Bir SOC (Güvenlik Operasyon Merkezi) analisti olarak, Windows’un kritik güvenlik bilgilerini nerede depoladığını anlamak, bir sızma girişimini erken tespit etmek veya tamamen kaçırmak arasındaki farkı yaratabilir. Her güvenlik profesyonelinin radarında olması gereken temel Windows dizinlerini inceleyelim.
Kimlik Bilgileri ve Erişim Kayıtları
Kullanıcı kimlik bilgilerinin güvenliği, her güvenlik duruşunun temelini oluşturur. Bu konumlar hassas kimlik doğrulama verilerini depolar:
- C:\Windows\System32\config\SAM: Windows’un yerel parola hash’lerini depoladığı yerdir ve bu da onu kimlik bilgisi toplama saldırıları için öncelikli bir hedef haline getirir. Bu dosyaya erişen saldırganlar, çevrimdışı kırma işlemleri için parola hash’lerini çıkarabilir.
- C:\Windows\repair\SAM: Kullanıcı kimlik bilgilerinin bir yedeğini içerir ve saldırganlar kimlik bilgisi hırsızlığı için alternatif bir yol olarak hedefleyebilir.
- C:\Windows\System32\config\SECURITY: Sisteminizin güvenlik sınırlarını tanımlayan güvenlik politikalarını ve erişim kontrolü ayarlarını barındırır.
Sistem ve Olay Kayıtları
Etkili güvenlik izleme, kapsamlı günlük tutmaya bağlıdır. Bu dizinler kritik günlük verilerini içerir:
- C:\Windows\System32\winevt: Windows Olay Günlüklerini depolar, bu da SIEM korelasyonu ve güvenlik izleme için çok önemlidir. Bu, potansiyel güvenlik olaylarını araştırırken genellikle ilk durağınızdır.
- C:\Windows\System32\config\SYSTEM: Yetkisiz değişiklikleri gösterebilecek sistem genelindeki değişiklikleri ve yapılandırmaları izler.
- C:\Windows\System32\config\SOFTWARE: Yüklü yazılımlar ve değişiklikler hakkında ayrıntılar içeren kayıt defteri bilgilerini içerir, yetkisiz yazılım kurulumlarını belirlemenize yardımcı olur.
Kötü Amaçlı Yazılım ve Tehdit Avlama Göstergeleri
Tehditleri ararken, bu konumlar genellikle değerli adli kanıtlar sağlar:
- C:\Windows\Prefetch: Son zamanlarda çalıştırılan programları izler, bu da bir soruşturma sırasında adli zaman çizelgeleri oluşturmak için paha biçilmezdir.
- C:\Windows\AppCompat\Programs\Amcache.hve: Çalıştırılan uygulamaların ayrıntılarını kaydeder, saldırganlar ağınızda gezinirken yanal hareketi tespit etmek için mükemmeldir.
- C:\Users*\NTUSER.dat: Kötü amaçlı yazılımların kalıcılık için sıklıkla istismar ettiği kullanıcıya özgü kayıt defteri ayarlarını içerir.
Kalıcılık ve Başlangıç Araştırmaları
Kötü amaçlı yazılımlar genellikle sistem yeniden başlatmalarından sonra hayatta kalmak için kalıcılık sağlar. Bu konumlar sıklıkla hedef alınır:
- C:\Users*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup: Belirli bir kullanıcı oturum açtığında programları başlatan kullanıcıya özgü kalıcılık mekanizmaları.
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup: Tüm kullanıcıları etkileyen küresel başlangıç klasörü, kötü amaçlı yazılımlar tarafından yaygın olarak kötüye kullanılır.
Bu kritik dizinleri düzenli olarak izleyerek, SOC analistleri yetkisiz erişimi, kötü amaçlı yazılım kurulumunu ve kalıcı tehditleri daha etkili bir şekilde tespit edebilir. İzleme stratejinize bu konumları dahil etmek, güvenlik duruşunuzu ve olay müdahale yeteneklerinizi önemli ölçüde geliştirecektir.
Saldırganların da bu konumların farkında olduğunu unutmayın, bu nedenle bu dizinler için uygun erişim kontrollerini ve izleme çözümlerini uygulamak, her güvenlik ekibi için bir öncelik olmalıdır.
EN:
Key Windows Directories Every SOC Analyst Should Monitor
As a SOC (Security Operations Center) analyst, understanding where Windows stores critical security information can make the difference between detecting an intrusion early or missing it completely. Let’s explore the essential Windows directories that should be on every security professional’s radar.
Credential & Access Logs
The security of user credentials forms the foundation of any security posture. These locations store sensitive authentication data:
- C:\Windows\System32\config\SAM: This is where Windows stores local password hashes, making it a prime target for credential dumping attacks. Attackers who gain access to this file can potentially extract password hashes for offline cracking.
- C:\Windows\repair\SAM: Contains a backup of user credentials that attackers may target as an alternative path to credential theft.
- C:\Windows\System32\config\SECURITY: Houses security policies and access control settings that define your system’s security boundaries.
System & Event Logs
Effective security monitoring depends on comprehensive logging. These directories contain critical log data:
- C:\Windows\System32\winevt: Stores Windows Event Logs, which are crucial for SIEM correlation and security monitoring. This is often your first stop when investigating potential security incidents.
- C:\Windows\System32\config\SYSTEM: Tracks system-wide changes and configurations that may indicate unauthorized modifications.
- C:\Windows\System32\config\SOFTWARE: Contains the registry hive with details on installed software and changes, helping you identify unauthorized software installations.
Malware & Threat Hunting Indicators
When hunting for threats, these locations often provide valuable forensic evidence:
- C:\Windows\Prefetch: Tracks recently executed programs, which is invaluable for building forensic timelines during an investigation.
- C:\Windows\AppCompat\Programs\Amcache.hve: Logs details of executed applications, making it excellent for detecting lateral movement as attackers navigate through your network.
- C:\Users*\NTUSER.dat: Contains user-specific registry settings that malware often abuses for persistence.
Persistence & Startup Investigations
Malware often establishes persistence to survive system reboots. These locations are frequently targeted:
- C:\Users*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup: User-specific persistence mechanisms that launch programs when a specific user logs in.
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup: Global startup folder affecting all users, commonly misused by malware.
By regularly monitoring these critical directories, SOC analysts can more effectively detect unauthorized access, malware installation, and persistent threats. Including these locations in your monitoring strategy will significantly enhance your security posture and incident response capabilities.
Remember that attackers are well aware of these locations too, so implementing proper access controls and monitoring solutions for these directories should be a priority for any security team.
