- Katılım
- 10 Nisan 2025
- Mesajlar
- 744
- Reaksiyon puanı
- 81
- Konu Yazar
- #1
Siber güvenlik dünyasında “tutuklanan kasalar” (seized servers, locked devices) kavramı, genellikle bir siber saldırının ardından adli bilişim sürecinde ele geçirilen dijital varlıkları tanımlamak için kullanılır. Bu kasalar; fidye yazılımlarıyla şifrelenmiş bilgisayarlar, sunucular veya zararlı yazılımlar tarafından ele geçirilmiş sistemler olabilir. Peki bu tür kasalar güvenli bir şekilde nasıl kontrol altına alınır ve incelenir?
Tutuklanan kasa, siber güvenlik olaylarında ele geçirilen ve analiz edilmek üzere izole edilen bilgi sistemidir. Bu sistem:
Aşağıda bu tür kasaların güvenli bir şekilde kontrol edilme ve analiz edilme süreci sıralanmıştır:
İlk adımda, kasa (cihaz veya sistem) ağdan fiziksel veya sanal olarak izole edilir. Bu, kötü amaçlı yazılımların yayılmasını ve kanıtların zarar görmesini önlemek için yapılır.
Amaç: Delil bütünlüğünü korumak ve dış müdahaleleri engellemek.
Kasanın olduğu haliyle bir disk imajı (forensik kopyası) alınır. Bu kopya, analiz sürecinde kullanılacak ve orijinal sistem değiştirilmeden korunacaktır.
Araçlar: FTK Imager, EnCase, dd (Linux tabanlı).
Adli uzmanlar, sistem üzerinde aşağıdaki incelemeleri gerçekleştirir:
Amaç: Olayın nasıl gerçekleştiğini, ne zaman ve kim tarafından yapıldığını ortaya koymak.
Tutuklanan kasa, fidye yazılımı tarafından şifrelenmişse, aşağıdaki yöntemler kullanılır:
Unutulmamalı: Şifre çözme işlemleri zaman alabilir ve her zaman mümkün olmayabilir.
İnceleme sonunda hazırlanan rapor;
içerir ve adli mercilere veya kurumun üst yönetimine sunulur.
Kimi durumlarda kasadaki uygulamalar veya şüpheli dosyalar, sandbox ortamlarında çalıştırılarak davranışsal analiz yapılır. Böylece, programın dış dünyaya ne tür bağlantılar kurmaya çalıştığı ve ne tür sistem değişiklikleri yaptığı gözlemlenir.
Sandbox araçları: Cuckoo Sandbox, Any.Run, Hybrid Analysis
Tutuklanan Kasa Nedir?
Tutuklanan kasa, siber güvenlik olaylarında ele geçirilen ve analiz edilmek üzere izole edilen bilgi sistemidir. Bu sistem:
- Adli bilişim analizi
- Zararlı yazılım incelemesi
- Veri kurtarma çalışmaları
- Delil toplama süreçleri
gibi birçok kritik süreçte kullanılır.
Tutuklanan Kasaların Kontrol Süreci
Aşağıda bu tür kasaların güvenli bir şekilde kontrol edilme ve analiz edilme süreci sıralanmıştır:
1. Sistem İzolasyonu
İlk adımda, kasa (cihaz veya sistem) ağdan fiziksel veya sanal olarak izole edilir. Bu, kötü amaçlı yazılımların yayılmasını ve kanıtların zarar görmesini önlemek için yapılır.
Amaç: Delil bütünlüğünü korumak ve dış müdahaleleri engellemek.2. Yedekleme ve İmaj Alma
Kasanın olduğu haliyle bir disk imajı (forensik kopyası) alınır. Bu kopya, analiz sürecinde kullanılacak ve orijinal sistem değiştirilmeden korunacaktır.
Araçlar: FTK Imager, EnCase, dd (Linux tabanlı).3. Adli Bilişim Analizi
Adli uzmanlar, sistem üzerinde aşağıdaki incelemeleri gerçekleştirir:
- Dosya sistemi analizi
- Zararlı yazılım taraması
- Ağ trafiği incelemesi
- Kayıt defteri (registry) analizi
- Oturum ve kullanıcı hareketleri
Amaç: Olayın nasıl gerçekleştiğini, ne zaman ve kim tarafından yapıldığını ortaya koymak.4. Şifreli Verilerin Açılması
Tutuklanan kasa, fidye yazılımı tarafından şifrelenmişse, aşağıdaki yöntemler kullanılır:
- Anahtar analizi (şifreleme anahtarı bulunursa)
- Saldırgan tarafından kullanılan araçların analizi
- No More Ransom gibi platformlar üzerinden şifre çözücüler aranması
- Brute-force veya dictionary attack yöntemleri
Unutulmamalı: Şifre çözme işlemleri zaman alabilir ve her zaman mümkün olmayabilir.5. Raporlama ve Hukuki Süreç
İnceleme sonunda hazırlanan rapor;
- Olayın teknik detaylarını
- Tespit edilen zararlı yazılımları
- Kullanılan araçları ve teknikleri
- Muhtemel saldırgan profili veya IP bilgilerini
- Delil niteliği taşıyan unsurları
içerir ve adli mercilere veya kurumun üst yönetimine sunulur.
6. İleri Düzey Kontrol: Sandbox Analizi
Kimi durumlarda kasadaki uygulamalar veya şüpheli dosyalar, sandbox ortamlarında çalıştırılarak davranışsal analiz yapılır. Böylece, programın dış dünyaya ne tür bağlantılar kurmaya çalıştığı ve ne tür sistem değişiklikleri yaptığı gözlemlenir.
Sandbox araçları: Cuckoo Sandbox, Any.Run, Hybrid Analysis