CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Siber Güvenlikte Popüler C2 Frameworkleri ve Ağ İmzaları

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Bu yazıda Cobalt Strike, Sliver ve Empire gibi popüler C2 frameworklerini ve ağ imzalarını inceleyeceğiz.

Siber Güvenlikte Popüler C2 Frameworkleri ve Ağ İmzaları

C2 frameworkleri, sızma testi süreçlerinde kritik rol oynar. Cobalt Strike, Sliver ve Empire gibi araçların detaylarına ve ağ imzalarına odaklanarak, bu frameworklerin kullanımını ve tespit yöntemlerini ele alıyoruz.

Giriş ve Konumlandırma

Siber güvenlik alanında, "Command and Control" (C2) frameworkleri, saldırganların hedef sistemlerdeki post-exploitation (sızma sonrası) faaliyetlerini yönetmek için kullandıkları kritik araçlardır. Bu frameworkler, zararlı yazılımlar aracılığıyla saldırganların, uzaktan sistemlerine komut göndermesine, veri zıtlama sırasında bağlantı kurmadan sızdırılmasına ve hedef sistemler üzerinde tam kontrol sağlamasına olanak tanır. C2 frameworkleri, değişen tehdit ortamlarına yanıt olarak sürekli evrim geçirirken, ağ imzaları bu frameworklerin tespit edilmesinde anahtar bir rol oynamaktadır.

C2 frameworklerinin önemli avantajlarının yanı sıra, siber güvenlik profesyonellerinin saldırılara karşı koyabilmesi ve güvenlik önlemlerini artırabilmesi için bu araçların yeterince iyi anlaşılması gerekmektedir. Aynı zamanda, bu frameworklerin teknik özellikleri, kullanım senaryoları ve güvenlik açıkları, yalnızca siber güvenlik uzmanlarının değil, aynı zamanda sistem yöneticileri ve ağ analistleri gibi farklı kullanıcı gruplarının da dikkate alması gereken unsurlardır.

C2 Frameworklerinin Önemi

C2 frameworkleri, siber saldırıların etkili bir şekilde yönetilmesinde büyük bir rol oynar. Günümüzde en yaygın kullanılan frameworklerin başında Cobalt Strike, Sliver ve Empire gelmektedir. Bu araçlar, zayıf bir ağ yapısının tespit edilmesi ve bu zayıflıklardan yararlanılması açısından saldırganlara çeşitli fırsatlar sunar.

Cobalt Strike, sektördeki en yaygın ticari C2 platformlarından biri olup, gelişmiş özellikleri ve "Malleable C2 Profilleri" sayesinde, saldırganların bağlantı trafiğini meşru trafiğe benzetmesine olanak tanır. Bu tür profiller, saldırganların tespit edilmeden uzun süre operasyon gerçekleştirmesini sağlar. Bunun yaninda, Sliver ise mutual TLS (mTLS) kullanarak, iletişimi güvenli hale getirir. Bu, ister istemez ağ denetim araçları için bir zorluk oluşturur ve saldırganların izini sürmeyi daha zorlaştırır.

Siber Güvenlik, Pentest ve Savunma Bağlamında

Siber güvenlik uzmanları ve penetration tester'lar (pentester) için C2 frameworklerinin idaresi, saldırı senaryolarının oluşturulması ve bu senaryoların analiz edilmesi açısından kritik öneme sahiptir. Özellikle bilgi güvenliği alanında yetkinlik kazanan bireyler, bu tür frameworklerin özelliklerini ve ağ imzalarını iyi bilmelidir. Örneğin, bir pentest senaryosunda, C2 frameworklerini etkili bir şekilde kullanarak hedef ağdaki zayıflıkların nasıl istismar edileceğine dair fikirler geliştirilir.

Saldırganların kullandığı teknikler ve yöntemler, organizasyonların aynı yöntemlerle savunma stratejileri geliştirmesini de sağlamakta. C2 frameworklerinin ağdaki izleri, doğru şekilde analiz edildiğinde, bir saldırganın kimliğini ve hareketlerini tespit etmede önemli ipuçları sunabilir. Bu bağlamda, saldırganların benimsediği varsayılan ayarlar ve imzalar, güvenlik uzmanları tarafından mutlaka incelenmelidir.

Teknik İçeriğe Hazırlık

C2 frameworkleri ve ilgili ağ imzaları, siber güvenlik çalışmaları için karmaşık bir konudur. Okuyucular, aşağıdaki bölümlerde farklı frameworklerin incelenmesi, karşılaştırmalar ve örnek tespit akışlarının sunulmasıyla, bu konudaki bilgilerini genişletebilirler. Bunun yanında, Tshark gibi ağ analiz araçları kullanılarak şüpheli durumların tespiti ve bu durumlar üzerinden nasıl bir güvenlik stratejisi geliştirilmesi gerektiği de anlatılacaktır. Teknik detayların yanı sıra, okuyucuların teorik bilgilerini pratik örneklerle pekiştirmesi sağlanacaktır.

Bu içerik, siber güvenlik alanında bilgi birikimini genişletmek isteyenler için bir kaynak olmayı hedeflemektedir. Etkili bir şekilde karşılaştırılan C2 frameworklerinin özellikleri, ağ imzalarıyla birleştirildiğinde, profesyonel bir bilgi güvenliği perspektifi sunmakta ve okuyucuların kendi güvenlik stratejilerini geliştirmelerine yardımcı olmaktadır.

Teknik Analiz ve Uygulama

C2 Framework Tanımı

Siber güvenlik alanında, bir C2 (Command and Control) frameworkü, saldırganların sızma sonrası operasyonları yönetmek, komut göndermek ve veri sızdırmak için kullandıkları profesyonel ve modüler yazılım paketleridir. Bu frameworkler, saldırı vektörlerini ve sızma senaryolarını kolayca yönetebilme imkanı sunarak, saldırganların işini büyük ölçüde kolaylaştırır.

Cobalt Strike ve Beacon

Sektörde en yaygın kullanılan C2 platformlarından biri olan Cobalt Strike, teorik olarak, saldırganların kurban makinelerdeki ajanları (bu ajanlara "beacon" adı verilmektedir) yönetmesine olanak tanır. Cobalt Strike, özelleştirilebilir ve çok sayıda entegrasyon sunan bir platformdur. Beacon, kurban sistemlerle iletişim kurabilmek için genellikle belirli bir zaman diliminde "ping" atarak sunucuya geri dönüş yapar.

Beacon İletişim Süreci

Beacon’ın çalışma mantığı, kurban sistem üzerindeki ajan ile C2 sunucusu arasındaki iletişimdeki sıradan trafiği taklit etmek üzerine inşa edilmiştir. Bu durum, saldırganların izlenmeyi zorlaştırmasını sağlar. Beacon’ın normal bir istek hayal ederek oluşturduğu trafik, tespit edilmesini zorlaştırmak için farklı şekillerde değiştirilebilir.

Malleable C2 Profilleri

Cobalt Strike, trafiğin görünümünü tamamen değiştirebilen "Malleable C2 profilleri" adı verilen özelleştirilebilir yapılandırma dosyalarına sahiptir. Bu profiller sayesinde, Cobalt Strike trafiği meşru servislere (örneğin; Amazon, Gmail, Pandora) benzeyebilir. Bu, ağ güvenliği çözümlerinin frameworkü tanımlamasını zorlaştırır.

Kod örneği:

# Malleable C2 profili örneği
http-get:
  uri: "/custom_path"
  method: "GET"
  headers:
    User-Agent: "Mozilla/5.0 (Windows NT 10.0; Win64; x64)"

Bu yapılandırma ile, Cobalt Strike'ın şüpheli trafiği daha az dikkat çekici hale getirilebilir. Özel header bilgileri, izleyici sistemleri yanıltmak için kullanılabilir.

Framework Karşılaştırması

Farklı C2 frameworkleri arasında karşılaştırma yapıldığında, her birinin kendine özgü güçlü ve zayıf yönleri olduğu görülmektedir. Örneğin:

  • Cobalt Strike: Yaygın kullanımı ile bilinir; Malleable C2 profilleri ve "in-memory" teknikleri ile dikkat çeker.
  • Sliver: Go dili ile yazılmış açık kaynaklı bir araçtır ve mutual TLS (mTLS) gibi güvenlik özellikleri sunar. Bu, ajan ve sunucu arasındaki iletişimin iki tarafının sertifikalarını doğrulamasını gerektirir.
  • Empire: PowerShell ve Python tabanlı olan bu framework, Windows sistemlerinde yanal hareket için çok sayıda modüle sahiptir.

Sliver: mTLS Güvenliği

Sliver frameworkü, C2 iletişimini daha güvenli hale getiren mTLS (mutual TLS) yöntemini kullanarak, ağ denetim araçlarını zorlar. Bu sayede, hem ajan hem de sunucu arasında sertifika doğrulaması yapılarak güvenli bir iletişim sağlanır. Bu özellik, Sliver’ı ağ güvenliği sistemleri tarafından tespit edilmesini zorlaştıran modern bir araç haline getirir.

Sliver ile İletişim Testi

Sliver kullanarak iletişimi test etmek için kullanılan temel komut, bağlantı noktası taraması gibi işlemler içerebilir. 

# Sliver ile test iletişimi kurulumu
sliver > create agent --name test-agent --platform windows

Bu komut, yeni bir ajan oluşturacak ve test amaçlı olarak konfigüre edecektir.

Ağ İzi: Varsayılan Ayarlar

Saldırganların çoğu zaman frameworklerin varsayılan ayarlarını değiştirmediği gözlemlenmiştir. Bu durum, güvenlik analistlerinin bu imzaları tespit etmesine yardımcı olur. Dolayısıyla, belirli bir frameworkün varsayılan ayarlarını bilmek, ağ analizi yaparken kritik bir noktadır. Örneğin:

  • Cobalt Strike (Default): TCP/50050 portu üzerinden yönetim paneli iletişimi.
  • Sliver (Default): DNS beaconing sırasında kullanılan rastgele görünümlü uzun subdomain yapıları.
  • Empire (Default): HTTP trafiğinde kullanılan User-Agent dizini.

Tshark ile Malleable C2 Analizi

Ağ güvenliği analistleri, Tshark gibi araçları kullanarak HTTP trafiğindeki şüpheli URI ve User-Agent kombinasyonlarını listeleyebilir. Aşağıdaki komut, bu tür verileri analiz etmede etkili olabilir:

tshark -Y http.request -T fields -e http.request.uri -e http.user_agent

Bu komut ile ağ trafiği üzerinde yer alan tüm HTTP istekleri analiz edilerek şüpheli durumlar izlenebilir.

Framework Tespit Akışı

Bir ağ analistinin şüpheli bir framework'ü tespit etme süreci genellikle şu aşamalardan oluşur:

  1. Normal ağ trafiğinin analizi
  2. Şüpheli trafiğin kayıt altına alınması
  3. Tespit edilen imzaların incelemesi
  4. Varsayılan ayarların kontrolü

Her bir adım, daha etkili bir siber güvenlik tepkisi oluşturmak için kritik öneme sahiptir. Modern C2 frameworkleri ile karşı karşıya kalındığında, yalnızca imzaların tespitine değil, aynı zamanda davranışsal profillerin ve istatistiklerin izlenmesine de odaklanmak gerekmektedir.

Olay Müdahale (IR) Kararı

Gelişmiş bir C2 framework'ü tespit edildiğinde izlenecek yol, özellikle olay müdahale süreçlerinde büyük önem taşır. İlk aşamalar, tehlikenin izolasyonu ve etkilenen ağı temizlemek üzerine odaklanmalıdır. Bellek forenzik analizleri ile riski minimize etme yöntemleri hayata geçirilebilir. Saldırganların altyapısını etkisiz hale getirmek, güvenlik analistlerinin ana hedeflerinden biridir.

Sonuç olarak, modern siber güvenlik operasyonlarında C2 frameworklerinin tespiti ve analizi, karmaşık gereksinimlerle dolu bir alandır. Güncel araçların ve yöntemlerin bilinmesi, analistlerin bu tehditlerle etkili bir şekilde başa çıkmalarına yardımcı olmaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Siber güvenlikte risklerin değerlendirilmesi, organizasyonların güvenlik stratejilerini belirlemeleri açısından kritik bir adımdır. Bu bölümde, popüler C2 (Command and Control) frameworklerin kullanıma bağlı olarak ortaya çıkan riskleri, bunların yorumlanmasını ve olası savunma yöntemlerini ele alacağız.

C2 Frameworklerinin Riskleri

C2 frameworkleri, saldırganların hedef sistemlere sızdıktan sonra yürüttüğü faaliyetleri yönetmek için kullandıkları yazılımlardır. Özellikle Cobalt Strike, Sliver ve Empire gibi araçlar, suistimalleri yönetmek, veri aktarmak ve hedef sistemlere zarar vermek için kullanılan en yaygın araçlar arasında yer almaktadır. Bu araçların yanlış yapılandırılması veya zafiyetler, ciddi güvenlik açıklarına yol açabilir.

Özellikle aşağıdaki durumlar risk oluşturur:

  1. Yanlış Yapılandırma: C2 frameworkleri yapılandırılmadığı takdirde, varsayılan ayarların bırakılması, saldırganların sistemlere kolayca erişim sağlamasına neden olabilir. Örneğin, Cobalt Strike varsayılan olarak TCP/50050 portu üzerinden iletişim kurar. Eğer bu port açık bırakılırsa, kötü niyetli kullanıcılar bu noktadan hedef sisteme sızabilir.

  2. Zafiyetler: Frameworklerin içerdikleri zafiyetler üzerinden gerçekleştirilen saldırılar, organizasyonları tehlikeye atabilir. Örneğin, Sliver’ın ‘mTLS’ özelliği, fiziksel ve mantıksal ağlar arasındaki iletişimi güvenli hale getirmektedir. Ancak, eğer bu güvenlikle ilgili bir zafiyet söz konusuysa, iletişim saldırganlar tarafından dinlenebilir.

  3. Sızan Veriler: Ağda kullanılan C2 frameworklerinin izlenmesi, meydana gelen veri sızıntılarını ve anormal davranışları tespit etme olanağı sunar. Saldırganlar, ağ üzerinde belirli verileri ulaştırarak hedef sistemle orantılı kalmadıkları sürece tespit edilmeleri zorlaşır.

Ağ İmza Tespiti

Ağ imzaları, belirli bir C2 frameworkünün iletişim trafiğini tanımlamak için kullanılan şablonlardır. Bunun sayesinde, güvenlik analistleri, anormal iletişim aktivitelerini kolayca tespit edebilirler. Örneğin, Tshark kullanarak şüpheli URI ve User-Agent kombinasyonlarını listelemek mümkündür:

tshark -Y http.request -T fields -e http.request.uri -e http.user_agent

Bu tür bir analiz, ağ üzerine yerleştirilmiş olan C2 frameworklerini tespit etmeye yardımcı olur. Ayrıca, özellikle varsayılan port ve yapılandırmaların bırakılması durumunda, bu imzalar saldırganlar tarafından kötüye kullanılabilir hale gelir.

Savunma Stratejileri

C2 frameworklerine karşı etkili bir savunma oluşturmak için, organizasyonların aşağıdaki önlemleri almaları önerilir:

  1. Güçlü Konfigürasyon Yönetimi: C2 frameworklerinin doğru bir şekilde yapılandırıldığından emin olunmalıdır. Varsayılan ayarların değiştirilmesi, sistemin güvenliği açısından kritik öneme sahiptir.

  2. Ağ Monitörleme: Ağ trafiğinin sürekli olarak izlenmesi, anormal davranışların tespit edilmesine ve müdahale edilmesine olanak tanır. Ağ izleme araçları, C2 imzalarına karşı sürekli bir kontrol mekanizması sağlayabilir.

  3. Düzenli Testler ve Güncellemeler: Sistemler üzerinde düzenli güvenlik testleri yapmak ve güncellemeleri takip etmek, saldırılara karşı direnci artırır. Özellikle tanınan C2 frameworklerinin bilinen zafiyetleri hakkında bilgi sahibi olmak önemlidir.

  4. Olay Müdahale Planı: Bir C2 frameworkünün tespit edilmesi durumunda, etkili bir olay müdahale planı oluşturulmalıdır. Bu, saldırganların ağdan çıkarılmasını ve sürecin hızla toparlanmasını sağlar.

Sonuç

C2 frameworkleri, siber saldırganların etkinliklerini yönetmelerine olanak tanırken, yanlış yapılandırmalar ve zafiyetler ciddi riskler doğurabilir. Bu frameworklere karşı proaktif bir savunma stratejisi geliştirmek, organizasyonların güvenliğini artıracak ve olası ihlallere karşı hazırlıklı olmalarını sağlayacaktır. Sürekli izleme, konfigürasyon yönetimi ve güncellemeler ile risklerin etkilerini minimize etmek mümkündür. Gelişmiş tehditlere karşı duyarlı olmak, siber güvenlik alanında sadece bir gereklilik değil, aynı zamanda bir zorunluluktur.