MetaData Nedir ?
Nasıl Kullanılır ?

Meta Data Nedir ?

Metadata var olan belgenin bilgilerini içeren ve aynı belge üzerinde bulunan verilerdir.

Metadatayı anlamak için bir örnek verebiliriz.

Eğer sizi bir belgeye benzetiyor olursak metadatanız nüfus cüzdanınız olabilir.Sizden yani belgeden istenilen bir çok görev veya bilgi olabilir örneğin eğer bir docx dosyasıysanız sizden sohbet etmeniz beklenecektir.Karşısındaki kişinin kim olduğunu merak eden birisi sizin metadatanıza yani nüfus cüzdanınıza bakarak sizin hakkınızda bilgi sahibi olabilir. Bu şekilde sizin gerçekten bahsettiğiniz kişi olduğunuzu anlayabilir. Ancak nasıl nüfus cüzdanı üzerinde sahtecilik yapılabiliyorsa metadata üzerinde de sahtecilik yapılabilmektedir.

.Docx uzantılı bir dosyasında metadata

DOCX (“Word Microsoft Office Open XML Format Document”) dosyası sıkıştırılmış bir dosyadır. Dosyayı extract (Sağ tıklayıp extract’a basarak) ederek içindeki dosyaları görebiliriz.

Docx dosyasının adından da anlaşılabileceği gibi xml formatında dosyalardan oluştuğunu görebilirsiniz. Aradığımız metadata “docProps” dosyasının içerisindeki app.xml ve core.xml dosyalarının içerisinde yer almakta.

core.xml dosyasını açtığınızda dosyanın kim tarafından oluşturulduğu ve en son kimin tarafından değişiklik yaptığını görüyoruz.

app.xml içerisinde ise dosyanın hangi şirket tarafından oluşturulduğuna dair bilgileri edinebiliriz.

Ayrıca word dokümanını çalıştırdıktan sonra üst sekmenin solunda bulunan File sekmesinden de bu bilgilere erişebiliriz.

Docx dosyasında Metadatayı kaldırmak için File>Info>Check for Issues>Inspect Document yolunu izleyip dosyayı kaydettiğinizde dosya üzerindeki metadataları kaldırmış olacağız.

Dosyanın metadatasını tekrar analiz ettiğimizde artık .xml dosyalarında bir veri bulunmadığını göreceğiz.

Bir phishing saldırısını engellemek için metadata nasıl kullanılır?

Günlük hayatta karşımıza çıkabilecek bir phishing saldırısı hayal edelim. Saldırganlar mail içerisinde macro içeren veya zararlı url bulunan dökümanlar iletip, alıcı kişileri aldatıp macroyu çalıştırmasını veya url adresini ziyaret etmesini amaçlıyor olsun.

Saldırganların kendilerine ait bir domain üzerinden mail göndermesi durumunda mail göndericisinin kullanılan güvenlik cihazları üzerinden engellenmesi kolay bir çözüm olurdu. Bunun farkında olan saldırganlar mail spofing yöntemi ile yüzlerce hatta binlerce farklı domain kullanarak hedeflerine mail gönderebilmektedirler. Teoride SPF kontrolü ile bu durum rahatça engellenebilse de pratikte çok mümkün olmuyor.

Elimizdeki dokümanlar üzerinde yaptığımız analiz üzerinde “creator” ve “lastModifiedBy” kısımlarında TEST bilgisinin olduğunu varsayım.

Kullandığımız güvenlik cihazları üzerinde bu bilgilere göre gelen mailleri engellememiz bizi kötü sonuçlar oluşturabilecek bir saldırıdan koruyacaktır.

Birçok güvenlik ürünü son kullanıcının ürünü kendine göre biçimlendirebilmesi için yara kuralı eklemeye izin vermektedir. Bizde elimizdeki bilgileri kullanarak gönderici ile alıcı arasında olan bir cihaz üzerinde bu bilgileri içeren dosyaları engellemesi için yara kuralı ekleyeceğiz.

YARA KURALI:

Kullandığımız kural ile bir saldırıyı metadata kullanarak engelleyebiliriz.

Dikkat edilmesi gereken FalsePositive oluşturmadan bu saldırıyı engellemek olacaktır. Bunu engellemek amaçlı karantinaya alınan mailler üzerinde incelemeye devam edip daha kompleks ve dar kapsamlı kurallar yazabiliriz.

Güç Seninle Olsun…

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir