CyberFlow Logo CyberFlow BLOG
Soc L2 Digital Forensics Disk Registry Analizi

UserAssist ve RecentDocs Analizi: Siber Güvenlikte Kullanıcı Aktivite İzleme

✍️ Ahmet BİRKAN 📂 Soc L2 Digital Forensics Disk Registry Analizi

UserAssist ve RecentDocs analizi, siber güvenlikte kullanıcı aktivitelerini izlemek için kritik bir araçtır. Bu yazıda detayları keşfedin.

UserAssist ve RecentDocs Analizi: Siber Güvenlikte Kullanıcı Aktivite İzleme

UserAssist ve RecentDocs analizi, kullanıcıların program geçmişini ve belge erişimlerini takip etmek için önemli bir süreçtir. Bu yazıda, bu iki önemli araç ve siber güvenlikteki rolü hakkında kapsamlı bilgi edineceksiniz.

Giriş ve Konumlandırma

Siber güvenlik alanında, kullanıcı aktivitesinin izlenmesi ve analiz edilmesi, potansiyel tehditleri tespit etmek ve güvenlik açıklarını kapatmak için kritik bir öneme sahiptir. Bu bağlamda, Windows işletim sistemi üzerindeki belirli kayıt dosyaları, kullanıcıların sistemdeki etkileşimlerini ve davranışlarını güncel olarak ortaya koyma kapasitesine sahiptir. Bu yazıda, söz konusu kayıtlar arasında yer alan UserAssist ve RecentDocs bileşenlerinin analizi üzerinde duracağız. Bu iki bileşen, kullanıcıların program kullanımı ve belge erişim geçmişleri hakkında değerli bilgiler sunar ve siber güvenlik uygulamalarında önemli bir yer tutar.

UserAssist Tanımı

UserAssist, bir kullanıcının sıkça kullandığı programların ve uygulamaların geçmişini kayıt altına alan bir Windows kayıt anahtarıdır. Bu anahtar, kullanıcının hangi programları ne sıklıkla çalıştırdığını gösteren bilgileri içerir. Bu bilgiler, siber güvenlik analistlerine, kullanıcı aktivitesini izleme ve şüpheli davranışları tespit etme konusunda önemli bir yardımcıdır. Analiz sırasında, UserAssist verileri genellikle ROT13 şifreleme yöntemi ile korunmaktadır, bu da verilerin okunabilir hale getirilmesi için ek bir çözümleme süreci gerektirir.

RecentDocs Tanımı

RecentDocs ise, kullanıcı tarafından en son açılan belgeleri kayıt altına alan başka bir Windows bileşenidir. Bu yapı, kullanıcıların hangi dosyalar üzerinde çalıştığını takip etmeyi sağlar ve belgelere erişim geçmişini ortaya koyar. RecentDocs verileri, kullanıcıların hangi bilgilerin üzerinde çalıştığını ve bu bilgilerin ne sıklıkta erişildiğini anlamamıza yardımcı olur.

Neden Önemlidir?

UserAssist ve RecentDocs veri bileşenleri, siber güvenlik ve dijital adli analizde önemli bir rol oynamaktadır. Özellikle, kullanıcı davranışlarının analizi, olası saldırı vektörlerini anlamak ve sistem içerisinde meydana gelen anormal aktiviteleri belirlemek için kritik bir adımdır. Örneğin, bir kullanıcının daha az bilinen bir yazılımı sıkça çalıştırdığı tespit edilirse, bu durum bir saldırganın kullanıcı kimliğini çalmak veya kötü amaçlı yazılım yüklemek için bir yazılımı gizlice kullanıyor olabileceğine işaret edebilir.

Bunların yanında, UserAssist ve RecentDocs kayıtları, dijital adli bulguların oluşturulmasına ve güvenlik olaylarının soruşturulmasında kullanılmasına olanak tanır. Özellikle bir ihlal durumunda, bu veriler kullanıcıların ne tür eylemlerde bulunduğunu belirleyerek saldırganların motivasyonlarını ve yöntemlerini analiz edebilmek için elzemdir.

Teknik Çerçeve

Siber güvenlik analizlerinde, UserAssist ve RecentDocs verilerinin toplanması ve analizi genellikle belirli bir süreç izlemesi gerektirir. Bu süreç, verilerin çıkarılması, şifre çözümü (ROT13 gibi), zaman çizelgesinin oluşturulması ve en sonunda sonuçların yorumlanmasını kapsar.

Aşağıda, bu süreçte kullanılan temel adımları özetleyen bir komut örneği verilmiştir:

# UserAssist verilerinin çıkarılması
registry export HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist userassist.reg

# UserAssist verilerini çözmek için ROT13 kullanımı
# (Bunu bir çözümleme aracı ile gerçekleştirin)

# Analiz sonrası zaman çizelgesi oluşturun
timeline create --input userassist_decoded.txt --output timeline.json

Sonuç

Bu yazının devamında, UserAssist ve RecentDocs bileşenlerinin daha derinlemesine analizi, kullanım alanları ve avantajları üzerinde durulacaktır. Ayrıca, digital forensic uzmanları için bu verilerin siber güvenlikte nasıl kritik bir rol oynadıktan bahsedilecektir. Kullanıcı davranışının izlenmesi ve analiz edilmesi, tehditleri tespit etmek ve sistem güvenliğini artırmak için gereken temel yeteneklerden biridir. Dolayısıyla, bu tür kayıtların etkili bir şekilde kullanılması, modern siber güvenlik stratejilerinin vazgeçilmez bir parçasıdır.

Teknik Analiz ve Uygulama

UserAssist ve RecentDocs: Teknik Analiz ve Uygulama

Siber güvenlikte kullanıcı aktivitelerinin izlenmesi, olası şüpheli davranışların tespit edilmesi ve olay incelemeleri açısından son derece önemlidir. Bu bağlamda, Windows işletim sistemlerinde bulunan UserAssist ve RecentDocs kayıtları, kullanıcının sistem üzerindeki hareketlerini analiz etmek için temel bir kaynak sunar. Bu bölümde, bu kayıtları nasıl analiz edeceğimize dair teknik bir bakış açısı sunulacaktır.

UserAssist Tanımı

UserAssist, Windows kayıt defterinde kullanıcıların çalıştırdığı programların geçmişini saklayan bir mekanizmadır. Her biri, belirli bir programın kaç kez çalıştırıldığını gösteren değerleri içerir. Bu bilgileri kullanarak, bir kullanıcının belirli bir sürede hangi uygulamaları ne sıklıkla kullandığını belirlemek mümkündür.

UserAssist Analiz Süreci

UserAssist verilerini analiz etmek için izlenmesi gereken adımlar şunlardır:

  1. Registry Erişimi: UserAssist verilerine ulaşmak için öncelikle NTUSER.DAT dosyası kullanılmalıdır. Bu dosya, kullanıcının profilinde saklanan kayıt defteri verilerini içerir.

  2. Kayıt Anahtarının Bulunması: UserAssist kayıt anahtarı aşağıdaki konumda bulunmaktadır:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

  3. Verilerin Çözümlemesi: UserAssist verileri, ROT13 şifreleme yöntemi ile kodlanmıştır. Bu nedenle, verilerin okunabilir duruma getirilmesi için dekode edilmesi gerekir. Aşağıda ROT13'le çözümleme için kullanılan örnek Python kodu verilmiştir:

    import codecs

def decode_rot13(encoded_string):
    return codecs.decode(encoded_string, 'rot_13')

encoded_example = "Uryyb Jbeyq!"  # Örnek kodlu metin
decoded_output = decode_rot13(encoded_example)
print(decoded_output)  # "Hello World!" olarak döner

Kullanıcı Aktivite Artifactleri

UserAssist dışında, RecentDocs verileri de kullanıcının sistem üzerindeki aktivitelerini analiz etmekte yardımcı olur. RecentDocs, kullanıcı tarafından son erişilen belgelerin kaydını tutar ve bu bilgi, dosya erişim geçmişini belirlemekte kritik bir rol oynar. RecentDocs verileri ise şu kayıtta bulunur:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Recent

RecentDocs Tanımı

RecentDocs, yani "Son Erişilen Belgeler", kullanıcının en son açtığı dosya ve belgeleri listeleyen bir veri kümesidir. Bu veriler, kullanıcıların hangi dosyaları sıkça kullandığını anlamak ve şüpheli belgeleri tespit etmek için kullanılabilir.

UserAssist & RecentDocs Avantajları

Her iki veri türü de kullanıcı davranış analizi açısından önemli bilgiler sunar. UserAssist, uygulama kullanımıyla ilgili detaylar sağlarken, RecentDocs belge erişim geçmişini sunar. Birlikte kullanıldıklarında, kullanıcı aktivitelerinin kapsamlı bir zaman çizelgesini oluşturmak mümkün hale gelir.

ROT13 Tanımı

ROT13, belirli bir karakter kümesinin 13 karakter kaydırılması ile elde edilen ve metin verilerinin basit bir şekilde şifrelenmesi için kullanılan bir yöntemdir. Windows kayıt defterinde saklanan UserAssist verilerinin korunmasında bu yöntem kullanılmaktadır.

Forensic Kullanım Alanları

SOC L2 analistleri, UserAssist ve RecentDocs verilerini derinlemesine inceleyerek önemli siber güvenlik analizleri yapabilir. Kullanıcıların davranışlarını belirleyerek abnormal aktiviteleri tespit edebilirler. Bu veriler, tehdit analizi, olay soruşturması ve kullanıcı davranışlarının izlenmesi gibi alanlarda kritik öneme sahiptir.

Run Count Tanımı

Bir programın kaç kez çalıştırıldığını gösteren değere "Run Count" denir. Bu, kullanıcının belirli uygulamalarla etkileşime girme sıklığını anlamak için kullanılır.

SOC L2 Kullanıcı Artifact Analiz Rolü

SOC L2 analistleri, UserAssist ve RecentDocs verilerini analiz ederek, kullanıcıların etkinliklerini gözlemlemekte ve potansiyel tehditleri belirlemede kritik bir rol oynamaktadır. Bu veriler, uzmanların saldırı korelasyonu oluşturmasına olanak tanır.

Bu bilgiler, analistlerin çeşitli senaryoları değerlendirmesine ve hedeflenen kullanıcıların davranışlarını daha iyi anlamalarına yardımcı olur. Verilerin etkili bir şekilde analiz edilmesi, organizasyonların siber güvenliğini güçlendirmeye katkı sağlar.

Sonuç

UserAssist ve RecentDocs analizi, siber güvenlik alanında kullanıcı aktivite izleme için oldukça değerli araçlar sunar. Yukarıda belirtilen yöntemlerle, kullanıcıların davranışları hakkında önemli bilgiler edinmek ve potansiyel tehditleri tespit etmek mümkündür. Bu süreç, kullanıcı davranışlarını daha iyi yorumlamaya ve siber tehditlere karşı önlem almaya yardımcı olur.

Risk, Yorumlama ve Savunma

Risk Analizi

UserAssist ve RecentDocs, kullanıcıların sistemde gerçekleştirdiği aktiviteleri takip etmek için kritik forensik artefaktlardır. Bu özelliklerin doğru bir şekilde yorumlanması, güvenlik analistlerine potansiyel tehditlerin anlaşılmasında önemli bir avantaj sunar.

Kullanıcı Aktivite İzleme

UserAssist, bir kullanıcının çalıştırdığı programları ve RecentDocs ise eriştiği belgeleri izleyen iki önemli kayıt sistemidir. Bu iki sistemde elde edilen veriler, kullanıcıların davranışlarını analiz etmek ve güvenlik açığı tespiti yapmak için değerlidir.

Örneğin, UserAssist verilerinin analizinde, bir kullanıcının daha önce hiç çalıştırmadığı bir programın bilinmeyen bir kaynaktan çalıştırılması, bir güvenlik tehdidi göstergesi olabilir. Bu tarz durumlarda, kullanıcının farkında olmadan zararlı bir yazılım ya da kötü niyetli bir program çalışma dönemine sokulup sokulmadığı araştırılmalıdır.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırma durumlarında, UserAssist veya RecentDocs kayıtlarının etkisinin anlaşılmaması önemli bir risk oluşturur. Örneğin, sistemde görünümü gizlemek üzere yapılandırılan bazı öğeler, kötü niyetli bir kullanıcının sistemdeki varlığını saklamasına yardımcı olabilir. Bu tür zafiyetler, saldırganların hedef sistemi daha fazla keşfe açar ve kritik verilere erişim sağlar.

Aşağıdaki örnek, potansiyel bir risk durumunu belirtmektedir:

1. Kullanıcı aşırtmalar yoluyla zararlı bir yazılımı yükler.
2. UserAssist girişlerinde bu yazılımın çalışma geçmişi görünür.
3. Analiz yapılmadığında, bu eğitim amaçlı değişiklikler risk olarak değerlendirilmez.

Dolayısıyla, UserAssist ve RecentDocs verilerinin düzenli gözden geçirilmesi, olası tehditleri önceden tespit etmenin önemli bir parçasıdır.

Yorumlama

Elde edilen bulgular, siber güvenlik açısından önemli işaretler taşır. UserAssist ve RecentDocs verilerinin analizi, bir kullanıcının normal iş akışını anlamaya ve bunun dışında gerçekleşen aktiviteleri tespit etmeye yardımcı olur.

Örnek Çıktılar

  • Sızan Veri: Kayıt altına alınan belgeler aracılığıyla, kullanıcıların hassas verileri ne kadar sık eriştiği gözlemlenebilir. Bu, bir sızıntı riski durumunda (örneğin, GDPR kuralları aşılmaları) kritik sonuçlar doğurabilir.

Veri kaynakları aşağıdaki gibi gözlemlenebilir:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
  • Servis Tespiti: Servislerin düzenli olarak kullanılmasını sağlayarak sistemin güvenliğini artırır. Ancak, zararlı yazılımların bu hizmetleri kullanıp kullanmadığını izlemek, önemli bir faktördür.

Savunma Önlemleri

Yukarıda belirtilen riskleri minimize etmek için alınabilecek profesyonel önlemler şu şekildedir:

  1. Güvenlik Duvarı ve İzleme Araçları: Kullanıcı aktivitelerinin gözlemlenmesi için sistemde uygun güvenlik duvarı ve izleme yazılımı kullanılmalıdır.

  2. Eğitim ve Farkındalık: Kullanıcıların kötü amaçlı yazılımlar ve siber saldırılar hakkında eğitilmesi, farkındalıklarını artıracak ve yanlışlıkla gerçekleşen tehditlere karşı koruma sağlayacaktır.

  3. Düzenli Raporlama: UserAssist ve RecentDocs kayıtlarının düzenli aralıklarla gözden geçirilmesi, anormalliklerin tespit edilmesini kolaylaştırır ve zamanında müdahaleye olanak tanır.

  4. Yapılandırma Kontrolleri: Sistemdeki yapılandırmanın sıkı bir şekilde kontrol edilmesi, olası zafiyetlerin önlenmesine katkıda bulunur.

Sonuç

UserAssist ve RecentDocs analizleri, kullanıcı davranışlarını derinlemesine anlamak için kritik öneme sahiptir. Bu verilerin yorumlanması, olası güvenlik açıklarını tespit etmek ve önlemek için faydalıdır. Yanlış yapılandırmalar ve eksik kontroller, sistemin güvenliğini tehdit eden zafiyetler oluşturabilir. Düzenli izleme ve etkili güvenlik önlemleri alınarak sadece mevcut tehditlere yanıt vermekle kalmaz, gelecekteki saldırılara karşı proaktif bir yaklaşım sergilemiş oluruz.