CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

ICMP Tünelleme: Gizli İletişim Kanallarını Tespit Etme Yöntemleri

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

ICMP tünellemenin işleyişi, zafiyetleri ve tespit yöntemleri ile siber güvenlikte kritik bilgiler edinin.

ICMP Tünelleme: Gizli İletişim Kanallarını Tespit Etme Yöntemleri

Bu yazıda, ICMP tünelleme teknikleri, tespit yöntemleri ve analiz süreçleri hakkında bilgi alacak, siber güvenlik alanında değerli bir kaynak elde edeceksiniz.

Giriş ve Konumlandırma

ICMP (Internet Control Message Protocol), ağların durumu hakkında bilgi iletmek için kullanılan temel bir protokoldür. Genellikle ağ sorunlarını çözmek ve ağların ulaşılabilirliğini kontrol etmek amacıyla Ping aracı ile kullanılır. Ancak, bu protokolün sunduğu bilgi taşıma kapasitesi ve esnekliği, saldırganlar tarafından kötüye kullanılma potansiyeline sahip gizli iletişim kanalları oluşturmak için de kullanılmaktadır. ICMP tünelleme olarak bilinen bu teknik, ağ güvenliğinde önemli bir zafiyet yaratmakta ve bu yönüyle ağ yöneticileri ve güvenlik analistleri için belirli riskler taşımaktadır.

Gizli iletişim kanalları, genellikle bir ağa sızmış kötü niyetli bir aktörün, verileri dışarıya sızdırmak amacıyla kullandığı yolları ifade eder. ICMP tünelleme, genellikle güvenlik duvarları ve ağ filtreleri tarafından izlenmeyen bu tür kanalları oluşturmak için kullanılmaktadır. Birçok güvenlik duvarı, ICMP trafiğine veya Ping paketlerine kısıtlama getirmemekte ve dolayısıyla bu paketler üzerinden gizli veri iletimine olanak tanımaktadır. Bu durum, ağ güvenliğini zayıflatmakta ve bilişim sistemlerine yönelik siber tehditlere davetiye çıkarmaktadır.

ICMP tünellemenin zararlı yönleri, yalnızca bir iletişim kanalı oluşturma ile sınırlı değildir. Saldırganlar, bu tüneller aracılığıyla komut kontrol (C2) sunucularına erişim sağlayabilir veya ağ içindeki verilere sızabilir. Bu tür bir veri sızdırma, genellikle kötü amaçlı yazılımların veya botnetlerin faaliyetlerinin bir parçası olarak ortaya çıkmaktadır. Ağ analistleri bu tür tehditleri tespit etmek için belirli teknikler ve araçlar geliştirmek zorundadır. Çünkü bu tür tünelleme yöntemleri, standart ağ trafik analizlerinin ötesinde, daha dikkatli bir inceleme gerektiren durumlar yaratmaktadır.

Son zamanlarda, tünelleme tekniklerinin tespiti ve önlenmesine yönelik çeşitli stratejiler ve araçlar geliştirilmiştir. Örneğin, Tshark adlı ağ analiz aracı, ICMP trafiğini filtrelemek ve şüpheli paketleri tespit etmek için kullanılabilir. Aşağıda, bu tarz bir filitrelemenin nasıl yapılacağına dair örnek bir komut verilmiştir:

tshark -Y "icmp.type == 8 && frame.len > 100"

Bu komut, boyutu 100 byte'tan büyük olan ICMP Echo Request paketlerini filtreleyerek analistlere, potansiyel bir ICMP tünelleme faaliyetinin izlerini bulmamıza yardımcı olur. Gözlemlenen paketlerde, normal veri yüklerinden farklı olarak, rastgele ve şifrelenmiş karakterlerin bulunması, bu tür bir tünellemenin varlığını kesinlikle işaret etmektedir.

ICMP tünellemenin tespiti, yalnızca tünel oluşturan aktiviteleri belirlemekle kalmaz, aynı zamanda ağdaki anomali ve şüpheli aktiviteleri takip etme yeteneği kazandırır. Küçük paket boyutları ile büyük paket boyutları arasındaki farkları ve paket frekanslarını gözlemlemek, şüpheli trafiğin fark edilmesine yardımcı olabilir. Örneğin, bir ağda normalde 32 veya 64 bayt boyutundaki ping paketleri varken, 1000 bayt ve üzeri paketlerin varlığı dikkatlice incelenmelidir.

Sonuç olarak, ICMP tünelleme, siber güvenlik alanında ciddi bir tehdit oluşturmaktadır. Ağ yöneticileri ve güvenlik uzmanları, bu tür aktiviteleri tespit etmek ve önlemek için sürekli olarak gelişen tehdit manzarasını izlemek, analiz etmek ve uygun güvenlik önlemlerini almak zorundadır. ICMP tünellemesi ile mücadelede proaktif olmak, ağ güvenliği için hayati bir öneme sahiptir.

Teknik Analiz ve Uygulama

ICMP Tünelleme Mantığı

ICMP (Internet Control Message Protocol), temel olarak ağdaki hata iletimi ve kontrol amacıyla kullanılan bir protokoldür. Bununla birlikte, bazı saldırganlar ICMP'yi kötüye kullanarak gizli iletişim kanalları oluşturabilir. ICMP tünelleme, zararlı verilerin Ping paketlerinin veri yüküne yerleştirilmesiyle gerçekleştirilir. Bu durumda, güvenlik duvarları genellikle ICMP trafiğine herhangi bir kısıtlama getirmedikleri için saldırganlar bu protokolden istifade edebilir.

İzin Verilen Trafik Zafiyeti

Ağ güvenlik sistemleri, ICMP trafiğini genellikle test amaçlı izinli kabul eder. Bu durum, tünelleme faaliyetlerini gizlemek için bir zafiyet oluşturur. Çok sayıda güvenlik duvarı, belirli ICMP türlerini ve boyutlarını kısıtlamadığından, zararlı verilerin bu özgürlükten faydalanarak yankılanması mümkündür. Özellikle normal bir ICMP Echo Request (tip 8) paketi, genelde 32 veya 64 byte boyutunda olurken, tünelleme için kullanılan paketler genellikle 100 byte ve üzeri boyutlarda yapılandırılır.

Karakteristik Anomaliler

ICMP tünelleme ile normal ağ trafiği arasında bazı önemli farklılıklar gözlemlenebilir. Aşağıda bu karakteristik anomalilerin bazıları sıralanmıştır:

  • Paket Boyutu: Normal ping paketleri genellikle 32/64 byte iken, ICMP tünelleme paketlerinin boyutu genellikle 1000 byte üzerindedir.

  • Paket Frekansı: Normal ICMP trafiğinde belirli bir frekansta paket gönderilirken, tünelleme araçları çok kısa sürede binlerce Echo Request/Reply paketi gönderebilir.

  • Asimetrik Boyut: Giden ping isteği ile gelen ping yanıtı arasında büyük boyut farkları olabilir; bu da tünelin varlığına işaret eder.

Tünelleme Araçları

Saldırganlar, ICMP üzerinden gizli iletişim kurmak için birçok farklı araç kullanır. Bunlar arasında:

  • ptunnel: ICMP Echo paketleri üzerinden güvenilir TCP bağlantıları iletmek için kullanılan bir araçtır.
  • icmptunnel: IP trafiğini ICMP paketleri içinde kapsülleyerek gizleyen bir diğer etkili tünelleyici aracı.
  • Hping3: Özel ICMP paketleri oluşturmak ve güvenlik duvarı kurallarını atlatmak için kullanılan popüler bir paket üreticisidir.

Tshark ile ICMP Filtreleme

ICMP trafiğini analiz etme konusunda oldukça etkili bir araç olan Tshark, belirli paketleri filtrelemek için komut satırı arayüzünde kullanılabilir. Aşağıdaki komut, boyutu 100 byte'tan büyük olan ICMP Echo Request paketlerini bulmak için kullanılabilir:

tshark -Y "icmp.type == 8 && frame.len > 100"

Bu komut, ağdaki anormal ICMP paket trafiğini tespit ederken, analistlerin olası bir tünelleme faaliyetini tanımlamalarına yardımcı olur.

Payload İncelemesi

Tünelleme faaliyetlerini tespit etmek için, paketlerin veri yükleri incelenmelidir. Normal bir ICMP paketinin veri yükünde genellikle "abcd..." şeklinde art arda dizilmiş karakterler bulunurken, tünelleme paketlerinin veri yükü genellikle rastgele ve şifrelenmiş karakterler içerir.

Analistler, şüpheli ICMP paketlerin içeriğini dikkatlice inceleyerek, potansiyel bir veri sızıntısının veya kötüye kullanımın tanımlanması amacıyla aşağıdaki örneği kullanabilir:

tshark -Y "icmp && frame.len > 100" -T fields -e data

Bu komut, büyük boyutlu ICMP paketlerinin veri yükünü çıkararak, potansiyel gizli iletişim kanallarını analiz etme imkanı sağlar.

Veri Sızdırma Senaryosu

Saldırganlar, ICMP tünelleme aracılığıyla ağ dışına veri sızdırmak için sistematik bir yaklaşım benimseyebilirler. Tipik bir senaryoda, ICMP paketleri içerisine dosya parçaları yerleştirilip, bu paketler sürekli ping isteği olarak gönderilir. Bu süreç, ağ kayıtlarında uzun süreli ve kesintisiz akışlar olarak gözükecektir.

ICMP tünellerinin doğası gereği bağlantısız (stateless) olması, kesintisiz iletişim sağlamak için sürekli ping akışlarının sunucudan klent tarafına gönderilmesini gerektirir. Bu durum, analistlerin uzun süreli ICMP trafiğinin kayıtlarını kontrol etmesi açısından önemlidir.

SOC L2 Pratiği: Tünel Avı

Güvenlik Operasyonları Merkezi (SOC) analistleri, şüpheli ICMP trafiği tespit ettiğinde, belirli bir incident response (IR) sürecini takip etmelidir. Bu süreç, ICMP tünelleme faaliyetlerini tanımlamak ve durdurmak için kritik öneme sahiptir. Şüpheli trafiğin detaylı analizi yapıldıktan sonra, ilgili IP adresleri ve ilgili portlar üzerinde incelemeler başlatılmalıdır.

Analist Aksiyonu

Şüpheli ICMP trafiği gözlemlendiğinde, analistlerin ilk yapması gereken, mümkün olan en kısa sürede tünel durumunu doğrulayarak, ICMP payload'larını incelemektir. Bu işlem, saldırının boyutunu, hedefini ve olası etkilerini anlamak için büyük önem taşır. Ayrıca, şüpheli kaynak IP adreslerini engellemek ve gerekli güvenlik önlemlerini almak için bir aksiyon planı oluşturulmalıdır.

ICMP tünellemenin tespit edilmesi, ağ güvenliği açısından son derece önemli bir konudur. Bu nedenle, analistlerin bu tür tünelleme faaliyetlerini belirleyerek gerekli önlemleri almak için sürekli eğitim ve analiz süreçlerine odaklanması gerekmektedir.

Risk, Yorumlama ve Savunma

Risk Analizi ve Yorumlama

ICMP tünelleme, siber güvenlikte önemli bir risk alanıdır. Saldırganlar, ağ üzerinde izin verilen ICMP trafiğini kullanarak veri sızdırma veya komut kontrolü (C2) sağlamayı hedefler. Elde edilen verilerin güvenlik anlamı, ağ güvenliği analistleri için kritik öneme sahiptir. Özellikle güvenlik duvarlarının ICMP trafiğine kısıtlama getirmemesi, bu tür tünelleme faaliyetlerinin yaygınlığını artırmaktadır.

Bir ağda ICMP tünelleme yapıldığında, çeşitli anormallikler gözlemlenir. Bu anormalliklerin anlamı, sunulan verilerin ve socket yapılandırmalarının uzun süreli izlenmesini gerektirir. Örneğin, normal ping paketlerinin boyutu genellikle 32 veya 64 byte iken, ICMP tünelleme paketlerinin boyutları 1000 byte ve üzerine çıkabilir. Bu durum, potansiyel bir tehditin varlığına işaret eder. Ağ loglarında görülen kısa sürede binlerce Echo Request/Reply paketi de tünelleme yapılıyor olabileceğini gösterir.

Özetlemek gerekirse, bir ağda ICMP tünellemenin varlığı, genellikle aşağıdaki bulgularla ilişkilidir:

  • Normal ping paketlerinin boyutlarıyla asimetrik boyut farkı.
  • Kısa sürede anormal şekilde yüksek ping isteği ve yanıtı trafiği.
  • Ağda sürekli ve kesintisiz bağlantı akışlarının görünmesi.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, bir sistemin zayıf noktalarını açığa çıkarma potansiyeli taşır. Firewall'lar, ağdan gelen ICMP trafiğini sınırlamadığı takdirde, saldırganlar için bir kapı açmış olurlar. Örneğin, -Y icmp.type == 8 && frame.len > 100 komutuyla, boyutu 100 byte'tan büyük olan ICMP Echo Request paketlerini tespit etmek mümkündür. Eğer güvenlik duvarı bu tür trafiği tespit edemiyorsa, sistem ciddi bir tehdit altındadır.

Düzensiz ve densitasyonsuz gözüken ICMP trafiği, ayrıca sızılan verilerin boyutu ve içeriği sayesinde de tanınabilir. Normal bir Windows ping paketi, veri yükünde belli bir düzenle dizilmiş karakterler bulundururken, tünel trafiği içinde rastgele ve şifrelenmiş karakterler barındırır. Bu durum, yanlış yapılandırmaların da bir göstergesidir ve güvenlik analistlerinin dikkatle izlemeleri gereken bir alandır.

Savunma Stratejileri

ICMP tünelleme gibi tehditleri önlemek için proaktif savunma önlemleri almak gereklidir. Bu önlemler arasında ağ güvenlik duvarlarının ve sistem yapılandırmalarının sürekli gözden geçirilmesi öne çıkar. Önerilen yöntemler şunlardır:

  1. ICMP Trafiği Üzerinden İzleme: Özellikle ICMP trafiğinin izin verilen sınırlar içinde kalması için sürekli loglama yapılmalıdır. Anormal trafik durumlarında alarm verilecek şekilde yapılandırmalar yapılmalıdır.

  2. Tünelleme Araçlarının Tanınması: ptunnel, icmptunnel ve Hping3 gibi araçlar sistemi hedef alabilir. Bu araçların kullanımında sistemlerin yapılandırmalarında zafiyet yaratmamak için uygun kurallarla tespit edilip engellenmeleri sağlanmalıdır.

  3. Firewall ve IDS/IPS Kullanımı: Etkili bir güvenlik duvarı ve saldırı tespit/önleme sistemleri (IDS/IPS) kurarak, ICMP tünelleme girişimlerini engellemek mümkündür. Bu sistemler, anormal ICMP trafiğini hemen tespit edebilir.

  4. Sürekli Eğitim ve Bilinçlendirme: Güvenlik personelinin ICMP tünelleme ve genel siber tehditler konusunda bilinçlendirilmesi, savunma stratejilerinin güçlendirilmesine katkıda bulunur. Bu bağlamda, sürekli eğitim programları düzenlenmelidir.

Sonuç

ICMP tünelleme, ağ güvenliği açısından önemli bir risk oluşturur. Bu riski minimize etmek için etkin izleme, yapılandırma yönetimi ve saldırı tespit sistemlerinin kullanılması şarttır. Güvenlik analistleri, her türlü şüpheli ICMP trafiğini dikkatle takip etmeli ve alınan önlemleri sürekli gözden geçirmelidir. Unutulmamalıdır ki, savunma önlemleri sürekli güncellenmeli ve geliştirilmeli, zafiyetler giderek daha etkili bir şekilde azaltılmalıdır.