CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

DoH ve DoT ile C2 İletişiminin Kryptografi Temelleri

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

DoH (DNS-over-HTTPS) ve DoT (DNS-over-TLS) ile C2 iletişimini derinlemesine ele alıyoruz. Siber güvenlikte bu protokollerin önemi.

DoH ve DoT ile C2 İletişiminin Kryptografi Temelleri

Bu yazıda DoH ve DoT protokollerinin C2 iletişimindeki rolünü keşfedeceğiz. Siber tehditlere karşı bu iki teknolojinin nasıl kullanıldığını öğrenin.

Giriş ve Konumlandırma

Siber uzayda iletişim güvenliği, her geçen gün daha da önem kazanan bir konu olmuştur. Bu bağlamda, DoH (DNS-over-HTTPS) ve DoT (DNS-over-TLS) protokolleri, saklı kalmak isteyen siber saldırganlar için çarpıcı bir seçenek sunar. Her iki protokol de DNS sorgularını şifreleyerek iletme yöntemleri sunar ve bu, özellikleri itibarıyla geleneksel DNS sistemlerine oranla daha fazla gizlilik ve güvenlik sağlar. Özellikle, tehdit aktörleri Command and Control (C2) iletişimlerinde DoH ve DoT kullanarak, ağda meşru HTTPS trafiği gibi görünme avantajından yararlanmaktadırlar.

DoH ve DoT Nedir?

DoH, DNS sorgularını standart 53 numaralı port yerine, HTTPS protokolü üzerinden (genellikle 443 numaralı port) şifreli bir biçimde iletir. Bu durum, DNS sorgularının trafiğini büyük ölçüde gizler, zira normal web trafiği ile karışarak, kullanıcıların ağ üzerindeki izleme faaliyetlerini zorlaştırır. DoT ise DNS sorgularını, genellikle özel bir port olan 853 üzerinden TLS katmanı ile şifreler. Bu iki protokol, kullanılacakları platformlar ve sağladıkları gizlilik açısından farklılık gösterir.

Birçok organizasyon için kritik olan DNS sorgularının güvenliği, siber güvenlik stratejilerinin belkemiği haline gelmiştir. Kötü niyetli aktörler, bu iki protokolün sağladığı avantajlar sayesinde, daha hızlı ve daha etkili bir biçimde ağları istila etme girişiminde bulunabilirler. Nitekim, DoH ve DoT trafikleri, geleneksel DNS filtre sistemleri tarafından engellenemez veya izlenemez hale gelmiştir.

Neden Önemli?

C2 iletişimlerinde DoH ve DoT kullanımı, siber saldırganların aktivitelerinin daha zor tespit edilmesi anlamına gelir. Saldırılar, DoH가 meşru bir HTTPs trafiği olarak algılanması sebebiyle, geleneksel güvenlik önlemlerini aşmayı hedefler. Ayrıca, bu protokoller üzerinden yapılan DNS sorguları, güvenlik girdaplarında kaybolur ve bu da savunma mekanizmalarının etkinliğini düşürür.

Siber güvenlik uzmanları için DoH ve DoT, sadece tehditleri tespit etme değil, aynı zamanda bu tehditlere karşı etkili önlemler alma konularında da bir dikkate alma boyutu sunmaktadır. Güvenlik uzmanları, potansiyel tehditleri belirlemek için DoH ve DoT'yi spekülatif olarak değil, analizlerinin temel taşları olarak değerlendirmelidir. Bu noktada, güvenli ağ yapıları inşa etmek için gereken bilgilere erişim sağlamak kritik öneme sahiptir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlamlandırma

Etkin siber güvenlik stratejileri oluşturmak, var olan riskleri anlamak ve fırsatları değerlendirirken, DoH ve DoT gibi protokollerin kullanımını analiz etmek şarttır. Penetrasyon testleri (pentest) sırasında, siber güvenlik uzmanları, potansiyel zafiyetleri keşfetmek ve raporlamak amacıyla DoH ve DoT trafiğini incelemek durumundadırlar. Bununla birlikte, mevcut savunma sistemleri, bu tür trafiği tespit etmekte zorlanabilir ve bu durum, zararlı yazılımların üst düzey bir sızma gerçekleştirmesine neden olabilir.

Gelecekte, ağ yöneticileri ve sistem analistleri için DoH ve DoT gibi protokollerin incelenmesi, siber savunma tekniklerinin kapsamını genişletecektir. Savunma stratejilerinin yanı sıra, saldırı yüzeyini anlamak ve bu yüzeydeki zafiyetleri minimize etmek bilgi güvenliğinin temel öğelerindendir. Elde edilen teknik bilgilere dayanarak, analizler ve raporlar oluşturulmalıdır.

Sonuç

DoH ve DoT, siber güvenlik uzmanları için önemli ve karmaşık konular arasında yer almaktadır. Kötü niyetli aktörlerin bu protokolleri kullanarak gizli iletişim sağlama çabaları, güvenlik analistlerini bu alanda daha fazla bilgi edinmeye yönlendirmektedir. Uzmanlar, bu geçiş dönemini anlamak ve siber güvenlik stratejilerini geliştirmek için gereken bilgi ve deneyimi edinmelidir. Kapsamlı bir anlayış geliştirerek, siber savunmanın en güncel tehditler karşısında etkinliğini artırmak mümkündür.

Bundan sonraki bölümlerde DoH ve DoT’nin çalışma mekanizmaları, güvenlik tehditleri ile baş etme yöntemleri ve bunlara dair veri analizi süreçlerine odaklanılacaktır.

Teknik Analiz ve Uygulama

DoH ve DoT: Temel Tanımlar ve Karşılaştırma

Geleneksel DNS (Domain Name System) protokolleri, UDP üzerinden gerçekleştirilen standart sorgulamalar ile çalışır ve bu da veri trafiğinin açık olmasına neden olur. Bu durum, ağ yöneticileri tarafından kolaylıkla izlenebilir ve saldırganlar tarafından kötüye kullanılabilir. DNS-over-HTTPS (DoH) ve DNS-over-TLS (DoT) ise bu açığı kapatmak için geliştirilmiş iki farklı yöntemdir.

DoH, DNS sorgularının HTTPS protokolü üzerinden şifrelenmesi yoluyla iletilmesini sağlar. Bu, DNS trafiğinin port 443 (HTTPS) üzerinden gönderilmesi anlamına gelir ve böylece bu trafik, standart web trafiği ile karışarak geleneksel DNS filtrelerini aşabilir.

DoT ise DNS sorgularının TLS katmanı üzerinden şifrelenerek iletilmesidir. Genellikle özel bir port olan 853 üzerinden çalışır. DoT, daha kolay bir tespit sürecine sahiptir; çünkü ağ yöneticileri bu özel portu izleyerek DoT trafiğini tespit edebilir.

Saldırganların Tercih Nedenleri

Saldırganlar, DoH veya DoT gibi şifreli DNS protokollerini, Command-and-Control (C2) iletişimlerinde kullanmayı tercih ederler. Bunun temel sebebi, bu trafiğin meşru bir HTTPS trafiği gibi görünmesidir. Bu durum, güvenlik önlemleri (örneğin, DNS Sinkhole çözümleri) açısından sorun yaratmaktadır; çünkü bu tür güvenlik çözümleri, şifreli trafiği gözlemleyemez. Yani, doH veya DoT kullanımı, saldırganların tespit edilme olasılığını azaltmak için ideal bir yöntem haline gelir.

DoH İletişim Akışı

Bir zararlı yazılımın, DoH üzerinden C2 adresine ulaşması için belirli adımlar izlemesi gerekmektedir. Genel akış şu şekildedir:

  1. DNS Sorgusu Oluşturma: Zararlı yazılım, hedef C2 sunucusunun IP adresini öğrenmek için bir DNS sorgusu oluşturur.
  2. Sorgunun Gönderilmesi: DNS sorgusu, SSL/TLS katmanı üzerinden şifrelenerek DoH sağlayıcısına iletilir.
  3. Cevap Alma: DoH sağlayıcısı, sorguya karşılık gelen şifreli IP adresini geri döner.
  4. Şifre Çözme: Zararlı yazılım, bu şifreli cevabı alır ve çözerek hedefine yönelir.

Bilinen DoH Sağlayıcıları

Farklı DoH sağlayıcıları, kullanıcıların güvenli bir şekilde DNS sorguları yapmalarına olanak tanır. İşte bazı popüler DoH sağlayıcıları:

  • Cloudflare: https://1.1.1.1/dns-query
  • Google: https://dns.google/dns-query
  • Quad9: https://dns9.quad9.net/dns-query

Bu sağlayıcılar, güçlü bir güvenlik altyapısına sahip oldukları için sıkça tercih edilmektedir.

Ağ İzi: DoT (DNS-over-TLS) Trafiği Takibi

Güvenlik uzmanları, ağda gerçekleşen DoT trafiğini yakalamak için çeşitli araçlar kullanabilirler. Tshark, bu noktada oldukça yararlıdır. Aşağıda, DoT trafiğini yakalamak için kullanılabilecek örnek bir komut yer almaktadır:

tshark -Y "tcp.port == 853"

Yukarıdaki komut, ağ üzerinde Port 853 üzerinden gerçekleşen tüm TCP trafiğini izlemeyi sağlar. Bu şekilde, DoT trafiği hakkında bilgi toplamak mümkün olacaktır.

Canary Domain Tekniği

Kurumlar, tarayıcıların otomatik olarak DoH'a geçmesini engellemek için "kanarya domainler" kullanmaktadır. Bu domainler, doğrudan ağ trafiğini gözlemlemek için özel olarak tasarlanmıştır. Örneğin, use-application-dns.net gibi alan adları, tarayıcılara DoH kullanmamaları için bir sinyal verir.

SOC L2 Pratiği: DoH Tespiti

Blue Team analistleri, DoH tabanlı zararlı yazılımlara karşı belirli stratejiler geliştirmelidir. Normal dışı trafik hacimlerini izlemek için bilinen DoH servislerine giden trafiği takip etmeleri önem arz eder. Yetkisiz DoH kullanımını tespit ettiklerinde uygulanması gereken adımlar şunlardır:

  1. Olay Tespiti: Yetkisiz DoH son noktalarının tespit edilmesi.
  2. Engelleme: Bu son noktalara yönlendiren IP adreslerinin engellenmesi.
  3. İç DNS’in Uygulanması: Kuruluş içi DNS politikalarının güçlendirilmesi.

Sonuç olarak, DoH ve DoT gibi modern yöntemler, siber güvenlik alanında ciddi bir tehdit oluşturmaktadır. Bu protokoller, özellikle C2 iletişiminde kullanılan yeni nesil zararlı yazılımlar tarafından istismar edilmektedir. Bu nedenle, uygun tespit ve yanıt mekanizmalarının geliştirilmesi, ağ güvenliğinin sağlanması açısından büyük önem taşımaktadır.

Risk, Yorumlama ve Savunma

Günümüzde siber tehditler, kurumsal sistemlerin güvenliğini tehdit eden giderek daha sofistike tekniklerle ortaya çıkıyor. Özellikle Command and Control (C2) iletişiminde kullanılan DNS-over-HTTPS (DoH) ve DNS-over-TLS (DoT) protokolleri, saldırganlar tarafından tercih edilen araçlar haline gelmiştir. Bu sectionda, bu protokollerle ilişkili olarak oluşan risklerin yorumlanması ve gereken savunma mekanizmalarının belirlenmesi ele alınacaktır.

Elde Edilen Bulguların Güvenlik Anlamı

DoH ve DoT, geleneksel DNS sorgularını şifreleyerek ileten protokollerdir. Bu durum, ağ trafiğinin görünürlüğünü azaltmakta ve DNS sorgularının izlenmesini zorlaştırmaktadır. Ancak bu özellikler, aynı zamanda kötü niyetli kullanıcılar tarafından kullanıldığında ciddi riskler de barındırmaktadır. Örneğin, bir zararlı yazılımın DoH protokolü üzerinden C2 sunucusuna gönderdiği DNS sorguları, standart güvenlik önlemleri tarafından fark edilmeden geçebilir.

Ağda bu tür trafiğin tespit edilmesi için analiz araçları kullanılabilir. Aşağıdaki komut, DoT trafiğini TShark ile izlemek için kullanılmaktadır:

tshark -Y tcp.port == 853

Bu komut, DoT ağ trafiğini tespit etmek için faydalı bir başlangıç ​​noktasıdır.

Yanlış Yapılandırma Veya Zafiyetlerin Etkisi

DoH ve DoT kullanımı, yanlış yapılandırıldığı takdirde ciddi güvenlik açıklarına yol açabilir. Örneğin, bir ağ yöneticisi yanlışlıkla DNS sorgularını dışa aktaran bir DoH sunucusuna yönlendirme yaparsa, bu durum siber saldırıya dönüşebilir. Ayrıca, bir DoH veya DoT sunucusunda yaşanan bir zafiyet, bu protokollerin sağladığı gizliliği tehlikeye atabilir. Saldırganlar, zayıf bir yapının üzerinden iç ağa sızma girişiminde bulunabilir.

Sızan Veri, Topoloji ve Servis Tespiti

C2 iletişiminin riskleri arasında, hassas bilgilerin sızması, sistem topolojisinin ortaya çıkması ve kullanıcı hizmetlerinin tespiti yer almaktadır. Örneğin, bir zararlı yazılımın DoH üzerinden bir C2 sunucusuyla iletişim kurması, kötü niyetli bir kullanıcının bağlı olduğu ağın tüm topolojisini öğrenmesine olanak tanıyabilir. Bu nedenle, ağ yöneticilerinin kullanıcılarının DNS sorgularını dikkatle izlemeleri ve bu tür etkinlikleri proaktif bir şekilde engellemeleri önemlidir.

Profesyonel Önlemler ve Hardening Önerileri

Ağların DoH ve DoT gibi protokollere karşı dayanıklılığını arttırmak için çeşitli önlemler alınabilir:

  1. DNS Sunucusu Yapılandırması: Kurumların, DNS sunucu yapılandırmalarını gözden geçirmeleri ve yalnızca güvenilir DoH sağlayıcılarını kullanmaları önerilir. Ayrıca, tanınmayan DoH sunucularına erişimi kısıtlamak da önemlidir.

  2. Ağ İzleme ve Anomalilerin Tespiti: DoH ve DoT trafiğinin izlenmesi için özel olarak tasarlanmış sistemlerin kurulumunu sağlamak, potansiyel tehditlerin erkenden tespit edilmesini kolaylaştırır. Ağdaki anormal trafik artışlarını takip etmek, hızlı müdahale için kritik öneme sahiptir.

  3. Eğitim ve Bilinçlendirme: Kullanıcılara, DoH ve DoT’in potansiyel riskleri hakkında eğitim verilmesi, kurumsal güvenliği artıracaktır. Zafiyetlere karşı farkındalık oluşturarak, kullanıcıların zararlı yazılımların bilincinde olmasını sağlamak kritik bir adımdır.

  4. Kullanıcı Erişim Kontrolleri: Yetkisiz DoH ve DoT kullanımlarını önlemek için, gerekirse iç DNS yapılandırmasının zorunlu kılınması ve yalnızca güvenilir sunuculara izin verilmesi önerilir.

Sonuç Özeti

DoH ve DoT protokollerinin kullanımı, günümüzde siber güvenlik üstündeki riskleri artırmaktadır. Bu protokoller, saldırganlar için meşru trafiğin arkasına saklanma imkanı sunarken, yanlış yapılandırmalar ciddi zafiyetlere yol açabilir. Ağ yöneticilerinin, bu protokollere karşı proaktif bir güvenlik stratejisi geliştirmesi ve gerekli önlemleri alması elzemdir. Eğitim, izleme ve yapılandırma yalnızca kurumların güvenliğini artırmakla kalmayacak, aynı zamanda siber tehditlere karşı dikkatli olmalarını sağlayacaktır.