Başka birinin hesabını ele geçirerek silinen dosyaların loglarına ve silen makineye ulaşmak mümkün mü

1. Başka birinin hesabını ele geçirerek silinen dosyaların loglarına ve silen uzak makineye
ulaşmak mümkün mü?
Dr. Ertuğrul AKBAŞ
eakbas@gmail.com
Çok özel bir adli bilişim olayı olan kullanıcı hesabını ele geçirme ve bu kullanıcı ile yapılan
dosya silme olaylarını hem siline dosyalar hem de hesabı ele geçiren uzak makineye ulaşmak
şeklinde analiz edebilmek bazı durumlarda çok kritiktir. Bu işlemleri elle yapmak çok zordur.
Bu işlemleri takip için Event ID ler takip edilirse, sistemde inanılmaz çok log biriktiği görülür,
buna rağmen bu işlemleri manuel yapmak isteyenler için işin püf noktalarını açıklama ya
çalışmakla birlikte otomatik olarak bunları yapabilen ANET SureLog ürünün aşağıda linkte
dokümanlarını bulabilirsiniz.
http://www.slideshare.net/anetertugrul/surelog-39887072
http://www.slideshare.net/anetertugrul/anet-surelog-siem-avantajlar
Bu karmaşık işlemleri manuel yapmak isteyenler için işin püf noktalarını açıklama ya
çalışacağız.
Öncelikle incelenen olayla ilgisi olan bir aksiyonun hangi kullanıcı hesabı üzerinden
gerçekleştirildiğini açıklığa kavuşturmamız gerekir ve bu bağlamda öncelikli olarak bakmamız
gereken yerler sistemlerdeki kullanıcı oturum açma ve sonlandırma kayıtlarının yer aldığı olay
günlükleridir. Event log analizinde en çok gerçekleştirilen işlemlerden birisi kullanıc ı
hesaplarının tespiti işidir. Bir kullanıcının ne zaman sisteme login olduğu veya ne zaman logoff
olduğu, ya da oturum açılmaya çalışılan kullanıcı hesabının hangisi olduğu bilgisini öğrenmek
adli bilişim incelemesinde hatırı sayılır bir öneme sahiptir. Örneğin saldırganlar tarafından ele
geçirildiği düşünülen bir kullanıcı hesabının hangi sistemlere oturum açmak için kullanıldığı nı
tespit etmek saldırganların sızdığı sistemlerin hangileri olduğunu tespit etmekte işimize
yarayacaktır.
Windows sistemlerde kullanıcı hesapları ile ilgili çok fazla sayıda Event ID vardır. Bu Event
ID’ler arasında bir olay incelemesiyle ilgili en çok karşılaşılabilecekleri 528, 529, 538, 540,
4624, 4625 dir.
Bununla birlikte Windows Event ID ler üzerinden silinen dosyaların takibi için 4656,4658,4660
ve 4663 numaralı Event ID ler takip edilmelidir. Bu takibi yapabilmek için öncelikle Audit
ayarları açılmalıdır. Bu konu ile ilgili yüzlerce makale internette bulunabilir.
Yukarıdaki Event ID ler takip edilirse, sistemde inanılmaz çok log biriktiği görülür. Burada
yapılması gereken 4624, 4656,4658,4660 ve 4663 no lu Event ID lerini (veya XP karşılıklar ı nı
) bu sıra ile ve Handle ID ve Security ID vb.. gibi parametrelerle ilişkilendirerek ve Logon ID
ile de 528,529,538,540,4624,4625 Event ID leri ilişkilendirerek sonuca ulaşmaktır. Event ID
lerin anlamları için internette pek çok kaynak bulunabilir.
http://support.microsoft.com/kb/947226/tr
Silinen dosyanın tespiti için yukarıda bahsedilen Event ID leri ve bunların oluşma sırasının
analizi ile birlikte bu Event ID lerin Handle ID ve Security ID, vb.. parametreleri de bulunma l ı.

2. SIEM Açısından bakıldığında yukarıdaki analizlerin otomatik yapılarak sonucun bir olay olarak
çıkarılabilmesi bu olayın SIEM kuralı olarak kullanılmasını sağlar ki bu çok büyük bir
avantajdır. SIEM ve avantajları ile ilgili aşağıdaki dokümanlara bakabilirsiniz.
http://www.slideshare.net/anetertugrul/trkiyedeki-log-ynetimi-projelerinde-eksik-korelasyon-algs