Siber Saldırı Yaşam Döngüsü, Cyber Kill Chain
Cyber Kill Chain “Kill Chain” Türkçe olarak Ölüm Zinciri askeri bir terim olarak ortaya çıkarılmıştır. Ve amacı da askeriyeler tarafından hedeflenen belirli bir yere saldırı aşamalarının tanımlanmasında kullanılmaktadır. Siber saldırılar öncesinde saldırganlar ya da hacker grupları detaylı araştırmalar gerçekleştirmektedirler. Siber güvenlik araştırmacılarının geliştirdikleri ve üzerinde çalıştıkları modellerden bir tanesi de “Cyber Kill Chain” modelidir. Cyber Kill Chain modelini Locheed Martin firması hedefli saldırıları (APT) analiz edebilmek ve tespiti kolaylaştırabilmek amacıyla geliştirmiştir. Bir siber saldırı da hedeflenen sisteme ulaşmak ve hedefledikleri motivasyonlara ulaşabilmek için bir saldırı planı oluşturulmaktadır. Hedefli saldırılarda izlenen adımlar genel olarak benzerlik göstermektedir. Bu adımların yer aldığı genel modele de Cyber Kill Chain modeli denilmektedir. Bu model kullanılarak da yukarıda bahsettiğim gibi saldırıların tespitini ve analizini kolaylaştırmak amaçlanmaktadır. Keşif aşamasından saldırı aşamasına kadar tanımlanan bu model 7 aşamadan oluşmaktadır. Bu 7 aşama da şu şekildedir; Reconnaissance (Keşif) Weaponization (Silahlanma) Delivery (İletme) Exploitation (Sömürme) Installation (Yükleme) Command &…
Master File Table Nedir? MFT’yi Anlamak
Adli bilişim alanında herhangi bir suçu ya da olayı tespit etmek için disk analizi yapılmaktadır. Daha önceki makalelerimde bahsettiğim dosya sistemleri kısmında bir çok farklı dosya sistemi olduğunu öğrendik. Farklı dosya sistemi olmasının yanında bu farklı dosya sistemlerinin analiz yöntemleri de farklı olmaktadır. Bu makalemde NTFS dosya sistemi içerisinde yer alan MFT(Master File Table)’nin adli bilişim açısından önemine ve analizi kısımlarına değineceğim. MFT(Master File Table) MFT İşletim sistemleri üzerinde oluşturulan tüm dosyalar için kendi içerisinde bir kayıt barındırmaktadır. MFT, NTFS dosyasının temelini oluşturur ve NTFS’in kalbi olarak bilinmektedir. Daha anlaşılır olabilmesi için şu şekilde anlatabilirim; Örneğin işletim sistemi üzerinde yeni oluşturulan herhangi bir dosya(kadir.txt, rapor.docx, foto.jpeg…) için MFT üzerinde bir kayıt açılır. Ve bu oluşturulan dosyalar buraya kayıt edilir. İstenilen yani talep edilen dosyaların kullanıcılara sunulması için yerlerinin belirli olması gerekmektedir. MFT ise bu dosyaları kendi üzerine kayıt ediyor ve istenilen yanıtı bizlere getiriyor. MFT tablosu üzerinde yer alan dosyaların…
Windows Dosya Sistemleri
Hepinize selamlar, bu makalemde sizlere sırası ile; Dosya nedir, Sabit diskin yapısı ve çalışma mantığı, Dosya Sistemi, Dosya Sisteminiin Görevleri, Windows Sistemlerde dosya yapıs FAT 16, FAT 32, NTFS konularından bahsedeceğim. Bu konular Adli Bilişim açısından önemli kısımlardan biridir. Dosya Nedir? Dosya, disk üzerinde depolanmış verilerin bütününe verilen isimdir. İşletim sistemlerinde iki çeşit dosya bulunmaktadır; Sistemler çalışma halince görevini yaparken ya da uygulama çalışırken bilgisayarı kontrol eden komutları içeren program dosyalarıdır. Bir program yardımı ile kullanıcılar tarafından yaratılmış veri dosyalarıdır. Sabit Diskin Yapısı ve Çalışma Mantığı Diskler iç içe geçmiş halkalardan oluşmaktadır. Bu halkalara iz(track) denir. Her bir halka kendi içinde bölümlenmiştir. Bu bölümlere de sektör denilmektedir. Disklerde manyetizma kullanıldığı için yan yana kesimlerin birbirinden etkilenmemesi için boşluklar bırakılmıştır. Dosyaların sabit diske kaydedilmesi dosya sisteminin görevidir. Dosya sistemi sektörün tamamını tek seferde kullanmaz ve öbek(cluster) adı verilen gruplara toplar. Dosya Sistemi nedir ? Bir dosyanın bir disk üzerinde…
Adli Bilişim Açısından Exif Bilgisi İnceleme
Hepinize Merhabalar. 🙂 EXIF, “Japan Electronic Industries Development Association” (JEIDA) tarafından 1998 yılında tasarlanarak çıkarılmıştır. Çıkarılması ve bulunması sonucunda o kadar önem kazanmıştır ki fotoğrafların nerede ve nasıl çekildiği bir yana resimlere koyacağınız etiketlere varıncaya kadar bir çok bilgiyi bünyesinde barındırabilmektedir Dijital makineyle çekilmiş olan fotoğraf sadece görüntü (imaj) dosyasından ibaret değildir. Çekilen fotoğrafa ait enstantane hızı, ISO hızı, diyafram açıklığı, beyaz dengesi, kameranın markası ve modeli, lokasyon (yer) bilgisi, tarih ve saat, lens tipi, odak uzaklığı ve bundan daha fazlasına sahip bir dizi bilgilere “exchangeable image file” yani “Değiştirilebilir Resim Formatı” EXIF denilmektedir. Geçtiğimiz yıllarda bir hacker büyük sitelere atılan bir index üzerinde, kız arkadaşının fotoğrafını paylaşmış. Bunun sonrasında fotoğrafın detaylı incelenmesi sonucunda exif verisi kullanılarak lokasyon bilgilerine ulaşılmış ve hacker yakalanmış. Bunun da Adli Bilişim açısından önemi büyüktür. Bu yüzden ulaşılabildiği kadar detaya ulaşıp iyi inceleme yapıldığında sonuca varmak o kadar kolay olacaktır. Exif Bilgisini Bilgisayardan Görmek Exif bilgisini öğrenmek istediğimiz…
FTK Imager ile Silinen Dosyaları Geri Getirme
Hepinize Merhabalar. 🙂 Bu makalemde sizlere bir Flash Disk üzerinden yanlışlıkla ya da bilinmeyen bir nedenden dolayı silinen dosyarınızın, FTK Imager programı ile basit bir şekilde nasıl kurtarılacağından bahsedeceğim. Öncelikle ilk yapmamız gereken şey kurtarmak istediğimiz dosyayı kendi USB sürücümden siliyorum. Kendi USB sürücümden aşağıda gördüğünüz gibi cybermen.jpg adlı resim dosyasını kalıcı olarak sildim. Sildiğimiz dosyamızı kurtarmak için AccessData FTK Imager programını kullanacağım. Programı indirdikten ve gerekli ayarlamaları yaptıktan sonra, çalıştırıyoruz. İlk olarak karşımıza gelen ekranda görseldeki gibi “File> Add Evidence Item” seçeneğini seçiyoruz. Karşımıza gelen bu ekranda alacağımız imajın türünü belirtmemizi istiyor. Biz Physical Drive(fiziksel drive) seçeneğini seçerek devam ediyoruz. Diğer görselde Fiziksel imajını alacağımız diski seçmemiz gerekiyor. Ben burada kendi takmış olduğum USB belleği seçiyorum ve ardından finish diyerek fiziksel imajın alınasını sağlıyorum. Bu kısımda almış olduğumuz imaj dosyası karşımıza çıkmaktadır. Artık sildiğimiz dosyaya nasıl erişebileceğimiz kısmına geçebiliriz. Burada “Physical Drive>Partition>”USB adı”>root” seçeneklerini…
Windows Log Analizi Önemli Kavramlar
Hepinize Merhabalar. 🙂 Bu makalemde sizlere Windows Log Analizi sırasında bizler için önemli olan olay günlükleri, Event ID’ler, ve bu ID numaralarının bizler için neden ve ne kadar önemli olduğu hakkında bilgiler vermeye çalışacağım. Olay Günlüğü(Event Log) Nedir? Windows İşletim sistemlerinde log kayıtlarının tutulduğu yere Olay günlükleri (Event Log) denmektedir. Herhangi bir işletim sisteminin çalışması sırasında arka planda birden fazla işlem gerçekleşmektedir. Bu sistemler üzerinde gerçekleşen tüm işlem ve olaylar kayıt altına alınmaktadır. Alınan bu kayıtlar kimi zaman bizler için çok kritik bir öneme sahiptir. Bunun nedeni ise sistem üzerinde herhangi bir anormal durumun tespit edilmesi sonucunda ya da saldırı sonucunda kayıtların incelenerek sistem hakkında bilgi edinilmesine olanak sağlamasıdır. Bu olay günlüklerine alınan kayıtların kronolojik olarak sıralanması da sistem yöneticilerinin daha rahat şekilde analiz yapmalarını kolaylaştırmaktadır. Olay Görüntüleyici (Event Viewer) Windows Sistemlerde gerçekleşen olaylar ve işlemler Event Log sisteminde kayıt altına alınmaktadır. Kayıt alınan bu logları Event Viewer (Olay Görüntüleyici)…
Web Sunucu Türleri ve LOG Kayıtlarının İncelenmesi
Günümüzde en çok kullanılan web sunucu türleri genel olarak Apache, ISS ve Nginx sunucu türleridir. APACHE Web Sunucusu ve Log Kayıtları Açık kaynak kodlu, esnek, sağlam ve performanslı olduğu için Apache en çok tercih edilen web sunucu türleri arasında bulunmaktadır. Çok kapsamlı ve esnek loglama imkanına sahiptir. Apache Web Server da Error Log ve Access Log adlı iki günlük dosyası bulunmaktadır. Access Log (Erişim Logları): Web sunucusu üzerinde yer alan internet sitesine gelen ziyaretçilerin kayıt altına alındığı günlük dosyasıdır. Kullanıcıların hangi dizinlere eriştiği, web sunucuların kullanıcılardan gelen isteklere nasıl yanıt verdiği ve ziyaretçilerin hangi tür web tarayıcı bilgilerini kullandığını ve bir çok farklı bilgilere buradan ulaşabiliriz. Erişim günlüğünün biçimi son derece yapılandırılabilir. Erişim günlüğünün konumu ve içeriği CustomLog yönergesi tarafından kontrol edilir . Varsayılan apache erişim günlüğü dosyası konumu: /var/log/httpd/access_log: RHEL / Red Hat / CentOS / Fedora Linux Apache erişim dosyası konumu bu günlük içerisinde bulunmaktadır. /var/log/apache2/access.log: Debian / Ubuntu Linux Apache erişim günlüğü…
PCI/DSS
PCI/DSS Ödeme Kartı Endüstrisi Veri Güvenliği Standardı (PCI DSS), kredi kartı bilgilerini kabul eden, işleyen, depolayan veya ileten tüm şirketlerin güvenli bir ortam sağlamasını sağlamak için tasarlanmış bir dizi güvenlik standardıdır. Bu Veri Güvenliği Standartları, Visa, MasterCard, American Express ve Discover gibi kurumsal üyelerin yer aldığı Güvenlik Standartları Konseyi tarafından, veri ihlallerini, kimlik hırsızlıklarını ve diğer dolandırıcılıklarla birlikte suç aktivitelerini azaltmak için belirlenmiştir. Bu standartlara tüm boyutlardaki şirketlerin uyması zorunludur. Bu nedenle PCI DSS günümüzde çok yaygın şekilde devam eden sanal dolandırıcılığın engellenmesi için oldukça önemli bir yere sahiptir. Bu kurallar internet üzerinden yapılacak alışverişlerde tüketicilerin ve firmaların güvenliğini sağlamayı amaçlamaktadır. PCI DSS Sertifikası, güvenli alışveriş için standartları belirleyen ve farklı seviyelerde derecelendirilen bir yapıdır. PCI DSS sertifikası ve uyumluluğu neden önemlidir? PCI DSS danışmanlığı ile internet üzerinden ürün ve hizmet sunan firmaların ödeme güvenliği alanında uluslararası standartlara ulaşması mümkündür. Yukarıda bahsettiğimiz bu sistem ve kurallar sayesinde kart sahiplerinin kişisel verileri…
Active Directory Loglarını Olay Görüntüleyici Üzerinde Görüntüleme
Hepinize Selamlar 🙂 Active Directory(AD), hem bilgisayar hem de kullanıcı hesapları dahil olmak üzere hesap yönetimi açısından çok önemli bir yer tutmaktadır. Özellikle Active Directory hizmeti, dosya sunucularında ve ağ üzerindeki bileşenlere, uygulamalara ve verilere ulaşarak erişimi kontrol etmenizi sağlamaktadır. Burada bizler için en önemli kısımlardan biri ise altyapıları ve verilerin güvenliğini sağlamak için Active Directory üzerindeki değişiklikleri kontrol ve tespit etmek, herhangi bir kötü amaçlı yazılım veya anormal durumları önleyebilmek çok önemlidir. Olay Görüntüleyici, güvenlik günlüklerini takip etmek için en önemli çözümdür. Ücretsizdir ve her Microsoft Windows sisteminin yönetim araçları paketinde varsayılan olarak yer almaktadır. Active Directory üzerinde denetimimizi etkinleştirdikten sonra Windows Server, olayları etki alanı denetleyicisindeki “Güvenlik” günlüğüne yazar. Güvenlik olay günlüğü şu bilgileri kaydeder: Eylem yapıldı İşlemi gerçekleştiren kullanıcı Etkinliğin başarı durumu ve meydana gelen hatalar vb. Olayın gerçekleştirilme zamanı Eğer Active Directory kavramını daha detaylı bir şekilde öğrenmek isterseniz bu bağlantıdan daha önceki makaleme ulaşabilirsiniz. 1)…
Linux Sistemlerde Log Dosyaları
Hepinize merhabalar. 🙂 Bu makalemde sizlere sırası ile şu konulardan bahsedeğim; Log Kayıtları Neden Log Kayıtları Tutulur? Linux Sistem Logları Linux Sistem Log Dosyaları 1) Log Kayıtları Kullanılan sistemlerde meydana gelen hatalar, yapılan işlemler, oluşan sorunlar, eklenen dosyalar vb. yani kısacası sistem üzerindeki tüm bu işlemler kayıt altına alınarak saklanmaktadır. Bahsettiğimiz üzere kayıt altına alınan tüm her şey bizler için Log tanımına uymaktadır. 2) Neden Log Kayıtları Tutulur? Sistemler üzerinde kayıt altına alınan her şeyin bizim için log niteliği taşıdığından bahsettik. Peki bu log kayıtlarının neden tutulduğunu açıklayalım. Sistemler üzerinde herhangi bir istenmeyen durumla karşılaşıldığında, yani anormal olarak gerçekleşebilen ya da sistem için olumsuz olabilecek durumlar oluşması durumunda; Sorunun neden oluştuğu, Kim tarafından ne amaçla oluşturulduğu… Gibi birçok soruya yanıt verebilmek için tutulmaktadır. Bunun sonucunda ise sistemlerin güvenliğinin sağlanması, gerektiğinde veri kurtarma ve Adli Bilişim gibi alanlarda başvurulması gereken en önemli kısımlardan birisi de log dosyaları olmaktadır. Yani sistem…