CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Modern Web Protokolleri: WebSocket ve QUIC ile C2 Kanalları

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

WebSocket ve QUIC tabanlı C2 kanallarını keşfedin. Anomalilerin tespiti ve güvenlik önlemleri hakkında güncel bilgiler edinin.

Modern Web Protokolleri: WebSocket ve QUIC ile C2 Kanalları

Siber güvenlik alanında WebSocket ve QUIC protokolleri, C2 kanallarının iletişimini dönüştürmekte önemli bir rol oynamaktadır. Bu blogda, bu protokollerin avantajlarını ve güvenlik zorluklarını inceleyeceğiz.

Giriş ve Konumlandırma

Modern web protokolleri, internet üzerindeki dinamik iletişimi artırmak ve verimliliği sağlamak için sürekli evriliyor. Bu bağlamda, WebSocket ve QUIC (Quick UDP Internet Connections) protokollerinin önemi artan bir ivme kazanmıştır. Bu protokoller, yalnızca web geliştiricileri için değil, aynı zamanda siber güvenlik uzmanları, pen test (penetrasyon testi) analistleri ve savunma ekipleri için de kritik öneme sahip araçlar sağlamaktadır. Yazımızda, bu iki modern web protokolü ile sahtecilik ve kötü niyetli eylemlere karşı nasıl bir filtreleme ve savunma mekanizması kurabileceğimizi keşfedeceğiz.

WebSocket ve QUIC'in Genel Çerçevesi

WebSocket, bir HTTP bağlantısı üzerinden tam çift yönlü (full-duplex) iletişim sağlamak için kullanılan bir protokoldür. Bu protokol, düşük gecikme süreleri ve yüksek hızlı veri iletimi ile C2 (command and control) kanallarının oluşturulmasında sıklıkla kullanılmaktadır. WebSocket ile bir bağlantı kurulurken, istemciden gelen HTTP isteğinde Connection: Upgrade ve Upgrade: websocket başlıklarının olması zorunludur. Bağlantı başarıyla kurulduğunda, sunucu bir 101 Switching Protocols yanıtı vererek yeni iletişim kanalına geçiş yapar.

QUIC, Google tarafından geliştirilen ve UDP tabanlı bir protokoldür. Bu protokole artık HTTP/3 olarak da atıf yapılmaktadır. QUIC'in sunduğu düşük gecikme süreleri ve daha hızlı bağlantı kurulum süresi, onu modern C2 araçları içinde popüler bir seçenek haline getirmiştir. QUIC, ayrıca veri paketlerinin daha hızlı iletilmesini ve IP değişimlerine karşı dayanıklılık göstermesini sağlar.

Önemi ve Kullanım Alanları

WebSocket ve QUIC’in giderek artan önemi, sadece web uygulamalarındaki veri iletim hızını artırmakla kalmaz; aynı zamanda kötü niyetli aktörlerin de bu protokolleri kullanarak siber saldırılar düzenlemesine olanak tanır. Siber güvenlik alanında, analistler ve güvenlik ekipleri, bu protokollerin potansiyel olarak kötüye kullanılma yollarını analiz ederek kendilerini savunma mekanizmalarını güçlendirebilirler. Örneğin, WebSocket bağlantıları, zararlı yazılımlar için istismar edilerek komut ve kontrol trafiği sağlamada kullanılabilmektedir.

QUIC ile gerçekleştirilen iletişimlerde ise geleneksel TCP bazlı güvenlik kontrollerinin yetersiz kalabileceği durumlar mevcuttur. UDP’nin sunduğu akış kolaylığı nedeniyle, analistler QUIC trafiğini izlemek ve analiz etmekte zorluk yaşayabilirler. Bu durum, siber güvenlik uzmanlarının hem WebSocket hem de QUIC trafiğindeki anormal davranışları tespit etmesini zorlaştırır.

Teknik Hazırlık ve Araçlar

Bu noktada, analistlerin bu protokolleri daha etkin bir şekilde inceleyebilmesi için belirli araç ve tekniklere ihtiyaçları vardır. Araçlar arasında, tshark veya Wireshark gibi paket analiz araçları, WebSocket ve QUIC trafiğini analiz etmek için kritik öneme sahiptir. Bu tür araçların kullanımı, şüpheli trafik örüntülerini belirlemek ve anormal davranışları tespit etmek için gereklidir. Örneğin, tshark ile bir WebSocket bağlantısının izlenmesi şu şekilde gerçekleştirilebilir:

tshark -Y http.upgrade == "websocket"

Bu komut, ağ üzerinde WebSocket protokol geçişlerini filtreleyerek kullanılabilir hale getirir. Analistler, bunu bir araç olarak kullanırken, yalnızca eylemleri değil, aynı zamanda bunların arka planındaki olası tehditleri de anlamalıdır.

Sonuç

WebSocket ve QUIC protokolleri, modern web iletişimini yeniden şekillendirirken, siber güvenlik içinde farklı bir zorluk katmanı ortaya koymaktadır. Bu protokollerin sağladığı verimlilik ve hız, kötü niyetli saldırganlar tarafından da kullanılabilmektedir. Dolayısıyla, siber güvenlik uzmanlarının bu protokolleri ve bunların davranışlarını anlaması kritik hale gelmiştir. Önümüzdeki bölümlerde, WebSocket ve QUIC ile C2 kanalları üzerinde daha derinlemesine analizler ve tespit stratejileri sunulacaktır.

Teknik Analiz ve Uygulama

WebSocket ve QUIC, modern web üzerinde iletişimi dönüştüren iki önemli protokoldür. Bu protokoller, özellikle komut ve kontrol (C2) kanalları için tercih edilmekte, düşük gecikme süreleri ve çift yönlü iletişim özellikleri sayesinde tehdit aktörleri tarafından kullanılmaktadır. Aşağıda, bu protokollerin teknik analizi, uygulama örnekleri ve olası zorluklara dair bilgiler bulacaksınız.

WebSocket C2 Tanımı

WebSocket, tarayıcı ile sunucu arasında hızlı ve etkin bir bağlantı sağlamak üzere tasarlanmış bir protokoldür. Normalde, HTTP protokolünü kullanarak ilk bağlantıyı başlatan WebSocket, sonrasında tek bir TCP bağlantısı üzerinden sürekli ve çift yönlü iletişime izin verir. Bu, komut ve bilgi akışını mümkün kılar ve C2 için kritik bir öneme sahiptir.

Bir WebSocket bağlantısı başlatmak için istemci tarafından gönderilen HTTP isteğinde aşağıdaki başlıkların bulunması zorunludur:

GET /chat HTTP/1.1
Host: example.com
Connection: Upgrade
Upgrade: websocket
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Sec-WebSocket-Version: 13

Bu başlıklar, sunucunun bağlantıyı WebSocket protokolüne yükseltmesini talep eder.

Upgrade Başlığı Mantığı

WebSocket protokolü, istemci ve sunucu arasındaki bağlantının dinamik bir şekilde değişmesini sağlar. İstemcinin gönderdiği HTTP isteğinde Connection: Upgrade ve Upgrade: websocket başlıkları bulunursa, sunucu bu isteği yanıtlamak için HTTP durum kodu 101 Switching Protocols ile yanıt verir. Bu durum, istemci ve sunucu arasındaki iletişimi WebSocket'e dönüştürür ve iki yönlü veri akışı başlar.

QUIC ve HTTP/3 Suistimali

QUIC, Google tarafından geliştirilen ve UDP tabanlı çalışan bir protokoldür. QUIC, düşük gecikme süreleri, güvenli bağlantılar ve yüksek performans sağlamak için tasarlanmıştır. Bu özellikleri sayesinde, C2 kanallarında geleneksel TCP tabanlı çözümlerden daha fazla avantaja sahiptir.

QUIC'deki 0-RTT Handshake özelliği, geçmişteki bağlantılardan elde edilen bilgileri kullanarak bağlantı kurulum süresini minimuma indirir. Bu durum, saldırganların tespit edilmesini zorlaştırır ve hızlı bir şekilde kötü amaçlı yüklerin gönderilmesine olanak tanır.

GET /example HTTP/3
Host: example.com

Protokol Avantajları

WebSocket ve QUIC protokollerinin en büyük avantajlarından biri, hızlı ve güvenli iletişim sağlamalarıdır. WebSocket, kesintisiz veri akışı sunarak etkileşimli uygulamaların kolayca geliştirilmesini sağlar. QUIC ise, IP değişimlerine karşı dayanıklılık göstererek mobil kullanıcı deneyimini iyileştirir.

Bu protokollerin birleşimi, C2 kanallarında zararlı trafiğin stealth (gizli) olarak akmasını sağlar.

Ağ İzi: 101 Switching Protocols

WebSocket ve QUIC trafiği analizi yapılırken, önemli olan belirli ağ izlerinin tespit edilmesidir. HTTP loglarında 101 Switching Protocols durum kodunu gördüğünüzde, o bağlantının bir WebSocket kanalına dönüştüğünü anlayabilirsiniz. Bu durumun tespit edilmesi, siber güvenlik analistleri için kritik bir adım olacak ve potansiyel kötü amaçlı etkinlikleri aydınlatacaktır.

İletişim Akışı

WebSocket bağlantısında iletişim akışı çift yönlüdür; bu, hem istemcinin hem de sunucunun veri gönderip alabileceği anlamına gelir. C2 kanalını kullanarak, istihbarat toplayan bir ajan, komutları almak ve gerekli veri iletilerini göndermek için WebSocket protokolünü kullanabilir.

Tespit Zorlukları

WebSocket ve QUIC protokollerinin sağladığı gizlilik, ağ analizi ve tespitte zorluklar yaratmaktadır. WebSocket trafiği genelde görünmez hale gelebilir, özellikle güvenlik duvarları ve izleme sistemleri açısından; çünkü bu protokoller genelde HTTP trafiği gibi görünmektedir. QUIC'in UDP tabanlı yapısı da geleneksel TCP izleme araçlarının yetersiz kalmasına neden olabilir.

Tshark ile WebSocket Analizi

WebSocket protokollerinin ağ üzerindeki trafiğini analiz etmek için Tshark aracı kullanılır. Özellikle, belirli bir WebSocket protokol geçişini filtrelemek için aşağıdaki komutu kullanabilirsiniz:

tshark -Y http.upgrade == "websocket"

Bu ifade, ağ üzerindeki WebSocket bağlantılarını tespit etmeye yardımcı olur. Analistler, bu çıktıyı kullanarak WebSocket oturumlarını incelemelidir.

SOC L2 Pratiği: Anomali Tespiti

Bir Blue Team analisti, şüpheli bir WebSocket bağlantısını değerlendirirken, şunları göz önünde bulundurmalıdır: bağlantının bilinmeyen bir adrese gidip gitmediği, sürekliliği ve zamanlaması. Eğer bağlantı saatlerce açık kalmışsa, bu durum zararlı bir aktiviteyi işaret edebilir.

Operasyonel Müdahale

QUIC veya WebSocket üzerinden zararlı trafiğin tespit edilmesi durumunda, öncelikle söz konusu alan adı bloke edilmelidir. Aynı zamanda, tarayıcı düzeyinde QUIC bağlantısının devre dışı bırakılması ve enfekte cihazın izole edilmesi önemlidir. C2 kanallarını efektif bir şekilde yönetmek için bu adımların hızlı ve etkili bir biçimde uygulanması gerekmektedir.

Sonuç olarak, WebSocket ve QUIC protokolleri, modern siber tehditler açısından önemli bir zafiyet oluştururken, bu protokollerin güvenli bir şekilde izlenmesi ve analizi, siber güvenlik uzmanları için hayati bir gereklilik haline gelmektedir.

Risk, Yorumlama ve Savunma

Modern web protokolleri olan WebSocket ve QUIC, siber tehdit aktörleri tarafından sıklıkla kullanılan C2 (Komut ve Kontrol) kanallarını sağlamak için tercih edilmektedir. Bu protokollerin kullanımına yönelik olarak yapılan risk değerlendirmeleri, potansiyel tehditleri ve güvenlik açıklarını ortaya koyar. Bu bölümde, elde edilen bulguların güvenlik anlamı, yapılandırma zayıflıkları, sızan veriler ve olası savunma stratejileri üzerinde durulacaktır.

WebSocket ve QUIC Kullanımında Riskler

WebSocket protokolü, HTTP üzerinden başlatılarak tam çift yönlü bir iletişim kanalı oluşturur. Bu özellik, saldırganların hızlı ve etkili bir şekilde komut iletilerini göndermelerine olanak tanır. Bununla birlikte, yanlış yapılandırmalar ve eksik güvenlik önlemleri, potansiyel bir zafiyet yaratabilir. Örneğin, bir WebSocket bağlantısında Connection: Upgrade ve Upgrade: websocket başlıklarının bulunması zorunludur; ancak bu başlıkların yanlış yapılandırılması, kötü niyetli bir saldırganın ağır ağır veri iletimi gibi bir tünelleme yöntemi kullanarak ağ trafiğini gizlemesine olanak sağlayabilir.

QUIC protokolü ise UDP tabanlı olması sayesinde bağlantı kurma süresini minimize eder ve IP değişimlerine dayanıklıdır. Ancak, bu durum, ağ tespit sistemlerinin etkinliğini ciddi şekilde azaltabilir. Aşırı düşük gecikme süreleri ve hızlı bağlantı kurma özelliği, QUIC tabanlı C2 kanallarının tespit edilmesini zorlaştırır. Örneğin, 0-RTT ( sıfır yuva zamanlı) el sıkışma yöntemi ile iletişim başlatılması, bu protokolün izlenmesini daha da karmaşık hale getirir.

Yorumlama: Verilerin Anlamı

Sızan veriler arasında sunucu günlüklerinde tespit edilen HTTP durum kodları önemli bir yere sahiptir. Örneğin, 101 Switching Protocols durumu, bağlantının bir WebSocket kanalı olarak yönlendirildiğini ve iletişimin tam çift yönlü formatta gerçekleşeceğini gösterir. Bu tür durum kodlarının analiz edilmesi, potansiyel bir saldırının izini sürmek için kritik bilgiler sağlayabilir.

Analiz edilen ağ trafiğinde, WebSocket ve QUIC protokollerinin neden olduğu anormallikler gözlemlenebilir. Bu anormallikler, potansiyel olarak zararlı bilgilerin ve veri sızıntılarının tetikleyicisi olabilir. Ağdaki bu tür bağlantılar, genellikle şüpheli IP adresleri ile ilişkilendirilir ve analiz edilmesi gereken birer hedef haline gelir.

Savunma Stratejileri

WebSocket ve QUIC'ten kaynaklanan riskleri minimize etmek için alabileceğiniz profesyonel önlemler arasında şunlar yer almaktadır:

  1. Güçlü Erişim Kontrolleri: WebSocket ve QUIC bağlantılarına kimlerin erişebileceği üzerinde sıkı kontrol sağlanmalıdır. Kullanıcı doğrulaması ve yetkilendirme, öncelikli olarak ele alınmalıdır.

  2. Güvenlik Duvarı ve IDS Kullanımı: Gelen ve giden trafiği izleyerek şüpheli bağlantıları tespit etmek için güvenlik duvarları ve saldırı tespit sistemleri (IDS) kullanılmalıdır. Özellikle QUIC üzerindeki trafiği analiz etmek ve WebSocket bağlantılarını izlemek için kapsamlı bir yapılandırma gereklidir.

  3. Tshark ile Trafik Analizi: Ağda WebSocket ve QUIC protokol geçişlerini filtrelemek için Tshark kullanılabilir. Aşağıdaki komut, WebSocket bağlantılarını analiz etmek için örnek olarak kullanılabilir:

    tshark -Y "http.upgrade == 'websocket'"

  4. Veri Maskelenmesi: WebSocket üzerinden gerçekleştirilen veri iletimi sırasında gizliliği sağlamak amacıyla çerçeve maskelenmesi uygulanabilir. Bu, kötü niyetli kullanıcıların veri içeriğine erişimini zorlaştırır.

  5. Güncel Yazılımlar ve Protokoller: Sunucular ve uygulamalar güncel tutulmalı, bilinen zafiyetler giderilmelidir. Kullanıcılar, yazılımları düzenli olarak güncelleyerek yeni güvenlik yamalarından yararlanmalıdır.

Sonuç

WebSocket ve QUIC protokolleri, modern iletişim kanalları olarak siber tehdit aktörleri tarafından sıkça kullanılmaktadır. Yanlış yapılandırmalar ve zayıf güvenlik önlemleri, potansiyel riskleri artırabilir. Güçlü erişim kontrolleri, güvenlik duvarları, veri maskelenmesi ve sürekli güncellemeler, bu protokollerin kullanımı sonucu oluşabilecek tehditleri en aza indirebilir. Ağ analizi ve güvenlik dinamiklerinden yararlanarak, siber güvenlik ekipleri bu modern tehditlere karşı aktif bir savunma stratejisi geliştirebilir.