CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Endpoint Edr

Zamanlanmış Görevler ile Siber Güvenlikte Kalıcılığı Tespit Etmek

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Endpoint Edr

Zamanlanmış görevlerin analizi, siber saldırılara karşı koruma sağlamada kritik bir adımdır. Bu yazıda detayları keşfedin.

Zamanlanmış Görevler ile Siber Güvenlikte Kalıcılığı Tespit Etmek

Zamanlanmış görevler, siber güvenlikte önemli bir tehdit unsuru oluşturur. Bu blog yazısında, bu görevlerin nasıl tespit edileceğini ve korunma yollarını keşfedeceksiniz.

Giriş ve Konumlandırma

Zamanlanmış görevler, modern işletim sistemlerinin temel bileşenlerinden biridir ve siber güvenlik bağlamında oldukça kritik bir role sahiptir. Bu görevler, belirli tetikleyiciler aracılığıyla otomatikleştirilmiş işlemleri gerçekleştirir ve bir sisteme, kötü niyetli bir aktör tarafından sızıldığında, uygun kalıcılığı sağlamada strategic bir mekanizma olarak kullanılabilir. Zamanlanmış görevlerin tespiti, siber güvenliğin en önemli boyutlarından biri olan kalıcılık (persistence) tespiti için hayati öneme sahiptir.

Zaman Ayarlı Görevlerin Önemi

Kötü niyetli yazılımlar veya saldırganlar, sistemde kalıcı olabilmek için çeşitli yöntemler kullanır. Zamanlanmış görevler, bu yöntemler arasında en yaygın olanlarından biridir. Saldırganlar, kendi zararlı uygulamalarını uzun süre gizli tutmak ve tespit edilme riskini azaltmak amacıyla, zamanlanmış görevleri kullanarak sistemin meşru işlemleri gibi görünmelerini sağlayabilirler. Örneğin, bir saldırgan, yaptığı zararlı işlemi "Windows Update" ya da "Sistem Bakımı" gibi meşru isimlerle maskeler. Bu nedenle, güvenlik uzmanlarının ve SOC (Security Operations Center) analistlerinin, zamanlanmış görevleri sistemde etkin bir şekilde izlemeleri şarttır.

Siber Güvenlik Bağlamında Kalıcılık

Siber güvenlikte kalıcılık, kötü niyetli bir aktörün bir sisteme sızdıktan sonra, açık kalan otomasyon yollarını kullanarak, uzun süre kalmasını ifade eder. Zamanlanmış görevler, saldırganların yeniden erişim sağlamaları için kullandıkları bu yollar arasında yer alır. Kalıcılık tespiti, olay müdahale süreçlerinin ana unsurlarından biridir; çünkü bir sistemde etkin bir tehlike tespit edildiğinde, bu tehlikenin temizlenmemesi halinde, saldırganın iştirak etme şansı yüksek olacaktır.

Zamanlanmış Görevlerin Sağladığı Tehditler

Zamanlanmış görevlerin analizi, potansiyel tehditlerin belirlenmesine yardımcı olur. Görevlerin başlama koşulları, kimin hangi yetkide çalıştığı ve hangi işlemlerin gerçekleştirildiği gibi parametrelerin analizi, kritik bilgi sağlar. Aşağıdaki örnek, zamanlanmış görevlerin içindeki bazı önemli bileşenleri iyi anlamak için yardımcı olabilir.

schtasks /query /fo LIST

Yukarıdaki komut, sistemdeki tüm zamanlanmış görevleri listeleyecek ve analistlerin, analiz etmesi gereken parametreleri görselleştirmesine imkan tanıyacaktır. Bu tür görevlerin detaylı analizi, zararlı aktivitelerin tespitini kolaylaştırır.

Analiz İçin Belirleyici Noktalar

Zamanlanmış bir görevin analiz edilmesi sırasında aşağıdaki unsurlar göz önünde bulundurulmalıdır:

  1. Tetikleyiciler: Görevin ne zaman veya hangi olayda çalışacağını belirler.
  2. Eylem: Görevin gerçekleştireceği işlemi tanımlar.
  3. Sahip: Görevin hangi kullanıcı haklarıyla çalışacağını belirler.
  4. Gizlilik: Görevin sistemde görünürlüğüne etki eden ayarlar.

Bu bileşenlerin analizi, potansiyel zaafların ve kalıcılık tehditlerinin tespit edilmesine olanak tanırken, aynı zamanda siber güvenlik ekiplerinin olay müdahale planlarını oluşturmasına yardımcı olur.

Sonuç Olarak

Zamanlanmış görevlerin siber güvenlik bağlamındaki rolü, kalıcılığı tespit etme olanağı sunmasıyla ilgilidir. Hem savunma hem de saldırı perspektifinden önemli veriler sağlayarak, bir güvenlik uzmanının olay müdahale sürecinde kritik bir araç olurlar. Zamanlanmış görevlerin etkin bir şekilde izlenmesi, sistem güvenliğinin sağlanması açısından asgari gereksinimler arasında yer almaktadır. Bu bağlamda, bir analistin zamanlanmış görevleri doğru bir şekilde anlaması ve analiz etmeye hazır olması gerekmektedir. Bu, organizasyonların siber tehditlere karşı sağlam bir savunma yapabilmesi için vazgeçilmez bir adımdır.

Teknik Analiz ve Uygulama

Zaman Ayarlı Mekanizma

Zamanlanmış görevler, belirli tetikleyicilere göre otomatik olarak çalıştırılan görevlerdir. Bu görevler genellikle sistem bakımı, güncelleme işlemleri veya belirli zaman dilimlerinde rutin işlemler için kullanılır. Bununla birlikte, kötü niyetli saldırganlar bu mekanizmayı kötü amaçlar için kullanabilirler. Zamanlanmış bir görevin belirli bir tetikleyici ile çalıştırılabilmesi için, görev tanımında belirtilen kuralların dikkatlice incelenmesi gereklidir.

Tetikleyiciler

Tetikleyiciler, bir zamanlanmış görevin ne zaman veya hangi olayın gerçekleşmesi durumunda çalışacağını belirler. Örneğin, görevler sistem açılışı, belirli bir saat veya kullanıcı boşta kalma durumu gibi olaylarla tetiklenebilir. Aşağıda, bir zamanlanmış görev oluşturma komutunu örnek olarak görebilirsiniz:

schtasks /create /tn "MyTask" /tr "C:\Script\example.bat" /sc onstart

Bu komut ile "MyTask" adında bir görev oluşturulmakta ve sistem açılışında belirtilen "example.bat" dosyası çalıştırılmaktadır.

Maskeleme Sanatı

Saldırganlar, keşif ve tespit süreçlerinden kaçınmak için zamanlanmış görev isimlerini maskeleyebilirler. Genellikle güvenilir görevler gibi görünen isimler kullanarak, kötü niyetli eylemleri gizlemeye çalışırlar. Örneğin, "Windows Update" veya "System Maintenance" gibi isimler kullanarak dikkat çekmeyecek şekilde görevler oluşturabilirler.

Gizli Görevler

Zamanlanmış görevler, gizli olarak işaretlenebilir. Bu, görevlerin görünmez olmasını sağlar ve güvenlik çözümlerinin tespit etme olasılığını azaltır. Bir görev gizli olarak ayarlanırsa, görsel arayüzde doğrudan listelenmez. Bunu anlamak için aşağıdaki komutları kullanarak tüm görevleri listeleyebiliriz:

schtasks /query /fo LIST /v

Bu komut, tüm görevleri detaylı şekilde listeleyerek gizli olanları fark etmeye yardımcı olur.

Analiz Parametreleri

Zamanlanmış görevleri analiz ederken, dikkat edilmesi gereken birkaç kritik alan bulunmaktadır:

  1. Görev Eylemi (Task Action): Merak edilen, tetikleyici çalıştığında hangi programın veya scriptin yürütüleceğidir.
  2. Bağlı Kullanıcı (Task Principal): Görevlerin hangi kullanıcı yetkileriyle (SYSTEM, Administrator vb.) çalışacağını belirler.
  3. Olay Kimliği (Event ID 4698): Windows loglarında 'Yeni bir zamanlanmış görev oluşturuldu' anlamına gelen kritik olay kimliğidir, bu kayıt güvenlik analizi için son derece değerlidir.

Bu alanları analiz ederken, bir saldırganın gerçekleştirmiş olduğu potansiyel yetki yükseltme (Privilege Escalation) saldırılarını belirlemek mümkündür. Örneğin, eğer düşük yetkili bir kullanıcı tarafından oluşturulan bir görev, SYSTEM haklarıyla çalışıyorsa, bu anormal bir durum teşkil eder.

Terminalden Kontrol

Komut satırı aracını kullanarak görevleri listelemek, oluşturmak veya silmek için schtasks komutunu kullanabilirsiniz. Bu araç sayesinde analistler, grafik arayüze erişim olmadan görevleri inceleyebilirler. Hemen aşağıda bir görev silme komutuna örnek verilecektir:

schtasks /delete /tn "MyTask"

Bu komut "MyTask" adındaki zamanlanmış görevi siler. Görevleri silmeden önce analiz edilmesi gereken noktaları ihmal etmemek önemlidir.

Zirveye Ulaşmak

Zamanlanmış görevler, sistemdeki en yüksek yetkilere sahip olma arayışında olan saldırganların birinci derecede dikkat etmesi gereken bir konudur. Saldırganlar, sistemde yüksek haklarla çalışacak şekilde görevlere ayar verme eğilimindedir. Bu durum, saldırganın sistemdeki en yüksek haklara sahip olma hedefini gösterir.

Görünmez Görevler

Gizlenmiş görevler, görünür olmayan görevlerdir ve bu nedenle tespit edilmesi zor bir hedef sunar. Görevlerin özniteliği gizli olması durumunda, onları tespit etmek için içe dönük bir yaklaşım benimsemek gerekebilir. Analiz sırasında bu tür görevleri öne çıkarmak için sistem logları ve XML dosyaları incelenmelidir. Örneğin, görevlerin yapılandırmasının bulunduğu dizin:

C:\Windows\System32\Tasks

Bu dizinde görevlerin XML dosyalarını bulabilir ve içindeki detayları inceleyebilirsiniz.

Modül Sonu

Zamanlanmış görevlerin analizi, siber güvenlik alanında son derece önemlidir. Analistler, zamanlanmış görevlerin kökenini, işlevlerini ve potansiyel tehditlerini dikkatle incelemeli ve bu bilgiler doğrultusunda gerekli önlemleri almalıdır. Tespit edilen her detay, olası bir siber saldırının önüne geçmek için kritik değer taşır. Zamanlanmış görev tespiti, analistin siber güvenlik alanındaki yetkinliğini artırmada önemli bir bilgi tabanı sunar.

Risk, Yorumlama ve Savunma

Zaman Ayarlı Mekanizma

Zamanlanmış görevler, belirli tetikleyiciler ile otomatik olarak çalışan, sistem kaynaklarını kullanan görevlerdir. Bu görevler, genellikle sistemin açılması, belirli bir saatin gelmesi veya kullanıcının bilgisayarı boş bıraktığında devreye girecek şekilde yapılandırılır. Özellikle siber güvenlik alanında, bu tür görevlerin yanlış yapılandırılması ya da kötü niyetli bir amaçla kullanılması, organizasyonlar için ciddi güvenlik riskleri oluşturabilir. Görevlerin incelenmesi, potansiyel bir tehditin ortaya çıkarılması açısından kritik bir adımdır ve uzmanların bu konuda dikkat etmesi gereken birkaç önemli parametre bulunmaktadır.

Bir siber güvenlik analisti olarak, zamanlanmış görevleri incelemek için Event ID 4698 kaydı önemli bir göstergedir. Bu kimlik, Windows loglarında "Yeni bir zamanlanmış görev oluşturuldu" sinyalini vererek analistlere hangi görevlerin oluşturulduğu hakkında bilgi sunar. Görevlerin hangi tetikleyicilerle çalıştırıldığını ve hangi eylemlerin gerçekleşeceğini anlamak, organizasyon güvenliği açısından kritik öneme sahiptir.

schtasks /query

Yukarıdaki komut, sistemdeki tüm zamanlanmış görevleri listeleyerek güvenlik analistlerine, görevlerin detaylarını gözden geçirmeleri için bir fırsat sunar.

Maskeleme Sanatı

Saldırganlar, tespit edilmemek adına zamanlanmış görevlerini çeşitli maskeleme stratejileri ile oluşturma eğilimindedirler. Bir görevin adında, meşru isimler kullanarak (örneğin "Windows güncellemesi" veya "sistem bakımı") dikkat çekmeyebilirler. Bu tür teknikler, analistlerin kimliklendirme sürecini zorlaştırırken, gizli bir görevin çalışmasına olanak tanır. Yani, saldırganlar fark edilmemek için zararlı görevlerin adlarını, meşru fakat yanıltıcı isimlerle değiştirirler.

Elde edilen bulgular, zamanlanmış görevlerin yalnızca yüzeysel bir incelemesi ile değerlendirildiğinde, potansiyel bir zafiyet veya tehdit göz ardı edilebilir. Bu nedenle, tüm görevlerin gerçekleştirdiği eylemleri ve tetikleyicileri dikkatlice yorumlamak gerekmektedir. Aşağıda, görev bileşenlerinin dikkatlice analiz edilmesi gerektiği noktalar sıralanmıştır:

  • Task Action (Eylem): Görevin, tetikleyici çalıştığında hangi programın veya scriptin (CMD, PS1 vb.) yürütüleceğini belirler.
  • Task Principal (Sahip): Görevin hangi kullanıcı yetkileriyle (SYSTEM, Administrator vb.) çalıştırılacağını belirler. Eğer düşük yetkili bir kullanıcı tarafından oluşturulan bir görev SYSTEM hakları ile çalışıyorsa, bu bir yetki yükseltme saldırısının belirtisi olabilir.

Analiz Parametreleri

Yapılandırma dosyaları, görevlerin detaylı tanımlarını içeren XML dosyaları olarak C:\Windows\System32\Tasks dizininde saklanır. Bu dosyalar, siber güvenlik analistleri için kritik bilgi kaynaklarıdır. Ayrıca, görev kaydı verileri ve log dosyaları, sistem genelindeki potansiyel riskleri saptamak için kullanılabilir.

Bir görev, eğer hidden olarak ayarlanmışsa, bu durum görünür olmamakla birlikte zararlı varsayılan bir yapıyı temsil edebilir. Bu tür durumlar, görevlerin kimler tarafından yaratıldığı, nasıl yapılandırıldığı ve çalışan programların ne tür işlemler gerçekleştirdiğine dair analiz yapılmadığı sürece, siber güvenlik açıklarına neden olabilir.

Terminalden Kontrol

Görsel arayüz yerine, komut satırı üzerinden zamanlanmış görevlerin izlenmesi çoğu zaman daha faydalı olabilir. Bu maksatla schtasks aracı, görevleri listelemek, oluşturmak veya silmek için kullanılır. Terminal üzerinden gerçekleştirilen bu işlemler, görsel arayüzde gözden kaçabilecek tehlikeli yapılandırmaları daha kolay bir biçimde saptamaya olanak sağlar.

Zirveye Ulaşmak

Zamanlanmış görevlerin izlenmesi, yalnızca görevlerin görüntülenmesi ile sınırlı kalmamalıdır. Siber güvenlik müdahale süreçlerinde, bu görevlerin ne şekilde kullanıldığını ve sızan verilerin ağ üzerindeki muhakemelerini anlamak önemlidir. Sızan veri legolarları, organizasyonun genel topolojisindeki hizmetlerin nasıl etkilendiğini gösterir ve bu durum kablolamanın güvenliği açısından aydınlatıcı bir rol oynar.

Görünmez Görevler

Görevin kim tarafından ve hangi şartlarda oluşturulduğu kadar, görevlerin gizlenip gizlenmediği de önemli bir analiz konusudur. Saldırganlar, görev listesinde kalabalık yaratmamak adına bu görevleri gizleyebilir. Bu da zamanla saldırının kapsamını ve etkisini artırarak tespit edilmesini zorlaştırır. Analistlerin, bu tür görünmez görevleri tespit edebilmesi için yalnızca yüzeysel verilerin incelemesi yerine, daha derinlemesine bir analiz yapmaları gerekmektedir.

Sonuç

Zamanlanmış görevlerin siber güvenlik üzerindeki etkileri, azımsanamayacak kadar ciddi bulunmaktadır. Yanlış yapılandırmalar veya tespit edilmekten kaçınan zafiyetler, organizasyonların bilgi güvenliğini tehlikeye atabilir. Analistlerin, gizlilik, yetkiler ve görev eylemleri üzerine detaylı bir değerlendirme yapması, siber tehditlere karşı savunmalarını güçlendirmelerine olanak tanır. Bu süre zarfında düzenli izleme ve güncellemeler, güvenlik posture'unu sağlamlaştırmak için elzemdir.