CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Gorunurluk Network

C2 Beaconing Tespiti: Ağ Güvenlik Analizinde Önemi

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Gorunurluk Network

C2 Beaconing tespiti, siber güvenlikte önemli bir analiz sürecidir. Bu yazıda, beaconing sinyallerinin tespitinin yollarını keşfedeceksiniz.

C2 Beaconing Tespiti: Ağ Güvenlik Analizinde Önemi

C2 Beaconing tespiti, ağ güvenliğini artırmak için kritik bir süreçtir. Bu yazı, beaconing sinyallerinin nasıl tespit edileceği üzerine kapsamlı bilgiler sunmaktadır. Öğrenin!

Giriş ve Konumlandırma

C2 Beaconing ve Ağ Güvenlik Analizinde Önemi

Siber güvenlik alanındaki tehditler, gün geçtikçe daha karmaşık hale gelmekte ve bağlamları doğru bir şekilde anlamak, bu tehditlerle başa çıkmanın anahtarı konumundadır. Bu noktada, C2 (Command and Control) Beaconing terimi, kötü niyetli yazılımların saldırganlar tarafından kontrol edilen sunucularla iletişim kurma şeklini tanımlamakta kritik bir rol oynamaktadır. C2 Beaconing, siber saldırıların bir parçası olarak, zararlı yazılımların kendilerini gizleyerek ağda kalma çabalarının temel bir unsuru olarak öne çıkıyor.

Neden C2 Beaconing Önemlidir?

C2 Beaconing, bir zararlı yazılımın, saldırganla iletişim kurmak için sürekli olarak (genellikle belirli aralıklarla) veri gönderdiği bir mekanizmadır. Bu iletişim, saldırganların cihazı kontrol etmesini ve zararlı faaliyetleri sürdürmesini sağlar. Bu noktada, ağ güvenlik analistleri için belirli bir öneme sahiptir:

  1. Zamanlama ve Desen Analizi: Beaconing etkinlikleri, ağ trafiğinde belirli bir düzen veya süreklilik yaratır. Bu durum, analistlerin alışılmadık davranışları ve olağan dışı trafiği tespit etmesine yardımcı olabilir.

  2. Geçmişteki Olayların Tespiti: C2 Beaconing sinyalleri, belirli IP adreslerine veya domainlere yönlendirilmiş çok sayıda küçük veri paketi olarak incelenebilir. Bu tür aktiviteler, genellikle uzaktan sunuculara emir almak veya güncellemeler almak için yapılır.

  3. Yerel Ağ Tehditleri: Beaconing yalnızca dışarıya açık bir trafik türü değildir; iç ağdaki sunucular arasında da gerçekleşebilir. Bu durum, bir saldırganın iç ağa sızarak veri çalma veya diğer kötü niyetli faaliyetlerde bulunma girişimlerini işaret edebilir.

Ağ Güvenliği ve Pentesting Bağlamında C2 Beaconing

Pentest (penetrasyon testi) süreçleri sırasında, ağ güvenlik uzmanları C2 Beaconing aktivitelerini tespit etmeye yönelik teknikler geliştirmelidir. Bu, hem savunma hem de saldırı açısından kritik bir unsur olarak karşımıza çıkmaktadır. Tespit edilemeyen veya yanlış analiz edilen Beaconing aktivitesi, saldırganların ağa daha fazla sızmasına ve zararlı etkilerini yaymalarına olanak tanır.

Örneğin, bir ağda "heartbeat" (kalp atışı) adını verdiğimiz belirli aralıklarla gönderilen minimum veri paketleri tespit edilebilir. Bu tür paketler, zararlı yazılımın aktif olduğunu bildirmek için kullanılabilir. Bu yüzden, zaman damgalarının (timestamps) analizi ve sinyaller arasındaki istatistiksel ilişki, C2 Beaconing'in daha etkili bir şekilde tespit edilmesine yardımcı olabilir. Aşağıdaki örnek kod, beaconing tespitine yönelik temel bir analitik yaklaşım gösterir:

import pandas as pd

def analyze_beaconing(data):
    # Zaman damgalarını analiz et
    time_intervals = data['timestamp'].diff().dt.total_seconds()
    
    # Ortalama ve standart sapma hesapla
    average_interval = time_intervals.mean()
    std_dev = time_intervals.std()

    # Anormal durumları tespit et
    anomalies = time_intervals[(time_intervals < average_interval - 2 * std_dev) |
                               (time_intervals > average_interval + 2 * std_dev)]
    
    return anomalies

# Verilerinizi okuyun 
data = pd.read_csv('network_traffic.csv', parse_dates=['timestamp'])
beaconing_anomalies = analyze_beaconing(data)

Yukarıdaki analiz, belirli bir zaman aralığında gönderilen paketlerin düzenini inceleyerek olağandışı durumları tespit etmeye yöneliktir. Bu tarz bir analiz, ağ üzerindeki olası C2 Beaconing aktivitelerini gün yüzüne çıkarabilir.

Sonuç

C2 Beaconing tespiti, ağ güvenliği analizi ve siber tehdit istihbaratında yaşamsal öneme sahiptir. Saldırganların iletişim yöntemlerini doğru bir şekilde analiz etmek, güvenlik uzmanlarının ağlarını koruma yollarını güçlendirecektir. Hem güncel tehditlerin tespiti hem de geçmişteki saldırıların incelenmesi açısından, C2 Beaconing analizi kritik bir bileşen olarak dikkat çekmektedir. Bu bağlamda, ağ güvenlik uzmanları ve pentest ekipleri için bu tür analitik yaklaşımlar, daha sağlam bir savunma stratejisi geliştirmede fayda sağlayacaktır.

Teknik Analiz ve Uygulama

C2 (Command and Control) iletişimi, zararlı yazılımlar tarafından kullanılan önemli bir iletişim kanalını temsil eder. Bu iletişim genellikle, zararlı yazılım bulaşmış bir cihazın saldırganın kontrolündeki uzak sunucularla emir alması için kurduğu bağlantıyı içerir. C2 beaconing, bu bağlamda, saldırganın sistemin "hayatta" olduğunu ve komutlar beklediğini iletmek üzere gönderdiği sinyalleri ifade eder. Ağ güvenliği analizinin bir parçası olarak beaconing tespiti, zararlı aktiviteleri zamanında tanımlama ve önleme açısından kritik öneme sahiptir.

Ağın Kalp Atışı

Ağ üzerinde beaconing tespiti yapabilmek için öncelikle ağ trafiğini dikkatli bir şekilde incelemek gerekir. Beaconing sinyalleri, genellikle belirli aralıklarla tekrarlanan ve küçük boyutlu veri paketlerinden oluşur. Bu akışlar, çoğunlukla belirli bir 5-Tuple (protokol, kaynak IP, hedef IP, kaynak port, hedef port) ile sınırlı kalır ve uzun süre devam eden bir yapıdadır. Aşağıda, ağdaki belirli akışları tespit etmek için kullanılabilecek bir komut örneği verilmiştir:

# NetFlow verilerini analiz etme
nfdump -r yourfile.nfc -s srcip,srcport,packets,bytes > beaconing_flows.txt

Bu komut, belirli IP ve port üzerinden yönlendirilmiş veri akışlarını listeleyerek potansiyel beaconing aktivitelerini tespit etme konusunda yardımcı olabilir.

Sinsilik Parametreleri

Saldırganlar, beaconing sinyallerinin algılanmaması için çeşitli teknik parametreler kullanarak bu sinyalleri gönderir. Örneğin, bir beacon her 60 saniyede bir tekrar gönderildiğinde, bir SIEM (Security Information and Event Management) alarmı bu durumu kolayca yakalayabilir. Bu nedenle, saldırganlar süreye %10-%20 oranında rastgelelik eklerler. Bu konuda kullanılan teknik terim "jitter" olarak bilinir. Jitter, sinyal gönderim aralığında zaman sapması oluştururken, tespit edilme olasılığını azaltır.

Matematiksel Takip

Modern analiz araçları, sadece "kaç paket" gönderildiğine değil, aynı zamanda bu paketlerin "zaman damgaları" (timestamp) arasındaki matematiksel ilişkiye de dikkat ederler. Eğer bir ağ analiz aracı zaman aralıklarını istatistiksel olarak incelerse, jitter eklenmiş olsa bile, belirli bir düzen veya örüntü ortaya çıkar. Bu noktada, dikkat edilmesi gereken bir dizi metrik belirlenmelidir. Örneğin, giden trafik içinde aşırı tutarlı ve periyodik bir davranış gözlemleniyorsa, bu durum potansiyel bir C2 aktivitesinin göstergesi olabilir.

-- SQL kullanarak giden trafik analizi
SELECT src_ip, COUNT(*) as packet_count, AVG(timestamp) as avg_time_between_packets
FROM traffic_flow
WHERE direction = 'outbound'
GROUP BY src_ip
HAVING packet_count > threshold and avg_time_between_packets <= acceptable_time
ORDER BY packet_count DESC;

Bu SQL sorgusu, belirli bir IP üzerinden gönderilen outbound trafiği inceleyerek olası beaconing aktivitelerini tespit etmeye yardımcı olur.

İçerideki Fısıltılar

Unutulmaması gereken bir diğer nokta, beaconing'in yalnızca uzak sunuculara gönderilen trafikle sınırlı olmadığıdır. Bazen iç ağdaki sunucular arasında da beaconing gerçekleşebilir. Bu tür durumlar genellikle saldırganların içeride yanal olarak yayıldıklarını gösterir. Bu nedenle, iç ağdaki trafiği de izlemek ve analiz etmek kritik öneme sahiptir.

Sonuç

Beaconing analizi, ağda doğal olmayan rutinleri bulma sanatıdır. Zararlı yazılımlar bazen uzun süre devam eden ancak oldukça küçük veri taşıyan akışlarla kendilerini gizlemeye çalışabilirler. Bu tür aktiviteleri tanımlamak için zaman damgaları ve akış verileri üzerinde gerçekleştirilecek matematiksel analizler hayati bir rol oynar. Gelişmiş ağ güvenliği stratejileri, tüm bu yürütmeleri göz önünde bulundurarak ağ üzerindeki güvenlik açıklarını tespit etmek ve gidermek için tasarlanmalıdır.

Risk, Yorumlama ve Savunma

Bu bölüm üretilemedi.