CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Beaconing Tespiti: Ağ Trafiğinde Jitter ve Frekans Analizi İle Tehditleri Ortaya Çıkarın

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Ağ güvenliğinde kritik öneme sahip beaconing tespitini öğrenin. Jitter ve frekans analizi ile tehditleri zamanında belirleme yöntemlerini keşfedin.

Beaconing Tespiti: Ağ Trafiğinde Jitter ve Frekans Analizi İle Tehditleri Ortaya Çıkarın

Ağ trafiğindeki beaconing tespiti, siber güvenlik alanında önemli bir yer tutuyor. Bu yazıda jitter ve frekans analizi ile tehditlerin nasıl tespit edileceğini ele alacağız.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, bilgi sistemlerinin korunması, sürekli olarak gelişen tehditler karşısında kritik bir öneme sahiptir. Bu bağlamda, "beaconing" olarak bilinen kavram, siber saldırıların tespitinde önemli bir rol oynamaktadır. Beaconing, zararlı yazılımların komut ve kontrol (C2) sunucularıyla iletişim kurarak, düzenli aralıklarla güncellemeler talep etmesi sürecidir. Bu yazıda, ağ trafiğinde jitter ve frekans analizi yöntemleri ile beaconing tespitinin nasıl gerçekleştirileceğini inceleyeceğiz.

Neden Beaconing Tespiti Önemlidir?

Beaconing tespiti, ağ güvenliğinin sağlanması için hayati bir bileşendir. Saldırganlar, genellikle zararlı yazılımlarını gizlemek için belirli parametreler ve örüntüler oluştururlar. Bu nedenle, ağ trafiğinde normal iletişim ile kötü amaçlı trafik arasındaki farkı belirlemek için teknik analizler yapmak gereklidir. Beaconing tespiti, saldırganların ağ içinde nasıl ilerlediğini anlamakla kalmaz, aynı zamanda onları etkin bir şekilde durdurma fırsatı da sunar.

Birçok siber saldırı türü, sistemlere sızdıktan sonra komut ve kontrol sunucusuna düzenli olarak "ben buradayım" sinyali gönderir. Bu, saldırganların sisteme uzaktan erişim sağlayarak bilgi çalması veya daha fazla zararlı eylem gerçekleştirmesi için kritik öneme sahiptir. Dolayısıyla, bu tür sinyallerin tespit edilmesi, tehditlerin önlenmesi ve tespit edilmesi için hayati bir adımdır.

Pentest ve Savunma Açısından Stres Testi

Pentest (sızma testi) süreçleri, bir kuruluşun güvenlik açıklarını belirlemek amacıyla gerçekleştirilen sistematik saldırılardır. Beaconing tespiti, bu tür testlerin önemli bir parçası olarak ortaya çıkar. Bir pentest süreci kapsamında, güvenlik analistleri ağ trafiğini inceleyerek, anormallikleri ve potansiyel tehditleri belirler. Bu süreçte, jitter ve frekans analizleri, ağ üzerindeki trafik profillerini belirlemede kritik bir rol oynar.

Jitter, belirli bir zaman diliminde gönderilen sinyallerin sürekliliğini ve düzenliliğini ölçen bir kavramdır. Zararlı içeriğin gönderildiği zaman dilimlerinde görülmeyen düzensizlikler, potansiyel bir sorun olduğunun göstergesidir. Jitter analizi ile, belirli bir trafiğin düzensizliğini ortaya koymak, siber güvenlik savunması için önemli bir avantaj sağlar. Jitter'e ek olarak, frekans analizi de ağ üzerinde süreklilik gösteren trafik örüntülerini belirlemek için kullanılır.

Teknik Okuma ve Hazırlık

Bu yazıda ele alınacak konular arasında; beaconing tanımı, jitter kavramı, frekans analizi ve trafik profilleri gibi başlıklar bulunmaktadır. Her bir bölümde, uygulamalı yöntemler ve analiz teknikleri üzerinde durulacak, okuyuculara gerçek dünya örnekleri ile bilgi verilecektir. Ayrıca, ağ trafiği analizi için kullanılan araçlar ve algoritmalar hakkında detaylı bilgi paylaşılacaktır.

Beaconing tespiti, sadece bir tehdidin tespit edilmesi değil, aynı zamanda bu tehditin etkisiz hâle getirilmesi anlamına da gelir. Bu nedenle, bu yazı boyunca, teknik bilgilerle birlikte şunları da inceleyeceğiz:

  • Ağ üzerindeki iletimde gözlemlenen gecikmeler ve varyans ile nasıl okuma yapılır.
  • Beaconing tespiti için kullanılan araçlar ve bu araçların nasıl etkin bir şekilde kullanılabileceği.
  • Slav ve analistlerin iletişim kurarken dikkat etmeleri gereken temel hususlar.

Okuyucular, bu bilgileri kullanarak kendi ağlarını analiz etme yeteneklerini geliştirecek ve siber güvenlik alanındaki bilgi birikimlerini derinleştirebilecekler. Bu yazının, beaconing tespiti ve ağ analizi konularında dikkatinizi ve bilginizi artıracağına inanıyoruz.

Teknik Analiz ve Uygulama

Siber güvenlik alanında tehditlerin erken tespiti, çeşitli analiz tekniklerinin kullanılmasını gerektirir. Bu bağlamda, ağ trafiğinde beaconing tespiti, önemli bir yöntem olarak öne çıkmaktadır. Beaconing, zararlı yazılımların komut ve kontrol (C2) sunucularıyla iletişim kurma yöntemi olarak tanımlanabilir. Bu iletişim, belirli aralıklarla “Ben buradayım, yeni komut var mı?” şeklinde sinyal gönderilmesiyle gerçekleştirilir. Beaconing tipik olarak standart program döngüleri ile biçimlenmiş bir trafik gövdesidir ve altındaki tehditleri ortaya çıkarmak için çeşitli analiz yöntemleri kullanılabilir.

Jitter Kavramı

Jitter, tıpkı bir sinyalin belirli bir zaman aralığında gönderilmesindeki sapmayı ifade eden bir kavramdır. Saldırganlar, tespit edilmekten kaçınmak için beaconing trafiğinin tamamen robotik görünmesini engellemek amacıyla iletişim aralıklarına rastgelelik katabilirler. Bu tür bir davranış, ağ trafiğini daha karmaşık hale getirirken, analistlerin işini zorlaştırır. Jitter eklenmiş beaconing, belirli bir yüzde oranında sapma gösterirken, daha önce belirtilen standart beaconing belirli zaman dilimlerine sıkı bir şekilde bağlı kalır.

Frekans Analizi

Frekans analizi, belirli bir süre zarfında meydana gelen bağlantılar arasındaki zaman damgalarını incelemeyi içerir. Bu analiz ile bağlantı sürelerinin (delta) standart sapması hesaplanarak, zamanlama profilleri ortaya konulabilir. Örneğin, bir ağda sabit zamanlı isteklerin paket boyutlarını karşılaştırmak, potansiyel tehditlerin belirlenmesinde yardımcı olabilir. Aşağıda, bu yöntemi uygulamak için kullanılabilecek bir örnek Python kodu verilmiştir:

import pandas as pd

# Log verilerini yükleyin
data = pd.read_csv('network_traffic_logs.csv')

# Zaman damgalarını çıkartın ve delta sürelerini hesaplayın
data['timestamp'] = pd.to_datetime(data['timestamp'])
data['time_delta'] = data['timestamp'].diff().dt.total_seconds()

# Varyans hesaplayın
variance = data['time_delta'].var()
print(f"Bağlantılar arasındaki varyans: {variance}")

Bu kod, ağ trafiği loglarındaki zaman damgalarını kullanarak bağlantılar arasındaki delta sürelerini hesaplar ve bunların varyansını belirler.

Trafik Profilleri ve Analiz Algoritması

Ağ trafiğinin normal ve anormal davranışlarını ayırt etmek için, trafik profilleri oluşturmak ve bu profilleri analiz eden algoritmalar geliştirmek önemlidir. Normal gezinti (browsing) rasgele zaman aralıkları ile karakterize olurken, standart beaconing sabit zaman aralıklarında gerçekleşir. Jitter eklenmiş beaconing ise, zaman dilimlerinde belirli bir varyans gösterir. Aşağıdakiler, farklı trafik profillerinin kısaca tanımlarını içermektedir:

  • Normal Gezinme (Browsing): Rastgele zaman aralıkları, yüksek varyans ve asimetrik veri boyutu.
  • Standart Beaconing: Tam olarak aynı saniye aralıkları (sıfır varyans) ve aynı paket boyutu.
  • Jitter Eklenmiş Beaconing: Belirli bir yüzde oranında sapma gösteren, düşük ama sıfır olmayan varyans.

Bu profiller ile bağlantıların frekans dağılımını elde etmek için, analiz sürecinin aşağıdaki şekilde yapılandırılması önerilir:

  1. Ağ trafiği loglarının toplanması ve zaman damgalarının çıkarılması.
  2. Bağlantı sürelerinin delta hesaplanması, ardından varyans ve standart sapmanın belirlenmesi.
  3. Bu verilerin frekans analizi ile birleştirilmesi ve sonuçların görselleştirilmesi.

Uzun Uyku Süreleri (Sleep Times)

Saldırganlar, tespit edilmekten kaçınmak için uzun uyku süreleri (long sleep) kullanarak iletişimlerini kesinlikle gizlerler. Bu durumda, sinyaller dakikalar yerine haftada bir kez gönderilir ve bu süreçte normal ağ trafiği içinde kaybolur.

Analiz Araçları

Zekice hazırlanmış bir analiz aracı kullanımı, ağ trafiğinde gizli beaconing hareketlerini tespit etmek için oldukça etkilidir. Örneğin, açık kaynaklı "Rita" aracı, Zeek loglarını içe aktararak otomatik olarak tehditleri puanlama kapasitesine sahiptir. Bu tür araçlar, güvenlik analistlerinin işlerini kolaylaştırırken, ağ üzerindeki potansiyel tehditleri belirlemek adına kritik bir rol oynar.

Operasyonel Müdahale

Beaconing tespitinden sonra alınması gereken en kesin adımlardan biri, tespit edilen C2 adresinin güvenlik duvarında engellenmesidir. Bu eylem, potansiyel zararlı aktivitelerin önlenmesi için hayati öneme sahiptir. Analistler, bu süreçte Zeek loglarını inceleyerek periyodik bağlantıları tespit edebilir ve gerekli önlemleri alabilir.

Sonuç olarak, ağ trafiğinde beaconing tespiti, doğru teknik analiz ve araçların kullanımı ile tehditlerin erkenden belirlenmesine imkan tanır. Jitter ve frekans analizi gibi yöntemlerle, ağların güvenliği sağlanabilir.

Risk, Yorumlama ve Savunma

Gelişmiş tehdit aktörleri, ağ iletişimini manipüle ederek, tespit edilmeden zarar verme amacını gütmektedir. Bu bağlamda, beaconing analizi, ağ trafiğinde siber güvenlik risklerini değerlendirmek için kritik bir yöntem olarak öne çıkmaktadır. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayarak, yanlış yapılandırmalara ya da zafiyetlere yönelik açıklamalarda bulunacağız. Ek olarak, sızan veriler, topoloji ve servis tespiti ile ilgili sonuçları inceleyecek ve profesyonel önlemler ile sistem hardening önerileri sunacağız.

Güvenlik Anlamının Yorumlanması

Beaconing, genellikle bir saldırganın, komut ve kontrol (C2) sunucusundan komut almak üzere düzenli aralıklarla gönderdiği sinyallerdir. Bu tür trafik, standart kullanıcı aktiviteleri ile karıştırılabilir ancak belirgin zamanlamalar ve belirli paket boyutları ile karakterize edildiğinden, bu kurallara uyan bağlantılar dikkatle izlenmelidir.

Örneğin, aşağıdaki gibi bir trafik logu inceleme yapıldığında:

timestamp, src_ip, dest_ip, port, size
2023-10-01 12:00:00, 192.168.1.10, 203.0.113.5, 80, 200
2023-10-01 12:01:00, 192.168.1.10, 203.0.113.5, 80, 200
2023-10-01 12:02:00, 192.168.1.10, 203.0.113.5, 80, 200

Her saat başı yapılan 200 byte’lık bağlantılar, standart beaconing davranışını göstermektedir. Bu tür örüntülerin tespit edilmesi, olası bir saldırıyı erken safhada tanımlamak için çok önemlidir. Yanlış yapılandırmalar, örneğin iletişim sürelerinin düzgün ayarlanmaması durumunda, gizli bir iletişimin ortaya çıkmasına neden olabilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, ağ yöneticilerinin siber güvenlik uygulamalarında yaygın bir sorun olup, genellikle sistem zafiyetlerine yol açar. Eğer ağın C2 sunucuları ile periyodik olarak iletişim kuran cihazlar (örneğin kötü niyetli yazılımlar) yeterince iyi izlenmiyorsa, bu durum sızan verilere ve kötüye kullanıma neden olabilir. Özellikle, standart beacon paket boyutlarının karşılaştırılması yoluyla gerçekleştirilen analizler, normal kullanıcı davranışları ile zararlı aktiviteleri ayırt etmede son derece etkilidir. Aşağıdaki diagram, normal bir ağ trafiği ile standart beaconing trafiğinin karşılaştırmasını göstermektedir:

Zaman Aralığı (saniye) | Normal Trafik | Beaconing Trafiği
----------------------|----------------|-------------------
60                    | 80%            | 100%
30                    | 5%             | 0%
15                    | 10%            | 0%

Yukarıdaki veriler, belirgin bir frekans halinde düzenli aralıklarla yapılan bağlantıların izlenmesi gerektiğini göstermektedir.

Sonuçlar: Sızan Veriler, Topoloji ve Servis Tespiti

Beaconing analizi, ağa bir zararlı yazılımın enjekte edilmesi durumunda, sızan veri türlerini belirlemede de etkilidir. Saldırganlar, genellikle veri sızdırma yöntemleri (data smuggling) kullanarak, küçük beacon paketleri içinde şifreli veri parçacıkları yollamaktadır. Bu tür veri akışlarının tespiti, sistem topolojisinin değiştirilmesine ve ağda potansiyel olarak zayıf noktaların bulunmasına yardımcı olur. Ayrıca, ağ üzerindeki servislerin (örneğin, bir web sunucusunun belirli portlarının sürekli açık olup olmadığı) durumu da bu analizlerle ortaya konabilir.

Profesyonel Önlemler ve Hardening Önerileri

Ağ güvenliği uzmanlarının, bu tür tehditlerin önlenmesi için alması gereken önlemler arasında şunlar bulunmaktadır:

  1. Düzenli Ağ Taraması: Ağ trafiğini sürekli izleyin ve anormal davranışları tanımlamak için frekans analizi gerçekleştirin.
  2. Güvenlik Duvarı Kuralları: Bilinen kötü niyetli IP adreslerine erişimi sınırlamak için etkili güvenlik duvarı kuralları oluşturun.
  3. Güvenlik Güncellemeleri: Tüm sistemlerin güncel yazılım ve güvenlik yamalarıyla donatıldığından emin olun.
  4. Ağ Erişim Kontrolleri: Kullanıcı erişimlerini sıkı bir şekilde yönetin ve yalnızca gerekli olan izinleri verin.

Kısa Sonuç Özeti

Beaconing tespiti, ağ trafiği içindeki anormallikleri belirlemede önemli bir araçtır. Bu işlemler, olası zararlı faaliyetlerin belirlenmesine ve çözümün hızlı bir şekilde uygulamasına yardımcı olmaktadır. Mevcut zayıflıkları ve yanlış yapılandırmaları göz önünde bulundurarak, profesyonel önlemler alınması gerekmektedir. Bu bağlamda, siber güvenlik alanında etkin bir korunma sağlamak için sürekli izleme ve güvenlik önlemlerinin uygulanması kritik öneme sahiptir.