Antiforensics Teknikleri ve Adli Araçların Sınanması
Şüpheliler artık veriyi siliyor, zaman damgasını sahteliyor, gizli birim kullanıyor ve sahte iz yerleştiriyor. Antiforensics tekniklerini, AF0'dan AF4'e katmanlamayı ve bir adli aracın bu zorluk karşısında nasıl sınandığını DFB üzerinden anlatıyoruz.
Antiforensics Teknikleri ve Adli Araçların Sınanması
Hızlı cevap: Antiforensics, bir tehdit aktörünün adli incelemeyi zorlaştırmak için kullandığı tekniklerin tümüdür: veri gizleme, güvenli silme, iz karartma, sahte delil yerleştirme, şifreleme ve karşı analiz. Bir adli aracın gerçek değeri, temiz bir imajda değil, bu tekniklerin katmanlandığı bir vakada ortaya çıkar. DSET Forensics Benchmark vakaları antiforensics zorluğuna göre AF0'dan AF4'e katmanlar ve aracın hangi seviyede çöktüğünü ölçer.
Antiforensics ana kategorileri
- Veri gizleme: Steganografi, slack alanı, alternatif veri akışları, gizli birimler, polyglot dosyalar.
- Artefakt imha: Güvenli silme, journal ve log temizleme, anti recovery teknikleri.
- İz karartma: Zaman damgası sahteleme (timestomp), log tahrifatı, metadata sahteciliği ve en kritiği, sahte delil yerleştirme.
- Karşı analiz: Şifreleme, anahtar imha, fileless bellek bileşenleri, araçları yanıltan bozuk yapılar.
Bu tekniklerin tek bir vakada nasıl bir araya geldiğini Operasyon Gece Gölgesi sayfasında görebilirsiniz.
Katmanlama: AF0'dan AF4'e
DFB, her vakaya bir antiforensics seviyesi atar:
| Seviye | Düşman yeteneği |
|---|---|
| AF0 | Temiz artefakt, gizleme yok. |
| AF1 | Temel silme ve gizleme: slack, alternatif veri akışı, basit wipe. |
| AF2 | Timestomp, log temizleme, steganografi, simetrik şifreleme. |
| AF3 | Gizli birim, journal wipe, fileless bellek kalıntısı, yerleştirilmiş sahte iz. |
| AF4 | Çok teknik zincirli, anti tool yapılar ve ileri suite'leri yenmek için tasarlanmış aldatma. |
Amiral vaka AF4 seviyesindedir: birden çok teknik aynı dosyada zincirlenir. Bu katmanlamanın akademik temelini DFB metodoloji makalesinde bulabilirsiniz.
Antiforensics bir aracı nasıl çökertir?
- Strings yetmez: Şifreli bir konteynerde bayrak hiçbir zaman düz metinde değildir; yüzeysel arama yalnızca bir tuzak gösterir.
- Tek artefakt yetmez: Anahtar bellekte sızar, diskteki konteyneri açar, içindeki dosya bir paket yakalamasında referanslanır. Tek artefakt inceleyen araç zinciri kuramaz.
- Hacim yanıltır: En çok gürültü üreten kaynak çoğu zaman saldırgan değildir; örneğin bir tarama aracıdır. Doğru sonuç korelasyonla gelir, hacimle değil.
Saldırı tarafını pratikte deneyimlemek için Red Team Lab ile başlayabilir, savunma tarafını SIEM ve log yönetimi yazımızla derinleştirebilirsiniz.
Sahte delil: antiforensics'in en sinsi yüzü
Veri silmek bir şeydir; uzmanı yanlış kişiye yönlendirmek için sahte delil yerleştirmek başka bir şeydir. Bu, antiforensics'in en tehlikeli biçimidir ve bir aracın yalnızca recall ile ölçülmesinin neden yetersiz olduğunu gösterir. Yerleştirilmiş sahte delile direnç soundness ekseniyle ölçülür.
SSS
Antiforensics yasal mı? Teknikler çift kullanımlıdır; yasal mahremiyet araçları da, suç gizleme de aynı yöntemleri kullanabilir. DFB tamamen sentetik, yetkili bir eğitim ortamıdır.
Hangi seviye en zordur? AF4. Birden çok teknik zincirlenir ve sahte izler yerleştirilir.
Bir araç AF4'te çökerse ne anlama gelir? Temiz vakalarda iyi çalışsa bile, gerçek bir tehdit aktörünün makinesinde yetersiz kalabilir.
Kaynaklar
- NIST SP 800-86, adli teknikler kılavuzu: https://csrc.nist.gov/publications/detail/sp/800-86/final
- MITRE ATT&CK, Defense Evasion taktiği: https://attack.mitre.org/tactics/TA0005/
- ENISA, tehdit görünümü raporları: https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends
- DFRWS: https://dfrws.org/
Aracınızı antiforensics karşısında sınayın: Operasyon Gece Gölgesi vakasına girin.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.