USB Bellek Güvenliği Neden Kritik Bir Konu
USB bellekler, taşınabilirliği sayesinde veri aktarımında sıkça kullanılıyor ancak aynı özellik onları virüs bulaşması için ideal bir ortam haline getiriyor. Bir USB bellek, farklı bilgisayarlarda kullanıldığında zararlı yazılımları sistemler arasında taşıyabiliyor ve ağ güvenliğini tehlikeye atabiliyor. Özellikle kurumsal ortamlarda, tek bir enfekte USB bellek tüm ağa zarar verebilir.
USB Üzerinden Virüs Bulaşma Mekanizmaları
Autorun ve Autoplay Açıkları
Windows işletim sistemlerinde, USB takıldığında otomatik çalışan autorun.inf dosyası en yaygın bulaşma yöntemi. Bu dosya, USB içindeki kötü amaçlı yazılımı kullanıcı müdahalesi olmadan çalıştırabiliyor. Özellikle eski Windows sürümlerinde bu özellik varsayılan olarak aktif durumda.
Kısayol Virüsleri
USB içindeki klasörleri gizleyip yerine zararlı kısayollar yerleştiren virüsler yaygın. Kullanıcı klasöre tıkladığında aslında virüsü çalıştırmış oluyor. Bu tür virüsler genellikle VBS veya BAT script dosyaları kullanıyor.
Gizli Dosya ve Klasörler
Zararlı yazılımlar kendilerini hidden ve system öznitelikleriyle gizliyor. Normal şartlarda Windows Explorer'da görünmüyorlar. attrib komutuyla bu dosyaları tespit edebilirsiniz.
İşletim Sistemi Seviyesinde Koruma Ayarları
Windows'ta Autorun'ı Devre Dışı Bırakma
Group Policy Editor'ü açmak için Win+R tuşlarına basıp gpedit.msc yazın. Computer Configuration > Administrative Templates > Windows Components > AutoPlay Policies yolunu takip edin. "Turn off AutoPlay" seçeneğini bulup Enable yapın, ardından açılan menüden "All drives" seçin.
Alternatif olarak Registry Editor'de şu yolu kullanabilirsiniz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer anahtarına gidin. NoDriveTypeAutoRun isimli DWORD değeri oluşturun ve değerini 0xFF yapın. Bu değer tüm sürücüler için autorun'ı devre dışı bırakır.
USB Port Erişimini Kısıtlama
Registry'de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR yoluna gidin. Start isimli DWORD değerini 4 olarak ayarlayın. Bu ayar USB depolama cihazlarını tamamen devre dışı bırakır. Tekrar aktif etmek için değeri 3 yapmanız yeterli.
Daha seçici bir yaklaşım için Device Manager'da (devmgmt.msc) Universal Serial Bus controllers bölümünü genişletin. USB Mass Storage Device üzerine sağ tıklayıp Disable seçeneğini kullanabilirsiniz.
Windows Defender USB Tarama Ayarları
Windows Security > Virus & threat protection > Manage settings kısmına gidin. Removable drives seçeneğini açın. Ardından Virus & threat protection > Scan options'dan Custom scan seçip her USB takıldığında manuel tarama yapabilirsiniz.
Otomatik tarama için Task Scheduler kullanın. Event Viewer'da System log'unda Event ID 2003 (USB takılma) olayını bulun. Bu olaya bağlı bir task oluşturup Windows Defender'ı tetikleyen bir PowerShell scripti çalıştırabilirsiniz:
Start-MpScan -ScanType CustomScan -ScanPath "E:\"Antivirüs ve Güvenlik Yazılımları Konfigürasyonu
Gerçek Zamanlı USB Tarama
Kaspersky, ESET, Bitdefender gibi antivirüs yazılımlarında USB cihazları için özel tarama profilleri oluşturabilirsiniz. ESET'te Settings > Advanced setup > Computer > Removable media menüsüne gidin. "Scan removable media" seçeneğini işaretleyin ve tarama derinliğini belirleyin.
Kaspersky'de Settings > Additional > Threats and Exclusions > Specify Trusted Applications kısmından USB'ye yazma yetkisi olan uygulamaları kısıtlayabilirsiniz. Bu sayede sadece güvendiğiniz programlar USB'ye dosya yazabilir.
Heuristik Analiz Seviyesi
USB belleklerde bilinmeyen tehditleri yakalamak için heuristik analizi yüksek seviyeye ayarlayın. Ancak false positive oranı artabilir. Bitdefender'da Advanced Threat Defense > Advanced Settings'den heuristic level'ı aggressive yapabilirsiniz.
Komut Satırı ile USB Temizleme Teknikleri
Gizli Dosyaları Ortaya Çıkarma
Command Prompt'u yönetici olarak açın. USB sürücünüzün harfini belirleyin (örneğin E:). Şu komutları sırayla çalıştırın:
attrib -h -r -s /s /d E:\*.*
dir E:\ /aİlk komut tüm gizli, salt okunur ve sistem dosyalarının özniteliklerini kaldırır. İkinci komut tüm dosyaları görünür hale getirir. Şüpheli .lnk, .vbs, .bat, .exe uzantılı dosyaları tespit edebilirsiniz.
Autorun Dosyalarını Silme
Autorun.inf dosyası genellikle salt okunur ve gizli özniteliklere sahip. Şu komutla silin:
attrib -h -r -s E:\autorun.inf
del E:\autorun.infKısayol Virüslerini Temizleme
Gerçek klasörleri geri yüklemek için önce kısayolları silin, sonra gizli klasörleri görünür yapın:
del E:\*.lnk /s /q /f
attrib -h -r -s E:\*.* /s /dÜçüncü Parti Güvenlik Araçları
USB Disk Security
Zbshareware tarafından geliştirilen bu araç, USB takıldığında otomatik tarama yapıyor. Kurulum sonrası system tray'de çalışır ve her yeni USB'yi karantina modunda açar. Settings'den "Automatically scan USB drives" seçeneğini aktif edin.
USB Immunizer (Bitdefender)
USB belleklere autorun.inf dosyası yerleştirerek zararlı autorun dosyalarının çalışmasını engelliyor. Ücretsiz bir araç. USB'yi takıp Immunize butonuna basmanız yeterli. Oluşturulan autorun.inf dosyası salt okunur olduğu için virüsler tarafından değiştirilemiyor.
Panda USB Vaccine
Hem bilgisayarı hem USB'leri aşılayabilen bir araç. Computer Vaccination seçeneği autorun'ı sistem genelinde devre dışı bırakır. USB Vaccination ise seçili USB'ye immunize eder. Her iki seçeneği de aktif edin.
Güvenli USB Kullanım Protokolleri
Sanal Makine Ortamında İlk Test
Güvenilmeyen USB'leri önce sanal makinede açın. VirtualBox'ta USB Controller eklemek için Settings > USB > Enable USB Controller seçin. USB 3.0 desteği için Extension Pack kurmanız gerekiyor. VM açıkken Devices > USB menüsünden USB'yi VM'e bağlayın.
VMware'de VM Settings > Hardware > Add > Hard Disk seçin. "Use a physical disk" seçeneğinde USB sürücünüzü belirtin. Bu şekilde host sistemden izole bir ortamda USB içeriğini inceleyebilirsiniz.
Yazma Korumalı Mod
Bazı USB belleklerde fiziksel write-protect anahtarı var. Yoksa Registry ile USB'ye yazma işlemini devre dışı bırakabilirsiniz. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies yoluna gidin (yoksa oluşturun). WriteProtect isimli DWORD değeri oluşturun ve 1 yapın.
Dosya Uzantılarını Görünür Yapma
File Explorer'da View > Options > View sekmesine gidin. "Hide extensions for known file types" seçeneğinin işaretini kaldırın. Bu sayede "document.pdf.exe" gibi sahte dosyaları fark edebilirsiniz.
Kurumsal Ortamlarda Merkezi Yönetim
Active Directory Group Policy
Domain controller'da Group Policy Management Console'u açın. Yeni bir GPO oluşturun: Computer Configuration > Policies > Administrative Templates > System > Removable Storage Access. "All Removable Storage classes: Deny all access" seçeneğini enable yapın.
Sadece belirli USB'lere izin vermek için Device Installation Restrictions kullanın. Computer Configuration > Policies > Administrative Templates > System > Device Installation > Device Installation Restrictions'da "Allow installation of devices that match these device IDs" seçeneğini enable edin. USB hardware ID'lerini ekleyin.
Endpoint Protection Platformları
Symantec Endpoint Protection'da Policies > Device Control seçeneğinden detaylı USB kuralları oluşturabilirsiniz. Read, Write, Execute yetkilerini ayrı ayrı yönetebilirsiniz. USB vendor ID'sine göre whitelist veya blacklist yapabilirsiniz.
McAfee DLP'de USB cihazlarına veri kopyalamayı şifrelenmiş dosyalarla sınırlandırabilirsiniz. Policy Catalog > Device Control > Removable Storage menüsünden kurallar oluşturun.
USB İçerik Analizi ve Forensics
USBDeview ile Bağlantı Geçmişi
NirSoft'un USBDeview aracı, bilgisayara bağlanan tüm USB cihazların geçmişini gösterir. Vendor Name, Serial Number, Last Plug/Unplug Time gibi bilgileri listeler. Şüpheli USB cihazları tespit edip kayıtlarını silebilirsiniz.
FTK Imager ile Güvenli Kopyalama
USB içeriğini imaj olarak almak için AccessData FTK Imager kullanın. File > Create Disk Image > Physical Drive seçin. Evidence format olarak E01 (Expert Witness) seçin. Bu yöntem USB'deki metadata ve silinen dosyaları korur.
Dikkat Edilmesi Gereken Kritik Noktalar
Ücretsiz yazılım indirmek için kullanılan USB'ler yüksek risk taşıyor. Özellikle crack, keygen gibi dosyalar genellikle trojan içeriyor. Bu tür dosyaları mutlaka sanal ortamda test edin.
Umuma açık bilgisayarlarda (internet kafe, otel, kütüphane) USB kullanmaktan kaçının. Bu sistemler genellikle güncel antivirüs korumasına sahip değil ve enfekte olma ihtimalleri yüksek.
USB'yi çıkarmadan önce mutlaka "Safely Remove Hardware" kullanın. Ani çıkarma, dosya sistemini bozabilir ve zararlı yazılımların dosyaları değiştirmesine olanak tanıyabilir.
Eski USB belleklerde firmware güncellemesi yapılamıyor. BadUSB saldırılarına karşı savunmasızlar. Kritik işler için firmware güncellemesi destekleyen, güvenilir markaların USB belleklerini tercih edin.
USB şifreleme yazılımları (BitLocker, VeraCrypt) virüs bulaşmasını engellemez, sadece veri hırsızlığına karşı korur. Şifreli USB'ler de antivirüs taramasından geçirilmeli.
İleri Seviye Koruma Teknikleri
WMIC ile USB Takma İzleme
Windows Management Instrumentation Command-line kullanarak USB takma olaylarını loglamak için bir script oluşturabilirsiniz:
wmic /node:localhost /namespace:\\root\cimv2 path Win32_USBControllerDevice get Dependent
Bu komutu Task Scheduler ile periyodik çalıştırıp bir log dosyasına yazdırabilirsiniz. PowerShell ile daha gelişmiş bir monitoring sistemi kurabilirsiniz:
Register-WmiEvent -Class Win32_VolumeChangeEvent -SourceIdentifier VolumeChange
Get-Event -SourceIdentifier VolumeChange | ForEach-Object {
$driveLetter = $_.SourceEventArgs.NewEvent.DriveName
Start-MpScan -ScanType CustomScan -ScanPath "$driveLetter\"
}
SRP ve AppLocker Politikaları
Software Restriction Policies kullanarak USB'den çalıştırılabilir dosyaların çalışmasını engelleyebilirsiniz. Group Policy'de Computer Configuration > Windows Settings > Security Settings > Software Restriction Policies'e gidin. New Software Restriction Policies oluşturun.
Additional Rules'a sağ tıklayıp New Path Rule seçin. Path olarak tüm sürücü harflerini (D:\*.exe, E:\*.exe gibi) ekleyin ve Security Level'ı Disallowed yapın. Bu kural USB'den executable çalıştırmayı engeller.
Özet
USB güvenliği çok katmanlı bir yaklaşım gerektiriyor. İşletim sistemi ayarlarından autorun devre dışı bırakma, Registry düzenlemeleriyle USB erişimini kontrol etme ve düzenli antivirüs taramaları temel koruma sağlıyor. Komut satırı araçlarıyla manuel temizlik, üçüncü parti güvenlik yazılımlarıyla proaktif koruma ve kurumsal ortamlarda GPO bazlı merkezi yönetim katmanları ekleniyor. Her USB'yi potansiyel tehdit olarak değerlendirip sanal ortamda test etmek, en güvenli yaklaşım. Firmware seviyesinde saldırılara karşı ise sadece güvenilir markaların güncel USB bellekleri kullanmak çözüm oluşturuyor.
Sıkça Sorulan Sorular
Autorun devre dışıyken USB virüsleri nasıl bulaşıyor?
Kullanıcı müdahalesiyle bulaşma devam ediyor. Kısayol virüsleri, sahte klasör ikonları veya çift tıklanabilir dosyalar kullanılıyor. PDF.exe gibi çift uzantılı dosyalar da yaygın. Manuel tarama ve dosya uzantılarını görünür yapma bu riskleri azaltıyor.
BitLocker şifreli USB'ler virüsten korunmuş sayılır mı?
Hayır, BitLocker sadece yetkisiz erişimi engelliyor. Şifre girildikten sonra USB normal gibi mount oluyor ve virüs bulaşabilir. Şifreli USB'leri de mutlaka antivirüs ile tarayın. Şifreleme ile virüs koruması farklı güvenlik katmanları.
USB immunizer araçları yüzde yüz koruma sağlar mı?
Immunizer sadece autorun tabanlı saldırılara karşı etkili. Kullanıcı etkileşimi gerektiren virüslere, script dosyalarına veya firmware saldırılarına karşı koruma sağlamıyor. Immunizer'ı antivirüs ve diğer güvenlik önlemleriyle birlikte kullanmalısınız.
Registry ile USB'leri tamamen engellemek diğer cihazları etkiler mi?
USBSTOR servisini devre dışı bırakmak sadece USB storage cihazları engelliyor. USB klavye, mouse, printer gibi cihazlar farklı driver kullandığı için çalışmaya devam ediyor. Sadece flash disk, harici disk gibi depolama cihazları bloklanıyor.
USB'den çalıştırılan portable antivirüs güvenilir mi?
Portable antivirüs araçları (ClamWin Portable gibi) yardımcı olabilir ama sınırlamaları var. Virüs tanımları güncel olmayabilir, gerçek zamanlı koruma genellikle çalışmıyor. Ayrıca portable antivirüsün kendisi de enfekte USB'de olabilir. Sisteme kurulu, güncel antivirüs her zaman daha güvenilir.
0 Yorum
Yorum Yaz