CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

DGA ve Ağ Seviyesinde Tespit Yöntemleri: Siber Güvenlikte Yeni Yaklaşımlar

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

DGA, zararlı yazılımların alan adı üretimini sağlayarak siber güvenlik tehditleri oluşturmaktadır. Bu yazıda DGA'nın tespit yöntemleri ele alınıyor.

DGA ve Ağ Seviyesinde Tespit Yöntemleri: Siber Güvenlikte Yeni Yaklaşımlar

DGA (Domain Generation Algorithm), zararlı yazılımların çok sayıda rastgele alan adı üretmesini sağlayarak güvenlik önlemlerini aşma amacı taşır. Bu yazımızda, DGA ve ağ seviyesinde tespit yöntemlerini inceliyoruz.

Giriş ve Konumlandırma

DGA (Domain Generation Algorithm), zararlı yazılımların, sabit C2 adreslerini engellemeyi aşmak için kullandığı bir tekniktir. Bu teknoloji, her gün veya belirli zaman dilimlerinde, rastgele görünümlü binlerce alan adı üretir. DGA'nın çalışma mantığı, belirli bir algoritma dahilinde oluşturulan alan adlarının otomatik olarak üretilmesi ve bu adların zararlı yazılım tarafından kullanılması üzerine kuruludur. Bu yazılımlar, her gün birbirini takip eden yeni alan adları yaratırken, sadece birkaçının aktif olduğu günlerde, ağ üzerinde çok sayıda "alan adı bulunamadı" (NXDOMAIN) hatası üreterek kendilerini belli ederler.

DGA'nın Önemi

DGA, günümüz siber güvenlik tehditleri arasında önemli bir yere sahiptir. Bu tür zararlı yazılımlar, belirli alan adlarının engellenmesinin yeterli olmadığı durumlardadır. Statik C2 adreslerinin bloklanması, DGA'nın etkili bir şekilde dolandırıcılık yapmasına olanak tanır çünkü saldırgan, yeni alan adları üretme esnekliğiyle aktif kalabilir. DGA, bu özelliğiyle yüksek bir saldırı potansiyeli sunar; bir alan adı kilitlendiğinde, yazılım ikinci bir ad ile iletişime geçmeye devam edebilir. Bu, DGA'nın, zararlı yazılımlar için cazip bir seçenek olmasını sağlar.

Siber Güvenlik ve DGA

Siber güvenlik alanında DGA tespiti, özellikle pentest (penetrasyon testi) ve savunma mekanizmaları bağlamında önem kazanmaktadır. Pentest sürecinde, güvenlik uzmanları, sistemde potansiyel zayıflıkları tespit etmekle görevlidirler. DGA kullanan zararlı yazılımlar, güvenlik duvarlarını aşarak içinde barındırdıkları bağlantılı her adım için yeni alan adı üretme yeteneği sunarak, sızıntıların önlenmesi adına ciddi tehdit oluştururlar.

Saldırıya uğramış bir ağda, DGA bazlı iletişim döngüsü ve zaman bazlı değişim yöntemleri, ağ trafiği analizinde başarılı bir strateji sunabilir. DGA'nın zaman bazlı yapısı, saldırganla kurban arasında bir senkronizasyon sağlar; bu nedenle, hava saldırılarına karşı dayanıklı olmak için, ağ yöneticilerinin bu değişimlerin izini sürmesi gerekmektedir.

Teknik İçeriğe Hazırlık

Bu blog yazısında, DGA'nın işleyiş şekilleri, ağ seviyesinde tespit yöntemleri ve bunlarla nasıl başa çıkılacağı konularında derinlemesine bilgi vereceğiz. DGA'nın bileşenlerinden başlayarak, NXDOMAIN fırtınalarına, iletişim döngülerine ve zaman bazlı değişiklikler gibi temel kavramlara dair kapsamlı bir inceleme sunacağız. Bunların yanı sıra, bu tür tehditlere karşı etkili tespit kriterlerinin belirlenmesi ve kullanılabilecek araçlar hakkında da bilgi vereceğiz.

Teknik bilgi edinimi ve uygulama aşamasında önemli olan, DGA trafiğinin nasıl anlaşılacağının yanı sıra, bu tür aktivitelerin tespit edilmesi durumunda izlenmesi gereken yol haritasıdır. Özellikle, Tshark gibi araçlar kullanılarak ağ üzerindeki DNS yanıtlarının analizi yapılabilir, böylece NXDOMAIN hataları yoğunluğu filtrelenerek, DGA aktivitelerinin tespit edilmesi mümkündür.

DGA'nın ağ seviyesinde tespit yöntemleri üzerine yapacağımız derinlemesine incelemeler, siber güvenlik uzmanlarına ve analistlere DGA gibi karmaşık saldırı vektörlerini daha iyi anlamalarına yardımcı olacaktır. Sıkı bir savunma, bu tür tehditlere karşı koyma azmini artırmak için gereklidir. Bu açıdan, konumuzun ayrıntılarına geçmeden önce, temel kavramları ve bileşenleri ele alarak başlayacağız.

Teknik Analiz ve Uygulama

DGA Tanımı

Alan Adı Üretme Algoritması (DGA), zararlı yazılımların sabit kontrol ve komut (C2) adreslerini engelleyebilmek için düzenli aralıklarla rastgele görünümlü binlerce alan adı üretmelerine olanak tanıyan bir yöntemdir. DGA’lar, kötü niyetli yazılımların tespit edilmesini zorlaştıran bir mekanizmadır, çünkü yalnızca belirli bir zaman diliminde belirli bir alan adının aktif olduğu bilinir. Saldırganlar, günün saatine veya tarihe bağlı olarak bu merkezlerden birine bağlanarak iletişim kurabilirler.

DGA Bileşenleri

DGA hesaplamaları, aşağıdaki gibi temel bileşenlerden oluşur:

  • Tohum (Seed): Algoritmanın her seferinde farklı sonuçlar üretmesini sağlayan başlangıç değeri. Genellikle günün tarihi gibi değişken bir veri olarak kullanılır.
  • Algoritma (Algorithm): Hangi karakterlerin hangi matematiksel sırayla birleştirileceğini belirleyen fonksiyon yapılarının toplamı.
  • Üst Düzey Alan Adı (TLD): Üretilen ismin sonuna eklenen uzantılardır (örneğin, .com, .xyz).

Bu bileşenler, DGA’ların etkinliğini artıran ve zan altında bırakma potansiyeli bulunduran karmaşık sistemler oluşturur.

Ağ İzi: NXDOMAIN Fırtınası

DGA kullanan bir cihaz, o gün üretilen alan adlarından yalnızca birkaçı aktif olduğu için, ağ üzerinde çok sayıda NXDOMAIN (bulunamadı) hatası üreterek kendini belli eder. NXDOMAIN hataları, DGA trafiğini anlamada kritik verilerdir. Örneğin, şu komut kullanılarak ağda tespit edilen NXDOMAIN hatalarının sayısı analiz edilebilir:

tshark -Y "dns.flags.rcode == 3"

Bu komut, DNS sorgularındaki NXDOMAIN yanıtlarını filtreler. Herhangi bir saldırgan aktivitesinin ayak izlerini ortaya koyarak güvenlik analistlerine uygulama olanağı sunar.

DGA İletişim Döngüsü

DGA’lar genellikle zaman bazlı çalıştıkları için, saldırganlar ve kurbanlar belirlenen gün ve saatte hangi alan adının geçerli olacağı konusunda senkronize olurlar. Örneğin, bir DGA ajanı, gün boyunca şunları yapar:

  1. Öncelikle, günlük alan adlarını üretmek için tohum değerini alır.
  2. Bu alan adlarından biri, belirli bir zaman aralığında aktif hale gelir.
  3. Ajan, bu alan adına erişerek C2 sunucusuyla iletişim kurmayı dener.

Bu döngü, DGA kullanılarak gerçekleştirilen kötü niyetli faaliyetlerin sürekli devrede kalmasına olanak tanır.

Zaman Bazlı Değişim

DGA’ların etkinliğini artıran bir diğer faktör de zaman bazlı değişim uygulamalarıdır. Belirli bir zaman diliminde üretilen alan adları arasında belirli bir ilişki kurulması, takip edilmekten kaçınma konusunda önemli bir avantaj sağlar. DGA'ların her biri belirli bir dönem boyunca değişken bir şekilde üretildiği için, saldırgan sürekli yeni alan adlarıyla trafiği yönlendirebilir.

Tespit Kriterleri

Ağ logları üzerinden DGA aktivitelerini tespit etmek için aşağıdaki kriterler göz önünde bulundurulmalıdır:

  • Yüksek miktardaki NXDOMAIN hataları
  • Sıklıkla kullanılan şüpheli TLD'ler (örneğin, .bit, .cc)
  • Alan adlarının uzunlukları ve karakter kombinasyonları (öngörülemeyen ve karmaşık yapılar)

Bu kriterler, DGA ile ilişkilendirilen trafik kalıplarını oluşturur. Aşağıdaki gibi bir gruplama, ilgili logların analizinde etkilidir:

grep "NXDOMAIN" /var/log/dns.log | awk '{print $1, $2, $7}' | sort | uniq -c | sort -nr

Bu komut, NXDOMAIN hatalarının sayısını ve hangi alan adının hangi sıklıkla tespit edildiğini gösterir.

Tshark ile NXDOMAIN Analizi

Tshark kullanarak ağ loglarında NXDOMAIN hatalarının analizi kritik bir adım olarak görünmektedir. Örneğin, belirli bir zaman diliminde alan adı sorgularında NXDOMAIN hatasını tespit etmek için aşağıdaki komut kullanılabilir:

tshark -r dns_traffic.pcap -Y "dns.flags.rcode == 3" -T fields -e dns.qry.name

Bu komut, belirli bir gün içinde NXDOMAIN hatası veren domainleri listeleyecektir.

Agility (Esneklik) Avantajı

DGA'ların sağladığı esneklik, onları siber saldırılar için cazip kılan bir diğer özelliktir. Alan adları bloklansa bile, yazılım sadece birkaç dakika içinde yeni ve rastgele bir alan adı üretebilir. Bu durum, sürekli bir geri dönüşüm ve mücadele süreci doğurur; dolayısıyla güvenlik ekiplerinin duruma hazırlıklı olmalarını gerektirir.

SOC L2 Pratiği: Kümeleme

Blue Team analistleri, DGA trafiğini anlamlandırmada etkin bir rol üstlenir. DGA kullanımına dair ipuçları, ağdan gelen NXDOMAIN hatalarında yoğunlaşma gibi tespit kriterleri ile ortaya konabilir. Bu şekilde, kurban cihazlardan gelen başarısız DNS sorguları incelenerek, potansiyel DGA trafiği ayırt edilebilir.

Olay Müdahale (IR) Adımı

DGA aktivitesi tespit edildiğinde izlenecek yol, olayın doğasına bağlı olarak değişebilir. İlk olarak, şüpheli alan adlarının kaydedilmesi, ardından etki alanının daha derinlemesine incelenmesi gerekir. Ajanların uzaktan kontrolü durumunda, kaynak ana bilgisayarın tanımlanması ve sistemin izole edilmesi önemlidir.

Bu teknik analiz, DGA ve ağ seviyesinde tespit yöntemlerinin siber güvenlik bağlamında anlaşılmasına ve uygulanmasına yönelik kapsamlı bir çerçeve sunmaktadır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi ve Yorumlama

Siber güvenlikte risk değerlendirmesi, sistemlerin zayıf yönlerini belirlemek ve olası tehditler karşısındaki dayanıklılığını analiz etmek için kritik bir adımdır. DGA (Alan Adı Üretme Algoritması) kullanılarak gerçekleştirilen saldırılar, bu süreçte özel bir dikkat gerektirmektedir. DGA'nın çalışma prensibi, saldırganın belirli bir algoritma kullanarak her gün üzerinde çalışacağı yeni, rastgele görünümlü alan adları üretmesidir. Bu durumun sonuçlarını ve olası zafiyetleri anlamak, yorumlama sürecinin temel bir parçasıdır.

Sızan Verilerin Değerlendirilmesi

Bir DGA saldırısı sırasında sızan veriler, genellikle yapılandırma hataları veya zayıf güvenlik uygulamaları nedeniyle meydana gelir. DGA'nın düşük kaliteli alan adları üretmesi, bu alan adlarının çoğunun korunmasız olması anlamına gelir. Aynı zamanda NXDOMAIN hataları büyük bir tehdit sinyali olarak öne çıkmaktadır. Ağ loglarında büyük bir DXDOMAIN hatası hacmi, potansiyel bir DGA aktivitesini işaret eder.

tshark -Y 'dns.flags.rcode == 3' -r captured_packets.pcap

Yukarıdaki komut, Tshark ile DNS yanıtlarında NXDOMAIN hatalarını filtrelemenizi sağlar. Böyle bir analiz, ağ üzerinde hangi alan adlarının sorgulandığını ve bu alan adlarının DGA tarafından üretip üretilmediğini belirlemenize yardımcı olur.

Yanlış Yapılandırmaların Etkisi

Bir DGA saldırısının etkileri, yanlış yapılandırmalara veya eksik güvenlik önlemlerine bağlı olarak dramatik hale gelebilir. Örneğin, kötü yapılandırılmış bir güvenlik duvarı veya yetersiz IDS/IPS sistemleri, DGA üzerinden gerçekleştirilen saldırıların engellenmemesiyle sonuçlanabilir. Gelişmiş kötü amaçlı yazılımlar, ürününüzü yalnızca GUI (grafiksel kullanıcı arayüzü) üzerinden değil, aynı zamanda ağ düzeyinde de hedef alabilir.

Ağ güvenliği için uygulanan zafiyetlerin, sisteminize entegre edilmiş kritik servislerin durumuna doğrudan etkisi olduğunu göz önünde bulundurmalısınız. Ayrıca, güvenlik politikalarına uygun bir yapı oluşturulmadığı takdirde bu durum, sızan verilerin teşhisini zorlaştırabilir.

Savunma Stratejileri ve Hardening Önerileri

DGA'ya karşı etkili bir savunma stratejisi geliştirmek için aşağıdaki önlemleri alabilirsiniz:

  1. Ağ Segmentasyonu: Ağ üzerinde hizmet ve cihazları izole ederek potansiyel zararlı aktiviteleri sınırlayın. Bu, kötü amaçlı yazılımların yayılmasını zorlaştırır.

  2. Güvenlik Duvarı Ayarlarının Gözden Geçirilmesi: Kullanıcı erişimlerini ve kurallarını gözden geçirin; DGA'nin kullandığı alan adlarına karşı proaktif bir koruma katmanı sağlamaya çalışın.

  3. DNS Filtrelemesi: Anormal DNS sorguları belirlenmeli ve bu sorgular üzerinde filtreleme uygulanmalıdır. DGA kullanan yazılımlar genellikle günlük olarak değişen alan adlarına başvurur, bu nedenle bir DNS güvenlik servisi ile tehlikeli alan adlarını filtrelemek önemlidir.

  4. Log Yönetimi ve İzleme: Ağ loglarındaki anormallikleri sürekli izlemek ve geçmiş verileri analiz etmek, DGA etkinliklerini tespit etmek için kritik bir yaklaşımdır. Sıkça NXDOMAIN hataları üreten IP adreslerine yönelik izleme yapılmalıdır.

  5. Eğitim ve Farkındalık: Çalışanların siber tehditler konusunda eğitilmesi, sosyal mühendislik saldırılarına karşı dayanıklılık kazandırabilir.

Sonuç

DGA'ların tespit edilmesi ve engellenmesi, siber güvenlik sistemlerinin etkinliğini artırmak için vazgeçilmez bir bileşendir. Doğru risk değerlendirmesi ve yorumlama, yanlış yapılandırmaların etkisini anlamak ve proaktif önlemler almak için temel bir ön koşuldur. Sistemlerinizi sürekli olarak gözden geçirerek ve güncelleyerek, DGA kaynaklı tehditlere karşı daha dayanıklı bir altyapı inşa etmek mümkündür. Risklerin doğru değerlendirilmesiyle savunma stratejilerini geliştirmek, organizasyonların güvenlik seviyelerini artıracak ve olası saldırılardan korunmalarını sağlayacaktır.