EDR Telemetrisiyle Exploit Sonrası Davranışı Anlamak

EDR'nin En Değerli Çalışması İlk Erişimden Sonra Başlıyor

Tespit mühendisliğinin önemli bir kısmı hâlâ ilk ele geçirme anına yönelik. Bu önemli bir çalışma; ancak savunucular en fazla adli ve operasyonel değeri, başarılı bir exploitation'ın hemen ardından geçen dakika ve saatlerde olan şeylerden çıkarıyor. Saldırgan kod çalıştırmayı başardığında hedefleri somutlaşıyor: kalıcılık sağlamak, kimlik bilgilerine erişmek, yanal hareket etmek, ek araçlar teslim etmek ve savunmadan kaçınmak. EDR telemetrisi bu aşamaların tümünü gözlemlemek için birincil araç.

İyi Telemetri Analizi Neyi Arıyor?

Tek bir süreç başlangıç olayı nadiren hikayenin tamamını anlatıyor. Analitik değer, sıralama ve ilişkiden ortaya çıkıyor:

üst-alt süreç zincirleme: neyin neyi başlattığı ve bu zincirin bu host için beklenen davranış profiline uyup uymadığı.

yetki geçişleri: bir sürecin kullanıcı düzeyinde izinlerle başlayıp daha sonra yükseltilmiş izinler elde edip etmediği.

beklenmedik yorumlayıcı kullanımı: bir web sürecinin çalıştırmak için meşru bir nedeni olmayan cmd.exe, PowerShell veya bir betik motorunu başlatıp başlatmadığı.

anormal ağ bağlantıları: yalnızca yerel olarak iletişim kurması gereken bir sürecin harici bir uç noktaya giden bağlantı girişiminde bulunup bulunmadığı.

kimlik bilgisi malzemesine erişim: LSASS, SAM veritabanı veya kimlik bilgisi yöneticisi API'larına normal kimlik doğrulama yerine toplama işaret eder biçimlerde erişilip erişilmediği.

Bunların her biri izole halde yanlış pozitif üretebilir. Belirli bir host rolüne ve zaman dilimine göre ilişkilendirilmiş kombinasyon halinde gürültü yerine operatör davranışını tanımlıyorlar.

Tespit Yalnızca Artefaktları Değil, Hedefleri Takip Etmeli

En dayanıklı tespitler belirli araç artefaktlarına değil saldırgan hedeflerine yönelik. Şunu sorun:

Tehdit aktörü bu dayanak noktasını oluşturduktan sonra ne yapacak?

Hangi süreçler, modüller veya ağ kalıpları bu sonraki adımı ele verecek?

Bu spesifik host rolü ve beklenen iş yükü için hangi olay dizisi anormal olur?

Artefakt tabanlı tespitler — bilinen bir araç hash'ini eşleştirmek veya belirli bir kayıt defteri anahtarı değişikliğini tespit etmek — saldırgan artefaktı değiştirene kadar etkili. Hedef tabanlı tespitler — hangi aracın kullandığından bağımsız olarak kimlik bilgisi dökme davranışsal imzasını belirlemek — araç değişiklikleri genelinde geçerliliğini koruyor.

Bu nedenle süreç zincirleme görünürlüğü çoğu zaman bireysel olay uyarısından daha değerli. Bir web sunucu sürecinin komut yorumlayıcı başlatması, bu yorumlayıcının keşif aracı başlatması ve bu aracın ardından giden bağlantı denemesinde bulunması, dahil olan spesifik ikili adlardan bağımsız olarak şüpheli.

Yararlı Uyarı Bağlamı Oluşturmak

Tespitler tetiklendiğinde, uyarı bağlamının kalitesi analistlerin ne kadar verimli triage yapabileceğini belirliyor. "Şüpheli PowerShell çalıştırması tespit edildi" yazan bir uyarı, şunları içeren birinden çok daha az işe yarar:

bağımsız değişkenlerle tam komut satırı.

üst süreç adı ve PID.

çalıştırmanın gerçekleştiği kullanıcı bağlamı.

aynı süreç oturumunda kurulan ağ bağlantıları.

süreç ağacının yaptığı dosya yazmaları ve kayıt defteri değişiklikleri.

Bu bağlam, uygun koleksiyon yapılandırılmış herhangi bir deployment için EDR telemetrisinde zaten mevcut. Mühendislik zorluğu, analistlerin triage sırasında bunu manuel olarak yeniden oluşturmasını beklemek yerine otomatik olarak yüzeye çıkarmak için tespitleri yapılandırmak.

Maruziyeti Tespit Önceliğine Bağlamak

Exploit sonrası tespit stratejisi tüm varlıklar genelinde tekdüze olmamalı. Erişilebilir RCE sınıfı zafiyet taşıyan ve internete açık bir sistem, daha agresif bir tespit profili hak ediyor — daha düşük eşikler, daha geniş telemetri koleksiyonu, daha hızlı uyarı — dış maruziyeti olmayan eşdeğer iç sistemden.

Zafiyet maruziyeti ile tespit duruşu arasındaki bu bağlantı nadiren açıkça kuruluyor. Pratikte şu anlama geliyor: yeni bir kritik zafiyet internete açık servis kategorisini etkilediğinde, tespit ekibi o spesifik zafiyet sınıfının exploitation'ından beklenen davranışsal imzaların kapsanıp kapsanmadığını gözden geçirmeli ve exploitation denenmeden önce etkilenen varlıklarda duruşu sıkılaştırmalı.

MyVuln Yaklaşımı

MyVuln, zafiyet bağlamı ve exploit sonrası beklentiler yakınsadığında analitik değer katıyor. Erişilebilir bir servis RCE sınıfı risk taşıyorsa, EDR tespit stratejisi hangi alt süreçlerin, yetki geçişlerinin veya anormal egress kalıplarının o spesifik zafiyet sınıfı için exploitation yolunu temsil ettiğini zaten tanımlamış olmalı. Maruziyet envanterini tespit mühendisliğine bağlamak, en fazla maruz kalan varlıkların orantılı biçimde güçlendirilmiş davranışsal kapsam almasını sağlıyor.

Exploit sonrası davranış analizi, bir CVE'nin gerçek operasyonel öneminin somut biçimde görünür hale geldiği yerdir. İlk tetikleyici olay genellikle yalnızca bir başlangıç noktasının ele geçirildiğini teyit eder; saldırganın nihai hedefini açıklamaz. Child process zincirleri, şüpheli bellek erişim kalıpları, token kötüye kullanımı veya çalınması (token impersonation/theft), arşiv hazırlama davranışı, persistence mekanizması kurulumu, komut yorumlayıcı çağrıları ve yeni gelişen lateral movement hareketleri saldırganın amacını ilk tetikleyici olaydan çok daha net ortaya koyar. EDR'ın (Endpoint Detection and Response) en yüksek analitik değeri ilk alarm anında değil, bu ilk anın ardından tam davranış dizisini görünür kılmasında yatmaktadır.

Somut bir exploit sonrası zincir bunu elle tutulur hale getiriyor. Bir web uygulaması zafiyetinin (örn. CVE-2021-44228) istismarının ardından:

[T=0]   java.exe → cmd.exe başlatıyor                    ← ilk dayanak noktası
[T=12s] cmd.exe → powershell.exe -enc <base64>           ← şifrelenmiş payload çalıştırma
[T=15s] powershell.exe → net.exe user /domain            ← AD keşfi
[T=22s] powershell.exe → certutil.exe -urlcache          ← araç indirme
[T=35s] powershell.exe → wmic.exe /node:<IP>             ← lateral movement girişimi

Yukarıdaki her adım EDR telemetrisinde görünür. Bu telemetri olmadan zafiyet kaydı "yüksek şiddetli, web uygulaması" der. Bu telemetriyle birlikte kayıt şuna dönüşür: "iç domain controller'a doğru doğrulanmış lateral movement girişimiyle aktif exploitation devam ediyor."

Zafiyet yönetimi pratisyenleri için bu ayrım doğrudan önceliklendirme sonuçları doğurur. CVE kaydı teorik riski tanımlar; exploit sonrası telemetri ise bu riskin gerçek saldırganlar tarafından gerçek ortamlarda nasıl hayata geçirildiğini gösterir. Bu davranışsal bağlam önceliklendirmeyi CVSS puanı tartışmalarından çıkarıp tehdit gerçekliğine dayalı karar almaya taşır.

En güçlü savunma duruşu, telemetri ile zafiyet bağlamının analistin karar yüzeyinde birlikte sunulmasıyla ortaya çıkar. Bu model kurulduğunda EDR yalnızca olay kaydı üretmekten çıkar; zafiyet kayıtlarını kurumun her saldırı aşamasına izole olarak tepki vermek yerine saldırganın operasyonundaki bir sonraki mantıklı adımı öngörebildiği yaşayan saldırı anlatılarına dönüştürür.