CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Bulut Tabanlı C2 ve Serverless Mimariler: Siber Güvenlik İçin Tehditler

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Bu blog yazısında, bulut tabanlı C2 (komut ve kontrol) ile serverless mimarilerin siber güvenlikte oluşturduğu zorluklar ele alınmaktadır.

Bulut Tabanlı C2 ve Serverless Mimariler: Siber Güvenlik İçin Tehditler

Bulut tabanlı C2 yapıları ve serverless mimarilerin siber güvenlik üzerindeki etkileri inceleniyor. Saldırganların stratejileri ve tespit yöntemleri hakkında bilgi edinin.

Giriş ve Konumlandırma

Siber güvenlik alanında, bulut tabanlı çözümler ve sunucusuz mimarilere yönelik artan ilgi ve benimseme, saldırganların bu teknolojileri istismar etme potansiyelini beraberinde getiriyor. Son yıllarda, özellikle Komut ve Kontrol (C2) altyapılarını bulut ortamlarına taşımak, siber saldırganlar için daha gizli ve esnek bir operasyon yöntemi haline geldi. Bu bağlamda, Serverless mimariler, saldırganların kendi sunucularını kullanmak yerine, AWS Lambda veya Azure Functions gibi meşru bulut hizmetleri üzerinden zararlı trafiği yönetmesine olanak tanıyor.

Neden Önemli?

Yavaş yavaş, güvenlik uzmanları ve ağ yöneticileri, bu yeni C2 mimarilerini tanımak ve anlamak durumunda kalıyor. Geleneksel IP tabanlı güvenlik gibi mevcut savunma mekanizmaları, sunucusuz hizmetlerin doğası gereği etkisiz hale gelme riskini taşımaktadır. Her istekte farklı bir konteyner veya IP adresi kullanabilme yeteneği, geleneksel engellemeleri devre dışı bırakır. Bu nedenle, bulut tabanlı C2 yapılarını tespit etmek ve anlamak, siber güvenlik uzmanları için kritik bir hale gelmiştir.

Siber Güvenlik ve Pentest Bağlamı

Siber güvenliğin, sadece varlıkların korunması değil, aynı zamanda potansiyel saldırı yöntemlerinin öngörülmesi ve bu yöntemlere karşı etkili savunma stratejilerinin geliştirilmesi anlamına geldiği bilinmektedir. Serverless mimariler, saldırganların güvenli sistemler üzerinde yarattığı tehditleri artırırken, bu durumu saptamak ve bunlara karşı koymak için yeni yaklaşımların gerekliliğini de ortaya koymaktadır. Pentest süreçlerinde, bulut tabanlı C2 örneklerine karşı daha fazla dikkat edilmesi, yazılımların ve altyapıların robustlüğünün değerlendirilmesinde önemli bir adım olacaktır.

Okuyucuya Hazırlık

Bu yazıda, Serverless mimarilerin yapısını, avantajlarını ve potansiyel tehditlerini derinlemesine inceleyeceğiz. Özellikle, bu yapıların nasıl çalıştığını ve saldırganların bu teknolojileri nasıl istismar edebileceği üzerine detaylı bilgiler aktaracağız. Konuyla ilgili daha iyi bir anlayış geliştirmeniz için, aşağıda bazı temel kavramları ve işlem akışlarını tanımlayacağız.

Temel Kavramlar

- Cloud Endpoint: Kurbanın doğrudan bağlantı kurduğu meşru bulut URL'si.
- Function Backend: Gelen isteği işleyen veya asıl C2 sunucusuna (Origin) ileten sunucusuz kod parçası.
- Origin Server: Bulutun arkasında gizlenen ve asıl komutları barındıran saldırgan sunucusu.

Bu kavramlar, sunucusuz mimarilerin işleyişinin daha iyi anlaşılması açısından kritik öneme sahiptir. Özellikle, C2 trafiğinin belirli HTTP başlıkları aracılığıyla iletilmesi gibi detaylarda, saldırganların kullandığı yöntemleri anlamak için oldukça önemlidir. Bu noktada, HTTP başlıkları içerisindeki anormallikler ve ip havuzları üzerinden yapılan tespit çalışmaları, bulut tabanlı C2 güzergahlarını incelemekte kullanılabilecek başlıca araçlardandır.

Sonuç olarak, bulut tabanlı C2 mimarileri, çok katmanlı bir yaklaşım gerektiren siber güvenlik tehditleri arasına girmektedir. Bu yazı, okuyuculara bu karmaşık yapıyı anlama ve olası tehditlere hazırlıklı olma konusunda derinlemesine bilgi sunmayı hedeflemektedir.

Teknik Analiz ve Uygulama

Serverless C2 Tanımı

Bulut tabanlı ve serverless mimariler, siber güvenlik dünyasında özellikle son yıllarda saldırganlar tarafından daha fazla tercih edilmeye başlanmıştır. Serverless C2, saldırganların, kendi sunucuları yerine AWS Lambda veya Azure Functions gibi sunucusuz mimarileri kullanarak komut ve kontrol (C2) trafiğini meşru bulut altyapısı arkasında gizlemeleri anlamına gelir. Bu mimarilerde, zararlı kod, sürekli çalışan bir sunucu yerine yalnızca bir istek geldiğinde tetiklenen ve işi tamamlandığında kapanan fonksiyonlar içerisinde barındırılır. Bu yaklaşımın temel avantajı, geleneksel IP tabanlı engelleme mekanizmalarını etkisiz hale getirmesidir.

FaaS (Function as a Service) Rolü

Function as a Service (FaaS), sunucusuz mimarilerin temel bileşenlerinden biridir. FaaS ile geliştiriciler, hiç sunucu yönetimi yapmadan uygulama fonksiyonlarını çalıştırabilirler. Bu, saldırganların kötü amaçlı fonksiyonları daha kolay bir şekilde uygulamalarına zemin hazırlar. Her istek için farklı bir IP adresi veya konteyner kullanılması, geleneksel güvenlik önlemlerinin etkisini azaltarak zararlı aktivitelerin tespitini zorlaştırır.

API Gateway Rolü

Serverless mimarilerde, saldırganlar dış dünyaya açtıkları fonksiyonlar için meşru bir API Gateway kullanırlar. API Gateway, örneğin 'execute-api.us-east-1.amazonaws.com' gibi güvenilir alan adları üzerinden trafik akışını sağlar. Bu durum, saldırganların C2 trafiğini gizlemelerine yardımcı olur.

İletişim Akışı ve Roller

Bulut tabanlı C2 yapılarında iletişim akışı, genellikle şu bileşenlerden oluşur:

  1. Cloud Endpoint: Kurbanın doğrudan bağlantı kurduğu meşru bulut URL'sidir.
  2. Function Backend: Gelen isteği işleyen veya asıl C2 sunucusuna ileten sunucusuz kod parçasıdır.
  3. Origin Server: Bulutun arkasında gizlenen ve gerçek komutları barındıran saldırgan sunucusudur.

Bu bileşenlerin tespiti, analiz için kritik öneme sahiptir. Örneğin, Tshark gibi araçlar kullanılarak belirli bulut sağlayıcılarının endpointlerine giden trafik izlenebilir.

Tespit Zorlukları: IP Havuzları

Serverless C2 trafiği, kullandığı IP havuzları ve TLS şifreleme ile geleneksel algılama yöntemlerini tehdit eder. Bu nedenle, bulut tabanlı bir C2 yapısındaki trafik akış bileşenlerini tanımlamak zorlaşır. TCP/IP adres havuzlarının ortak kullanımı, kötü niyetli aktivitelerin gizlenmesini daha da kolaylaştırır.

Ağ İzi: HTTP Header Anomalileri

Saldırganların kullandığı sunucu fonksiyonları, bazen bulut sağlayıcısına özgü belirli HTTP başlıkları içerir. Örn: X-Amzn-Trace-Id veya X-Azure-Function-Host. Bu başlıklar, tehdit analistlerinin trafiği tanımlamalarına olanak tanır.

Tshark ile Bulut Trafiği Filtreleme

Saldırı tespitinde kullanılan bir diğer araç ise Tshark'tır. Bulut tabanlı C2 aktivitelerinin daha iyi izlenmesi için aşağıdaki gibi filtre komutları kullanılabilir:

tshark -Y http.host matches "amazonaws|azurewebsites|cloudfunctions"

Bu komut, AWS, Azure veya Google Cloud Functions gibi popüler bulut sağlayıcılarının endpointlerine yönlendirilen HTTP trafiğini filtrelemek için kullanılabilir.

SOC L2 Pratiği: Davranış Analizi

Bir güvenlik olayları merkezi (SOC) analisti, bulut tabanlı C2 aktivitelerini incelemek için davranış analizi yöntemini kullanabilir. Zararlı bir bulut fonksiyonu tespit edildiğinde, analist bulut URL yapısındaki anormal parametreleri ve istek sıklığını korele etmeli ve bunları belirli API yollarına göre analiz etmelidir. Bu süreç, hem mevcut tehditleri hızlı bir şekilde belirlemek hem de gelecekteki saldırı senaryolarını öngörmek açısından kritik öneme sahiptir.

Operasyonel Müdahale (IR)

Zararlı bir bulut fonksiyonu tespit edildiğinde, işletmelere önerilen işlem adımları önem taşımaktadır. İlk olarak, bulut provider'a (sağlayıcıya) bildirim yapılmalı ve potansiyel zafiyetler rapor edilmelidir. Ardından, ağ trafiği gözlemlenerek elde edilen verilerle bir durum tespiti yapılmalı ve gerekirse ilgili fonksiyonlar devre dışı bırakılmalıdır. Bu tür bir yanıt, genellikle olay müdahale (IR) ekibi tarafından yürütülmektedir.

Risk, Yorumlama ve Savunma

Bulut tabanlı C2 ve serverless mimariler, modern siber tehditlerin önemli bir parçasını oluşturmakta. Saldırganlar, bulut hizmetlerinin sunduğu ölçeklenebilirlik ve geçici yapılandırmalardan yararlanarak, zararlı aktivitelerini gizleyebilmektedirler. Bu bölümde, elde edilen bulguların güvenlik anlamı, yanlış yapılandırmalar ve zafiyetlerin etkileri, sızan veriler ve önerilen savunma önlemleri üzerinde durulacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

Serverless mimariler, saldırganların kendi sunucularını kullanmak yerine AWS Lambda ya da Azure Functions gibi hizmetleri tercih etmesine imkan tanır. Bu durumda, zararlı kod, yalnızca kullanıcılardan gelen isteklere yanıt veren ve işini tamamladığında kapanan işlevler içinde barındırılmaktadır. Bu durum, algılanmadan çalışabilmenin en büyük avantajlarından biridir. Saldırganlar, bu yapıyı kendi C2 (Command and Control) trafiğini meşru bulut altyapıları üzerinden yönlendirmek için kullanabilirler.

Yanlış Yapılandırma ve Zafiyetlerin Etkisi

Yanlış yapılandırmalar, bulut tabanlı hizmetlerin güvenliğini ciddi şekilde tehdit edebilir. Örneğin, bir API Gateway üzerinde izinlerin yanlış ayarlanması sonucunda, zararlı işlevler dış dünyaya açılabilir. Bu tip bir yapılandırma hatası, saldırganların kuruluşa ait veritabanları, kullanıcı kimlik bilgileri veya diğer hassas bilgilere erişim sağlamasına neden olabilir.

Ayrıca, serverless mimarilerin sağladığı esneklik, IP tabanlı engelleme mekanizmalarını etkisiz hale getirir. Her istekte farklı bir IP adresi veya konteyner kullanılarak bağlantı yapıldığından, geleneksel güvenlik önlemleriyle bu trafiği tespit etmek son derece güçleşmektedir.

- API Gateway kullanımında yanlış izin ayarları
- Bulut fonksiyonunu kötüye kullanarak hassas verilere erişim
- IP değişimi nedeniyle geleneksel güvenlik önlemleriyle tespit zorluğu

Sızan Veri, Topoloji ve Servis Tespiti

Sızan verilerin türü, saldırının ciddiyetini belirleyen en önemli faktörlerden biridir. Özellikle hassas bilgilerin sızması, kullanıcıların kimlik bilgilerinin, finansal verilerin ve kurumsal sırların tehlikeye girmesine yol açabilir. Saldırganlar genellikle, bulut tabanlı C2 yapıları aracılığıyla veri akışını gözlemleyerek, hedefin ağ topolojisini haritalandırırlar. Elde edilen veriler, daha sonraki aşamalarda gerçekleştirilecek saldırılar için kullanılabilir.

Servis tespiti, genellikle HTTP başlıklarındaki anormallikler aracılığıyla gerçekleştirilir. Örneğin, bulut sağlayıcıları tarafından oluşturulan ‘X-Amzn-Trace-Id’ veya ‘X-Azure-Function-Host’ gibi özel başlıklar, potansiyel bir tehlikenin habercisi olabilir.

- Sızan veri türleri: Kullanıcı kimlik bilgileri, finansal veriler
- Ağ topolojisinin haritalandırılması
- Anormal HTTP başlıklarının analizi

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlikte etkili bir savunma stratejisi oluşturmak için aşağıdaki önlemler alınmalıdır:

  1. Erişim Kontrolleri: API Gateway üzerinde yapılan izin ayarlarının düzenli olarak gözden geçirilmesi ve sadece gerekli erişimlerin verilmesi.
  2. Log Analizi: Bulut tabanlı uygulamalardan gelen günlüklerin düzenli bir şekilde analiz edilmesi ve anormal aktivitelerin tespiti.
  3. Fonksiyonları Sınırlandırma: Serverless fonksiyonlarının, yalnızca belirli görevleri yerine getirmesi sağlanmalı ve gereksiz geniş izinlerden kaçınılmalıdır.
  4. Sürekli Güncelleme: Kullanılan bulut sağlayıcılarının güvenlik yamaları ve güncellemelerinin düzenli olarak takip edilmesi.
# Tshark ile bulut trafiğini filtrelemek için kullanılabilecek bir komut örneği
tshark -Y http.host matches "amazonaws|azurewebsites|cloudfunctions"

Sonuç

Bulut tabanlı C2 ve serverless mimariler, siber saldırganlar için cazip bir alan oluşturmakta, ancak bu yapıların güvenliği tehdit edici boyutlara ulaşabilmektedir. Yanlış yapılandırmalar ve zafiyetler, ciddi verilere ve sistem yapılarına zarar verebilir. Bu nedenle, sürekli bir risk değerlendirmesi ve güvenlik önlemleri almak, etkin bir savunma mekanizması için kritik öneme sahiptir. Savunma stratejilerinin etkili bir şekilde uygulanması, bu tehditlerin önlenmesine ve güvenlik seviyesinin artırılmasına yardımcı olacaktır.