DrDisk Lab, çok çeşitli cihaz ve platformlardan veri kurtarma konusunda uzmanlaşmış lider bir veri kurtarma ve adli bilişim şirketidir.
ShellBags, Windows işletim sisteminde kullanıcıların dosya gezgini tercihlerini saklayan Registry kayıtlarıdır. Bu görünüşte basit yapılar, adli bilişim uzmanları için kullanıcı davranışlarını, erişilen kaynakları ve zaman çizelgelerini belirlemede altın değerinde bilgiler barındırır. Bu makale, ShellBags'in yapısını, adli bilişim analizinde nasıl kullanıldığını ve anti-forensic tekniklere karşı nasıl değerlendirilebileceğini incelemektedir.
ShellBags, kullanıcıların Windows Dosya Gezgini'nde klasörleri nasıl görüntülediğine dair tercihlerini kaydeden Registry tabanlı artifactlerdir. Bu bilgiler şunları içerir:
Bu veriler, kullanıcı deneyimini iyileştirmek ve kişiselleştirilmiş bir arayüz sunmak için tasarlanmıştır. Kullanıcılar bir klasörü tekrar açtığında, Windows bu bilgileri kullanarak klasörü son tercih edilen görünümde sunar.
Windows sürümlerine göre hafif farklılıklar gösterse de, ShellBags bilgileri temel olarak dört ana Registry konumunda saklanır:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
ShellBags verilerinin yapısı karmaşık ancak anlaşılabilir bir hiyerarşiye sahiptir:
BagMRU alt anahtarları, dosya sistemindeki klasör yapısını yansıtan hiyerarşik bir düzene sahiptir:
Her alt anahtar, belirli bir klasörün benzersiz bir tanımlayıcısını (Shell ID) içerir ve bu tanımlayıcı, görünüm bilgilerinin saklandığı ilgili "Bags" kaydına bağlanır.
Bags anahtarı, her bir klasörün görünüm ayarlarını saklayan yapıdır:
ShellBags kayıtları binary formatta saklanır ve doğru analiz için deşifre edilmesi gerekir:
ShellBags kayıtları, dosya sisteminden tamamen silinmiş klasör ve dosyaların varlığının kanıtlanmasında kritik rol oynar:
ShellBags, kullanıcı aktivitelerinin zaman çizelgesini oluşturmada değerli bilgiler sunar:
ShellBags kayıtları, harici cihazların kullanımıyla ilgili zengin veriler sağlar:
Uzak kaynaklara erişimin izleri ShellBags'te saklanır:
ShellBags zaman damgalarının diğer sistem artifactleri ile korelasyonu:
Silinen veya erişilemeyen klasörlerin yapısının yeniden oluşturulması:
Kullanıcı davranışlarının ortaya çıkarılması ve profillenmesi:
Faillar tarafından ShellBags kayıtlarının silinmesi veya değiştirilmesi:
İleri düzey manipülasyon teknikleri:
İşletim sistemi düzeyindeki anti-forensic teknikler:
Yanıltıcı kayıt oluşturma teknikleri:
Anti-forensic faaliyetlerin tespit edilmesi için zaman bazlı analizler:
Silinmiş veya değiştirilmiş Registry verilerinin kurtarılması:
Sistemin bütünsel olarak değerlendirilmesi:
ShellBags analizinde kullanılan en gelişmiş araçlar:
Kapsamlı analiz platformları:
Son teknoloji yaklaşımlar:
Senaryo: Bir şirket çalışanının gizli şirket verilerini USB belleğe kopyaladıktan sonra işten ayrılması
ShellBags Bulgular:
Sonuç: ShellBags kayıtları sayesinde hangi verilerin çalındığı tam olarak belgelendi ve yasal süreçte delil olarak kullanıldı.
Senaryo: Bir sistem yöneticisinin, yetkisi olmayan kullanıcı klasörlerine erişimi ve kanıtları silme girişimi
ShellBags Bulgular:
Sonuç: ShellBags analiziyle yöneticinin hangi kullanıcı verilerine eriştiği ve kanıtları silme girişimi belgelendi.
Senaryo: Hedefli bir APT saldırısında kötü amaçlı yazılımın sistemde hareket yolu ve erişilen veriler
ShellBags Bulgular:
Sonuç: ShellBags analiziyle APT grubunun davranış biçimi ve hedefleri belgelenerek, benzer sistemlerin korunması için önlemler alındı.
ShellBags analizinin adli bilişim alanındaki önemi giderek artmaktadır. Bu Registry tabanlı artifactler, anti-forensic girişimlere rağmen kalıcı ve değerli izler bırakır. ShellBags, kullanıcı aktivitelerini takip etmede, silinen verilerin varlığını kanıtlamada ve şüpheli davranışları tespit etmede kritik bir rol oynar.
Adli bilişimcilerin ShellBags analizinde başarılı olabilmesi için:
Gelecekte, işletim sistemi güncellemeleri ve yeni teknolojilerle ShellBags yapısı değişebilir. Adli bilişim uzmanları, bu değişikliklere ayak uydurmak ve yeni analiz yöntemleri geliştirmek için sürekli öğrenme ve araştırma yapmalıdır.
ShellBags analizi, adli bilişim alanında "her silinme işlemi bir iz bırakır" prensibinin en iyi örneklerinden biridir. Faillar tarafından izlerini silme çabaları, ustalıkla uygulanan adli bilişim teknikleriyle tespit edilebilir, böylece dijital gerçeklik tam olarak ortaya çıkarılabilir.
Son Güncellenme Tarihi: 03.03.2025
USBSTOR kayıtları, Windows işletim sistemlerinde USB depolama cihazlarının bağlantılarını, kullanımlarını ve özelliklerini belirlemek için kritik öneme sahip adli bilişim artifactlarıdır. Bu kayıtlar, forensic incelemelerde cihaz bağlantı zamanları, cihaz türleri, seri numaraları ve kullanım geçmişi gibi değerli bilgileri ortaya çıkarır. Bu teknik analiz dokümanı, USBSTOR kayıtlarının mimari yapısını, veri içeriğini, analiz yöntemlerini ve adli bilişim perspektifinden önemini detaylı olarak incelemektedir.
USBSTOR, Windows işletim sistemlerinde USB Mass Storage Class (MSC) sürücüsünün bir bileşeni olarak, USB depolama cihazlarının tanımlanması, yüklenmesi ve yönetilmesi amacıyla kullanılan anahtar Registry yapısıdır. Bu sürücü, Windows PnP (Plug and Play) mimarisi içinde konumlandırılmış olup, USB depolama aygıtlarıyla iletişimi sağlayan katmanlı bir yapının parçasıdır.
USB aygıt tanımlama katmanları:
Windows işletim sistemi, bir USB depolama cihazı bağlandığında, aşağıdaki işlem akışını izler:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR
Bu konum, PnP alt sisteminin USB depolama cihazlarının donanım kimliklerini ve kurulum parametrelerini sakladığı hiyerarşik veritabanıdır. CurrentControlSet
aktif sistem yapılandırmasına işaret eden dinamik bir bağlantıdır ve gerçekte aşağıdaki konumlardan birine yönlendirilir:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
Windows başlangıç süreci sırasında, LastKnownGood yapılandırması temelinde hangi ControlSet'in kullanılacağı belirlenir ve bu yapılandırma CurrentControlSet
sembolik bağlantısı ile erişilebilir hale getirilir.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB
Bu alt anahtar, sistem tarafından tanımlanan tüm USB aygıtlarının Vendor ID (VID) ve Product ID (PID) bilgilerini içerir. Her USB aygıtı, benzersiz bir VID/PID kombinasyonuyla ve Interface Descriptor bilgileriyle temsil edilir.
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
Biçimlendirilmiş bölümlerin mantıksal sürücü harflerine eşleştirildiği binary veri yapılarını içerir. Her değer, Volume GUID ve sürücü harfi atamaları için binary disk tanımlayıcı veri yapılarını (disk signature, partition offset) barındırır.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR
USB depolama sürücüsünün yükleme parametrelerini, Windows başlangıç davranışını ve çalışma modlarını tanımlar.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses
Cihaz arabirim GUID'lerine (örn. {53f56307-b6bf-11d0-94f2-00a0c91efb8b}
- disk cihazları için) göre gruplandırılmış, tüm bağlanan cihazların kapsamlı bir veritabanını içerir.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies
USB depolama cihazlarıyla ilgili yazma koruması, erişim kısıtlamaları gibi sistem genelindeki politikaları tanımlar.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Portable Devices
USB taşınabilir cihazlar için WPD (Windows Portable Devices) arabirim ve erişim bilgilerini içerir.
USBSTOR altındaki anahtar isimleri katı bir hiyerarşik yapı şablonu takip eder:
Disk&Ven_{VendorID}&Prod_{ProductID}&Rev_{RevisionCode}\{UniqueInstanceID}
Bu yapıyı oluşturan bileşenler şu şekilde elde edilir:
xxxxxxxxxx&0
Örnek bir USBSTOR anahtar yapısı:
USBSTOR\Disk&Ven_SanDisk&Prod_Ultra&Rev_1.00\0123456789ABCDEF&0
Bu örnekte:
USBSTOR kayıtlarındaki her benzersiz cihaz kimliği, aşağıdaki yapıda alt anahtarlar içerir:
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\Properties
Bu anhtarın altında {83da6326-97a6-4088-9453-a1923f573b29}
şeklinde GUID değerleri bulunur ve bu değerler belirli property kategorilerine işaret eder:
Bu veri yapıları binary formatta saklanır ve genellikle FILETIME formatında kodlanmış zaman damgalarını içerir.
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\Device Parameters
Bu anahtar, depolama cihazının fiziksel ve mantıksal özelliklerini tanımlayan parametreleri içerir:
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\...\{UniqueInstanceID}\LogConf
Bu anahtar, cihazın kaynak atama yapılandırması ile ilgili bilgileri içerir ve genellikle depolama cihazları için boş olur.
Registry anahtarlarının LastWrite zamanları, $STANDARD_INFORMATION
veri yapısında saklanır ve USB cihazıyla ilgili aktivitelerin zamanlamasını belirlemek için kritik öneme sahiptir. Aşağıdaki zaman türleri analiz edilmelidir:
LastWrite zamanları, Windows registry hücre yapısında depolanan 64-bit FILETIME değerleridir ve 1601-01-01 UTC'den itibaren geçen 100 nanosaniyelik aralıkları temsil eder. Bu zamanlar, USB cihaz aktivitesinin adli zaman çizelgesinde temel noktaları oluşturur.
Windows 7 ve sonrası işletim sistemlerinde, ContainerID
GUID değeri, farklı arayüzler veya sürücüler arasında aynı fiziksel cihazı ilişkilendirmek için kullanılır. Bu, bir USB cihazın içindeki birden fazla fonksiyon (örn. depolama + kart okuyucu) arasında ilişki kurmak için kritik öneme sahiptir.
ContainerID, Windows'un çeşitli registry konumlarında cihaz ilişkilendirmelerini izleme ve birden çok arabirime sahip tek bir fiziksel cihazı tanımlama amacıyla kullanılır.
USBSTOR kayıtlarını analiz etmek için, sistem SYSTEM hive dosyası adli kopyasının (%WINDIR%\System32\config\SYSTEM) aşağıdaki yöntemlerle incelenmesi gerekir:
regf
başlık yapısı (4KB)Forensic zaman çizelgesi oluşturmak için şu veri noktaları çıkarılmalıdır:
Bu zamanlar, FILETIME formatında (64-bit değer, 100 nanosaniyelik aralıklar, 1601-01-01 GMT'den beri) saklanır ve forensic analiz için epoch zamanı veya insan tarafından okunabilir bir formata dönüştürülmelidir.
Aşağıdaki GUID ve tanımlayıcılar, farklı Registry konumlarındaki USB cihaz verilerini ilişkilendirmek için kullanılır:
ParentIdPrefix değeri, cihazın hangi fiziksel USB portuna bağlandığını belirlemek için kullanılır:
Örnek: 8&21F39B80&0
ParentIdPrefix değerini analiz etmek:
MountedDevices anahtarındaki binary veriler, sürücü harflerini fiziksel cihazlara bağlayan kritik bilgileri içerir. Bu verilerin formatı:
\DosDevices\X: = [Binary Data]
Binary veri yapısı (Windows Vista ve sonrası):
USB cihazlar için çapraz doğrulama yapmak üzere şu değerler analiz edilmelidir:
Windows Olay Günlükleri, USB cihazların takılması ve çıkarılmasına ilişkin önemli olayları kaydeder ve USBSTOR Registry kayıtlarıyla ilişkilendirilebilir:
Bu olay kayıtları, USBSTOR Registry kayıtlarında bulunan zamanlar ile eşleştirilerek, cihaz bağlantısı ve kullanımı hakkında daha kesin bir adli zaman çizelgesi oluşturulmasına olanak tanır.
regf
başlık alanının değiştirilmesiUSB manipülasyon araçlarının kullanımı, şu artefactları bırakır:
Anormal Registry davranışlarını tespit etmek için şu metrikleri izleyin:
Anti-forensic teknikleri aşmak için, şu kaynaklardan oluşturulan zaman çizelgelerini karşılaştırın:
Registry yapısını geçmiş zamanlardan yeniden oluşturmak için:
Windows Setup API, cihaz kurulumlarını %windir%\inf\setupapi.dev.log
dosyasında kaydeder. Bu günlükler, aşağıdaki bilgileri içerir:
Prefetch dosyaları (%windir%\Prefetch\*.pf
), USB sürücülerden çalıştırılan uygulamaların izlerini şu bilgilerle birlikte içerebilir:
Windows Explorer kısayol (LNK) dosyaları, USB cihazlardan erişilen dosyalara dair önemli bilgiler içerir:
Windows 7 ve sonrası için JumpList dosyaları, USB cihazlara ilişkin kullanım geçmişini kaydeder:
Windows Explorer görünüm ayarları (ShellBags), USB cihazların kullanımını gösteren kanıtlar içerir:
Web tarayıcıları ve uygulamalar, USB cihazlardan açılan dosyalar veya cihazlarla ilgili erişim izleri içerebilir:
Windows, USB depolama cihazlarının otomatik başlatma davranışlarını da kaydeder:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
anahtarıWindows Etkinlik Günlüğü ve PowerShell komut geçmişi, USB cihazlarla ilgili ekstra veriler sağlayabilir:
USBSTOR Registry kayıtları, Windows işletim sistemlerinde USB depolama cihazlarının adli analizinde kritik öneme sahiptir. Bu kayıtlar, cihaz tanımlama bilgileri, bağlantı zamanları ve kullanım geçmişi gibi değerli adli bilişim verilerini içerir.
Gelecekteki araştırma alanları şunları içerebilir:
Bu doküman, USBSTOR kayıtlarının yapısını, içeriğini ve adli bilişim analizinde kullanımını detaylı olarak açıklamaktadır. Adli bilişim uzmanları için kapsamlı bir referans kaynağı olarak hazırlanmıştır.
ShellBags, Windows işletim sisteminde kullanıcıların dosya gezgini tercihlerini saklayan Registry kayıtlarıdır. Bu görünüşte basit yapılar, adli bilişim uzmanları için kullanıcı davranışlarını, erişilen kaynakları ve zaman çizelgelerini belirlemede altın değerinde bilgiler barındırır. Bu makale, ShellBags'in yapısını, adli bilişim analizinde nasıl kullanıldığını ve anti-forensic tekniklere karşı nasıl değerlendirilebileceğini incelemektedir.
ShellBags, kullanıcıların Windows Dosya Gezgini'nde klasörleri nasıl görüntülediğine dair tercihlerini kaydeden Registry tabanlı artifactlerdir. Bu bilgiler şunları içerir:
Bu veriler, kullanıcı deneyimini iyileştirmek ve kişiselleştirilmiş bir arayüz sunmak için tasarlanmıştır. Kullanıcılar bir klasörü tekrar açtığında, Windows bu bilgileri kullanarak klasörü son tercih edilen görünümde sunar.
Windows sürümlerine göre hafif farklılıklar gösterse de, ShellBags bilgileri temel olarak dört ana Registry konumunda saklanır:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Bags
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\Bags
ShellBags verilerinin yapısı karmaşık ancak anlaşılabilir bir hiyerarşiye sahiptir:
BagMRU alt anahtarları, dosya sistemindeki klasör yapısını yansıtan hiyerarşik bir düzene sahiptir:
Her alt anahtar, belirli bir klasörün benzersiz bir tanımlayıcısını (Shell ID) içerir ve bu tanımlayıcı, görünüm bilgilerinin saklandığı ilgili "Bags" kaydına bağlanır.
Bags anahtarı, her bir klasörün görünüm ayarlarını saklayan yapıdır:
ShellBags kayıtları binary formatta saklanır ve doğru analiz için deşifre edilmesi gerekir:
ShellBags kayıtları, dosya sisteminden tamamen silinmiş klasör ve dosyaların varlığının kanıtlanmasında kritik rol oynar:
ShellBags, kullanıcı aktivitelerinin zaman çizelgesini oluşturmada değerli bilgiler sunar:
ShellBags kayıtları, harici cihazların kullanımıyla ilgili zengin veriler sağlar:
Uzak kaynaklara erişimin izleri ShellBags'te saklanır:
ShellBags zaman damgalarının diğer sistem artifactleri ile korelasyonu:
Silinen veya erişilemeyen klasörlerin yapısının yeniden oluşturulması:
Kullanıcı davranışlarının ortaya çıkarılması ve profillenmesi:
Faillar tarafından ShellBags kayıtlarının silinmesi veya değiştirilmesi:
İleri düzey manipülasyon teknikleri:
İşletim sistemi düzeyindeki anti-forensic teknikler:
Yanıltıcı kayıt oluşturma teknikleri:
Anti-forensic faaliyetlerin tespit edilmesi için zaman bazlı analizler:
Silinmiş veya değiştirilmiş Registry verilerinin kurtarılması:
Sistemin bütünsel olarak değerlendirilmesi:
ShellBags analizinde kullanılan en gelişmiş araçlar:
Kapsamlı analiz platformları:
Son teknoloji yaklaşımlar:
Senaryo: Bir şirket çalışanının gizli şirket verilerini USB belleğe kopyaladıktan sonra işten ayrılması
ShellBags Bulgular:
Sonuç: ShellBags kayıtları sayesinde hangi verilerin çalındığı tam olarak belgelendi ve yasal süreçte delil olarak kullanıldı.
Senaryo: Bir sistem yöneticisinin, yetkisi olmayan kullanıcı klasörlerine erişimi ve kanıtları silme girişimi
ShellBags Bulgular:
Sonuç: ShellBags analiziyle yöneticinin hangi kullanıcı verilerine eriştiği ve kanıtları silme girişimi belgelendi.
Senaryo: Hedefli bir APT saldırısında kötü amaçlı yazılımın sistemde hareket yolu ve erişilen veriler
ShellBags Bulgular:
Sonuç: ShellBags analiziyle APT grubunun davranış biçimi ve hedefleri belgelenerek, benzer sistemlerin korunması için önlemler alındı.
ShellBags analizinin adli bilişim alanındaki önemi giderek artmaktadır. Bu Registry tabanlı artifactler, anti-forensic girişimlere rağmen kalıcı ve değerli izler bırakır. ShellBags, kullanıcı aktivitelerini takip etmede, silinen verilerin varlığını kanıtlamada ve şüpheli davranışları tespit etmede kritik bir rol oynar.
Adli bilişimcilerin ShellBags analizinde başarılı olabilmesi için:
Gelecekte, işletim sistemi güncellemeleri ve yeni teknolojilerle ShellBags yapısı değişebilir. Adli bilişim uzmanları, bu değişikliklere ayak uydurmak ve yeni analiz yöntemleri geliştirmek için sürekli öğrenme ve araştırma yapmalıdır.
ShellBags analizi, adli bilişim alanında "her silinme işlemi bir iz bırakır" prensibinin en iyi örneklerinden biridir. Faillar tarafından izlerini silme çabaları, ustalıkla uygulanan adli bilişim teknikleriyle tespit edilebilir, böylece dijital gerçeklik tam olarak ortaya çıkarılabilir.
Pompompurin Hacker: Bir OSINT & Tehdit İstihbaratı Analizi
Tehdit istihbaratı ve OSINT (Açık Kaynak İstihbaratı), özellikle BreachForums gibi hacker forumlarında, çevrimiçi takma adların veya takma adların arkasındaki kişileri tanımlamada güçlü araçlardır. OSINT, gizli kimlikleri ortaya çıkarmak için sosyal medya profilleri, gönderiler ve çevrimiçi etkileşimler gibi halka açık verilerin analizine dayanır. BreachForums örneğinde, araştırmacılar teknik ve sosyal istihbaratın bir kombinasyonunu kullanarak "pompompurin" ve "IntelBroker" gibi kilit figürlerin faaliyetlerini izleyebilirler. Veri sızıntılarının çapraz referanslanması, sosyal mühendislik ve çevrimiçi davranışların izlenmesi, bu takma adların arkasındaki gerçek dünya bireylerini tanımlamaya yol açan değerli ipuçları sağlayabilir.
Kolluk kuvvetleri BreachForums gibi forumları hedef aldığında, kullanıcıların hem normal ağındaki hem de karanlık ağdaki ayak izlerini takip etmek için genellikle gelişmiş tehdit istihbarat tekniklerini kullanırlar. Örneğin, "pompompurin "i tanımlamak için dijital adli bilişim, iletişim kalıplarını izleme ve güvenliği ihlal edilmiş sistemleri analiz etme yöntemlerinin bir karışımı kullanılmıştır. VPN'lerin, şifreli sohbetlerin ve takma adların kullanımı zorluklar yaratmaktadır, ancak doğru istihbarat çerçeveleri ve OSINT stratejileri ile araştırmacılar, Fitzpatrick'in tutuklanması ve cezalandırılmasında görüldüğü gibi, siber suçlulara karşı yasal işlem başlatmak için genellikle yeterli bilgiyi bir araya getirebilmektedir.
Açık Kaynak İstihbaratı (OSINT), kamuya açık olan bilgilerin toplanması ve analiz edilmesi anlamına gelir. Kamuya açık kayıtlarda, sosyal medya platformlarında, web sitelerinde, haber makalelerinde ve diğer kamuya açık kaynaklarda bulunan verileri kapsar. OSINT, ulusal güvenlik, kolluk kuvvetleri, kurumsal güvenlik ve gazetecilik dahil olmak üzere çeşitli alanlarda paha biçilmez bir varlık haline gelmiştir. OSINT diğer istihbarat toplama yöntemlerinden farklıdır çünkü yalnızca açık bilgi kaynaklarına dayanır. Bu kaynaklar genel olarak kategorize edilebilir:
Kalabalık bir şehirde, Ana adında bir dedektif, siber suçlulardan oluşan bir ağı ortaya çıkarmakla görevlendirildi. Kapsamlı gizli operasyonlar için kaynakları olmadığından, Açık Kaynak İstihbaratına (OSINT) başvurdu. Halka açık sosyal medya profillerini, haber makalelerini ve çevrimiçi forumları analiz ederek şüphelilerin dijital ayak izlerini bir araya getirdi. Bu uygun maliyetli yaklaşım sadece zaman ve kaynak tasarrufu sağlamakla kalmadı, aynı zamanda gerçek zamanlı içgörüler sağlayarak suçluların faaliyetlerini izlemesine ve bir sonraki hamlelerini tahmin etmesine olanak tanıdı.
Bir gün Ana, görünüşte zararsız bir blog yazısı aracılığıyla çok önemli bir ipucu keşfetti. Bunu kamu kayıtları ve diğer çevrimiçi verilerle çapraz referanslandırarak, siber suçlular tarafından kullanılan gizli bir sunucunun yerini tespit etti. Bu buluş, ağın çökertilmesinde çok önemli bir rol oynadı ve OSINT'in büyük miktarda kamusal bilgiye erişme ve analiz etme becerisiyle modern soruşturmalarda nasıl güçlü bir araç olabileceğini gösterdi.
Soruşturmalarda Tehdit İstihbaratının Rolü Tehdit istihbaratı, bir kuruluşun güvenliğine yönelik potansiyel veya mevcut tehditler hakkındaki verilerin toplanmasını, analiz edilmesini ve yorumlanmasını içerir. Bu bilgiler tehditleri anlamak ve azaltmak için kullanılır ve siber saldırılara karşı proaktif bir savunma sağlar.
Soruşturmalarda tehdit istihbaratı, siber tehditlerin kritik yönlerinin ortaya çıkarılmasında çok önemli bir rol oynar. Araştırmacılar tehdit istihbaratını analiz ederek siber saldırıları etkili bir şekilde belirleyebilir ve belirli tehdit aktörlerine atfedebilirler. Bu, onların motivasyonlarını, metodolojilerini ve kullandıkları araçları anlamayı içerir. Ayrıca tehdit istihbaratı, yasal ve kolluk kuvvetleri işlemlerini destekleyen önemli veriler sağlayarak hayati bir kanıt kaynağı olarak hizmet eder. Atfetmenin ötesinde, tehdit ortamının kapsamlı bir görünümünü sunarak araştırmacıların farklı olayları birbirine bağlamasına ve siber tehditlerin faaliyet gösterdiği daha geniş bağlam hakkında daha derin bir anlayış kazanmasına olanak tanır. Bu bağlamsal anlayış, soruşturmaların etkinliğini artırarak siber olaylara kapsamlı ve bilinçli müdahaleler yapılmasını sağlar.
Kötü şöhretli Pompompurin hacker'ını araştırırken, tehdit istihbaratının çok değerli olduğu kanıtlandı. Araştırmacılar tehdit verilerini titizlikle analiz ederek Pompompurin'in kimliğini, güdülerini ve yöntemlerini bir araya getirebildiler. Bu analiz, bilgisayar korsanı tarafından kullanılan benzersiz kalıpları ve araçları ortaya çıkararak çok sayıda siber saldırının doğrudan Pompompurin'e atfedilmesini sağladı. Toplanan istihbarat kritik kanıtlar sağlayarak yasal işlem ve kolluk kuvvetlerinin katılımı için sağlam bir temel oluşturdu. Dahası, tehdit istihbaratı daha geniş tehdit ortamının kapsamlı bir şekilde anlaşılmasını sağladı. Araştırmacıların görünüşte ilgisiz olayları birbirine bağlamasına ve Pompompurin ile bağlantılı karmaşık faaliyetler ağını ortaya çıkarmasına olanak sağladı. Bu bağlamsal farkındalık, bilgisayar korsanının ağının haritasını çıkarmada çok önemliydi ve Pompompurin'i adalete teslim etme arayışında çevrilmemiş hiçbir taş bırakılmamasını sağladı.
Çalıntı veri ticareti için en önde gelen yeraltı forumlarından biri olan RaidForums, "Omnipotent" olarak bilinen bir siber suçlu tarafından kuruldu. Platform, sızdırılmış veritabanlarına, bilgisayar korsanlığı araçlarına ve yasadışı hizmetlere ev sahipliği yaparak popülerlik kazandı. Ancak, 2022'nin başlarında, yıllar süren soruşturmanın ardından, FBI da dahil olmak üzere kolluk kuvvetleri RaidForums'u başarıyla ele geçirdi. Omnipotent tutuklandı ve hapse mahkum edildi; bu da siber güvenlik uzmanları ve kolluk kuvvetleri için önemli bir zafer anlamına geliyordu. Forumun kaldırılmasına yol açan operasyon, bu tür platformlarda yer alan faaliyetleri ve kişileri izlemek için Açık Kaynak İstihbaratı (OSINT) ve Tehdit İstihbaratı kullanan küresel yetkililer arasındaki işbirliğinin önemli bir örneğiydi.
RaidForums'un kapatılmasının ardından, Pompompurin olarak bilinen bir başka kötü şöhretli siber suçlu, BreachForums'u yaratarak karanlık web'deki boşluğa hızla yanıt verdi. Pompompurin attığı bir tweet'te bilgisayar korsanlarını ve eski RaidForums kullanıcılarını BreachForums'a katılmaya davet ederek bu platformu artık feshedilmiş olan platformun halefi olarak konumlandırdı. BreachForums, siber suçluların çalıntı veri ticareti yapmaları ve yasadışı faaliyetlerde bulunmaları için yeni bir merkez olarak hızla ilgi gördü. Ancak, 2023'ün başlarında FBI bir kez daha müdahale ederek karanlık web pazarlarına yönelik devam eden baskının bir parçası olarak BreachForums'u ele geçirdi. Bu eylem Pompompurin'in tutuklanmasına yol açarak forumun faaliyetlerini geçici olarak durdurdu.
Pompompurin'in tutuklanmasının ardından, "Baphomet" olarak bilinen başka bir kullanıcı BreachForums'un faaliyetlerine yeni bir alan adı altında devam etti. Baphomet'in çabaları forumun kısa bir süre için faaliyetlerini sürdürmesine yardımcı oldu, ancak forum sonunda kolluk kuvvetlerinin artan baskısıyla karşı karşıya kaldıktan sonra eski üst düzey alan adı (TLD) altında sonlandırıldı.
Forumun feshedilmesine rağmen, "IntelBroker" kullanıcısı BreachForums'un faaliyeti ve sürekliliği hakkında övünmeye başladı ve siber suç topluluğunun kesintilere rağmen çalışmaya devam edeceğini ima etti. Bu olaylar dizisi, siber suç forumlarının sürekli evrimini ve kolluk kuvvetleri ile dark web aktörleri arasında devam eden mücadeleyi vurgulamaktadır.
Pompompurin'in Araştırılması Gerçek adı Conor Brian Fitzpatrick olan Pompompurin, siber suçluların çalıntı verileri alıp sattığı önde gelen bir dark web forumu olan BreachForums'un yöneticisiydi. Pompompurin'e yönelik soruşturma, bu yasadışı pazarı ortadan kaldırmak ve veri ihlallerinin mağdurlarını korumak için dünya çapında kolluk kuvvetleri tarafından yürütülen büyük bir girişimdi.
Veri Toplama Teknikleri
Sızıntı istihbaratı, özellikle siber suçluların belirlenmesi ve izlenmesi söz konusu olduğunda, modern tehdit soruşturmalarında çok önemli bir rol oynamaktadır. OSIVE (Açık Kaynak İstihbarat Görselleştirme Motoru) gibi araçlar ve OSINTLeak gibi platformlar, veri sızıntılarını ve ele geçirilmiş veri tabanlarını analiz ederek araştırmacılara kritik bilgiler sağlar. OSIVE, şu adresten edinilebilir OSINTLeakaraştırmacıların dark web forumlarında veya yeraltı pazarlarında bulunan e-posta adresleri, şifreler ve diğer kişisel bilgiler gibi sızdırılmış istihbaratı toplamasına ve görselleştirmesine yardımcı olur. Tehdit istihbaratı analistleri bu araçları kullanarak ilişkileri haritalandırabilir, dijital kimlikleri izleyebilir ve tehdit aktörlerinin davranışlarını ve ağlarını daha iyi anlamak için birden fazla sızıntıdaki verileri ilişkilendirebilir.
Pompompurin hakkında bilgi bulmak için kullanılan önemli veritabanlarından biri, aşağıdaki gibi platformlar aracılığıyla erişilebilen BreachForums veritabanıdır Breach.vip. Pompompurin kolluk kuvvetlerinin hedefi haline geldiğinde, bilgisayar korsanlarının büyük miktarlarda çalıntı veri ticareti yaptığı BreachForums'a katılımı, onu sızıntı istihbaratı soruşturmalarına karşı savunmasız hale getirdi. OSINT araştırmacıları, BreachForums'un arşivlerindeki kullanıcı faaliyetlerini, sızdırılan kimlik bilgilerini ve diğer meta verileri çapraz referanslandırarak Pompompurin'e kadar uzanan kalıpların izini sürebilmektedir. BreachForums'un ilk kaldırılmasından sonra bile, veritabanının kullanılabilirliği, devam eden soruşturmalar için zengin bir bilgi sağlar. OSIVE gibi OSINT araçlarının entegrasyonu ve BreachForums gibi veri tabanlarına erişim, araştırmacılar Pompompurin gibi yüksek profilli figürlerin maskesini düşürmeye çalışırken, siber suçluların ağlarını haritalandırmak ve kimliklerini ortaya çıkarmak için çok önemli yetenekler sunuyor. Peter Kleissner ile RaidForums ve BreachForums arasındaki çatışma BreachForum, RaidForum ve IntelX'in sahibi Peter Kleissner arasındaki çatışma, dark web toplulukları ve açık kaynaklı istihbarat (OSINT) platformları arasında artan gerilimin bir simgesi. Avusturyalı bir siber güvenlik uzmanı ve IntelX'in kurucusu olan Kleissner, veri ihlallerinden kaynaklanan hassas bilgileri açığa çıkaran, sızdırılmış veri tabanlarında derinlemesine arama sağlayan hizmetler sunuyor. Bu durum onu, çalışmalarını anonimliklerine ve operasyonlarına doğrudan bir tehdit olarak gören BreachForum ve RaidForum gibi yeraltı forumlarının üyeleriyle karşı karşıya getirdi.
Pompompurin tarafından yönetilen BreachForum ve daha önce Omnipotent tarafından yönetilen RaidForum, saldırıya uğramış verilerin, kişisel bilgilerin ve yasadışı hizmetlerin alışverişini kolaylaştırmakla ünlendi. IntelX, kullanıcıların geçmiş veri ihlallerini aramasına izin verdiğinden, OSINT soruşturmaları için güçlü bir araç haline geldi ve siber suçluların izlenmesinde kolluk kuvvetlerine ve özel sektör araştırmacılarına yardımcı oldu. Bu durum, Kleissner'in platformunu yetkililerin dijital ayak izlerini takip etmeleri için bir geçit olarak gören dark web forum kullanıcılarının önemli ölçüde düşmanlığına yol açtı. Bu forumların üyeleri Peter Kleissner'a doxxing yaparak misilleme yapmış ve adres, telefon numarası ve aile bilgileri gibi kişisel bilgilerini platformlarına sızdırmışlardır. Bu eylemler, onu siber suç topluluğu içinde bir hedef olarak konumlandırarak gözünü korkutmayı ve itibarsızlaştırmayı amaçlıyordu. Doxxing, dark web kullanıcılarının tespit edilmekten kaçmak için güvendikleri anonimliği zayıflatan IntelX gibi OSINT platformlarına direnmeye yönelik daha geniş bir çabanın parçasıydı.
Bu çatışma, yasadışı faaliyetlere ışık tutmayı amaçlayan IntelX gibi platformlar ile gizlilik ve veri sömürüsü üzerine kurulu dark web forumları arasındaki temel ayrımı vurgulamaktadır. Kolluk kuvvetleri bu yeraltı pazarlarını çökertmeye devam ettikçe, IntelX gibi OSINT sağlayıcılarının rolü giderek daha kritik hale geliyor ve siber suçlular ile istihbarat uzmanları arasındaki gerilimi daha da tırmandırıyor.
https://doxbin.net/upload/PeterKleissnerIntelx
https://t.me/intelxio/238 https://t.me/intelxio/260
Önemli Veri Noktaları:
Araçlar ve Yöntemler:
Önemli Veri Noktaları:
Önemli Veri Noktaları:
Araçlar ve Yöntemler:
Önemli Veri Noktaları:
Araçlar ve Yöntemler:
Önemli Veri Noktaları:
Araçlar ve Yöntemler:
Önemli Veri Noktaları:
Araçlar ve Yöntemler:
Bulgular & Tehdit İstihbaratı
Yakın zamanda yaşanan bir olayda, siber güvenlik dünyası FBI'ın dark web'de yasadışı faaliyetler için kötü şöhretli bir merkez olan Breach Forum'a yaptığı kararlı baskınlarla sarsıldı. Sonrasında ortaya çıkan karmaşık bir istismar ağı, tehlikeye atılmış kimlik bilgileri ve beklenmedik güvenlik açıkları, siber suç ağlarının iç işleyişine ışık tuttu. gov.uscourts.vaed.535542.2.0.pdf
Bulgular ve Tehdit İstihbaratı - Carie
Raporlama ve Tavsiyeler - Carie
Güvenlik Araştırmacısı
https://www.linkedin.com/in/sashwin-0xp4tcher
Digital Forensic, mahkemeler, kolluk kuvvetleri ve adli bilişim uzmanları tarafından kullanılabilecek dijital kanıtların korunması, tanımlanması, çıkarılması ve belgelenmesini sağlayan bir bilim dalıdır. Bu işlemi basit ve kolay hale getirmenize yardımcı olan birçok araç vardır. Bu araçlarla, yasal prosedürler için kullanılabilecek raporlar hazırlanır. Bu yazımızda, popüler özellikleri ile bilinen adli bilişim araçlarının bir listesi bulunmaktadır. Liste hem ücretli hem de ücretsiz yazılımları içerir…
ProDiscover, 2001 yılından beri adli bilişim alanında kullanılan ve uzun bir geçmişe sahip, güçlü bir dijital delil arama ve analiz aracıdır. Özellikle uzaktan kullanım özelliğine sahip ilk adli bilişim araçlarından biri olmasıyla öne çıkan ProDiscover, 70’den fazla ülkede siber suçlarla ilgili yüksek profilli ve karmaşık soruşturmalarda kullanılmıştır
ProDiscover, adli bilişim alanında birçok farklı amaç için kullanılabilir. Başlıca kullanım alanları şunlardır:
Dijital adli bilişim alanında, delillerin toplanması, analizi ve raporlanması için kullanılan iki önemli araç Sleuth Kit ve Autopsy birlikte çalışır. Bu ikili, birbirini tamamlayarak kapsamlı bir adli inceleme süreci yürütmenizi sağlar.
Sleuth Kit:
Autopsy:
Sleuth Kit ve Autopsy’nin Birlikte Sağladığı Avantajlar:
Sleuth Kit ve Autopsy’nin Kullanım Alanları:
CAINE, adli bilişim uzmanlarının dijital delilleri toplama, analiz etme ve raporlama sürecini kolaylaştıran bir Linux tabanlı işletim sistemidir. “Computer Aided Investigative Environment” (Bilgisayar Destekli Soruşturma Ortamı) kısaltmasını taşıyan CAINE, eksiksiz bir adli ortam sunarak tek bir platformda çeşitli işlemleri gerçekleştirmenize olanak sağlar.
CAINE’nin Önemli Özellikleri:
CAINE’nin Kullanım Alanları:
CAINE Kimler İçin Uygundur?
PALADIN, adli bilişim uzmanlarının dijital delil toplama, canlı inceleme, derinlemesine analiz ve raporlama süreçlerini hızlandıran bir yazılım setidir. Çalıştırılabilir DVD ve USB sürümleri sayesinde fiziksel ortama ihtiyaç duymadan da kullanılabilir olması, PALADIN’ın önemli bir avantajıdır.
PALADIN Temel Özellikleri:
PALADIN Kullanım Alanları:
PALADIN Kimler İçin Uygundur?
PALADIN Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
EnCase, dijital veri inceleme ve analiz alanında adeta bir endüstri standardı haline gelmiş güçlü bir yazılımdır. Guidance Software tarafından geliştirilen EnCase, özellikle delil inceleme ve delillerin birbirleriyle olan ilişkilerini ortaya çıkarma konusunda kendini kanıtlamıştır.
EnCase’in Önemli Özellikleri:
EnCase Kullanım Alanları:
EnCase Kimler İçin Uygundur?
EnCase Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
SANS SIFT, SANS Institute tarafından geliştirilen ve adli bilişim ile olay yeri incelemeleri için kullanılan ücretsiz ve açık kaynaklı bir Linux dağıtımıdır. SIFT, adli bilişim uzmanlarının ihtiyaç duyduğu birçok aracı tek bir platformda bir araya getirerek inceleme sürelerini hızlandırır ve kolaylaştırır.
SANS SIFT’in Önemli Özellikleri:
SANS SIFT’in Kullanım Alanları:
SANS SIFT Kimler İçin Uygundur?
SANS SIFT’i Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
FTK Imager, adli bilişim uzmanlarının dijital ortamı güvenli bir şekilde kopyalayarak ve görüntü oluşturarak inceleme süreçlerini başlatan önemli bir araçtır. AccessData tarafından geliştirilen FTK Imager, orijinal kanıtlarda herhangi bir değişiklik yapmadan bit-by-bit kopyalar oluşturarak, delillerin bütünlüğünü korumayı sağlar.
FTK Imager Temel Özellikleri:
FTK Imager Kullanım Alanları:
FTK Imager Kimler İçin Uygundur?
FTK Imager’ın Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
Magnet RAM Capture, dijital adli incelemelerde önemli bir yere sahip bir araçtır. RAM (Random Access Memory – Rastgele Erişimli Bellek) üzerinde bulunan, tipik olarak geçici olan verilerin kopyalanmasını sağlar. Bu sayede, bilgisayar kapatıldığında kaybolan ancak inceleme için kritik olabilecek veriler elde edilebilir.
Magnet RAM Capture Öne Çıkan Özellikleri:
Magnet RAM Capture Kullanım Alanları:
Magnet RAM Capture Kimler İçin Uygundur?
Magnet RAM Capture Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
X-Ways Forensics, dijital adli incelemeler için tasarlanmış kapsamlı bir yazılımdır. Hem Windows işletim sistemlerinde hem de özel olarak optimize edilmiş 64-bit versiyonuyla kullanılabilir. X-Ways Forensics, karmaşık soruşturmalarda ihtiyaç duyabileceğiniz birçok özelliği bünyesinde barındırır.
X-Ways Forensics Önemli Özellikleri:
X-Ways Forensics Kullanım Alanları:
X-Ways Forensics Kimler İçin Uygundur?
X-Ways Forensics Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Wireshark, dijital dünyanın vazgeçilmez ağ analizi araçlarından biridir. Ücretsiz ve açık kaynaklı olmasıyla öne çıkan Wireshark, ağ trafiğini gerçek zamanlı olarak yakalayıp inceleyerek network sorunlarını gidermede, güvenlik açıklarını tespit etmede ve yazılım geliştirme süreçlerinde size yardımcı olur.
Wireshark Önemli Özellikleri:
Wireshark Kullanım Alanları:
Wireshark Kimler İçin Uygundur?
Wireshark’ın Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
Registry Recon, adli bilişim uzmanlarının bilgisayar kayıt defterlerini kurtarma ve incelemelerinde kullandığı güçlü bir araçtır. Arsenal Recon tarafından geliştirilen Registry Recon, silinmiş veya bozulmuş kayıt defteri verilerini bulup ortaya çıkararak geçmişte bilgisayarın kullanımına dair önemli ipuçları elde etmeyi sağlar.
Registry Recon’ın Öne Çıkan Özellikleri:
Registry Recon’ın Kullanım Alanları:
Registry Recon Kimler İçin Uygundur?
Registry Recon’ın Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
Volatility Framework, dijital adli incelemelerde bilgisayarın RAM (Random Access Memory – Rastgele Erişimli Bellek) üzerinde bulunan verileri incelemeye olanak tanıyan güçlü bir araçtır. Bellek, bilgisayar kapatıldığında silinen ancak uçucu veriler içerebilir. Bu veriler, olay yeri incelemelerinde ve siber suç soruşturmalarında kritik deliller barındırabilir.
Volatility Framework Önemli Özellikleri:
Volatility Framework Kullanım Alanları:
Volatility Framework Kimler İçin Uygundur?
Volatility Framework’ün Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
e-fense, dijital forensics (adli bilişim) ve incident response (olay yeri inceleme) alanlarında faaliyet gösteren bir firmadır. Kolluk kuvvetleri, siber güvenlik uzmanları ve kurumsal güvenlik ekipleri için kapsamlı yazılım çözümleri sunar. e-fense’nin ürünleri, dijital delillerin toplanması, analizi, raporlanması ve sunulması sürecinde uzmanlara destek olur.
e-fense’nin Önde Gelen Ürünleri:
e-fense’nin Sunduğu Avantajlar:
e-fense Kimler İçin Uygun?
e-fense Diğer Araçlarla Karşılaştırıldığında
e-fense, EnCase ve X-Ways Forensics gibi ticari adli bilişim yazılımlarının güçlü bir rakibidir. Ancak bazı kullanıcılar için dezavantajlar oluşturabilecek unsurlar şunlar olabilir:
CrowdStrike, siber güvenlik alanında bulut tabanlı uç nokta koruma (endpoint protection) çözümleriyle ön plana çıkan bir Amerikan şirketidir. Uç nokta, ağa bağlı herhangi bir cihazı temsil eder (dizüstü bilgisayarlar, laptoplar, tabletler, akıllı telefonlar, sunucular vb.). CrowdStrike, geleneksel güvenlik yazılımlarının ötesine geçerek siber tehditlerin önlenmesi, tespiti, yanıtlanması ve iyileştirilmesi (EDR – Endpoint Detection and Response) için kapsamlı bir platform sunar.
CrowdStrike Önemli Özellikleri:
CrowdStrike Kullanım Alanları:
CrowdStrike Kimler İçin Uygundur?
CrowdStrike Diğer Siber Güvenlik Araçlarına Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
UFED (Universal Forensic Extraction Device) Cellebrite, mobil cihazlardan dijital veri toplama ve inceleme alanında kullanılan bir araç setidir. Cellebrite, İsrail merkezli bir güvenlik ve bilişim şirketidir ve UFED, mobil cihaz forensiği alanında en çok bilinen çözümlerden biridir.
UFED Cellebrite Önemli Özellikleri:
UFED Cellebrite Kullanım Alanları:
UFED Cellebrite Kimler İçin Uygundur?
UFED Cellebrite Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar:
Oxygen Forensic, mobil cihazlar, bilgisayarlar ve bulut platformlarından kapsamlı dijital veri toplama, analiz ve raporlama imkanı sunan bir yazılımdır. Adli bilişim uzmanları ve kolluk kuvvetleri tarafından, siber suç soruşturmaları, veri kurtarma ve kurumsal soruşturmalarda sıklıkla tercih edilir.
Oxygen Forensic Önemli Özellikleri:
Oxygen Forensic Kullanım Alanları:
Oxygen Forensic Kimler İçin Uygundur?
Oxygen Forensic Diğer Araçlara Göre Avantajları ve Dezavantajları:
Avantajlar:
Dezavantajlar: