Siber güvenlik olaylarına müdahale süreçlerinde zaman, belki de en kritik değişkendir. Bir saldırı tespit edildiğinde analistlerin önünde genellikle iki seçenek bulunur: ya saatler süren manuel inceleme ya da lisans maliyetleri yüksek ticari araçlara başvurma. Her iki yol da kurumlar için ciddi operasyonel yük oluşturur.
Bu boşluğu kapatmak amacıyla ve hızlıca müdahale için tek bir EXE dosyasından oluşan bu araçı geliştirdim. Araç hedef makinede herhangi bir kurulum gerektirmeden çalışır; tüm bağımlılıklar derleme aşamasında içine gömülür. Operasyonel kolaylığı ve kapsamlı analiz yetenekleri bir arada sunan bu yaklaşım, olay müdahale süreçlerini önemli ölçüde hızlandırabilir. Büyük bütçeleri olmayan küçük sistemler için ideal olabileceğini düşünüyorum. Tabi bu benim acemice ve aklımda kalan sorulara cevap olması için kendi başıma yaptığım bir uygulama. Birçok hatası olabilir eksiği var ve ilk adım için adım attığım bir uygulama olarak düşünebilirsiniz. Becerebildiysek ne mutlu bana…
Bağımlılık ve İnternete Gerek Yok
Bir uygulama kurmak zaten sisteme müdahale anlamı taşır. Forensic Collector bu soruna takılmadan hızlıca çalışabilecek bir mimariye sahiptir. PyInstaller teknolojisi kullanılarak derlenen araç, Python çalışma ortamını, tüm kütüphaneleri ve YARA kurallarını tek bir ~16 MB’lık EXE dosyasına sıkıştırır. Analist bu dosyayı bir USB belleğe ya da ağ paylaşımına kopyalayıp doğrudan çalıştırabilir; hedef sistemde ne Python ne de başka bir yazılım kurulu olmasına gerek yoktur. Windows 10, 11 ve Server 2016 ve üzeri tüm platformlarda sorunsuz çalışan araç, UAC yükseltme isteğiyle maksimum veri erişimini otomatik olarak talep eder. Bu tasarım kararı hem deployment sürecini sadeleştirmekte avantaj sağlar.
Artifact Toplama
Araç çalıştırıldığında sistem bilgisinden kullanıcı hesaplarına kadar farklı artifact kategorilerinde paralel biçimde bilgi toplar. Her çalışan process için PID, PPID, commandline parametreleri ve SHA256 hash değerleri kayıt altına alınır; bu sayede sonradan hash karşılaştırması için zengin bir veri havuzu oluşur. Ağ katmanında netstat çıktısı, aktif TCP/UDP bağlantıları, ARP önbelleği, DNS cache ve güvenlik duvarı kuralları toplanır. Registry persistence noktaları Run, RunOnce, Winlogon, AppInit, LSA ve Image File Execution Options gibi otomatik olarak incelenir ve kuraldan sapan değerler işaretlenir.
Windows Event Log’larından güvenlik olayları (4624, 4625, 4648, 4672, 4688, 4776) XML seviyesinde parse edilerek ham mesaj yerine ayrıştırılmış field’lar ve kaynak IP, oturum türü, kullanıcı adı gibi işlemler doğrudan rapora yansıtılır. Log silme olayları (Event ID 1102 ve 104) da izlendiğinden anti-forensic girişimler anında tespit edilebilir.
Zararlı Yazılım Tespit
Artifact toplama katmanının üzerinde bağımsız çalışan dokuz tespit modülü bulunmaktadır. Bu modüller birbirleriyle çakışmadan çalışır ve her biri farklı bir saldırı vektörünü hedef alır. LOLBAS (Living-off-the-Land Binaries) modülü, meşru Windows araçlarının kötüye kullanımını commandline analizi ile yakalar; powershell -EncodedCommand, rundll32 scrobj.dll, certutil -decode gibi kalıplar anında işaretlenir.
Parent-Child Anomaly modülü, winword.exe + powershell.exe gibi Office uygulamalarından shell spawn edilmesi, kritik sistem process’lerinin beklenmedik parent’lardan çalışması ve svchost.exe‘nin -k parametresi olmadan çalışması gibi anormal ilişkileri tespit eder. Unsigned Process modülü Get-AuthenticodeSignature ile her çalışan process’in dijital imzasını sorgular; hash uyuşmazlığı veya güvenilmeyen sertifika varsa kritik uyarı üretir. Hollow Process modülü ise WMI’ın bildirdiği executable path ile Get-Process‘in bildirdiği path arasındaki farklılıkları ve commandline ile gerçek binary uyumsuzluklarını ortaya çıkarır.
YARA, IOC ve VirusTotal Entegrasyonu
Dosya tabanlı tehdit tespiti için YARA entegrasyonu, projenin en güçlü özelliklerinden birini oluşturmaktadır. C++ Build Tools gerektirmeyen yara-x kütüphanesi sayesinde kurulum süreci basitleştirilmiş; Mimikatz, Cobalt Strike beacon, Meterpreter, webshell (PHP/ASPX/JSP), AsyncRAT, ransomware davranışsal pattern’ları ve PowerShell obfuscation için hazır kurallar EXE içine gömülüdür.
Araç TEMP, AppData, Downloads, Desktop, System32, SysWOW64 ve non-standard path’teki servis binary’leri dahil olmak üzere 500’e kadar dosyayı otomatik olarak tarar. IOC karşılaştırması için ioc/hashes.txt ve ioc/network_ioc.txt dosyaları kullanılır; MalwareBazaar, Abuse.ch Feodo Tracker ve MISP gibi tehdit istihbarat platformlarından export edilen veriler bu dosyalara eklenerek anlık tehdit istihbaratı entegrasyonu sağlanabilir.
VirusTotal API entegrasyonu ile toplanan process ve servis hash’leri bulut tabanlı çok motorlu taramadan geçirilebilir; ücretsiz API key ile günde binlerce hash sorgulanması mümkündür.
Tarayıcı Geçmişi ve Gizli Frame Tespiti
Modern saldırı zincirlerinin önemli bir kısmı kullanıcıyı zararlı bir URL’e yönlendirmekle başlar. Bu nedenle tarayıcı geçmişi, olay müdahalesi sırasında gözden geçirilmesi zorunlu artifact kaynakları arasında yer alır. TEA DFIR Forensic Collector, Chrome ve Edge tarayıcılarının SQLite tabanlı History veritabanlarını kilitli iken geçici kopyalama yöntemiyle okur; son 100 URL, ziyaret sayısı ve zaman damgası raporlanır. Burada diğer araçlardan ayrılan kritik özellik, tarayıcının transition type mekanizmasının analiz edilmesidir. AUTO_SUBFRAME ve MANUAL_SUBFRAME transition türleri yani kullanıcının görmediği iframe ve arka plan yönlendirmeleri ile ayrı bir bölümde listelenir ve sarı uyarıyla işaretlenir. Drive-by download saldırılarının ve malvertising kampanyalarının büyük çoğunluğu bu gizli frame’ler aracılığıyla gerçekleştiğinden, bu tespit yeteneği özellikle fidye yazılımı vakalarında ilk enfeksiyon noktasının belirlenmesinde kritik önem taşır.
Tek HTML Rapor
Tüm toplama ve analiz süreci tamamlandığında çıktı olarak iki dosya üretilir: tam anlamıyla bir HTML raporu ve ham JSON verisi. HTML raporu herhangi bir tarayıcıda internet bağlantısı gerekmeksizin açılabilir; CSS ve JavaScript tamamen inline gömülüdür. Raporun üst kısmında renk kodlu alarm badge’leri yer alır: kırmızı CRITICAL, turuncu HIGH ve sarı MEDIUM seviyeleri analistin dikkatini öncelikli bulgulara yönlendirir. Her badge’e tıklandığında sayfa otomatik olarak ilgili bölüme kayar ve iki buçuk saniye boyunca mavi highlight efektiyle bölüm vurgulanır; bu özellik özellikle uzun raporlarda gezinme süresini önemli ölçüde kısaltır. Sol sidebar’dan tüm 19 kategoriye tek tıkla ulaşılabilir, bölümler gerektiğinde daraltılıp genişletilebilir. Ctrl+F ile tüm rapor içeriği aranabilir olduğundan belirli bir IP, hash veya process adına saniyeler içinde ulaşmak mümkündür. Raporun üretildiği an certutil -hashfile ile SHA256 hash alınması önerilir; adli süreçlerde zincir delil bütünlüğünün kanıtlanması açısından bu adım kritik değer taşır.
Operasyonel İşler
Bir forensic aracın en önemli özelliklerinden biri incelediği sistemde minimum iz bırakması ve kendi ürettiği etkinlikleri kendi bulgularına karıştırmamasıdır. Forensic Collector bu konuda özel bir mekanizma içerir: araç başladığında kendi PID’ini ve spawn ettiği tüm PowerShell child process’lerini merkezi bir filtre listesine (_TOOL_PIDS) ekler. LOLBAS tespiti, Parent-Child Anomaly, Unsigned Process ve Hollow Process modülleri her process analiz etmeden önce bu listeye karşı kontrol yapar; aracın kendi PowerShell çağrıları hiçbir zaman alarm üretmez.
Bu sayede powershell -ExecutionPolicy Bypass gibi aracın iç işleyişinde zorunlu olan komutlar false positive oluşturmaz. Teknik kısıtlamalar konusunda araç kasıtlı olarak şeffaf bir tutum sergiler: kernel driver olmadan tam bellek taramasının mümkün olmadığı, fileless zararlıların YARA ile yakalanamayacağı ve hollow process tespitinin indikatör düzeyinde kaldığı doğrudan raporda belirtilir.
TEA DFIR Forensic Collector, olay müdahale süreçlerinde hız ile derinliği bir arada sunmak üzere tasarlanmıştır. Tek EXE dağıtımı, geniş artifact kapsamı, dokuz katmanlı tespit motoru ve interaktif HTML raporlama yetenekleri bir araya geldiğinde analistlerin soruşturma kalitesini düşürmeden müdahale süresini önemli ölçüde kısaltabildiği bir platform ortaya çıkmaktadır. Araç aktif geliştirme sürecinde olmaya devam etmekte; YARA kural seti zenginleştirilmekte, IOC feed entegrasyonları genişletilmekte ve yeni tespit modülleri eklenmektedir.
https://github.com/teakolik/TEAForensic
Umarım hoşunuza gider…