CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Hipotez

DNS Tabanlı Avcılık: Tehditleri Tespit Etmenin Yolları

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Hipotez

DNS tabanlı avcılık ile siber tehditleri tespit etmek için kullanılan teknikler ve sürecin detayları üzerinde duruyoruz.

DNS Tabanlı Avcılık: Tehditleri Tespit Etmenin Yolları

DNS tabanlı avcılık teknikleri, siber güvenlik alanında kritik bir öneme sahiptir. Bu blogda DNS'in tanımını, önemini ve saldırgan davranışlarını inceleyeceğiz.

Giriş ve Konumlandırma

DNS (Domain Name System), internetin temel yapı taşı olarak, insanın anlayabileceği alan adlarını, sistemin anlayabileceği IP adreslerine dönüştüren hayati bir sistemdir. Bu dönüşüm, web sitelerine erişimden e-posta iletilerinin yönlendirilmesine kadar birçok işlemin arka planında önemli bir rol oynamaktadır. Ancak, önemli bir fonksiyon taşıyan DNS aynı zamanda siber saldırganların hedeflerine ulaşmaları için kullandıkları gizli bir arka kapı da işlevi görmektedir. Bu nedenle, DNS tabanlı avcılık, siber güvenlik alanında kritik bir öneme sahip olmuştur.

DNS'nin Önemi

Siber güvenlik alanında, DNS'nin önemi yadsınamaz. İlk olarak, saldırganlar, DNS'i kötüye kullanarak zararlı yazılımları yaymak, veri çalmak veya hedef sistemlerle iletişim kurmak için bir iletişim kanalı olarak kullanabilirler. DNS saldırılarının tespit edilmesi, bu tür kötü niyetli aktivitelerin önlenmesi veya engellenmesi açısından önem taşır. Genel olarak, kötü niyetli aktivitelerin çoğu, DNS trafikleri üzerinden gerçekleştiği için, hemen hemen her siber saldırının kökeninde DNS bulunmaktadır.

Ek olarak, DNS tabanlı avcılık, ağ izleme ve analiz süreçlerini kullanarak şüpheli aktiviteleri tespit etmenin etkili bir yolunu sunar. Kolay görülebilir olmanın yanı sıra, DNS trafiği genellikle normal görünür; bu da saldırganların tespit edilme riskini azaltır. Bu durum, ağ analistlerini daha dikkatli ve sistematik bir şekilde çalışmaya zorlar.

Teknik Çerçeve

Siber güvenlik uzmanları, DNS analizlerinde çeşitli teknikler kullanmaktadır. Bu teknikler içerisinde, DNS loglarının analizi, şüpheli sorguların tespiti ve davranışsal anormalliklerin belirlenmesi yer almaktadır. Aşağıda, DNS tabanlı avcılık sürecine yönelik bazı temel tekniklere örnek verilmiştir:

1. DNS loglarının toplanması: Bir siber güvenlik uzmanı, DNS sorgu günlüklerini toplar ve incelemeye hazır hale getirir.
2. Anormal sorguların belirlenmesi: Uzun ve karmaşık alan adları, yüksek sorgu sayıları gibi anormal durumlar tespit edilir.
3. Düşük görünürlük analizleri: Saldırganların kullandığı alan adları genellikle tanınmamış veya sıradışı adlar içerir.
4. Davranışsal analiz: Sık yapılan sorgular veya bilinmeyen alan adları üzerinden olası tehdit davranışları belirlenir.

Tespit ve Zorluklar

DNS verileri analiz edilerek tehditler tespit edilebilir. Ancak bu süreç, çeşitli zorluklar içermektedir. Örneğin, yüksek miktarda DNS sorgusunun analizi karmaşık hale gelebilir. Saldırganların kullandığı teknikler arasında "DNS tunneling" ve "Domain Generation Algorithms (DGA)" gibi yöntemler bulunmaktadır. Bu tür teknikler, saldırganların görünmez kalmasını sağlarken, aynı zamanda savunmayı da zorlaştırır. Aşağıdaki örnek, bu durumu açıklamaktadır:

# Örnek: Anormal DNS sorgularının belirlenmesi
def identify_abnormal_queries(dns_logs):
    for query in dns_logs:
        if len(query) > 30:  # Uzun domain adı kontrolü
            print(f"Anormal sorgu: {query}")

Bağlantı ve İleri Adımlar

DNS tabanlı avcılık, siber güvenlik alanında güçlü bir yöntem olsa da, analistlerin karşılaştığı zorluklar ve tehditlerin sürekli evrimi, bu yaklaşımın etkinliğini azaltabilir. Dolayısıyla, güvenlik uzmanlarının sürekli güncel bilgiye sahip olması ve yeni tehditlere karşı hazırlıklı olmaları gerekmektedir. Bu bağlamda, DNS tabanlı avcılığı daha iyi anlamak ve etkili bir şekilde uygulamak için kapsamlı bir eğitim ve pratik gerekmektedir.

Özetle, DNS tabanlı avcılık, siber güvenlik profesyonellerinin tehditleri tespit etme yeteneklerini artırmak için kritik bir yöntemdir. Bu yazının ilerleyen bölümlerinde, DNS'nin nasıl çalıştığı, avcılık tekniklerinin detayları, şüpheli davranışların tespiti ve sonuçlarının analizi üzerinde durulacaktır. Bu süreç, ağ güvenliğini artırmak ve siber saldırılara karşı daha dayanıklı bir yapı oluşturmak için önem arz etmektedir.

Teknik Analiz ve Uygulama

DNS Tanımı

DNS (Domain Name System), alan adlarını IP adreslerine çeviren ve internet üzerindeki iletişimin altyapısını oluşturan bir sistemdir. Bu sistem, kullanıcıların alan adları kullanarak (örneğin www.example.com) web sitelerine erişmelerini sağlar. Kullanıcılar için bu süreç şeffafken, arka planda oldukça karmaşık işlemler yer alır.

DNS Önemi

Günümüzde siber saldırganlar, DNS trafiğini çeşitli kötü niyetli faaliyetler için kullanmaktadır. DNS, genellikle kullanıcı davranışları ile ilgili normal trafiğin bir parçası gibi göründüğü için, siber güvenlik analistleri için potansiyel tehditleri tespit etmek oldukça zordur. Aynı zamanda, saldırganların iletişimini sağlamak için tercih ettikleri bir iletişim kanalıdır.

DNS Teknikleri

DNS tabanlı avcılık sürecinde kullanılabilecek birkaç teknik bulunmaktadır. Bu tekniklerden bazıları şunlardır:

Domain Generation Algorithms (DGA)

Saldırganlar, kötü amaçlı yazılımlarını gizlemek için rastgele domain'ler oluşturan DGA'lar kullanabilir. Bu tür alan adları, ele geçirilen sunuculardan veri sızdırmak veya kontrol etmek için kullanılabilir. Örneğin, DGA kullanılarak oluşturulan domain adları genellikle uzun ve anormal görünebilir.

DNS Tunneling

DNS tunneling, kötü niyetli verilerin DNS protokolü üzerinden gönderilmesi tekniğidir. Bu yöntem, genellikle saldırganlar tarafından veri gizlemek için kullanılır. Örneğin, bir saldırgan DNS sorgularında bazı verileri gömerek şifreli trafik oluşturabilir.

Davranış Özellikleri

DNS trafiğinde dikkat edilmesi gereken bazı tipik anormal davranışlar bulunmaktadır:

  • Yüksek Sorgu Sayısı: Bir IP adresinden gelen çok fazla DNS sorgusu, olağan dışı bir durumu işaret edebilir.
  • Bilinmeyen Alan Adları: Tanımlı veya bilinen alan adlarının dışında kalan sorgular, şüpheli olabilir.
  • Sık Sorgular: Aynı domain için arka arkaya gelen yüksek sayıda sorgu, otomatik veya kötü niyetli bir aktiviteye işaret edebilir.
  • TXT Kayıt İstismarı: Saldırganlar, veri saklamak için TXT kayıtlarını kullanabilir.

Tespit Zorluğu

DNS analizi, birçok nedenle karmaşık olabilir. Öncelikle, DNS trafiği genellikle sıkışık ve yüksek hacimli olduğunu göz önünde bulundurmak gerekiyor. Ayrıca, normal kullanıcı faaliyetleriyle karışabilme potansiyeline sahip olduğu için anormal aktiviteleri tespit etmek zorlaşır. Bu bağlamda şunlar önemli:

  • Şifreli Trafik: Eğer DNS üzerinden şifrelenmiş bir iletişim varsa, bu yapıların analizi daha da zorlaşıyor.
  • Yüksek Trafik Hacmi: Sistem üzerinde meydana gelen sürekli bir yüksek sorgu hacmi, kötü amaçlı aktivitelerin izlenmesini zorlaştırır.

Hunting Süreci

DNS tabanlı avcılık sürecinin temel adımları şunlardır:

  1. DNS Loglarının Toplanması: İlk adım, ağın DNS loglarını toplamak ve değerlendirmektir. Bu loglar, daha sonra analiz yapılacak verileri oluşturur.

  2. Sorguların Analizi: Toplanan loglardaki sorgular detaylı bir şekilde analiz edilerek anormallikler tespit edilmeye çalışılır. Örneğin:

    grep -i 'suspiciousdomain.com' dns_logs.txt

  3. Anormal Davranışların Tespiti: Elde edilen bulgulara dayanarak, şüpheli IP adresleri veya alan adları tespit edilebilir.

Şüpheli Davranışlar

Aşağıda, siber güvenlik analistlerinin dikkat etmesi gereken bazı yaygın şüpheli davranış örnekleri verilmiştir:

  • Anormal uzunlukta alan adları
  • Bilinmeyen veya DGA bazlı domain sorguları
  • Çok sayıda DNS sorgusu yapan cihazlar

Zorluklar (Defender)

Savunma ekibinin karşılaştığı ana zorluklar arasında, veri hacminin yönetimi, doğru tespit sistemlerinin kurulması ve dinamik DNS aktivitelerinin izlenmesi yer almaktadır. Ayrıca, saldırganlar sık sık DNS yapılandırmalarını değiştirdiği için saldırı tespitinde proaktif olmak zorunludur.

SOC L2 Final Süreci

Son adımda, SOC (Security Operations Center) L2 analistleri, topladıkları verileri analiz ederek potansiyel tehditleri tespit eder ve gerekli önlemleri alırlar. Analiz sürecinde kullanılan araçlar ve teknikler, tespit edilen anmal alışkanlıkları belirlemede kritik öneme sahiptir. Bu süreçte izlenme şekli şu şekilde olabilir:

cat dns_logs.txt | awk '{print $1, $5}' | sort | uniq -c | sort -rn

Bu komut, analiz edilen DNS loglarındaki en sık gelen sorguları belirlemeye yardımcı olacak bir örnek teşkil eder.

DNS tabanlı avcılık, günümüzün tehdit ortamında önemli bir bileşen haline gelmiştir. Analistler için etkili bir strateji geliştirmek, potansiyel tehditleri erken aşamada tespit etme ve önlem alma imkanı sunmaktadır.

Risk, Yorumlama ve Savunma

Riskin Yorumlanması

DNS tabanlı avcılık, ağ güvenliği açısından kritik bir bileşendir ve siber tehditlerin tespit sürecinde önemli bir rol oynar. DNS, alan adlarını IP adreslerine çeviren bir sistem olarak, saldırganların kötü amaçlı aktiviteleri gizlemek için kullandıkları bir iletişim kanalı haline gelebilir. Bu nedenle, DNS trafiğinin analizi, potansiyel tehditlerin tespit edilmesi için bir anahtar olabilir. Elde edilen bulguların güvenlik anlamı, iki ana başlık altında değerlendirilebilir: yanlış yapılandırma ve mevcut zafiyetler.

Yanlış yapılandırmalar, özellikle güvenlik duvarı ve DNS sunucuları gibi kritik bileşenlerde önemli riskler doğurabilir. Örneğin, DNS sunucularının yeterli güvenlik önlemleri olmadan dışa açık bırakılması, saldırganların kötü amaçlı sorgular gerçekleştirip ağa sızmasına zemin hazırlar. Bu noktada, DNS loglarının düzenli olarak analiz edilmesi, ağ yöneticilerine şüpheli aktiviteleri hızlıca tespit etme fırsatı sunar. 

# Analiz Raporu Örneği
- Sorgu Sayısı: 500
- Şüpheli Domain: example-malicious.com
- Zaman: 2023-10-15 15:22

Bu gibi loglar, DNS trafiğinde anormal bir artış veya gönderim sıklığı tespit edildiğinde dikkatlice incelenmelidir. Özellikle yüksek sorgu sayısı veya bilinmeyen alan adlarından gelen istekler, potansiyel saldırı göstergeleri olarak değerlendirilebilir.

Zafiyetlerin Etkisi

Zafiyetler, ağ mimarisinin dizaynında veya kurulum aşamasında ortaya çıkabilir. Örneğin, Domain Generation Algorithm (DGA) teknikleri kullanılarak oluşturulan rastgele alan adları, bir saldırganın kötü amaçlı yazılımlarını yaymak için kullandığı yöntemlerdendir. DGA'lar, belirli bir algoritma ile rastgele oluşturulan alan adlarıdır ve bu durum, siber güvenlik analizinde önemli bir zorluk yaratır.

Söz konusu durumun etkileri, aşağıdaki durumlar ile örneklenebilir:

  • Uzun Domain İsimleri: Uzun ve anormal domain isimleri genellikle saldırganlar tarafından kullanılmaktadır. Bu tür domainler, normal DNS trafiği içerisinde gizlenerek tespit edilmeyi zorlaştırabilir.
  • TXT Kayıtlarının Kötüye Kullanımı: Saldırganlar, DNS üzerinde veri gizlemek için TXT kayıtlarını kullanabilir. Bu tür veriler analiz edildiğinde, çoğu zaman zararlı içerikler barındırabilir.
# Şüpheli TXT Kayıtları
- Domain: malicious-example.com
- TXT Record: "Sensitive Data Here"

Bu örneklerde görüldüğü üzere, DNS üzerinden sızan veriler, ağın güvenliğini ciddi şekilde tehdit eder. Bu nedenle, DNS verilerinin sistematik analizi, ağ güvenliği açısından yaşamsal bir faaliyet haline gelir.

Savunma Mekanizmaları

Siber güvenlik stratejilerinin bir parçası olarak, DNS tabanlı avcılık süreçlerinde aşağıdaki profesyonel önlemler ve hardening önerileri dikkate alınmalıdır:

  1. DNS Loglarının Analizi: DNS loglarının sürekli olarak izlenmesi, anormal veya şüpheli aktivitelerin tespit edilmesini sağlar. Bu tür veri analiz araçları, ağın gerçek zamanlı izlenmesine yardımcı olur.

  2. Domain Reputation Servisleri Kullanma: Kötü amaçlı alan adlarının tespit edilmesi için domain itibar servisleri kullanılabilir. Bu servisler, şüpheli alan adlarını belirleyerek olası tehditleri önceden engeller.

  3. Güvenlik Duvarı ve Filterleme: DNS trafiğinin filtrelenmesi ve güvenlik duvarlarının etkin kullanımı, dışarıdan gelen zararlı trafiği engelleyebilir. Özellikle bilinen zararlı alan adlarının trafiği engellenmelidir.

  4. Intrusion Detection Systems (IDS): Anormal DNS sorgularını tespit etmek için IDS'lerin entegre edilmesi, güvenlik uzmanlarına daha fazla zaman kazandırır ve tehditlere karşı hızlı tepki verilmesini sağlar.

  5. Düzenli Güncellemeler ve Yamanmalar: DNS sunucularının ve diğer ağ donanımlarının düzenli güncellemelerle hardening edilmesi, bilinen zafiyetlere karşı koruma sağlar.

Sonuç olarak, DNS tabanlı avcılık, etkili bir siber güvenlik stratejisinin ayrılmaz bir parçasıdır. Kötü amaçlı aktivitelerin tespit edilmesi, DNS trafiğinin sürekli izlenmesi ve doğru yapılandırmaların yapılması ile mümkün olur. Yanlış yapılandırmalar ve mevcut zafiyetler karşısında ise hızlı ve etkin savunma mekanizmaları geliştirilmelidir.