CyberFlow Logo CyberFlow BLOG
Soc L2 Threat Hunting Hipotez

HTTP/HTTPS Trafik Analizi ile Siber Tehdit Avı

✍️ Ahmet BİRKAN 📂 Soc L2 Threat Hunting Hipotez

HTTP ve HTTPS trafikteki tehditleri anlamak için analizi öğrenin. Siber güvenliğinizi artırmak için gereken bilgileri edinin.

HTTP/HTTPS Trafik Analizi ile Siber Tehdit Avı

HTTP ve HTTPS trafik analizi, siber tehditlerin tespiti için kritik bir süreçtir. Bu blog, bu yöntemlerin detaylarını sunarak güvenlik analistlerine rehberlik ediyor.

Giriş ve Konumlandırma

HTTP ve HTTPS, web trafiğini iletmek için kullanılan temel iletişim protokolleridir. Http (Hypertext Transfer Protocol), internet üzerindeki veri iletim standartlarını belirlerken, HTTPS (HTTP Secure), bu protokolün şifrelenmiş versiyonudur ve veri güvenliğini ön planda tutar. HTTPS kullanımı, web kullanıcılarının gizliliğini koruma amaçlı olarak önemli bir araç haline gelmiştir. Ancak, bu şifreleme güvenilirlik sağlasa da, siber güvenlik alanında tehdit avcıları için çeşitli zorluklar da beraberinde getirir.

HTTP/HTTPS Analizinin Önemi

HTTP/HTTPS trafik analizi, sisteme yönelik tehditlerin tespit edilmesi açısından kritik bir önem taşır. Web trafiği analizi, genellikle şüpheli aktivitelerin ve potansiyel saldırıların tespitine yönelik ilk adımdır. Siber güvenlik uzmanları bu verileri analiz ederek, kötü niyetli kullanıcıların sisteme zarar vermeden önce tespit edilmesine yardımcı olurlar. Analizler sadece otomatik sistemler tarafından değil, aynı zamanda deneyimli analistler tarafından da yapılabilir.

Analiz edilen veriler arasında URL'ler, başlıklar, kullanıcı arayüzü bilgilendirmeleri ve yanıt durumları gibi öğeler bulunur. Örneğin, şüpheli URL’ler, anormal kullanıcı arayüzü (User-Agent) bilgileri ve tekrarlayan istekler, bir güvenlik uzmanının dikkat etmesi gereken önemli noktalar arasındadır.

Siber Güvenlik, Pentesting ve Savunma Açıdan Bağlam

Siber güvenlik, günümüzde organize suçlardan bireysel hırsızlıklara kadar geniş bir yelpazede tehditler barındırmaktadır. Pentest (penetrasyon testi) sürecinin bir parçası olarak HTTP/HTTPS trafiğinin analizi, organizasyonların güvenlik açıklarını belirlemelerine ve mühendislik süreçlerini geliştirmelerine olanak tanır. Bu bağlamda, savunma mekanizmalarının geliştirilmesi de bir o kadar önemlidir. HTTPS kullanılan sistemlerde yalnızca içerik analizi yapmak zorlaşmakla kalmaz, aynı zamanda şifrelenmiş trafik nedeniyle birçok güvenlik önlemi de risk altına girebilir.

Tehdit Avı İhtiyacı

Sistemlere yönelik saldırılar genellikle gizli bir şekilde yürütülür. Üzerinde çalışılan verilerin şifrelenmesi, saldırganların bu verileri normal trafik arasında gizlemesine olanak tanır. Bu nedenle, siber güvenlik uzmanlarının HTTP/HTTPS trafik analizinde dikkate alması gereken davranış özelliklerini tanımlamak önem kazanmaktadır. Davranışsal analiz, analistlerin şüpheli aktiviteleri gözlemlemesini sağlar. Örneğin, "beaconing" (periyodik istekler) yapan bir süreç, siber tehditlerin belirlenmesine yardımcı olabilir.

Zorluklar ve Stratejiler

HTTPS trafiğinin şifrelenmiş yapısı, içerik analizi yapılamadığı için büyük bir zorluk teşkil etmektedir. Ancak, siber güvenlik ekipleri bu zorlukların üstesinden gelecek çeşitli stratejiler geliştirmiştir. Çok yüksek hacimli veri trafiği ve false positive (yanlış pozitif) tespitlerin sıklığı, analistlerin işini zorlaştırmaktadır. Bu tür zorlukları aşmak için veri toplama, analiz ve şüpheli davranışları tespit etme becerilerinin geliştirilmesi gerekmektedir.

Siber güvenlik analistleri, HTTP/HTTPS verilerini analiz ederek çoğu zaman komut ve kontrol (C2) sunucuları ile veri sızdırma aktivitelerini ortaya çıkarabilir. SOC (Güvenlik Operasyon Merkezi) L2 analistleri, bu süreçte kritik bir rol üstlenmektedir. Analistler, web trafiğini sürekli izleyerek gelen tehditleri belirlemek ve organizasyonun güvenlik seviyesini artırmak için çalışırlar.

Bu blog yazısının devamında, HTTP/HTTPS analizi ile tehdit avına dair önemli ayrıntılara girecek ve örneklerle konuyu derinlemesine ele alacağız. Bu süreçte teknik bilgiyi artırmak ve pratikte nasıl uygulandığını görmek için hazırlıklı olun.

Teknik Analiz ve Uygulama

HTTP ve HTTPS, web trafiğini iletmek için kullanılan temel protokollerdir. Siber güvenlik bağlamında, bu protokollerin analizi, şüpheli etkinliklerin tespit edilmesi ve potansiyel tehditlerin avlanması açısından kritik öneme sahiptir. Bu bölümde, HTTP ve HTTPS trafiğinin analizi üzerinde durarak, siber tehdit avı süreçlerinin nasıl gerçekleştirileceğine dair teknik bilgileri aktaracağız.

HTTP ve HTTPS: Temel Tanımlar

HTTP (Hypertext Transfer Protocol) veri iletiminde kullanılan düz metin tabanlı bir protokoldür. HTTPS (Hypertext Transfer Protocol Secure) ise HTTP'nin güvenli versiyonudur; verilerin şifrelenmesi yoluyla iletim sırasında güvenliği artırır. HTTPS, SSL/TLS protokolleri kullanarak veri bütünlüğünü ve gizliliğini sağlar. Bu nedenle, HTTPS trafiği analizi daha karmaşık hale gelir, zira içerik üzerinde doğrudan analiz yapmak genellikle mümkün değildir.

Analiz Edilen Veriler

HTTP/HTTPS analizi için odaklanmamız gereken belli başlı veriler bulunmaktadır:

  • URL: Hedef web adresi, şüpheli bir aktiviteyi veya kötü niyetli bir bağlantıyı belirlemek için incelenir.
  • HTTP Başlıkları: İstemci ve sunucu arasındaki iletişimi belirten veriler. Örneğin, User-Agent başlığı, istemcinin kimliğini gösterir ve anormal taleplerin tespiti için kullanılabilir.
  • Yanıt Durumu: Sunucunun isteklere yanıt olarak dönmesiyle ilgili durum kodları (özellikle 4xx ve 5xx kodları) izlenmelidir.

Örnek: HTTP Başlıklarının İncelenmesi

Aşağıdaki örnek, bir HTTP isteğinin başlıklarını gösterir:

GET /index.html HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Bu başlıklardaki bilgileri analiz ederek, normal ve şüpheli davranışları ayırt etmek mümkündür.

Davranış Özellikleri ve Şüpheli Aktiviteler

Siber tehdit avında dikkat edilmesi gereken birkaç önemli davranış özelliği vardır:

  • Şüpheli URL'ler: Bilinmeyen veya anormal alan adları.
  • Strange User-Agent: Normalde kullanılmayan veya sahte görünen istemci bilgileri.
  • Tekrarlayan İstekler: Aynı URL'ye yapılan aşırı sayıda istek, olası bir tarama veya DoS saldırısını gösterebilir.
  • Beaconing HTTP: Periyodik olarak sunucuya yapılan istekler, kötü niyetli yazılımların varlığını gösterebilir.

Beaconing HTTP Örneği

Beaconing, zararlı yazılımlar tarafından sıkça kullanılan bir tekniktir. Örneğin, kötü niyetli bir yazılımın her saat başı belirli bir URL’ye istek göndermesi:

GET /malicious-beacon HTTP/1.1
Host: malicious.example.com
User-Agent: MyMalware/1.0

Bu tür aktiviteler, saldırganların kontrol alanındaki sunucuları ile sürekli bilgi alışverişi yapması anlamına gelir.

Zorluklar ve Avantajlar

Siber güvenlik uzmanları, HTTP/HTTPS analizi sırasında çeşitli zorluklarla karşılaşabilir. Özellikle:

  • Şifreli Trafik: HTTPS, içeriğin şifrelenmesi nedeniyle içerik analizi yapmakta zorlanmanıza neden olabilir.
  • Büyük Veri Hacmi: Web trafiği genellikle büyük miktarda veri içerir. Bu, analiz sürecini karmaşıklaştırabilir ve yanlış pozitif sonuçlar doğurabilir.
  • Göz Ardı Edilen Davranışlar: Saldırganlar, normal trafiğin içine gizlenerek davranışlarını kamufle edebilir.

SOC L2 Final Süreci

Siber güvenlik ortamlarında, ikinci seviye güvenlik operasyonu merkezi (SOC L2) analistleri, bu tür analizi gerçekleştirmekle sorumludur. SOC L2 analistleri, HTTP/HTTPS verilerini inceleyerek, Command and Control (C2) sunucularını ve veri sızdırma aktivitelerini tespit ederler. Analistlerin dikkat etmesi gereken unsurlar arasında, yukarıda bahsedilen şüpheli URL’ler, anormal istemci bilgileri ve tekrarlayan istekler yer almaktadır.

Bu noktada, analistlerin belirli bir prosedürü takip ederek web trafiğini nasıl değerlendirdiği de önemlidir. Anahtar kelime, "veri toplama ve analiz yapma" süreçleri üzerinedir. Analiz sonucunda, şüpheli aktivitelerin tespiti durumunda uygun yanıt ve müdahale stratejileri uygulanmalıdır.

HTTP/HTTPS trafik analizi, siber tehdit avının kritik bir parçasıdır ve bu süreçte elde edilen bulgular, sisteme uygulanacak güvenlik önlemlerinin belirlenmesine yardımcı olur. Bu nedenle, bu analizin özenle gerçekleştirilmesi gerekmektedir.

Risk, Yorumlama ve Savunma

HTTP/HTTPS Trafik Analizi ve Risk Değerlendirmesi

Siber güvenlik alanında HTTP ve HTTPS trafiğinin analizi, potansiyel tehditlerin tespit edilmesi ve değerlendirilmesi açısından kritik bir öneme sahiptir. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayacak, yanlış yapılandırmalar veya zafiyetlerin olası etkilerini açıklayarak, profesyonel önlemler ve hardening önerileri sunacağız.

Elde Edilen Bulguların Güvenlik Anlamı

HTTP (HyperText Transfer Protocol) ve HTTPS (HTTP Secure), web trafiğini iletmek için kullanılan protokollerdir. HTTPS, HTTP'nin şifrelenmiş versiyonudur ve veri güvenliğini sağlamada önemli bir rol oynar. HTTP/HTTPS analizi sırasında elde edilen veriler, şüpheli aktivitelerin belirlenmesi için kullanılabilir. Özellikle, anormal istemci tanımlamaları, bilinmeyen alan adlarına yapılan istekler ve tekrarlayan istekler gibi davranışlar, potansiyel tehditleri işaret edebilir.

Örneğin, belirli bir IP adresinden sürekli olarak farklı kullanıcı ajanları (User-Agent) ile istek yapılması durumu, saldırgan bir aktiviteyi gösterebilir. Bu tür veriler, saldırının zamanlaması ve hedeflenecek alanlar hakkında bilgi sunma açısından değerlidir.

Şüpheli URL: http://example.com/malicious
Kullanıcı Ajanı: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36
Tekrarlayan İstek Sayısı: 100

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, HTTP ve HTTPS trafiğinin analizi sırasında sıklıkla karşılaşılan bir sorundur. Örneğin, HTTPS için gerekli olan SSL/TLS sertifikalarının eksikliği veya yanlış yapılandırılmış güvenlik ayarları, veri sızıntılarına karşı ciddi bir risk oluşturur. Hatalı yapılandırmalar, saldırganların iletişim trafiğine erişim sağlamasına yol açabilir.

Özellikle, açık bir ara katman (man-in-the-middle) saldırısı, HTTPS bağlantılarının güvenliğini ihlal edebilir. Sertifikaların yetersiz kontrolü, kullanıcı ve sunucu arasındaki veri alışverişinin kötü niyetli bir saldırgan tarafından ele geçirilmesine olanak tanır. Bu bağlamda, gerekli sertifikaların ve yapılandırmaların güncellenmesi hayati önem taşır.

Sızan Veri, Topoloji ve Servis Tespiti

HTTP/HTTPS trafik analizi, yalnızca tehditlerin tespit edilmesiyle sınırlı değildir; aynı zamanda sızan verilerin, ağ topolojisinin ve sunucuların belirlenmesine de yardımcı olur. Örneğin, bir saldırı sonrasında sızdırılan veriler analiz edildiğinde, hangi veri noktalarının koruma altına alınmadığı ve hangi sistemlerin hedef alındığı hakkında net bir resim elde edilir.

Çeşitli veritabanları ve sunucular için yapılan trafik analizi, hangi servislerin daha fazla saldırıya uğradığını ve hangi yolların daha sık kullanıldığını belirlemeye yardımcı olur. Örneğin, belirli bir servisin (örneğin, bir API) sürekli olarak istek aldığı gözlemleniyorsa, bu durum o servisin hedef alındığı anlamına gelebilir.

Topoloji:
- Sunucu IP: 192.168.0.10 (Web Sunucusu)
- Veri Tabanı IP: 192.168.0.11 (SQL Sunucusu)

Profesyonel Önlemler ve Hardening Önerileri

HTTP/HTTPS trafiği üzerinde yapılan analizlerin ardından atılacak adımlar, organizasyonun siber güvenlik seviyesini önemli ölçüde artırabilir.

  1. SSL/TLS Sertifikalarının Kontrolü: Tüm sistemlerde güncel ve geçerli SSL/TLS sertifikalarının kullanılması gerekmektedir. Hatalı yapılandırmaların ve süresi dolmuş sertifikaların düzeltilmesi önemlidir.

  2. Web Uygulama Güvenlik Duvarları (WAF): Web uygulamaları üzerinde ek koruma sağlamak için WAF kullanmak, bilinen saldırıların önüne geçmeye yardımcı olabilir.

  3. Log Yönetimi: Trafik loglarının detaylı bir şekilde tutulması, analiz edilmesi ve gerektiğinde bu verilerin incelenmesi, tehdidi anlama ve ortadan kaldırmada kritik bir adımdır.

  4. Güvenlik Testleri: Düzenli aralıklarla yapılan penetrasyon testleri, sistemdeki zafiyetlerin tespit edilmesine yardımcı olur ve güvenlik seviyesinin yükseltilmesini sağlar.

  5. Eğitim: Çalışanların siber güvenlik konusunda düzenli olarak eğitilmesi, insani hataların önüne geçilmesini sağlayarak, sosyal mühendislik saldırılarına karşı farkındalığı artırır.

Sonuç

HTTP/HTTPS trafik analizi, siber tehditlerin tespitinde önemli bir yöntemdir. Yanlış yapılandırmalar ve zafiyetlerin neden olduğu risklerin belirlenmesi, uygun önlemlerin alınmasıyla azaltılabilir. Gerekli savunma mekanizmalarının hayata geçirilmesi, organizasyonların güvenlik düzeyini artıracak ve siber tehditlere karşı daha dirençli hale getirecektir.