NTFS ADS Nedir? Görünmez Tehditler ve Korunma Yolları
Bir dosyaya çift tıkladığınızda onun sadece görünen kısmını açarsınız. Peki ya aynı dosyanın içinde, gözle görülmeyen bir bölüm daha varsa? İşte NTFS Alternatif Veri Akışları (ADS) tam olarak bunu sağlar. Bu özellik, Windows işletim sistemlerinde dosyaların içine ekstra veri gizlemenize olanak tanır. Ne yazık ki siber saldırganlar bu durumu fark ederek zararlı yazılımları, çalıntı verileri veya kalıcı bağlantı araçlarını bu görünmez bölgelere saklıyor.
Nesil Teknoloji TSE A Sınıfı Sızma Testi uzmanları olarak bu rehberde, ADS teknolojisini en basit haliyle anlatıyor, saldırganların bu yöntemi nasıl kullandığını gerçek vakalarla gösteriyor ve kurumunuzu bu tür görünmez tehditlere karşı nasıl koruyacağınızı adım adım açıklıyoruz. Amacımız, teknik altyapısı ne olursa olsun herkesin bu konuyu anlamasını ve önlem almasını sağlamak.
ADS, dosyaların içinde gizli bölümler oluşturur. Bu bölümler normalde görünmez. Saldırganlar buraya virüs gizler, veri çalar veya sistemi ele geçirir. Tespit için özel komutlar (dir /r, PowerShell) ve araçlar (Sysinternals Streams) gerekir. Nesil Teknoloji olarak TSE A Sınıfı sızma testlerimizle bu gizli akışları ortaya çıkarıyor, kurumunuzu gelecekteki saldırılara karşı hazırlıyoruz.
1. ADS Nedir ve Nasıl Çalışır? (Basit Anlatım)
NTFS Alternatif Veri Akışları’nı anlamak için bir dosyayı bir dolap olarak düşünelim. Normalde bir dolabın bir çekmecesi vardır ve herkes o çekmeceyi görür. Ancak ADS, aynı dolabın gizli bir bölümü gibidir. Bu gizli bölüm, ana çekmeceyle aynı dolabın içindedir ama dışarıdan baktığınızda onu fark edemezsiniz. Hatta dolabın boyutu bile değişmez gibi görünür. İşte Windows’un NTFS dosya sistemi, her dosya için bu tür gizli bölümler oluşturmanıza izin verir.
Peki bu özellik neden var? Tarihsel olarak Microsoft, Windows’un Mac bilgisayarlarla uyumlu çalışması için bu özelliği eklemiş. Mac’lerde dosyalar hem veri hem de kaynak bilgisi içerir. Windows bu kaynak bilgilerini ADS olarak saklamış. Zamanla insanlar bu özelliği, indirilen dosyaların güvenliğini işaretlemek gibi meşru işlerde de kullanmaya başladı. Örneğin interneten indirdiğiniz bir dosyaya Windows, “Bu dosya internetten geldi, dikkatli ol” bilgisini bir ADS olarak ekler. Siz dosyaya çift tıkladığınızda Windows bu ADS’i okur ve size güvenlik uyarısı gösterir.
Teknik olarak her dosyanın içinde bir “veri akışı” vardır. Buna ana akış diyoruz. ADS ise eklediğiniz her yeni akışa verdiğimiz isimdir. Bu akışlara dosyaadi:akisadi şeklinde ulaşabilirsiniz. Örneğin meşru.txt:gizli.exe ifadesi, meşru.txt dosyasının içindeki gizli.exe adlı ADS’i gösterir. Bu ADS’in içinde her türlü veri olabilir: bir resim, bir video, bir çalıştırılabilir program, bir metin belgesi… Windows Gezgini’nde meşru.txt dosyasına baktığınızda sadece ana akışın boyutunu görürsünüz. ADS’in varlığından haberiniz olmaz. İşte saldırganların işine yarayan da tam olarak bu görünmezliktir.
2. Saldırganlar ADS’i Nasıl Kullanır? (İstismar Yöntemleri)
Saldırganlar ADS’i adeta bir gizli kasa gibi kullanır. İşte en sık karşılaştığımız yöntemler:
Virüs ve Zararlı Yazılımları Gizleme
Saldırgan, bir bilgisayara sızdıktan sonra elindeki zararlı yazılımı masum bir dosyanın içine gizler. Mesela Windows’un kendi hesap makinesi programını (calc.exe) alır ve “meşru.txt” adlı bir metin belgesinin içine gömer. Bunu yapmak için komut satırında şöyle bir komut yazar: type calc.exe > meşru.txt:gizli.exe. Artık meşru.txt dosyası normal görünür, boyutu değişmez ama içinde çalıştırılabilir bir program gizlidir. Antivirüs yazılımları varsayılan ayarlarda bu gizli bölgeyi taramaz, dolayısıyla virüsü fark etmezler.
Gizli Kod Çalıştırma
ADS içindeki bir programı çalıştırmak için farklı yöntemler vardır. Saldırganlar şunları kullanabilir:
- WMIC (Windows Yönetim Araçları) ile wmic process call create “C:\meşru.txt:gizli.exe” komutunu kullanarak ADS’teki programı çalıştırabilirler.
- PowerShell‘de Get-Content C:\meşru.txt -Stream gizli | Invoke-Expression komutunu kullanarak ADS’teki PowerShell betiğini çalıştırabilirler.
- Servis Oluşturma: Saldırgan, ADS’teki programı işaret eden bir Windows servisi oluşturur. Bilgisayar her açıldığında bu servis otomatik olarak ADS’teki kodu çalıştırır. Bu sayede kalıcılık elde ederler.
Veri Sızdırma
Bir casus yazılım veya keylogger (tuş kaydedici) topladığı bilgileri ADS içine yazabilir. Örneğin, echo “kullanıcı:şifre” > C:\Windows\system32\drivers\etc\hosts:gizliLog komutu, hosts dosyasının içine gizli bir ADS oluşturur ve çalınan bilgileri oraya yazar. Bu sayede diske yazılan veri normal dosya listelerinde görünmez, ancak saldırgan daha sonra bu ADS’i okuyarak verileri alabilir.
Ayrıcalık Yükseltme
Saldırganlar bazı güvenlik açıklarını ADS kullanarak daha da etkili hale getirebilir. Örneğin geçtiğimiz yıllarda araştırmacılar, bazı antivirüs yazılımlarında ADS içeren bir dosya ile özel işlemler yaparak sistemde yetkisiz dosya silme işlemi gerçekleştirilebileceğini keşfetti (CVE-2024-0353, CVE-2024-7238). Bu tür açıklar, saldırganların normalde sahip olmadıkları yetkilere erişmesine yol açar.
ADS ve Steganografi
Steganografi, bir mesajı başka bir verinin içine gizleme sanatıdır. ADS ile steganografi birleştiğinde, örneğin bir resim dosyasının ADS’ine şifreli bir metin gizleyebilir veya bir müzik dosyasının ADS’ine başka bir müzik dosyası saklayabilirsiniz. Bunu tespit etmek çok zordur çünkü hem dosya sistemi seviyesinde gizlidir hem de içerik analizi gerektirir.
3. Gerçek Hayattan Örnekler ve Saldırı Senaryoları
WastedLocker Fidye Yazılımı (2020)
WastedLocker, kurbanın bilgisayarına bulaştıktan sonra kendisini kullanıcının uygulama verileri klasöründeki rastgele bir dosyanın ADS’ine kopyaladı. Ardından Windows’un meşru bir DLL dosyasını (WINMM.DLL) kullanarak bu ADS’teki kodu çalıştırdı ve tüm dosyaları şifrelemeye başladı. Antivirüs yazılımları, ADS içindeki fidye yazılımını tespit edemedi çünkü tarama mekanizmaları ADS’leri kontrol etmiyordu.
ALPHV (BlackCat) Fidye Yazılımı
Saldırganlar bu fidye yazılımını Rust programlama diliyle geliştirmişti ve oldukça gelişmişti. Saldırganlar, C sürücüsünün kök dizininde “HostProcessForWindowsService” adlı bir ADS oluşturdular ve içine reverse-ssh aracını gizlediler. Daha sonra bir Windows servisi oluşturup bu ADS’i çalıştırarak sisteme kalıcı olarak yerleştiler. Olay incelemesi yapan uzmanlar, ana dosya sisteminde hiçbir şey bulamazken ADS taraması yaptıklarında gizli aracı keşfettiler.
Bir Kuruluşta Yaşanan Vaka
Gerçekleştirilen bir TSE A Sınıfı sızma testi sırasında, bir kuruluşun ağında şüpheli trafik tespit edildi. Sunucularda yapılan yüzeysel incelemede her şey normal görünüyordu. Ancak PowerShell ile derinlemesine ADS taraması yapıldığında, C:\Windows\System32\calc.exe dosyasının içinde “logger.ps1” adlı bir ADS olduğu görüldü. İçeriği incelendiğinde, bu scriptin 6 aydır tüm tuş vuruşlarını kaydedip şifreleyerek uzak bir sunucuya gönderdiği fark edildi. Kuruluş, bu süre boyunca bilgi sızıntısından habersizdi.
Fabrikalarda ADS Tehdidi
Bir üretim tesisinde, SCADA sistemini yöneten bir bilgisayara sızan saldırganlar, üretim yazılımının ayar dosyasının ADS’ine bir backdoor (arka kapı) gizlediler. Bu backdoor sayesinde üretim bantlarını durdurabildiler ve Modbus TCP protokolü üzerinden cihazlara zarar verdiler. Modbus protokolü, fabrika makinelerinin haberleştiği bir dildir ve güvenlik önlemi yoktur. Saldırganlar ADS’teki backdoor ile bu haberleşmeye karışıp cihazlara “dur” komutu gönderebildi. Benzer şekilde enerji sektöründeki DNP3 protokolü de hedef olabilir.
Sosyal Mühendislik Senaryosu
Bir çalışana “maaş zammı listesi.pdf” adlı bir dosya gelir. Çalışan dosyayı açar, normal bir PDF görür. Oysa dosyanın ADS’inde bir PowerShell betiği gizlidir ve PDF açılırken arka planda bu betik çalışır. Betik, bilgisayara bir truva atı yerleştirir. Bu tür bir saldırıda, e-posta güvenlik duvarı sadece PDF dosyasını inceler, içindeki ADS’i fark etmez.
4. ADS’i Tespit Etme ve Savunma Yöntemleri
ADS’leri görmek özel araçlar gerektirir. İşte kullanabileceğiniz yöntemler:
Basit Tespit Yöntemleri
Komut İstemi (CMD): dir /r komutunu kullanın. Bu komut, bulunduğunuz dizindeki tüm dosyaları ve onlara ait ADS’leri listeler. ADS varsa, dosya adının yanında “dosyaadi:akisadi” şeklinde görünür.
PowerShell: Tek bir dosyadaki ADS’leri görmek için Get-Item -Path C:\Klasör\dosya.txt -Stream * komutunu kullanın. Tüm C sürücüsünü taramak için Get-ChildItem -Recurse -Path C: | ForEach-Object { Get-Item $_.FullName -Stream * -ErrorAction SilentlyContinue } komutunu yazın. Bu işlem uzun sürebilir, ancak sistemdeki tüm ADS’leri listeler.
Sysinternals Streams: Microsoft’un ücretsiz aracı Streams’i indirin. streams.exe -s C:\Klasör komutuyla belirtilen dizindeki tüm ADS’leri görün ve isterseniz silebilirsiniz.
İleri Düzey Tespit ve İzleme
Kurumsal ortamda ADS tehdidini sürekli izlemek için şunları yapabilirsiniz:
- Sysmon: Bu araç, dosya oluşturma olaylarını (Event ID 11) kaydeder. Bir dosyaya ADS eklendiğinde veya ADS’den okuma yapıldığında Sysmon bunu loglar. Böylece şüpheli ADS aktivitelerini anında görebilirsiniz.
- PowerShell Loglama: PowerShell’in betik çalıştırma ve komut geçmişi loglamasını açın. Bu sayede Windows, Set-Content -Stream gibi ADS oluşturan komutları Olay Günlüğü’ne kaydeder. Güvenlik ekibiniz bu kayıtları izleyerek ADS oluşturma girişimlerini tespit edebilir.
- EDR Çözümleri: Gelişmiş uç nokta tespit ve yanıt (EDR) yazılımları, ADS aktivitelerini izler ve anormal durumlarda (örneğin, bir program ADS içinden çalıştırılmaya çalışıldığında) uyarı verir.
Nmap ve Metasploit ile ADS Testi
Penetrasyon testlerinde (sızma testlerinde) kullanılan iki popüler araç Nmap ve Metasploit’tir. Bunların ADS ile ilişkisini şu tabloda görebilirsiniz:
| Araç | Ne işe yarar? | ADS ile ilgisi nedir? |
|---|---|---|
| Nmap | Ağ taraması yapar, açık portları, çalışan hizmetleri tespit eder. | Özellikle SMB (dosya paylaşım) portu (445) açıksa, paylaşılan klasörlerde ADS içeren dosyalar olabilir. Nmap, hedef sistemde ADS olup olmadığını doğrudan göstermez ama paylaşımları keşfeder. |
| Metasploit | Saldırı aracıdır; sistem açıklarını kullanarak sızmaya çalışır. | Hedef sisteme erişim sağlandıktan sonra, upload komutuyla ADS oluşturabilir (upload payload.exe C:\hedef.txt:payload.exe) ve execute komutuyla bu ADS’i çalıştırabilir. Meterpreter kabuğu üzerinden ADS işlemleri yapılabilir. |
Profesyonel bir sızma testinde önce Nmap ile ağ haritalanır, ardından Metasploit gibi araçlarla sistemlere sızılır ve ADS gizleme teknikleri test edilir.
Kurumsal Savunma Stratejileri
ADS tehdidine karşı şu önlemleri alabilirsiniz:
- Yetkileri Sınırlayın: Kullanıcıların gereksiz yere dosya yazma yetkilerini kısıtlayın. Özellikle sistem dizinlerine yazma yetkisini sadece yöneticilere verin. Bu, saldırganların ADS oluşturmasını zorlaştırır.
- Antivirüs Ayarlarını Kontrol Edin: Antivirüs yazılımınızın ADS’leri tarayacak şekilde yapılandırıldığından emin olun. Varsayılan ayarlar genellikle ADS taraması yapmaz, bu nedenle manuel olarak etkinleştirmeniz gerekebilir.
- Düzenli Tarama Yapın: Ayda bir kez PowerShell betikleri veya Streams aracı ile kritik sistemleri ADS açısından tarayın. Bu taramaları otomatikleştirebilirsiniz.
- FAT32 ile Temizlik: Şüphelendiğiniz dosyaları FAT32 biçimli bir USB belleğe kopyalayıp geri kopyalayın. FAT32 ADS desteklemediği için bu işlem dosyadaki tüm gizli akışları siler. Ancak bu yöntemi kullanırken dikkatli olun, çünkü meşru ADS’leri de silebilir.
- Yasal Gereklilikler: KVKK (Kişisel Verilerin Korunması Kanunu) Madde 12, veri güvenliği için gerekli teknik tedbirleri almayı zorunlu kılar. ADS tespiti bu tedbirlerin bir parçasıdır. ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardı da düzenli sızma testi yapmanızı şart koşar. NIST Siber Güvenlik Çerçevesi’nde de “Tanımlama” ve “Koruma” işlevleri, ADS gibi gizli tehditleri belirlemenizi içerir.
Nesil Teknoloji TSE A Sınıfı Sızma Testi Yaklaşımı
Nesil Teknoloji olarak TSE A Sınıfı sızma testi yetkinliğimiz (TSE-STF-065) ile ADS gibi gelişmiş tehditleri tespit ediyoruz. Test sürecimiz şu adımlardan oluşur:
- Keşif: Nmap ve diğer araçlarla ağ envanteri çıkarır, açık portları ve hizmetleri belirleriz.
- Zafiyet Tespiti: Otomatik tarayıcılar ve manuel incelemelerle sistemdeki açıkları tespit ederiz.
- Sızma Denemesi: Metasploit ve özel geliştirilmiş araçlarla sistemlere sızmaya çalışırız. Başarılı olduğumuzda ADS gizleme tekniklerini test ederiz.
- Kalıcılık Testi: Saldırganın sistemde kalıcı olmak için ADS’i nasıl kullanabileceğini simüle ederiz.
- Raporlama: Tespit ettiğimiz tüm ADS’leri, risk seviyeleriyle (CVSS skorları) birlikte raporlar ve düzeltme önerileri sunarız.
- Yeniden Test: Müşteri gerekli düzeltmeleri yaptıktan sonra testi tekrarlar ve ADS’lerin kapatıldığını doğrularız.
Bu yaklaşımla kurumunuzun ADS gibi görünmez tehditlere karşı gerçek direncini ölçüyor ve iyileştiriyoruz.
Sık Sorulan Sorular
Soru 1: ADS sadece NTFS disklerde mi olur?
Evet, ADS sadece NTFS dosya sisteminin bir özelliğidir. FAT32, exFAT veya Linux’taki ext4 gibi dosya sistemlerinde ADS bulunmaz. Bu nedenle, bir dosyayı NTFS’den FAT32 bir diske kopyalarsanız, dosyanın ADS içindeki tüm gizli veriler kaybolacaktır. Bu özelliği bazen ADS’lerden kurtulmak için kullanabilirsiniz.
Soru 2: Windows Gezgini’nde ADS’leri görebilir miyim?
Hayır, Windows Gezgini varsayılan olarak ADS’leri göstermez. Dosyanın boyutunu ve içeriğini sadece ana akışa göre raporlar. ADS’leri görmek için komut satırı araçları (dir /r, PowerShell) veya özel yazılımlar (Sysinternals Streams) kullanmanız gerekir.
Soru 3: Antivirüs yazılımım ADS’leri tarar mı?
Bazı modern antivirüs yazılımlarını ADS taraması yapacak şekilde yapılandırabilirsiniz, ancak varsayılan ayarlar genellikle ADS’leri atlar. Güvenlik ürününüzün belgelerini kontrol ederek ADS taramasını etkinleştirmenizi öneririz. EDR çözümleri genellikle ADS aktivitelerini izler ve uyarı üretir.
Soru 4: Bir ADS tespit ettim, ne yapmalıyım?
Öncelikle ADS içeriğini inceleyin. PowerShell’de Get-Content dosya.txt -Stream gizli komutuyla içeriği okuyabilirsiniz. İçerik şüpheliyse (örneğin çalıştırılabilir kod, şifreler), dosyayı karantinaya alın ve ADS’i silin: Remove-Item -Path dosya.txt -Stream gizli. Kurumsal bir ortamda güvenlik ekibinize haber verin ve olay incelemesi başlatın.
Soru 5: TSE A Sınıfı sızma testi ADS tespitini garanti eder mi?
TSE A Sınıfı sızma testi metodolojisi, ADS gibi gizli veri akışlarının tespiti için özel prosedürler içerir. Uzmanlarımız manuel ve otomatik yöntemlerle sisteminizi tarar ve tespit edilen tüm ADS’leri raporlar. Ancak hiçbir güvenlik testi %100 tespit garantisi veremez. Bu nedenle düzenli testler ve sürekli izleme ile riski en aza indirmenizi öneririz.
