Adli Bilişim İncelemesi & Siber Saldırı Analizi Nasıl Yapılır?

Çalıştığımız şirket&kurum’da bir cihazımızın siber saldırıya uğradığını varsayalım. Bu cihaz üzerinde adım adım yapılacak işlemler ne olmalı, hangi yolları kullanarak analizi devam ettirmeliyiz gibi soruları madde madde açıklayacağım.

• Cihazı Karantina Network’e almalıyız veya cihazın Network’e erişimini kapatmalıyız. Bu sayede zararlının diğer cihazlara erişmesini, zıplamasını engelleyebiliriz.

• Saldırıyı tespit etmek, çözebilmek için RAM(Memory) Dump yapmalıyız. RAM üzerinden bilgileri okuyabilmek için cihazın kapatılmamış, reboot edilmemiş olması gerekmektedir.

• Hard Diskin imajını almalıyız ve eğer dava açacak isek bu kopyayı veya diski savcılığa vermeliyiz.

• MD5-SHA256 gibi hash algoritmaları ile harddisk’in hashini almalıyız ve not etmeliyiz. Örneğin diski savcılığa verdik ve incelemeden sonra harddiskin hash değeri değişti diyelim. Buradan diskimizin üzerinde bir şeyler değiştirildiğini vs. anlayabiliriz.

• Hard Disk’in Marka, Model, Seri No bilgilerini not almalıyız.

• HardDisk’in 2. Kopyasını alacağız. Bu 2.Kopya üzerinde incelemeler yapabilir, dilediğimiz gibi çalışabiliriz. Sonrasında bu kopyayı çöpe atabiliriz.

• Disk İnceleme (Donanım) : Bu adımda Adli Bilişim çalışanları bir parça kullanarak Hard Disk’te “Yazma” özelliğini kapatıyor, hard diskin sadece “Okuma” özelliği açık kalıyor. Bu sayede saldırıya uğramış olan Hard Disk üzerinde istediği gibi incelemelerini yapabiliyor. Disk üzerinde yaptığı incelemeler sırasında herhangi yeni bir şey kaydedilemeyeceği için diskin hash değeri de değişmiyor.

• Log Analizleri yapmalıyız. Bakabileceğimiz loglar;
  • Login Logları,
  • Event Logları,
  • Audit Logları
  • Servis Logları, (Web,DataBase,DNS,DHCP)
  • NTP Sunucusu Logları (En Önemlisi)

• Ram(Memory) Dump’un analizini yaparız. Bu analiz ile saldırıya uğramış olan cihazda oturum açıldığında girilen şifreyi bulabilir, zararlının hangi adımlar ile sisteme bulaştığını, nerelere sıçramış olduğunu tespit edebiliriz. Veya analiz içerisinde Ransomware key’ini öğrenebilir bu sayede şifrelenmiş verilerimizi, dosyalarımızı açabiliriz.

•  Ağ Cihazları Analizi yapmalıyız. Bakabileceğimiz loglar;
  • Firewall Logları,
  • Switch Logları,
  • IPS&IDS Logları,
  • Proxy Logları,
  • WAF Logları,
  • Email Spam Gateway Logları

Adli Bilişim İncelemesi yaparken başımıza gelebilecek sorunlar ;

• Disk RAID tipinde ise : Yani “Verinin bir kısmı bir diske, diğer kısmı başka bir diske yazılması” işlemi yapılıyorsa, analizimiz sırasında sıkıntılar yaşayabiliriz.

• Makinenin Reboot edilmiş olması : Bu sebep ile RAM(Memory) Dump gerçekleştiremeyiz.

• Ransomware : Cihazımıza bulaşan zararlı bir Ransomware ise, veriler, klasörler şifreleneceği için analizi gerçekleştirmek oldukça zor hale gelecektir.

• Siber Saldırının üstünden zaman geçmiş olması : RAM(Memory) Dump analizi yapmak imkansız duruma gelmiş olacaktır. Geçmişe dönük şekilde Log analizi yaparak elde edeceğimiz sonuçların olumsuz sonuç verme olasılığı fazladır.

• Saldırganın Logları silmesi veya değiştirmesi

• Donanımın(Hard Diskin) fiziksel olarak zarar görmesi.

0x015