CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

DGA Trafiği: Tespiti ve Engellenmesi için Etkili Yöntemler

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

DGA trafiğinin tespiti ve engellenmesi için stratejiler ve teknikler. Siber güvenlikte önemli adımlar.

DGA Trafiği: Tespiti ve Engellenmesi için Etkili Yöntemler

Domain Generation Algorithm (DGA) trafiği siber saldırılara zemin hazırlayabilir. Bu yazıda DGA'ların tespiti, etkileri ve nasıl engellenebileceği üzerine bilgiler bulacaksınız.

Giriş ve Konumlandırma

DGA Trafiği: Tespiti ve Engellenmesi için Etkili Yöntemler

Siber güvenlik dünyasında, kötü niyetli yazılımların (malware) evrim geçirmesi ve sürekli olarak yeni teknikler geliştirmesi, tehdit avcılarının etkinliğini zorlaştırmaktadır. Domain Generation Algorithm (DGA) olarak bilinen algoritmalar, bu tehditlerden biri olarak dikkat çekmektedir. DGA, belirli bir algoritma kullanarak, zararlı yazılımların sürekli olarak rastgele alan adları üretmesini sağlayarak, güvenlik önlemlerini aşmayı hedefler. Bu sayede zararlı yazılımlar, güvenlik duvarları ve diğer savunma mekanizmalarından kaçınır.

DGA'nın Önemi ve Siber Güvenlik Bağlamı

DGA'nın neden bu kadar önemli olduğunu anlamak, siber güvenlik alanında etkili mücadele yöntemleri geliştirmek için kritik bir adımdır. DGA kullanan zararlı yazılımlar, genellikle bir Komut ve Kontrol (C2) altyapısına bağlanmak için kullanılır. DGA tarafından üretilen alan adları, çok sayıda yanlış DNS sorgusu (NXDOMAIN) oluşturarak, yerel DNS sunucuları üzerinde gözle görülür bir yük oluşturur. Bu durum, saldırganların, DGA ile üretilmiş alan adlarına bağlanmalarını sağlamanın yanı sıra, hedef ağlarda anormallikleri tespit eden denetim mekanizmalarını geçersiz hale getirir.

Ağ üzerindeki etkileri bakımından DGA trafiği, kötü niyetli aktivitelerin tespiti açısından önemli bir göstergedir. Örneğin, bir cihazın binlerce sahte alan adı sorgulaması yapması, potansiyel bir tehdit gösterge işareti olabilir. Uzmanlar, ağ üzerinde gözlemlenen NXDOMAIN hatalarının anormal yoğunluğunun, DGA aktivitelerine işaret ettiğini belirtmektedir:

tshark -Y "dns.flags.rcode == 3"

Yukarıdaki komut, Tshark aracı kullanarak sadece NXDOMAIN (Name Error) kodu olan DNS sorgularını filtrelemek için kullanılabilir. Bu sayede, DGA ile ilişkili trafiği tespit etmek daha kolay hale gelir.

DGA Çeşitleri ve Karakteristikleri

DGA'lar, farklı algoritmalar ve stratejiler kullanarak çeşitli türlerde olabilirler. Örneğin:

  • Zaman Bağımlı DGA: Güncel tarih ve saati matematiksel bir çekirdek olarak kullanır.
  • Sözlük DGA: Rastgele harfler yerine anlamlı kelimeleri birleştirerek daha meşru bir görünüm elde etmeye çalışır.
  • Statik Seed DGA: Her zaman aynı başlangıç değerini kullanarak öngörülebilir alan adları üretir.

Bu çeşitlilik, savunma mekanizmalarının DGA trafiğini tespit ederken karşılaştığı zorlukları artırmaktadır. Her bir DGA türünün, ağ üzerindeki karakteristik etkileri farklılık gösterebilir.

Savunma Stratejileri ve Tespit Yöntemleri

DGA trafiğini tespit etmek ve engellemek, hem siber güvenlik analistleri hem de saldırı tespit sistemleri için büyük önem taşır. Geleneksel güvenlik çözümlerinin genellikle kara liste tabanlı tekniklerle sınırlı kalması, DGA trafiğini tespit etmede yetersiz kalmasına neden olabilir. Bu noktada, entropi analizi gibi yenilikçi teknikler devreye girer. Bu yöntem, alan adlarındaki karakterlerin dağılımını ve rastgelelik derecesini ölçerek, anormal veya şüpheli trafiği tanımlamak için kullanılabilir:

import numpy as np
import math

def calculate_entropy(domain):
    # Karakter frekanslarını hesapla
    freq = {}
    for char in domain:
        freq[char] = freq.get(char, 0) + 1
    # Entropi hesaplama
    entropy = 0
    total_chars = len(domain)
    for count in freq.values():
        probability = count / total_chars
        entropy -= probability * math.log2(probability)
    return entropy

Yukarıdaki Python kodu, bir alan adının entropisini hesaplar ve bu sayede DNS sorgularının rastgelelik düzeyini değerlendirir.

DGA ile mücadelede kullanılabilecek bir diğer yöntem ise DNS sinkhole uygulamalarıdır. Bu yöntemle, zararlı DGA sorguları internete çıkmadan önce sahte bir yerel IP adresine yönlendirilerek iletişim kesilmektedir. Böylece, zararlı yazılımlar ile C2 sunucuları arasındaki bağlantı engellenmiş olur.

Gelecek bölümlerde, DGA trafiklerinin tespiti ve engellenmesi için daha fazla teknik yöntem ve pratik uygulamalara derinlemesine gireceğiz. DGA'nın karmaşık doğası, bu alana dair bilgi sahibi olmayı ve analiz tekniklerini geliştirmeyi zorunlu kılmaktadır.

Teknik Analiz ve Uygulama

DGA Trafiği: Tespiti ve Engellenmesi için Etkili Yöntemler

DGA Tanımı ve Amacı

Domain Generation Algorithm (DGA), zararlı yazılımların, statik engellemelerden kaçınmak amacıyla sürekli olarak rastgele alan adları üretmesini sağlayan bir tekniktir. DGA kullanan bir cihaz, üretilen binlerce sahte alan adını sorguladığında, çoğunlukla bu alan adları henüz satın alınmadığı için ağda çok sayıda “Domain Bulunamadı” (NXDOMAIN) hatası üretilir. Bu durum, ağ yöneticileri açısından anormal DNS etkinliğinin ilk işareti olabilir.

NXDOMAIN Patlaması

DGA aktiviteleri genellikle NXDOMAIN patlaması ile kendini gösterir. Zararlı yazılımın etkisi altındaki bir cihaz, sürekli olarak binlerce alan adı sorgulaması yapar. Bu da yerel DNS sunucusunda yüksek hacimli NXDOMAIN hataları üretir.

Bir DGA trafiği tespit etmek için yerel DNS sunucunuzdaki NXDOMAIN hatalarını analiz edebilirsiniz:

tshark -Y "dns.flags.rcode == 3"

Bu komut, DNS yanıt kodu 3 olan tüm sorguları filtreleyerek NXDOMAIN hatalarını görüntülemenizi sağlar.

Algoritma Türleri

DGA'nın çeşitli türleri bulunmaktadır. Bunlar arasında:

  1. Time-Dependent DGA: Güncel tarih ve saati matematiksel bir çekirdek (seed) olarak kullanarak alan adlarını üretir.
  2. Dictionary DGA: Gerçek kelimeleri birleştirerek daha meşru görünen domainler oluşturur.
  3. Static Seed DGA: Değişmeyen bir başlangıç değeri ile öngörülebilir domainler üretir.
  4. Kısa Ömürlü Domainler: Üretilen alan adının yalnızca birkaç saat aktif kalmasını sağlayarak, hızlı bir şekilde iptal edilmesine neden olur.
  5. Sonsuz Kombinasyon: Bu tür, saldırganların algoritma sayesinde saniyeler içinde milyonlarca varyasyon üretmesine olanak tanır.

Ağ Üzerindeki Etkisi

DGA'nın etkisi, ağ trafiğinde önemli değişikliklere yol açabilir. DGA kullanan zararlı yazılımlar, hedef aldıkları sistemlerden yerel DNS sunucularına yüksek hacimli sorgular göndermektedir. Bu durum, ağın normal çalışma düzenini bozabilir ve potansiyel tehditlerin gözden kaçmasına neden olabilir.

Entropi (Rastgelelik) Analizi

Alan adının karakterlerindeki dağılım, rastgelelik ve karmaşıklık derecesini ölçen matematiksel analize entropi analizi denir. DGA tespiti için entropi analizi kullanılabilir. Yüksek entropi seviyeleri, rastgele veri oluşturma etkinliğini gösterir ve potansiyel DGA trafiğinin bir göstergesi olabilir.

Entropi analizi yapmak için kullanılabilecek bir Python örneği:

import math

def entropy(string):
    prob = [float(string.count(c)) / len(string) for c in set(string)]
    return -sum(p * math.log2(p) for p in prob)

domain = "example.com"
print(f"Entropi: {entropy(domain)}")

Bu kod, belirli bir alan adının entropisini hesaplayarak karakterlerinin dağılımını değerlendirir.

Geleneksel Güvenliğin Sınırları

DGA trafiğini engellemek üzere geleneksel kara liste (blacklist) tabanlı CTI çözümlerinin kullanılması çoğu zaman yetersiz kalır. Bu tür çözümler, güncel durumlara yanıt vermekte zorluk çekebilir ve DGA algoritmalarının hızla değişen doğası nedeniyle zamanla etkisiz hale gelebilir.

DNS Sinkhole

Zararlı DGA sorgularını internete çıkarmak yerine durdurmanın bir başka yöntemi de DNS Sinkhole uygulamalarıdır. Bu, zararlı sorguları sahte bir yerel IP adresine yönlendirerek, cihazın komut merkezi ile iletişim kurmasını engeller. DNS Sinkhole kurulumu, aşağıdaki yöntemle gerçekleştirilebilir:

  1. DNS sunucusu üzerinde zararlı alan adlarını tanımlayın.
  2. Bu alan adlarını sahte bir IP adresine yönlendirin.
  3. Ağ trafiğini düzenli aralıklarla izleyerek alternatif bağlantılara karşı önlem alın.

Olay Müdahale Süreci (IR)

DGA tespit edildikten sonra, olay müdahale süreci başlatılmalıdır. Bu süreçte aşağıdaki adımlar izlenmelidir:

  1. Etkilenen makinelerin izolasyonu.
  2. Zararlı yazılımın kaynağının belirlenmesi.
  3. Gerekli düzeltici önlemlerin alınması.
  4. İzleme ve kayıt işlemlerinin güncellenmesi.

Blue Team analistleri, DGA aktivitelerini entropi oranları ile tespit ederek, zamanında müdahale edebilir ve potansiyel tehditleri minimize edebilirler.

DGA gibi karmaşık siber tehditlerle mücadele etmek, ağ güvenliği için kritik önem taşır. Ağ yöneticileri, bu tür aktiviteleri tespit etmek ve engellemek için sunulan teknikleri dikkatlice uygulamalıdır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

DGA (Domain Generation Algorithm) kullanımı, günümüz siber tehdit ortamında göz ardı edilemeyecek bir risk faktörüdür. DGA'nın temeldeki amacı, zararlı yazılımların statik olarak engellenmemesi için sürekli rastgele alan adları üretmesidir. Dolayısıyla, DGA’nın ağ üzerindeki etkisi büyük bir tehdit oluşturmaktadır. Bu bölümde, DGA trafiğinin risklerini ve gözlemlenen sonuçların güvenlik anlamını teknolojik bir çerçeve içinde yorumlayacağız.

DGA Trafiğinin Riskleri

DGA kullanan bir cihaz, genellikle binlerce sahte alan adını sorgular. Bu durum, yerel DNS sunucusunda ciddi bir yük oluşturur ve ağ trafiğinde "NXDOMAIN" (Alan Bulunamadı) hatalarına neden olur. Yukarıda bahsedilen durumun analizi, iki açıdan önemlidir:

  1. Yanlış Yapılandırma ve Zafiyetler: Eğer ağınızda DGA trafiğini tespit edecek yeterli güvenlik önlemleri yoksa, bu tür bir tespit gerçekleştirememek ciddi bir zafiyettir. Bu tür zafiyetler, saldırganların kontrolü altındaki cihazların ağ üzerinde yayılmasını kolaylaştırır. Yanlış yapılandırılmış güvenlik duvarı kuralları veya eksik bir DNS monitorizasyonu, DGA trafiğinin önüne geçmeyi zorlaştırır.

  2. Veri Sızıntısı: DGA’lar, saldırganların Komut ve Kontrol (C2) sunucularıyla iletişimi sağlamak amacıyla kullanılır. Bu durum, veri sızıntılarına, entelektüel mülkiyet kaybına veya kullanıcı verilerinin tehlikeye girmesine neden olabilir.

# DGA trafiği tespiti sırasında meydana gelen NXDOMAIN hatalarının analizi
#  Müşteri: XYZ, Tarih: 01.12.2023
#  DNS Sorgu Sayısı: 100,000
#  NXDOMAIN Hata Sayısı: 95,000

Veri süreçlerinin güçlü bir şekilde analiz edilmesi, bu tür tehditler için kritik öneme sahiptir.

Ağ Üzerindeki Etki

DGA trafiği, genellikle yüksek bir hacim üretir ve bu durum ağ kaynaklarınızı aşırı yükleyebilir. Bu tür bir aşırı yüklenme, yalnızca güvenlik cihazlarının performansını düşürmekle kalmaz, aynı zamanda meşru kullanıcıların ağ hizmetlerine erişimini de zorlaştırabilir. Basit bir analiz ile aşağıdaki gibi sonuçlar elde edilebilir:

  • Ağ Tıkanıklığı: DGA aktiviteleri, günlük ağ trafiğinin önemli bir kısmını oluşturabilir.
  • Yanlış Pozitiflemeler: Eğer DGA trafiği yeterince doğru bir şekilde tanımlanamazsa, bu durum meşru trafiklerin yanlış pozitif olarak işaretlenmesine yol açar.

Entropi (Rastgelelik) Analizi

Entropi analizi, DGA'nın temel bir yönünü çözümlemek için oldukça önemlidir. DGA tarafından üretilen alan adlarının rastgelelik seviyesini ölçmek, sınıflandırma yollarını açar. Bu tür analizlerde ortaya çıkan belirli sonuçlar, zararlı yazılımların karakteristik özelliklerini açığa çıkarabilir. Aşağıda basit bir entropi analizi algoritma örneği verilmiştir:

import math
from collections import Counter

def entropi_hesapla(domain):
    domain_chars = list(domain)
    frekans = Counter(domain_chars)
    entropi = -sum((count / len(domain_chars)) * math.log2(count / len(domain_chars)) for count in frekans.values())
    return entropi

# Örnek alan adı
domain_name = "xjzkwqp.com"
entropi_degeri = entropi_hesapla(domain_name)
print(f"Entropi Değeri: {entropi_degeri:.2f}")

Bu analiz, DGA tespitinde şüpheli alan adlarının değerlendirilmesine yardımcı olabilir.

Profesyonel Önlemler ve Hardening Önerileri

DGA trafiğini etkili bir şekilde tespit etmek ve engellemek için önerilen profesyonel önlemler şunlardır:

  1. DNS Sinkhole Kullanımı: DGA sorgularını sahte IP adreslerine yönlendirerek zararlı yazılımların kontrolünü etkisiz hale getirmek oldukça etkilidir.
  2. Gelişmiş Analiz Araçları: Tshark gibi araçlar kullanarak NXDOMAIN hatalarını filtrelemek, ağ yöneticilerine güvenli olmayan trafiği tespit etme imkanı sunar.
# Tshark ile NXDOMAIN hatalarının filtrelenmesi
tshark -Y "dns.flags.rcode == 3"
  1. Gözlem ve Log Analizi: Gerçek zamanlı izleme sistemleri kullanarak trafik anormalliklerini tespit etmek kritik bir adımdır.

Sonuç Özeti

DGA trafiği, siber güvenlik ortamında ele alınması gereken önemli bir konu olup, etkin bir risk değerlendirmesi ve yorumlama süreci gerektirir. Yanlış yapılandırmaların ve zafiyetlerin etkisi, ağ üzerindeki veri güvenliği ve kullanılabilirlik açısından ciddi sonuçlar doğurabilir. Uygun önlemler ve sürekli gözlem ile DGA trafiği etkili bir şekilde kontrol altına alınabilir. Bu kapsamda, eğitimli güvenlik analistleri ve gelişmiş araç setleri ile DGA riskleri minimize edilebilir.