1. Uzaktan Masaüstü Erişim Araçlarının ve Loglarının Anlaşılması
Uzaktan masaüstü erişim araçları, kullanıcıların başka bir bilgisayara veya sunucuya uzaktan erişim sağlamasına olanak tanır. Yaygın kullanılan bazı araçlar şunlardır:
Remote Desktop Protocol (RDP)
TeamViewer
AnyDesk
VNC (Virtual Network Computing)
LogMeIn
Bu araçlar, kullanıcı aktivitelerini ve bağlantı bilgilerini log dosyalarında saklarlar. Bu loglar, bir sistemdeki faaliyetlerin izlenmesi ve analizi için kritik öneme sahiptir.
2. Log Dosyalarının Konumları ve Türleri
Her uzaktan erişim aracı, log dosyalarını farklı konumlarda ve formatlarda saklar. Log dosyalarının konumları:
– Remote Desktop Protocol (RDP):
– Windows Event Logs: C:\Windows\System32\winevt\Logs
– Güvenlik Günlükleri: RDP bağlantılarıyla ilgili oturum açma ve kapama olayları.
– Uygulama Günlükleri: Uygulama ile ilgili hatalar ve bilgiler.
– Sistem Günlükleri: Sistem olayları ve servislerin durumu.
– TeamViewer:
Windows:
C:\Program Files (x86)\TeamViewer\TeamViewerXX_Logfile.log (XX sürüm numarasını temsil eder)
- C:\Users\[KullanıcıAdı]\AppData\Roaming\TeamViewer\TeamViewerXX_Logfile.log
MacOS:
/Library/Logs/TeamViewer/TeamViewerXX_Logfile.log
Linux:
/var/log/teamviewerXX/TeamViewerXX_Logfile.log
AnyDesk:
Windows:
C:\Program Files (x86)\AnyDesk\ad.trace
C:\Users\[KullanıcıAdı]\AppData\Roaming\AnyDesk\ad.trace
MacOS:
/Library/Logs/AnyDesk/ad.trace
Linux:
/var/log/anydesk/ad.trace
VNC:
Windows:
C:\Users\[KullanıcıAdı]\.vnc\*.log
MacOS:
/Users/[KullanıcıAdı]/.vnc/*.log
Linux:
/home/[KullanıcıAdı]/.vnc/
LogMeIn:
Windows:
C:\Users\[KullanıcıAdı]\AppData\Local\LogMeIn Hamachi\LogMeIn.log
MacOS:
/Library/Application Support/LogMeIn/LogMeIn.log
3. Logların Analizi
Log dosyalarının analizi, birkaç adımdan oluşur:
Toplama ve Koruma: İlk olarak, log dosyalarını toplamalı ve orijinalliklerini korumalısınız. Bu, dosyaların hash değerlerini almak gibi adımları içerir.
Ön İşleme: Log dosyaları büyük olabilir ve gereksiz bilgileri içerebilir. Bu nedenle, ön işleme adımları ile gereksiz bilgileri filtrelemeli ve yalnızca ilgili verileri ayıklamalısınız.
Analiz: Logları analiz ederken dikkat edilmesi gereken bazı önemli noktalar:
Bağlantı Zamanları: Şüpheli bağlantıların hangi saatlerde yapıldığı.
Kaynak ve Hedef IP Adresleri: Bağlantının nereden yapıldığı ve nereye yönlendirildiği.
Kullanıcı Kimlik Bilgileri: Hangi kullanıcıların bağlantı yaptığı.
Başarısız Giriş Denemeleri: Şüpheli giriş denemeleri ve başarısız girişler.
Anormal Aktiviteler: Normalin dışında görülen aktiviteler (örneğin, çok sayıda giriş denemesi, farklı saatlerde tekrarlayan bağlantılar vb.).
4. Elde Edilebilecek İpuçları
Log dosyalarından elde edilebilecek bazı önemli ipuçları şunlardır:
Bağlantı Örüntüleri: Saldırganların belirli zamanlarda veya belirli aralıklarla sisteme erişim sağlama girişimleri.
Yetkisiz Erişim: Sisteme izinsiz erişim girişimleri veya yetkisiz kullanıcıların giriş yapma denemeleri.
Sistem Manipülasyonu: Log dosyalarında sistem manipülasyonuna dair izler, örneğin log dosyalarının silinmesi veya değiştirilmesi girişimleri.
Komut ve Aktivite İzleri: Saldırganların uzaktan bağlantı kurduktan sonra hangi komutları çalıştırdığı ve hangi dosyalara erişim sağladıkları.
Uzaktan Erişim Araçlarının Logları ve Adli Bilişim Analizi Örnekleri
1. Remote Desktop Protocol (RDP)
Log Konumu:
Windows Event Logs: C:\Windows\System32\winevt\Logs
Örnek Log Kayıtları ve Analiz:
Bağlantı Örüntüleri:
Event ID: 4624 (A user successfully logged on)
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 2024-07-11 08:00:00
User: N/A
Computer: TargetPC
Description: An account was successfully logged on.
Logon Type: 10 (RemoteInteractive)
Bu log, RDP üzerinden başarılı bir oturum açmayı gösterir. Aynı saatlerde veya aralıklarda tekrarlanan girişler, belirli bir saldırganın düzenli erişim sağladığını gösterebilir.
Yetkisiz Erişim:
Event ID: 4625 (An account failed to log on)
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 2024-07-11 08:05:00
User: N/A
Computer: TargetPC
Description: An account failed to log on.
Logon Type: 10 (RemoteInteractive)
Failure Information: Reason: Unknown user name or bad password
Bu log, RDP üzerinden başarısız bir oturum açma girişimini gösterir. Çok sayıda başarısız deneme, bir saldırı denemesi olduğunu gösterebilir.
Sistem Manipülasyonu:
Event ID: 1102 (The audit log was cleared)
Log Name: Security
Source: Microsoft-Windows-Eventlog
Date: 2024-07-11 08:10:00
User: SYSTEM
Computer: TargetPC
Description: The audit log was cleared.
Bu log, güvenlik denetim günlüklerinin temizlendiğini gösterir. Bu, bir saldırganın izlerini silmeye çalıştığını gösterebilir.
Komut ve Aktivite İzleri:
Event ID: 4688 (A new process has been created)
Log Name: Security
Source: Microsoft-Windows-Security-Auditing
Date: 2024-07-11 08:15:00
User: TargetPC\User
Computer: TargetPC
Description: A new process has been created.
New Process Name: C:\Windows\System32\cmd.exe
Bu log, uzaktan bağlantı kurulduktan sonra çalıştırılan bir komutu (cmd.exe) gösterir. Saldırganın hangi komutları çalıştırdığına dair ipuçları sağlar.
2. TeamViewer
Log Konumu:
C:\Program Files (x86)\TeamViewer\TeamViewerXX_Logfile.log
Örnek Log Kayıtları ve Analiz:
Bağlantı Örüntüleri:
2024/07/11 08:00:00.123 1234 5678 S Successful connection to partner [ID]
Bu log, belirli bir partner ID’si ile başarılı bir bağlantıyı gösterir. Düzenli olarak aynı partner ID’sine yapılan bağlantılar, bağlantı örüntülerini gösterebilir.
Yetkisiz Erişim:
2024/07/11 08:05:00.123 1234 5678 E Authentication rejected from [ID]
Bu log, yetkisiz bir partner ID’si ile yapılan başarısız bağlantı girişimini gösterir.
Sistem Manipülasyonu:
2024/07/11 08:10:00.123 1234 5678 W Log file cleared
Bu log, log dosyasının temizlendiğini gösterir ve bir saldırganın izlerini silmeye çalıştığını gösterebilir.
Komut ve Aktivite İzleri:
2024/07/11 08:15:00.123 1234 5678 S Command executed: [cmd /c dir]
Bu log, uzaktan bağlantı kurulduktan sonra çalıştırılan bir komutu (cmd /c dir) gösterir.
3. AnyDesk
Log Konumu:
C:\Program Files (x86)\AnyDesk\ad.trace
Örnek Log Kayıtları ve Analiz:
Bağlantı Örüntüleri:
2024-07-11 08:00:00.123 [INFO][1234] Connected to 987654321
Bu log, belirli bir ID’ye yapılan başarılı bir bağlantıyı gösterir. Aynı ID’ye düzenli olarak yapılan bağlantılar, belirli bir saldırganın izlerini gösterebilir.
Yetkisiz Erişim:
2024-07-11 08:05:00.123 [WARN][1234] Unauthorized access attempt from 192.168.1.100
Bu log, yetkisiz bir IP adresinden yapılan başarısız bağlantı girişimini gösterir.
Sistem Manipülasyonu:
2024-07-11 08:10:00.123 [ERROR][1234] Log file tampered
Bu log, log dosyasının değiştirilme girişimini gösterir ve bir saldırganın izlerini silmeye çalıştığını gösterebilir.
Komut ve Aktivite İzleri:
2024-07-11 08:15:00.123 [INFO][1234] Executed command: powershell.exe Get-Process
Bu log, uzaktan bağlantı kurulduktan sonra çalıştırılan bir komutu (powershell.exe Get-Process) gösterir.
4. VNC (Virtual Network Computing)
Log Konumu:
C:\Users\[KullanıcıAdı]\.vnc\*.log
Örnek Log Kayıtları ve Analiz:
Bağlantı Örüntüleri:
2024-07-11 08:00:00.123 - Connection from 192.168.1.100
Bu log, belirli bir IP adresinden yapılan başarılı bir bağlantıyı gösterir. Düzenli olarak aynı IP adresinden yapılan bağlantılar, saldırganın izlerini gösterebilir.
Yetkisiz Erişim:
2024-07-11 08:05:00.123 - Authentication failed for user 'admin' from 192.168.1.101
Bu log, yetkisiz bir kullanıcı adı ve IP adresi ile yapılan başarısız bağlantı girişimini gösterir.
Sistem Manipülasyonu:
2024-07-11 08:10:00.123 - Log file deletion attempt detected
Bu log, log dosyasının silinme girişimini gösterir ve bir saldırganın izlerini silmeye çalıştığını gösterebilir.
Komut ve Aktivite İzleri:
2024-07-11 08:15:00.123 - Executed command: ls /home/user
Bu log, uzaktan bağlantı kurulduktan sonra çalıştırılan bir komutu (ls /home/user) gösterir.
5. LogMeIn
Log Konumu:
C:\Users\[KullanıcıAdı]\AppData\Local\LogMeIn Hamachi\LogMeIn.log
Örnek Log Kayıtları ve Analiz:
Bağlantı Örüntüleri:
2024-07-11 08:00:00.123 - Connected to 192.168.1.100
Bu log, belirli bir IP adresinden yapılan başarılı bir bağlantıyı gösterir. Aynı IP adresinden düzenli yapılan bağlantılar, bağlantı örüntülerini gösterebilir.
Yetkisiz Erişim:
2024-07-11 08:05:00.123 - Failed login attempt from 192.168.1.101
Bu log, yetkisiz bir IP adresinden yapılan başarısız bağlantı girişimini gösterir.
Sistem Manipülasyonu:
2024-07-11 08:10:00.123 - Log file tampered
Bu log, log dosyasının değiştirilme girişimini gösterir ve bir saldırganın izlerini silmeye çalıştığını gösterebilir.
Komut ve Aktivite İzleri:
2024-07-11 08:15:00.123 - Command executed: netstat -an
Bu log, uzaktan bağlantı kurulduktan sonra çalıştırılan bir komutu (netstat -an) gösterir.
