Ransomware saldırıları günümüzde kurumların karşılaştığı en kritik tehditlerin başında geliyor. Modern fidye yazılımları yalnızca verileri şifrelemekle kalmıyor; aynı zamanda dosya sisteminde olağan dışı bir aktivite bırakarak izlerini de saklamaya çalışıyor. Bu nedenle bir ransomware vakasında dosya erişim analizi (File Access Analysis), saldırının yayılımını anlamak ve etki alanını belirlemek için en önemli adımlardan biridir.

Bu yazıda, ransomware incelemelerinde dosya erişim analizinin nasıl yapıldığını, hangi araçların kullanıldığını ve adım adım uygulanabilir bir yaklaşımı ele alacağız.

Dosya Erişim Analizi Nedir?

Dosya erişim analizi; bir sistemde ransomware tarafından erişilen, değiştirilen, oluşturulan veya silinen dosyaların tespit edilmesini sağlayan inceleme sürecidir. Bu analiz sayesinde:

• Hangi dosyaların şifrelendiği,

• Hangi klasörlerin hedef alındığı,

• Saldırının ne zaman başladığı,

• Hangi kullanıcı veya işlem tarafından tetiklendiği,

• Yan etkilerin (data exfiltration, dosya çalınması vb.) olup olmadığı

gibi kritik bilgiler elde edilir.

1. Adım: Log Kaynaklarının Belirlenmesi

Ransomware incelemelerinde en önemli nokta, doğru log kaynaklarını toplamaktır. Dosya erişim analizi için genellikle şu kaynaklar incelenir:

✔ Windows Event Logs

• Security Logs (Event ID 4663, 4656)
  Dosya erişimi, izinsiz değişiklikler, handle açma gibi aktiviteler burada görülür.

• Sysmon Logs (Event ID 1, 11, 13)

  • Process creation

  • File creation time change

  • Registry modification

Sysmon etkinse analiz çok daha kolay olur.

✔ NTFS MFT (Master File Table)

• Dosya oluşturma, yeniden adlandırma, silme gibi tüm olayların düşük seviyede kaydedildiği yerdir.

• Ransomware'ler MFT üzerinde iz bırakır.

✔ USN Journal

• Dosya değişikliklerinin neredeyse gerçek zamanlı kaydı

• Şifreleme işlemleri milyonlarca satır log üretir

✔ Antivirus / EDR Logları

• Impacted files

• Blocked actions

• Quarantine kayıtları

2. Adım: Saldırının Zaman Aralığını Belirleme

Dosya erişim analizine başlamadan önce saldırının zaman çizelgesi çıkarılır:

• İlk şifrelenen dosya zamanı

• Ransom note oluşturulma zamanı

• Şüpheli süreç başlangıcı (Sysmon Event ID 1)

• Volume Shadow Copy silme komutları (wmic, vssadmin)

Bu zaman aralığı daraltılır ve tüm analiz bu timeframe üzerinde yapılır.

3. Adım: Dosya Erişim Örüntülerinin Tespiti

Ransomware karakteristik dosya erişim davranışları sergiler:

📌 Anormal Dosya Oluşturma

• aynı anda yüzlerce dosyanın yeniden adlandırılması (file.ext → file.ext.locked)

• .README.txt, R3ADME.html gibi not dosyaları

📌 Uzantı Değişiklikleri

• AES şifreleme sonrası yeni bir uzantı eklenmesi (.dark, .encrypted vb.)

📌 Yüksek I/O Aktivitesi

• Kısa sürede binlerce dosya oluşturma/silme

• Sysinternals Process Monitor ile kolayca tespit edilir

📌 Dosya Metadata Manipülasyonu

• CreationTime / ModifiedTime değiştirmeleri

• Sysmon Event ID 2 / 11 ile tespit edilebilir

4. Adım: USN Journal Analizi

Ransomware davranışını en net gösteren alanlardan biri USN Journal’dır. Çünkü şifreleme sırasında yüzlerce:

• USN_REASON_DATA_TRUNCATION

• USN_REASON_FILE_CREATE

• USN_REASON_RENAME_OLD_NAME

• USN_REASON_RENAME_NEW_NAME

olayı görünür.

Kullanılan Araçlar:

• AnalyzeMFT

• MFTECmd (Eric Zimmerman)

• UsnJrnl2Csv

• Velociraptor Forensics

5. Adım: MFT Analizi

MFT analizi ile:

• Şifrelenen dosyaların tam listesi

• Ransomware’in oluşturduğu geçici dosyalar

• Silinmiş fakat hâlâ referansı bulunan dosyalar

• Yoğun erişim yapılan dizinler

gibi bilgiler çıkarılabilir.

Komut:

MFTECmd.exe -f $MFT --csv .\output\

6. Adım: Süreç (Process) Tespiti

Dosya erişimlerinin arkasında hangi işlem var?

Bunu bulmak için aşağıdaki kaynaklar incelenir:

✔ Sysmon - Event ID 1 (Process Create)

• Şüpheli EXE dosyaları

• Temp, AppData, Roaming altından çalışan uygulamalar

• Powershell, cmd, wscript çağrıları

✔ Handle Analizi (Ransomware o an çalışıyorsa)

• Sysinternals handle.exe

• Hangi proses hangi dosyaları kilitliyor?

✔ Parent-Child Chain

Örnek kötü zincir:

outlook.exe → winword.exe → powershell.exe → payload.exe

7. Adım: Etkilenen Dosyaların Haritalanması

Toplanan tüm log kaynakları birleştirilerek:

• Etkilenen dizinler

• Şifrelenen dosya sayısı

• Kullanıcı bazlı erişim

• Dosya boyutu değişimi

• En son erişim zamanları

gibi bilgiler bir rapor haline getirilir.

Örnek CSV Çıktısı:

8. Adım: Data Exfiltration Kontrolü (Varsa)

Bazı modern ransomware grupları önce verileri çalar, sonra şifreleme yapar.

Şu kaynaklara bakılır:

• Powershell Invoke-WebRequest kayıtları

• Browser download/upload geçmişi

• Cloud depolama istemcileri (Mega, Dropbox CLI)

• SMB transfer logları

• WinRar / 7zip ile büyük arşiv oluşturma logları

9. Adım: Otomatikleştirilmiş Araçlar

🔧 Eric Zimmerman Tools

• MFTECmd

• SrumECmd

• EvtxECmd

• UsnJrnl2Csv

🔧 Velociraptor

• Ransomware IOC templateları

• USN/MFT Collector

🔧 KAPE

Hızlı triage için ideal.

Ransomware incelemelerinde dosya erişim analizi, saldırının etkisini ortaya çıkarmak için kritik öneme sahiptir. Log kaynaklarının toplanması, MFT/USN journal analizi, process takibi ve zaman çizelgesi oluşturulması sayesinde:

• Etkilenen dosyalar

• Saldırı zinciri

• Kullanılan araçlar

• Saldırının başlangıç zamanı

net biçimde tespit edilir.

Bu analizler yalnızca olay müdahale ekipleri için değil, aynı zamanda gelecekte benzer saldırıları önlemek isteyen kurumlar için de büyük değerlidir.

WHITEPAPER

Ransomware İncelemelerinde Dosya Erişim Analizi

Tehdit Avı, Adli Bilişim ve Olay Müdahale Perspektifi

Ransomware, modern siber saldırı ekosisteminin en yıkıcı tehditlerinden biri hâline gelmiştir. Klasik şifreleme odaklı varianlar yerini, çok aşamalı (multi-stage), veri sızıntılı (double/triple extortion) fidye yazılımlarına bırakmıştır. Bu saldırılar yalnızca veri şifrelemekle kalmaz; sistem üzerinde geniş dosya erişim aktivitelerine ve belirgin bir artefakt yoğunluğuna neden olur.

Bu whitepaper, ransomware olay müdahalesi sırasında dosya erişim analizi (File Access Analysis) süreçlerinin teknik derinliğini aktarmak amacıyla hazırlanmıştır. Analiz; NTFS meta verileri, Windows Event Logs, Sysmon kayıtları, USN Journal, MFT, SRUM ve EDR telemetry verileri üzerinden bütünleşik bir yöntem sunar.

2. Dosya Erişim Analizinin Amacı

Dosya erişim analizi, ransomware saldırısının:

• Başlangıç noktasını

• Yayılım vektörünü

• Hangi dosyaların manipüle edildiğini

• Hangi kullanıcı/işlem tarafından tetiklendiğini

• Ne kadar veri şifrelendiğini

• Veri sızıntısı olup olmadığını

• Şifreleme davranışının metodolojisini

tespit etmek için uygulanır.

Bu sayede hem saldırının boyutu belirlenir hem de hukuki süreçlerde (SIGORTA, KVKK, GDPR) gerekli olan teknik kanıtlar toplanır.

3. Ransomware Dosya Manipülasyon Davranışları

Ransomware'in dosya sisteminde bıraktığı kalıntılar belirli bir paterne sahiptir.

3.1. Yüksek hacimli I/O operasyonları

• Kısa sürede binlerce dosyaya erişim

• Çok sayıda CreateFile, WriteFile, RenameFile, SetInformationFile

3.2. Uzantı değişikliği

• *.docx → *.docx.locked

• *.pdf → *.encrypted

3.3. Metadata manipülasyonu

• CreationTime resetlenmesi

• LastWriteTime’ın aynı saniyede ardışık yüzlerce dosyada görünmesi

3.4. Ransom note oluşturma

• Aynı dizinlere yüzlerce .txt veya .html dosyası düşürme

• Çoklu dizin traversesi

3.5. Shadow Copy silme

vssadmin delete shadows /all /quiet
wmic shadowcopy delete

4. Analiz İçin Kullanılan Temel Kaynaklar

Dosya erişim analizinin başarısı, doğru artefaktların toplanmasına bağlıdır.

4.1. Windows Event Logs

Security.evtx

• 4663 → Dosya erişim denetimi

• 4656 → Handle açma girişimi

• 4670 → ACL değişikliği

• 5145 → SMB üzerinden dosya erişimi

Sysmon.evtx

• 1 → Process Create

• 11 → File Create

• 13 → Registry Set

• 2, 17, 18 → Dosya time-stamp manipülasyonu

• 7 → Image Load (crypto library yüklemeleri)

4.2. NTFS Artefaktları

4.2.1. MFT ($MFT)

Ransomware faaliyetinin en güvenilir kanıtıdır.

Tespit edilebilir:

• Şifrelenen tüm dosyalar

• Silinen ancak iz bırakan dosya kayıtları

• Yoğun rename operasyonları

• Ransom note dağılımı

4.2.2. USN Journal ($UsnJrnl:$J)

Ransomware şifreleme sırasında tipik olarak milyonlarca satır aktivite üretir.

Öne çıkan USN reason kodları:

• 0x00000020 – File Create

• 0x00000002 – Data Overwrite

• 0x00001000 – Rename Old Name

• 0x00002000 – Rename New Name

4.2.3. $LogFile

• Transaction-based kayıt

• Ani dosya değişiklik paternleri (I/O spike)

4.3. SRUM (System Resource Usage Monitor)

• Sürecin ne kadar I/O tükettiğini

• Hangi saatlerde yoğun işlem gerçekleştirdiğini

gösterir.

4.4. EDR Telemetry

Kurumsal yapılarda en kritik kaynak:

• File write events

• File rename events

• Process ancestry

• Injection teknikleri

• Network exfiltration

5. Dosya Erişim Analiz Metodolojisi

Bu bölüm DFIR ekiplerinin kullandığı tam metodolojik yaklaşımı içerir.

5.1. Zaman Çizelgesi (Timeline) Oluşturma

En kritik adım attack window'u belirlemektir.

Zaman aralığı şu artefaktlarla belirlenir:

• İlk şifrelenen dosyanın MFT LastWriteTime bilgisi

• İlk ransom note oluşturulma zamanı

• Sysmon Process Create (event ID 1) – Payload başlatma

• SRUM I/O spike başlangıcı

• EDR tarafından bloklanan ilk event

Amaç: Analizi milyonlarca logtan yalnızca saldırı aralığına indirgemek.

5.2. Süreç (Process Tree) Analizi

Örnek malicious zincir:

outlook.exe
  └── winword.exe
         └── powershell.exe
               └── payload.exe

İncelenecekler:

• Parent PID

• Komut satırı argümanları

• Signed/unsigned binary kontrolü

• Image path (AppData\Roaming yaygın)

• Masquerading (svch0st.exe gibi)

5.3. Dosya Manipülasyon Haritası

3 temel metot uygulanır:

1. USN Journal diffs

2. MFT Entry Correlation

3. LastWriteTime sıralaması

Bu sayede:

• Kaç dosya şifrelendi?

• Hangi klasörler etkilendi?

• Hangi kullanıcı tokeni kullanıldı?

• Erişim yoğunluğu hangi drive’da?

net olarak çıkar.

5.4. Output Normalizasyon

Toplanan ham veriler CSV/JSON formatına normalize edilir.

Örnek olay çıktısı:

6. Veri Sızıntısı (Exfiltration) Analizi

Modern ransomware gruplarının %84’ü* veriyi şifrelemeden önce çalar.

Kontrol edilmesi gerekenler:

6.1. Network Artefaktları

• Powershell upload komutları

• Cloud API çağrıları

• TLS üzerinden büyük outbound trafik

• C2 iletişimi (HTTP POST / chunked transfer)

6.2. Arşivleme Göstergeleri

Dosya erişim analizi ile birleştiğinde tespit edilir:

• winrar.exe çalıştırma

• 7z.exe a archive.7z

• Çok büyük boyutlu geçici dosya oluşumu (“collection artifact”)

6.3. SMB Transferleri

Event ID 5145 üzerinden:

• Başka bir makineye büyük dosya kopyalama

• Yüksek hacimli “Read” operasyonları

7. Araçlar ve Otomasyon

7.1. Eric Zimmerman Tools

• MFTECmd.exe → MFT analizi

• UsnJrnl2Csv.exe → USN analizi

• SrumECmd.exe → I/O activity

• EvtxECmd.exe → Event log parsing

7.2. Velociraptor

• Ransomware IOC pack

• Live forensic acquisition

• USN/MFT real-time timeline çıkarma

7.3. KAPE (Triage Aracı)

• Minimal zamanda gerekli tüm artefaktları toplar

7.4. Sysinternals Tools

• Procmon → Gerçek zamanlı I/O

• Handle.exe → Dosya kilidi tespiti

8. Bulguların Raporlanması

Whitepaper içeriği kurum içi forensik ve hukuk ekipleri tarafından kullanılabilir hale getirilmelidir.

Rapor şu bölümleri içermelidir:

1. Özet

2. Saldırı Zaman Çizelgesi

3. Bulaşma Yöntemi

4. Etkilenen Dosya Sayısı

5. Etkilenen Kullanıcılar

6. Veri Sızıntısı Bulguları

7. İyileştirme Önerileri

8. Gelecek Saldırılara Karşı Önlem Seti

9. Örnek Ransomware Şifreleme Akış Diyagramı

[Initial Access]
      ↓
[Payload Execution]
      ↓
[Privilege Escalation]
      ↓
[Shadow Copy Deletion]
      ↓
[Mass File Enumeration]
      ↓
[File Read → Encrypt → Write]
      ↓
[File Rename (extension append)]
      ↓
[Ransom Note Deployment]
      ↓
[Optional: Data Exfiltration]

Bu whitepaper, ransomware saldırılarında dosya erişim analizi için profesyonel seviyede bir metodoloji sunmaktadır. MFT, USN Journal, Sysmon, SRUM ve EDR telemetry gibi birden fazla artefaktın korelasyonu saldırının:

• Etki alanının,

• Zincirinin,

• Kullanılan araçların,

• Saldırgan davranış paterni,

• Veri kaybı seviyesinin

tam olarak anlaşılmasını sağlar.

Bu analiz, olaya müdahale ekiplerinin hem teknik hem de regülasyon uyumlu bir müdahale yapabilmesi için kritik önemdedir.