CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Fast-Flux ve Domain Shadowing Teknikleri: Ağ İzlerinin İncelenmesi

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Fast-Flux ve Domain Shadowing tekniklerinin ağ üzerindeki izleri ve bu izlerin nasıl analiz edileceği hakkında kapsamlı bir rehber.

Fast-Flux ve Domain Shadowing Teknikleri: Ağ İzlerinin İncelenmesi

Siber tehditlerin tespiti ve analizi açısından önemli olan Fast-Flux ve Domain Shadowing tekniklerini keşfedin. Bu makalede, bu tekniklerin ağ üzerindeki izlerini ve analiz yöntemlerini öğreneceksiniz.

Giriş ve Konumlandırma

Fast-Flux ve Domain Shadowing Teknikleri: Ağ İzlerinin İncelenmesi

Günümüzün dijital dünyasında, siber tehditler giderek daha karmaşık hale gelmekte ve saldırganlar, varlıklarını gizlemek için çeşitli teknikler kullanmaktadır. Bu tekniklerin başında Fast-Flux ve Domain Shadowing gelmektedir. Her iki yöntem de, siber güvenlik uzmanlarının savunma sistemlerini aşmayı amaçlar ve bununla birlikte, kötü niyetli etkinliklerin tespit edilmesi hedeflenmektedir. Bu yazıda, bu iki teknik üzerinde yoğunlaşarak, ağ izlerinin incelenmesine dair önemli bilgiler sunulacaktır.

Fast-Flux Mantığı

Fast-Flux, siber saldırganların tek bir alan adına sürekli olarak değişen IP adresleri atadığı bir yapı olarak tanımlanabilir. Bu teknik, özellikle botnet altyapılarında, komut kontrol (C2) sunucularının gerçek yerlerini gizlemek için kullanılır. Fast-Flux etkinlikleri, alan adının kararlılığını artırarak, güvenlik duvarları ve ağ izleme sistemlerini atlatmak amacıyla uzun süreli erişilebilirlik sağlamaktadır.

Fast-Flux'ın en tipik ağ izi, DNS yanıtlarındaki TTL (Time To Live) değerinin anomali derecesinde düşük olmasıdır. Örneğin, TTL değeri genellikle birkaç saniye ile sınırlıdır (3-5 saniye gibi). Bu durum, saldırganların IP adreslerini sürekli değiştirdiğini ve potansiyel olarak kötü niyetli bir etkinlikte bulunduğunu gösterir.

tshark -Y 'dns.resp.ttl < 30'

Yukarıdaki komut, DNS yanıtlarındaki TTL değeri 30 saniyenin altında olanları listeleyerek, Fast-Flux etkinliklerini tespit etmeye yardımcı olur.

Domain Shadowing Tanımı

Domain Shadowing ise, saldırganların güvenilir bir kurumun DNS hesaplarını ele geçirerek, ana alan adına dokunmadan gizlice binlerce zararlı alt alan adı oluşturması olarak tanımlanır. Bu, özellikle meşru bir alan adı altında gizli bir şekilde kötü niyetli faaliyetler yürütme amacı taşır. Örneğin, bir saldırgan "example.com" alan adı altında "malicious.example.com" gibi alt alanlar oluşturabilir.

Domain Shadowing'in temel avantajı, ana alan adı güvenilir kabul edildiği için, güvenlik yazılımının bu alan adını engellememesidir. Sadece görünmeyen ve kötü niyetli alt alan adları ile çalıştığı için, kullanıcılar bu durumu fark edememekte ve zarar görebilmektedir.

Trafik Anomalileri ve Tespit Yöntemleri

Fast-Flux ve Domain Shadowing gibi tekniklerin tespit edilmesi, siber güvenlik uzmanları için kritik önem taşır. Bu tekniklerin ortaya çıkarılması adına, DNS ve proxy günlüklerinde belirli karakteristik izler aramak gerekmektedir. Örneğin, yüksek miktarda alt alan adı trafiği, daha önce ziyaret edilmemiş alan adlarına aniden gelen istekler, veya kısa TTL değerleri gibi anomalilerin analizi, saldırganların ortaya çıkarılması için kullanılabilecek yöntemlerdir.

Bir Blue Team analisti, pcap veya DNS loglarında TTL değerleri üzerinde çalışarak, şüpheli etkinlikleri tespit etme şansına sahip olabilir. Ayrıca, Domain Shadowing şüphesinde belirli aksiyon sıralarını izleyerek, tehditleri önceden tahmin edebilir ve gerekli müdahaleleri gerçekleştirebilir.

Siber güvenlik dünyası sürekli olarak gelişmekte ve katmanlı savunma mekanizmaları ile bu tür tehditlere karşı koyulmaktadır. Dolayısıyla, Fast-Flux ve Domain Shadowing gibi tekniklerin detaylı incelenmesi, güvenlik uzmanları ve organizasyonlar için yaşamsal bir öneme sahip olmaktadır. Bu blogda, bu tekniklerin bir adım daha ötesine geçerek, ağ izlerinin nasıl incelendiği, analiz yöntemleri ve olası müdahale stratejileri üzerinde derinlemesine bir inceleme yapacağız.

Teknik Analiz ve Uygulama

Fast-Flux Mantığı

Fast-Flux, bir alan adına atanan IP adreslerinin hızla değiştiği bir tekniktir. Saldırganlar, bu yöntemle DNS yanıtında belirtilen IP adreslerini sürekli olarak güncelleyerek, hedefin gerçek lokasyonunu gizlemekte ve tespit edilmesini zorlaştırmaktadır. Bu teknik, genelde botnet altyapılarında komut kontrol (C2) sunucusunu gizlemekte kullanılır.

Fast-Flux ağlarının temel özelliği, düşük TTL (Time To Live) değerlerine sahip olmasıdır. Genellikle bu değer, DNS yanıtlarında 3-5 saniye gibi anomali derecesinde düşüktür. Bu durum, saldırganların güvenlik duvarlarını atlatmak için sürekli IP değişimi yapmasını mümkün kılar.

Kullanım Amacı

Fast-Flux'un temel amacı, ağın erişilebilirliğini artırmak ve tespit edilmekten kaçınmaktır. Saldırganlar, bir alan adına birden fazla IP adresi atarken, bu IP adreslerini de kısa süreliğine aktif tutarak güvenlik çözümlerini aşmayı hedefler. Bu işlem, saldırı sürecinin gizliliğini ve sürekliliğini sağlamaktadır.

Ağ İzi: Düşük TTL

Fast-Flux aktivitesinin en belirgin izi, DNS yanıtlarındaki TTL değerleridir. Düşük TTL değerleri, genellikle 30 saniyenin altında ölçülür ve bu da hızlı bir IP değişimi sürecinin göstergesidir. Bu tür anormal TTL değerlerinin tespit edilmesi, bir ağın güvenliği açısından dikkate alınması gereken önemli bir unsurdur.

# Tshark ile TTL değeri 30 saniyenin altında olan DNS yanıtlarını listeleme:
tshark -Y "dns.resp.ttl < 30"

Bu komut, ağ trafiğindeki DNS yanıtlarını analiz etmek için kullanılabilir. Uygulayıcı analist, düşük TTL değerleri gözlemlediğinde potansiyel Fast-Flux etkinliklerini sorgulamalıdır.

Fast-Flux Türleri

Fast-Flux, farklı topolojilere sahip birkaç varyant ile kendini göstermektedir:

  1. Single-Flux: Sadece hedef alan adının çözümlendiği A (IPv4) kayıtlarının hızlıca değiştiği yapıdır.
  2. Double-Flux: Hem A kayıtlarının hem de yetkili DNS sunucu (NS) kayıtlarının sürekli değiştiği, çökertilmesi oldukça zor olan bir yapıdır.
  3. Botnet Proxy Nodes: Ele geçirilmiş bilgisayarların IP adreslerinin kullanıldığı yönlendirme ağıdır.
  4. DGA Benzeri Yapı: Meşru alan adı altında rastgele üretilmiş uzun isimlerin görülmesi.
  5. Yüksek Subdomain Hacmi: Daha önce hiç ziyaret edilmemiş yüzlerce farklı alt alan adına aniden istek yapılması.
  6. Rotasyon (Rotation): Saldırganın her alt alan adını yalnızca birkaç kurban veya birkaç saat için kullanıp sonra silme yöntemidir.

Bu türlerin her biri, Fast-Flux'un uygulama biçimlerini değiştirebilir ve her biri farklı tespit yöntemleri gerektirebilir.

Domain Shadowing Tanımı

Domain Shadowing, saldırganların güvenilir bir kurumun DNS hesaplarını ele geçirip, ana alan adına dokunmadan gizlice binlerce zararlı alt alan adı oluşturması olarak tanımlanmaktadır. Bu teknik, meşru bir alan adının altında gerçekleştirilen saldırgan faaliyetlerini maskeliyor, böylece güvenlik çözümleri tarafından tespit edilmesi zorlaşır.

Shadowing Avantajı

Domain Shadowing kullanmanın temel avantajı, saldırganların güvenilir alan adları üzerinden zararlı etkinliklerini gerçekleştirmelerine olanak sağlamasıdır. Böylece, hedef sistemlerin ve kullanıcıların gözünde güvenilirlik kazanarak daha etkili bir saldırı imkânı doğmaktadır.

Trafik Anomalileri

Domain Shadowing tespitinde, ağ trafiği analizi kritik bir rol oynamaktadır. DNS ve proxy loglarında belirli karakteristik izlerin eşleştirilmesi, bu tür etkinlikleri tespit etmek için kullanılabilir. Örneğin, meşru bir alan adı altında anormal derecede fazla subdomain isteği, Domain Shadowing aktivitesinin bir göstergesi olabilir.

Tshark ile TTL Analizi

Tshark aracı kullanarak ağ trafiğindeki DNS yanıtlarını analiz etmek mümkündür. Aşağıdaki komut, ağda bulunan DNS yanıtlarının TTL değerlerini incelemek için kullanılabilir:

# DNS yanıtlarını analiz et
tshark -Y "dns.resp.ttl < 30"

Bu analiz, olası bir Fast-Flux veya Domain Shadowing etkinliğini belirlemede yardımcı olacaktır.

SOC L2 Pratiği: Tespiti

Blue Team analistleri, pcap veya DNS loglarındaki operasyonel yaklaşımını kullanarak, düşük TTL değerlerini ve yüksek subdomain hacimlerini analiz eder. Bu göstergeler üzerinden yapılan incelemeler, güvenlik ihlallerinin zamanında tespit edilmesine olanak tanır. Özellikle bir Domain Shadowing şüphesi oluştuğunda, periyodik log incelemeleri ile erken tespit sağlanmalıdır.

Olay Müdahalesi (IR)

Domain Shadowing veya Fast-Flux tespiti durumunda alınacak aksiyonlar şunlar olmalıdır:

  1. Tespit edilen anomalilerin analiz edilmesi.
  2. Şüpheli kaynakların azaltılması.
  3. Olayın detaylarının raporlanması ve gerekli merci ile paylaşılması.
  4. Davranışların takibi için sürekli izleme yapılarak önleyici tedbirlerin alınması.

Bu adımlar, bir güvenlik olayına yönelik etkili bir müdahale sürecinin uygulanmasına olanak sağlar.

Risk, Yorumlama ve Savunma

Fast-Flux ve Domain Shadowing teknikleri, siber saldırıların başarısını artırmak için saldırganlar tarafından yaygın olarak kullanılan yöntemlerdir. Bu başlık altında, bu tekniklerin ağ izleri, olası riskleri ve savunma stratejileri üzerine kapsamlı bir inceleme gerçekleştireceğiz.

Fast-Flux Tekniği ve Riskler

Fast-Flux, bir alan adına yönlendirilmiş birçok IP adresinin hızlı bir şekilde değiştirilmesi tekniğidir. Saldırganlar, botnet altyapıları kullanarak komut kontrol (C2) sunucularının gerçek konumunu gizlemek ve bu altyapının kesintisiz çalışmasını sağlamak amacıyla bu yöntemi uygularlar. Bu durum, güvenlik duvarlarının yanıltılması ve saldırıların daha zor tespit edilmesi anlamına gelir.

Fast-Flux etkinliğinin belirgin bir ağı izleme yolu, DNS yanıtlarının önbellek süresinin (TTL) anormal derecede düşük olmasıdır. Örneğin, TTL değeri genellikle 3-5 saniye gibi çok kısa bir süreye ayarlanarak, DNS kayıtlarının sürekli değişmesini sağlar. Bu durum, ağ yöneticileri için potansiyel bir tehdit olarak yorumlanmalıdır. Düşük TTL değerleri, genellikle saldırganların yüksek hızda değişen IP adreslerini daha iyi kullanmalarını sağlar ve bu da saldırıların tespit edilmesini zorlaştırır.

Ağ izleme amacıyla kullanılan bir diğer önemli araç olan Tshark kullanılarak DNS yanıtlarında TTL analizi yapılabilir:

tshark -Y "dns.resp.ttl < 30"

Bu komut, TTL değeri 30 saniyenin altında olan tüm DNS yanıtlarını listeleyecektir. Eğer ağın bu şekilde izlenmesi sırasında aşırı miktarda düşük TTL değeri görülüyorsa, bu durum Fast-Flux etkinliğinin bir göstergesi olabilir.

Domain Shadowing ve Yorumlama

Domain Shadowing, saldırganların meşru bir alan adını ele geçirerek, bu alan adı altında binlerce zararlı alt alan adı oluşturması yöntemidir. Birincil alan adı güvenilir olarak kabul edildiğinden engellenmezken, saldırganlar bu güveni kötüye kullanarak farklı zararlı aktivitelerde bulunabilir.

Domain Shadowing uygulamalarını tespit etmek için, DNS ve proxy kayıtlarında belirli karakteristik izler aramak önemlidir. Bu tür izler arasında, daha önce hiç ziyaret edilmemiş olan alt alan adlarına ortaya çıkan ani yüksek talepler ve kullanıcıların IP adreslerinin anormal değişiklikler göstermesi yer alır.

Örnek olarak, geliştirilen bir analiz aracı ile kullanıcıların alt alan adı taleplerine yönelik artışlar takip edilebilir:

import pandas as pd

# DNS loglarını yükle
dns_logs = pd.read_csv('dns_logs.csv')

# Alt alan adlarını gruplama
subdomain_counts = dns_logs['subdomain'].value_counts()

# Anormal yüksek talepleri tespit etme
high_volume_subdomains = subdomain_counts[subdomain_counts > threshold_value]
print(high_volume_subdomains)

Bu Python kodu, DNS loglarını analiz eder ve belirli bir eşiği aşan alt alan adı taleplerini tespit eder. Böylece, potansiyel olarak zararlı aktiviteler hakkında daha fazla bilgi edinilebilir.

Savunma Stratejileri ve Hardening

Fast-Flux ve Domain Shadowing karşısında uygulanabilecek profesyonel yöntemler arasında şu önlemler bulunmaktadır:

  1. DNS Güvenliği: Meşru kaynaklardan gelen DNS kayıtlarını sürekli olarak izlemek, sahte ve zararlı alan adı taleplerini tespit etmek için kritik öneme sahiptir. DNSSEC gibi güvenlik uzantılarının uygulanması önerilmektedir.

  2. Ağ İzleme: Ağa gelen ve giden trafiği izlemek ve analiz etmek için güvenlik bilgi ve olay yönetimi (SIEM) araçları kullanılmalıdır. Düşük TTL değerlerinin yanı sıra, kullanıcıların IP adreslerindeki anormal değişiklikler de izlenmelidir.

  3. Eğitim ve Farkındalık: İlgili güvenlik personelinin ve son kullanıcıların, bu tür saldırılar ve bunların tespit yöntemleri hakkında düzenli olarak eğitilmesi, siber güvenlik kültürünün güçlendirilmesi adına önemlidir.

  4. Hızlı Tepki Mekanizmaları: Şüpheli aktivitelerle karşılaşıldığında hızlı bir olay müdahale (IR) planı devreye alınmalı ve etkili iletişim sağlanmalıdır. Shadowing tespiti şüphesi oluştuğunda, alt alan adlarını bloke etmek ve alan adı sahibi ile derhal iletişime geçilmesi gereklidir.

Sonuç

Fast-Flux ve Domain Shadowing teknikleri, siber güvenlik alanında önemli tehdit unsurlarındandır. Bu tekniklerin tespiti, ağların güvenliği için kritik olup, sürekli izleme ve hızlı analiz gerektirmektedir. Etkili savunma stratejileri ile bu tehditlerle başa çıkmak mümkündür, ancak bunun için teknolojik araçlar ve insan faktörü arasında sağlam bir denge sağlamak gerekmektedir. Ağa yönelik isteklerin analiz edilmesi ve potansiyel anormal davranışların tespiti, başarılı bir siber güvenlik stratejisinin temel taşlarını oluşturur.