bağlantı Noktaları (Mount Points): Cihazın sisteme hangi erişim noktasından bağlandığını gösterir.

İnceleme işlemi sırasında, kayıtları çıkarmak ve analiz etmek için çeşitli komutlar kullanılabilir. Örneğin, PowerShell veya terminal komutları ile USBSTOR anahtarları çıkarılabilir.

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR\ -Name "Current" | Select-Object *

Bu komut, sistemdeki USBSTOR anahtarlarından ayrıntılı bilgi almayı sağlar. Alınan bilgiler, cihaza ait detayları ortaya çıkarır ve potansiyel tehdit analizine olanak tanır.

USB Artifact Bileşenleri

USB forensic analizinde dikkat edilmesi gereken bazı temel bileşenler vardır:

  1. USBSTOR Kayıtları: Yukarıda belirtilen kritik verilerin tutulduğu kayıt alanıdır. Bu alan, sistemde bağlı olan ve geçmişte bağlantı kurmuş tüm USB depolama cihazlarının izlerini barındırır.

  2. Bağlantı Zamanı (Connection Timestamp): Harici cihazın sisteme bağlandığı zaman kaydını tutar. Bu veriler, potansiyel bir olayı zamanlama açısından incelemek için kritik öneme sahiptir.

  3. Mount Point: Cihazın sisteme bağlandığı fiziksel veya sanal erişim noktasını gösterir. Bu, cihazın hangi port veya bellek yolu üzerinden bağlandığını belirlemek için kullanılır.

USB Forensics Avantajları

USB forensic analizinin sağladığı birkaç önemli avantaj bulunmaktadır:

  • Veri Sızıntısı Tespiti: Harici cihazların kullanımı ile ilgili geçmiş veriler, olası veri sızıntılarını takip etmekte yardımcı olur. Yetkisiz erişimlerin ve yüksek riskli durumların tespit edilmesine olanak sağlar.

  • Kullanıcı Davranış Takibi: Cihaz kullanımı ile ilgili verilerin analizi, kullanıcı davranışını anlamak ve şüpheli eylemleri izlemek için kullanılabilir.

  • Incident Response (Olay Müdahale) Desteği: USB forensic analizi, güvenlik ihlalleri durumunda olay müdahale süreçlerini destekler. Cihaz kullanımı ile ilgili bilgilerin derlenmesi, olaya dair önemli ipuçları sunar.

Uygulama ve Analiz Aracı Kullanımı

USB forensic analizinde kullanılabilecek araçlar birçok farklı fonksiyona sahiptir. Analistler, bu araçlar aracılığıyla veri çıkartma, analiz yapma ve raporlama işlemlerini gerçekleştirebilirler. Örneğin, "USBDeview" gibi bir araç, sistemdeki USB bağlantılarının geçmişini ve detaylarını gösterme yeteneğine sahiptir.

Aracın kullanımına yönelik basit bir örnek:

USBDeview.exe /shtml file.html

Yukarıdaki komut, USBDeview aracını kullanarak sistemdeki USB cihazlarının bilgilerini içeren "file.html" adlı bir HTML dosyası oluşturur. Bu dosya, inceleme için kolay bir referans noktası sunar.

Sonuç

USB forensic analizi, veri güvenliği açısından kritik bir rol oynar. Harici cihazların izlerini inceleyerek, potansiyel tehditleri ve veri sızıntılarını tespit etmek mümkündür. Kullanıcı davranışlarının analiz edilmesi, güçlü bir güvenlik postürü oluşturmak adına gereklidir. USB forensic araçları ve teknikleri ile veri toplama, analizi ve raporlama süreçleri optimize edilebilir. Bu da siber güvenlik alanında proaktif bir yaklaşım geliştirmeye yardımcı olur.

Risk, Yorumlama ve Savunma

Riskleri Anlamak ve Yorumlamak

USB forensics, harici depolama cihazların bağlandığı sistemlerdeki geçmiş işlemleri ve veri hareketlerini analiz ederken, siber güvenlik alanında önemli bilgiler sunar. Bu analizlerin sonuçlarına dayanarak, sistemlerin güvenliğini değerlendirmek ve potansiyel zafiyetleri anlamak mümkündür. Özellikle sistemdeki USBSTOR kayıtları, harici cihazların kullanımını belgeleyerek, oyuncuların niyetleri ve aktiviteleri hakkında detaylar sunar.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmaların etkisi, siber güvenlik senaryolarında büyük bir tehdit oluşturur. Örneğin, yetkisiz USB cihazlarının sisteme bağlanması, potansiyel veri sızıntılarına yol açabilir. Bir organizasyonda, eğer USB bağlantı noktaları yeterince güvenli değilse veya çalışanlar bu cihazları kullanma iznine sahipse, saldırganların içeri girişi kolaylaşır. USB forensics ile elde edilen bağlantı zamanları (Connection Timestamp), hangi cihazların ne zaman bağlandığını ve bu cihazların içerdiği bilgilerin potansiyel risklerini anlamaya yardımcı olabilir.

Örnek Durum

2023-05-10 14:30:12 - USBSTOR: Device ID: \\?\usb#vid_1234&pid_5678#0123456789abcdef
2023-05-10 14:31:15 - USBSTOR: Device ID: \\?\usb#vid_abc1&pid_def0#9876543210fedcba

Yukarıdaki kayıtlar, hangi cihazların sisteme bağlandığını ve bu cihazların potansiyel olarak tehlikeli olup olmadığını belirlemek için analiz edilebilir. Özellikle tanınmayan veya izinsiz cihazların varlığı hızlı bir şekilde tespit edilmelidir.

Sızan Verilerin İzlenmesi ve Topolojinin Anlaşılması

Sızan verilere ulaşmanın bir diğer yolu, sistemdeki USB kullanım verilerini detaylı bir şekilde incelemektir. Özellikle harici cihazların hangi verileri içerdiğini bilmek, veri sızıntılarını engellemek adına büyük önem taşır. Bunun yanı sıra, ağ topolojisi ve kullanıcı davranışlarını analiz ederek, zafiyetlerin vurgulanması ve saldırgan kimliklerinin belirlenmesi sağlanabilir.

Profesyonel Önlemler ve Hardening Önerileri

Organizasyonlar, USB forensics analizinden elde edilen bulgular ışığında çeşitli koruma önlemleri almalıdır. İşte bazı öneriler:

  1. Yetkilendirme Kontrolü: Harici USB cihazların kullanımı için sıkı yetkilendirme politikaları oluşturulmalıdır.

  2. Port Güvenliği: USB portlarının güvenliğini sağlamak amacıyla, kullanılmayan portların fiziksel olarak kapatılması veya devre dışı bırakılması gerekebilir.

  3. Veri İzleme Araçları: USB cihazların bağlantı ve veri akışını izleyen yazılımlar kullanılmalıdır. Bu tür araçlar, yetkisiz veri aktarımını önleyebilir.

  4. Eğitim ve Bilinçlendirme: Çalışanlara düzenli olarak güvenlik eğitimi verilmesi, insan zincirindeki zafiyetleri azaltabilir.

  5. Düzenli USB Forensics Analizi: Belirli aralıklarla yapılacak analiz, potansiyel riskleri erkenden tespit etme fırsatı sunar.

Sonuç Özeti

USB forensics, siber güvenlikte önemli bir yer tutmakla birlikte, sistemlerin güvenliğini değerlendirirken çoklu risk faktörlerini ve olası zafiyetleri anlamamıza yardımcı olur. Yanlış yapılandırmalar, potansiyel veri sızıntıları ve kullanıcı davranışları ile ilgili elde edilen bulgular, bir organizasyonun güvenlik duruşunu ciddi anlamda etkileyebilir. Dolayısıyla, etkili bir savunma stratejisi oluşturmak için bu analizlerin düzenli bir şekilde yapılması ve uygun önlemlerin alınması kritik öneme sahiptir.