CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

ICMP Tünelleme ve Ağ İmzaları: Siber Güvenlikte Yeni Bir Tehlike

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

ICMP tünelleme, siber güvenlikte önemli bir tehdit oluşturan, veri gizleme ve gizli iletişim yöntemlerini inceleyeceğiz.

ICMP Tünelleme ve Ağ İmzaları: Siber Güvenlikte Yeni Bir Tehlike

Bu blogda ICMP tünellemenin ne olduğunu, ağ izlerini nasıl etkilediğini ve bu teknikle ilgili tespit yöntemlerini öğreneceksiniz. Güvenlik duvarlarını aşma yöntemlerini keşfedin!

Giriş ve Konumlandırma

Internet Control Message Protocol (ICMP), ağ yönlendirmesi ve hata raporlaması gibi önemli işlevleri yerine getiren bir protokol olarak bilinse de, siber güvenlik alanında gizli veri iletimi için bir araç olarak kullanılmasında önemli riskler taşımaktadır. ICMP tünelleme, ağ tanılama amacıyla kullanılan ICMP paketlerinin içerisine veri gizleyerek güvenlik duvarlarını aşma yöntemidir. Bu teknik, aynı zamanda siber saldırganların bilgi çalıp komut ekosistemlerini gizli tutmalarını sağlamakta kullanılmaktadır.

Neden Önemli?

Günümüzde birçok güvenlik duvarı, ICMP isteklerine, özellikle de ping isteğine izin vermektedir. Bu durum, saldırganların ICMP protokolünü kullanarak güvenlik önlemlerini aşarak gizli komut ve kontrol (C2) yapıları kurmasına olanak tanımaktadır. Tünelleme teknolojileri, siber savunma mekanizmalarının gözünden kaçabilecek şekilde ICMP paketlerini manipüle ederek, şirket ağlarında sızma testleri yürütülmesine ve bilinçsiz kullanıcıların dikkatini dağıtmasına olanak sağlamaktadır.

ICMP tünelleme, kimlik avı ve diğer sosyal mühendislik saldırılarının yanı sıra, kötü niyetli yazılımlar tarafından da kullanılabilir. Bu saldırı vektörlerinin karmaşık doğası, organizasyonların ağlarını korumakta karşılaştıkları zorlukları artırmaktadır. Bu nedenle, ICMP tünelleme tehditini anlamak ve buna karşı gerekli önlemleri almak son derece önemlidir.

Siber Güvenlik, Pentest ve Savunma Bakımından Bağlam

Siber güvenlik uzmanları ve penetration tester'lar (pentester'lar), ICMP tünellemenin varlığını tespit etmek ve önlemek amacıyla sürekli geliştirmeler yapmalıdırlar. Tünellemeyi tespit etmek amacıyla uygulanan yöntemler arasında, yoğun ICMP trafik analizi ve anormal paket boyutlarının izlenmesi gibi teknikler bulunmaktadır. Normalde, ping paketleri 32 veya 64 byte veri taşırken, tünelleme amaçlı paketler bu boyutları aşarak daha büyük hacimlere ulaşabilmektedir.

Özellikle ICMP paketlerinin içindeki payload alanı, standart kullanımlar dışında veri taşımak için kullanılan kritik bir bileşendir. Bu alan, tünelleme sırasında asıl verilere ev sahipliği yaparak saldırganların engelleri aşmasını kolaylaştırmaktadır. Aşağıdaki örnek, bir ICMP paketinin yapı taşlarını ve payload içindeki veri iletimi sürecini anlamamıza yardımcı olabilir:

ICMP Echo Request
-------------------
Type: 8  (Echo Request)
Code: 0
Checksum: ...
Identifier: ...
Sequence Number: ...
Payload: [Gizli veri]

Bu yapıdaki bir ICMP paketi, özellikle yalnızca Echo Request (Tip 8) ve Echo Reply (Tip 0) mesajları ile çalışan tünelleme araçları kullanılarak, kötü niyetli bir şekilde veri taşımak için stratejik bir yöntem sunmaktadır.

Teknik İçeriğe Hazırlık

Bu blog yazısının ilerleyen bölümlerinde ICMP tünellemenin ayrıntılarına ve bu protokolü hedef alan çeşitli saldırı yöntemlerine derinlemesine dalacağız. Ayrıca, ICMP paketlerinin analiz edilmesi için kullanılabilecek çeşitli araçlar ve teknikler hakkında bilgi vereceğiz. Bu bilgiler, ağ güvenliği ve savunma açısından kritik derecede önem taşıyan beceriler ve bilgiyle donatacaktır. Okuyucular, bu konular hakkında oluşturacakları bilgi birikimlerini, siber güvenlik politikalarının geliştirilmesi ve sahte tünelleme saldırılarının tespit edilmesine yönelik stratejilerini geliştirmek için kullanabilirler.

ICMP tünelleme ve buna bağlı kalarak saldırıları anlamak, siber güvenlik profesyonelleri için bir zorunluluk haline gelmiştir. Siber tehditleri bertaraf etmek adına atılacak bu tür adımlar, sadece mevcut güvenlik sistemlerini güçlendirmekle kalmayacak, aynı zamanda organizasyonların daha geniş güvenlik stratejilerini de şekillendirecektir.

Teknik Analiz ve Uygulama

ICMP Tünelleme Tanımı

ICMP (Internet Control Message Protocol), ağ iletişimi sırasında hata mesajları ve kontrol bilgileri iletmek için kullanılan bir protokoldür. Ancak, bazı kötü niyetli kişiler, ICMP paketlerinin veri gizleme amacıyla kullanılmasına ICMP tünelleme veya ping tünelleme adını vermektedir. Bu yöntemle, ağ güvenlik duvarlarından ve izleme sistemlerinden kaçmak için kritik veri gizlenebilir.

Payload (Veri) Alanı Suistimali

ICMP protokolünde, genellikle pek anlam taşımayan karakterler barındıran payload alanı, veri taşımak için kullanılabilir. ICMP Echo Request ve Echo Reply paketlerinde, bu alana gizli komut veya veri yerleştirmek mümkündür. Bu teknik, özellikle güvenlik duvarlarının ping isteklerine izin vermesi nedeniyle tercih edilir.

| ICMP Header | Payload (veri alanı)       |
|-------------|-----------------------------|
| Type        | Data (gizli bilgi)         |
| Code        |                             |
| Checksum    |                             |
| Identifer   |                             |
| Sequence no |                             |

Protokol Amacı Dışında Kullanım

Güvenlik duvarları genellikle ping isteklerine izin verdikleri için, kötü niyetli kişiler bu protokolü gizli bir iletişim kanalı olarak kullanma eğilimindedir. Bu durum, siber saldırganların komut ve kontrol (C2) iletişimi için ICMP paketlerini kullanmalarına olanak tanır. Standart ICMP paketleri genellikle 32 veya 64 byte boyutunda iken, tünellenmiş paketler buna göre daha büyük boyutlara ulaşabilir.

ICMP Paket Türleri

ICMP'nin çeşitli mesaj türleri bulunmaktadır. Bu mesajlar arasındaki tüzel geçişler saldırganların hangi amaçla hareket ettiğini anlamamıza yardımcı olabilir.

  • Type 8 (Echo Request): Saldırganın sunucusuna veri veya komut isteği taşıyan paket.
  • Type 0 (Echo Reply): Saldırganın sunucusundan kurbana dönen ve komut içeren yanıt paketi.
  • Type 3 (Destination Unreachable): Gelişmiş tünelleme araçlarının tespit edilmemek için kullandığı hata mesajı türüdür.

Bu türlerdeki paketleri analiz ederek potansiyel tehditleri daha hızlı bir şekilde tespit etmek mümkündür.

Ağ İzi: Paket Boyutu Anomalisi

ICMP tünellemenin tespit edilmesinde önemli bir gösterge, paket boyutunun anormallikleridir. Normal ping paketleri genelde birbirine benzer boyutlarda gelirken, tünelleme paketleri genelde büyük boyutlarda ve farklı veri içerikleriyle karşımıza çıkar. Ağ loglarında bir cihazın sürekli olarak tek bir dış IP'ye periyodik olarak ping atması, ICMP tabanlı bir C2 iletişiminin güçlü bir kanıtıdır.

# ICMP paketlerini tespit etmek için Spektral komut
tshark -Y icmp -T fields -e data

Popüler Tünelleme Araçları

ICMP tünellemek için birçok araç bulunmaktadır. Aşağıda bazı popüler tünelleme araçları listelenmiştir:

  1. ptunnel (PingTunnel): TCP bağlantılarını ICMP üzerinden tünellemek için kullanılan klasik bir araçtır.
  2. icmpsh: Sadece ICMP kullanarak ters bağlantı (Reverse Shell) açmak için tasarlanmış basit ama etkili bir araçtır.
  3. Hping3: Özel ICMP paketleri oluşturmak ve veri göndermek için kullanılan bir ağ aracıdır.

Bu araçlar, siber analiz ve tespit süreçlerinde büyük bir öneme sahiptir. Özellikle, güvenlik ekiplerinin oluşabilecek tehditleri anlayabilmesi için bu araçların nasıl çalıştıklarını bilmesi kritik öneme sahiptir.

Tshark ile Payload Analizi

Tshark aracını kullanarak ICMP paketlerinin veri kısmını hex formatında listelemek, analiz sürecinde büyük bir yardımcıdır. Payload analizinin gerçekleştirilmesi aşağıdaki komut ile yapılabilir:

tshark -Y icmp -T fields -e data

Bu komut, ağdaki ICMP paketlerinin içeriklerini görüntülemenizi sağlar ve potansiyel olarak tünelleme yapılan iletişimleri tespit etme konusunda yardımcı olur.

Ağ İzi: Sürekli Ping (Beaconing)

Bir cihazın dışarıdaki tek bir IP'ye saatlerce kesintisiz ve periyodik olarak ping atması, ICMP tabanlı bir C2 iletişiminin başka bir önemli göstergesidir. Bu tür davranışlar, hedefe ait verinin siber suçlularla paylaşıldığı anlamına gelebilir. Blue Team analistleri, ICMP paketlerinin boyutunu ve içerdiği veri tekrarını inceleyerek şüpheli aktiviteleri tespit etmeye çalışır.

Operasyonel Müdahale

ICMP tünellemenin tespit edilmesi durumunda, olay müdahale süreci devreye girmektedir. İlk olarak, şüpheli aktivitelerin kaynağına ulaşılarak bu iletişim kesilmelidir. Ardından, ilgili ağ yöneticileri ile iş birliği yapılarak güvenlik duvarı üzerinden ICMP paketlerinin trafiğini engelleyen kurallar uygulanmalıdır. Ağ güvenliğini artırmak amacıyla, sürekli izleme ve inceleme süreçlerinin gerçekleştirilmesi gerekmektedir.

Bu bağlamda, ICMP tünellemenin tespiti ve analizi, siber güvenlik alanında kritik bir öneme sahiptir ve organizasyonların güvenlik politikalarının etkin bir şekilde uygulanmasını gerektirir.

Risk, Yorumlama ve Savunma

Ağ güvenliği, günümüzde karmaşık hale gelen tehditler karşısında sürekli bir mücadele gerektiriyor. ICMP (Internet Control Message Protocol) tünelleme, bu tehditler arasında dikkat çekici bir yer tutar. Saldırganlar, ICMP paketlerinin içinde veri gizleyerek sızma, veri hırsızlığı ve diğer kötü niyetli faaliyetleri gerçekleştirebilirler. Bu bölüm, ICMP tünelleme ile ilgili ortaya çıkan riskleri, bu risklerin yorumlanmasını ve olası savunma mekanizmalarını inceleyecektir.

Elde Edilen Bulguların Güvenlik Anlamı

ICMP tünelleme, kötü niyetli bir saldırının anahtarı olabilir. Bu yöntem sayesinde, saldırganlar güvenlik duvarları ve diğer koruma mekanizmalarını kolaylıkla aşarak organik ağ trafiği gibi görünen veri aktarımı gerçekleştirirler. Dolayısıyla, ağ üzerindeki ICMP trafiğinin analizi son derece kritiktir. Saldırganların genellikle Type 8 (Echo Request) ve Type 0 (Echo Reply) paketlerini kullanarak veri iletimi yaptıkları gözlemlenir. Bu paketlerin boyutu standardın üzerindeyse, tünelleme aktivitesinin varlığına dair güçlü bir işaret olabilir.

Örneğin, aşağıdaki gibi bir durumla karşılaşılabilir:

20:43:21.123456 IP 192.168.1.10 > 203.0.113.5: ICMP echo request, id 1234, seq 1, length 1400

Burada, standart ping paketlerinin boyutunun çok üzerinde bir paket gözlemlenmektedir. Bu durum, tünelleme ihtimali için öncelikli bir veri sağlar.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

ICMP tünelleme, yanlış yapılandırmalar ve zafiyetler üzerinden etkinliğini artırmıştır. Örneğin, güvenlik duvarları genellikle ICMP için açık kurallar tanımlar ve bu durum saldırganlar için bir fırsat yaratır. Eğer organizasyonun güvenlik duvarında ICMP paketlerini denetleyen güçlü filtreleme kuralları yoksa, bu durumda ağ trafiği kontrolü zayıf kalır ve veri sızdırma veya uzaktan komut yürütme gibi tehlikeler ortaya çıkar.

Sızan veriler, organizasyonun iç yapısı, kritik servislerin varlığı ve diğer önemli bilgileri içerebilir. Araştırmalar, bazı tünelleme araçlarının, ağda sürekli ping (beaconing) atarak belirli bir dış IP ile sürekli olarak iletişim kurduğunu göstermektedir. Bu tür bir örüntü, uzaktan kontrol edilen bir sistemin varlığına işaret eder.

Profesyonel Önlemler ve Hardening Önerileri

ICMP tünelleme risklerini azaltmak için bir dizi profesyonel önlem alınabilir:

  1. Ağ Trafiği İzleme: Ağ izleme çözümleri ile ICMP trafiği dikkatlice izlenmeli, olağan dışı paket boyutları ve sıklıkları tespit edilmelidir. Örneğin, belirli IP adreslerine sürekli ping atıldığı tespit edildiğinde, bu durum ciddiyetle araştırılmalıdır.

  2. Güvenlik Duvarı ve IPS Güncellemeleri: Güvenlik duvarı kuralları, ICMP trafiğini sınırlamak ve bu trafiği inspect etmek üzere düzenlenmelidir. Ayrıca, IPS (Intrusion Prevention Systems) çözümleri, ICMP tünelleme aktivitelerini tespit etmek üzere yapılandırılmalıdır.

  3. Sızma Testleri: Ağ üzerine düzenli olarak sızma testleri yapılmalı, tünelleme araçlarının ve metodolojilerinin test edilmesi sağlayarak zayıflıklar tespit edilmelidir.

  4. İnsan Kaynakları Eğitimi: Güvenlik konusunda farkındalık yaratmak üzere eğitim programları düzenlenmeli, çalışanlara siber tehditler hakkında bilgi vermelidir.

Sonuç Özeti

ICMP tünelleme, ağ güvenliği alanında ciddi tehditler barındıran ve çoğu zaman göz ardı edilen bir oyuncudur. Yanlış yapılandırmalar ve zafiyetler, saldırganların bu tekniği kullanarak içeri giriş yapmasına olanak sağlar. Öne çıkan bulguların dikkatli bir şekilde değerlendirilmesi ve uygun savunma mekanizmalarının hayata geçirilmesi, bu tehditlerin etkisini azaltmak için hayati önem taşır. Ağ güvenliğinin robust bir şekilde sağlanabilmesi için sürekli bir denetim ve güncelleme sürecinin işletilmesi gerekmektedir.