CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Multi-hop C2 Mimarileri ve Proxy Chaining: Siber Güvenlikte Derinlemesine Analiz

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Siber saldırılarda kullanılan multi-hop C2 mimarilerini ve proxy chaining yöntemlerini keşfedin. İz sürmeyi zorlaştıran teknikleri anlayın.

Multi-hop C2 Mimarileri ve Proxy Chaining: Siber Güvenlikte Derinlemesine Analiz

Multi-hop C2 mimarileri, siber saldırganların izlerini gizlemek için sıklıkla kullandığı yöntemlerdendir. Bu blogda, yönlendirme zincirleri ve ağ iletişimini derinlemesine ele alıyoruz.

Giriş ve Konumlandırma

Multi-hop C2 Mimarileri ve Proxy Chaining

Siber saldırganlar, hedef sistemlere erişim sağlamak, verileri çalmak veya zarar vermek için çeşitli sofistike yöntemler kullanmaktadır. Bu bağlamda, multi-hop C2 (Komut ve Kontrol) mimarileri ve proxy chaining (vekil zincirlemesi) bu saldırıların temel yapı taşları haline gelmiştir. Multi-hop C2 mimarileri, saldırganın hedefi ile ana C2 sunucusu arasındaki iletişimde birden fazla aracının bulunması anlamına gelir ve bu yöntem saldırganın izini sürmeyi zorlaştırır.

Multi-hop C2 Mimarileri

Multi-hop mimarileri, saldırganların hedef sistemlere erişim sağlamak için kullandığı bir yöntemdir. Saldırgan, kurban sistem ile ana C2 sunucusu arasına birden çok aracı sunucu (tier) yerleştirir. Bu mimari, hedefin ve saldırganın gizliliğini artırmak için stratejik bir yapıya sahiptir. Her aracının belirli bir işlevi vardır; ilk katmandan gelen trafiği ileten ortada bulunan katman, daha fazla gizlilik sağlar. Nihai hedef olan ana sunucu ise verilerin toplandığı yerdir. Bu yapı, sistem yöneticilerinin ve güvenlik analistlerinin saldırganın gerçek IP adresini bulmalarını zorlaştırarak, zafiyetleri istismar etmeyi daha da karmaşık hale getirir.

Proxy Chaining Kavramı

Proxy chaining, bir paket verisinin bir sunucudan diğerine iletilmesi sırasında araya birden fazla proxy yerleştirilmesi anlamına gelir. Bu yapı, saldırganın gerçek IP adresinin gizlenmesini sağlar ve saldırının tespit edilmesini zorlaştırır. Çeşitli katmanların bulunduğu bir ağda veri trafiği yönlendirilirken, her yönlendirme (hop) paketteki TTL (Time to Live) değerini azaltır. Bu, belirli bir paketin kendisine ailen daha fazla hop üzerinden geçtiğini gösterebilir. Aşağıdaki örnekle bu mantığı daha iyi kavrayabiliriz:

Kurban > Tier 1 > Tier 2 > Tier 3 (Ana C2 Sunucusu)

Bu yapıdaki her bir "tier", saldırganın keşfedilme riskini azaltarak, saldırıyı daha etkili hale getirir.

Neden Önemlidir?

Siber güvenlik, her geçen gün daha da karmaşık hale gelen tehditlerle başa çıkmak için çeşitli teknikler geliştirmektedir. Multi-hop C2 mimarileri ve proxy chaining, özellikle siber saldırılardaki gizliliği artırdığı için güvenlik uzmanlarının dikkatlice analiz etmesi gereken stratejilerdir. Bu yapıların anlaşılması, hem saldırıların tespiti hem de savunma stratejilerinin geliştirilmesi için kritik öneme sahiptir.

Bir saldırının başarılı olabilmesi için, yalnızca teknik becerilerin değil, aynı zamanda bu tür mimarilerin nasıl çalıştığının da bilinmesi gerekmektedir. Siber güvenlik profesyonellerinin bu tür modern yaklaşımları anlaması, bir olayın etkilerini minimize etmekte veya önleme stratejilerinin geliştirilmesinde anahtar rol oynamaktadır.

Okuyucuya Yöntem

Bu kapsamda, bu yazıda uygulamalı olarak multi-hop C2 mimarileri ve proxy chaining'in işleyiş mantığı, iletişim akışları ve değerlendirme yöntemleri üzerinde durulacaktır. Geri dönüş süreleri, TTL anomalileri gibi teknik detaylar üzerinde durarak, okuyucunun bu terimlerin siber güvenlik analizi ve penetrasyon testleri üzerindeki etkilerini anlamasını sağlamaya yönelik içerikler sunulacaktır. Teknik kavramlara ve araçlara dair sağlanan bilgiler, okuyucuların anlamlı yorumlar yapmalarına olanak sağlayacak, böylece siber güvenlikte uygulamalı bilgilerin pekiştirilmesine yardımcı olacaktır.

Sonuç olarak, multi-hop C2 mimarileri ve proxy chaining, modern siber saldırıların incelenmesi ve analiz edilmesinde kritik bir rol oynamaktadır. Bu konuların derinlemesine araştırılması, siber güvenlik profesyonellerinin saldırganların yöntemlerine karşı daha etkili bir savunma geliştirmelerine olanak tanıyacaktır.

Teknik Analiz ve Uygulama

Multi-hop C2 Tanımı

Multi-hop C2 mimarileri, bir saldırganın, hedefi ile komut ve kontrol (C2) sunucusu arasında birden fazla aracı sunucu yerleştirerek iz sürümünü zorlaştırdığı bir yapıdadır. Bu sistem, saldırganlara daha yüksek düzeyde gizlilik ve tespit edilme riskini azaltma avantajı sunar. Her bir 'hop', yani yönlendirme, ağda bir noktadan diğerine veri iletmek için kullanılırken, her yönlendirme işleminde paketlerin zamanında iletimi incelenir.

Bu mimariler genellikle bir yapı ile organize edilir:

  • Tier 1 (Ön Uç): Kurbanın doğrudan bağlandığı ilk yönlendirici. Eğer bu katman tespit edilirse, tüm yapı kolayca çökmekte.
  • Tier 2 (Orta Katman): İlk katmandan gelen trafiği ana sunucuya ileten ek bir gizlilik katmanı.
  • Tier 3 (Arka Uç): Asıl C2 sisteminin bulunduğu ve verilerin toplandığı merkez.

Redirector (Yönlendirici) Katmanları

Yönlendirme katmanları, ağ trafiğinin güvenli bir şekilde yönlendirilmesine yardımcı olur. Bu katmanlar sırasıyla mesajı alır, işler ve bir sonraki katmana iletir. Her katman oluşturulan bağlantıların gizliliğini artırır ve saldırganın iç yapısını gizler.

Proxy Chaining Mantığı

Trafiğin bir sunucudan diğerine zincirleme şekilde aktarılması, proxy chaining olarak adlandırılır. Bu yöntemle saldırgana, gerçek IP adresi çok sayıda katman arkasında gizlenebilir.

Kurban -> Tier 1 -> Tier 2 -> C2 Server

Bu işlem sırasında, her yönlendirme (hop) paketin TTL (Time to Live) değerini azaltır. Eğer bu değer beklenenden düşük çıkarsa, bunun arkasındaki neden, trafiğin çok sayıda aracıdan geçtiği anlamına gelebilir.

Ağ İletişim Akışı

Ağda iletişim akışını anlamak için, gönderilen paketlerin takip edilmesi gerekir. Her bir bağlantı, yönlendirme katmanından geçerken, gecikme süreleri dikkatlice analiz edilmelidir. Aşağıdaki komut ile ağ üzerinden RTT (Round Trip Time) ölçülebilir:

ping [IP_ADDRESS]

Bu komut, belirli bir IP adresine gönderilen paketlerin ne kadar sürede geri döndüğünü gösterir. Gecikmenin yüksek olması, çok sayıda yönlendirme katmanı olduğunun bir işareti olabilir.

TTL (Time to Live) Anomalisi

TTL, bir paketin ağda ne kadar süre ile kalacağına dair bilgi sağlar. Normalde, her hop (yönlendirme) TTL değerini bir azaltır. Dolayısıyla, beklenenden çok daha düşük TTL değerlerine sahip paketler, trafiğin karmaşık bir yönlendirme zincirinden geçtiğini gösterir. Örneğin:

  • TTL değeri 64 olarak ayarlandıysa fakat 30'a düştüyse, çok sayıda yönlendirme katmanından geçildiği anlamına gelir.

Bu tür analizler, bir saldırganın kullanmış olduğu yapı ile ilgili ipuçları verebilir.

Gecikme (Latency) Analizi

Gecikme analizi, yönlendirme zincirinin uzunluğunu belirlemek için önemli bir yöntemdir. Çok sayıda yönlendirme katmanı, doğal olarak daha yüksek gecikmelere sebep olur. Aşağıdaki gibi bir test, gecikmenin ölçülmesine yardımcı olabilir:

traceroute [TARGET_IP]

Bu komut, bir IP adresine giden yolda her bir hop'un zamanını ve TTL değerlerini gösterir. Eğer coğrafi olarak yakın bir IP adresine bağlanmaya çalışıyorsanız ve anormal bir gecikme gözlemlerseniz, bu, uzak bir sunucuya tünel açılabileceğinin işareti olabilir.

Yönlendirme Araçları

Saldırganların multi-hop altyapı kurmak için kullandığı bazı araçlar arasında şunlar bulunmaktadır:

  • Socat: İki ağ akışını birbirine bağlayan, yönlendirme için sıkça kullanılan çok amaçlı bir araçtır.
  • SSH Tunneling: Trafiği şifreli bir şekilde başka bir sunucuya aktarma yöntemidir.
  • Chisel: HTTP üzerinden çalışan, güvenlik duvarlarını aşmak için kullanılan hızlı bir TCP/UDP tünelleme aracıdır.

Bu araçlar, saldırganlar için önemli bir gizlilik katmanı oluşturur.

İç Ağda C2 Yönlendirme

İç ağda, bir C2 sunucusunun nasıl gizlendiği ve yönlendirildiği, özellikle iç tehditler açısından dikkatle incelenmelidir. Enfekte bir cihaz, diğer cihazlar için C2 vekil sunucusu olabiliyor. Bu durum, özellikle bir kurum içinde ağ trafiğini izlemek ve analiz etmek için ek zorluklar yaratır. Blue Team analistleri, yalnızca ilk yönlendiriciyi görebilir ve asıl C2 merkezini bulmak zorlaşır.

SOC L2 Pratiği ve Operasyonel Analiz

SOC L2 analistleri, multi-hop yapılardaki bağlantılara odaklanarak, olası tehditleri belirlemek için model çıkarımı yapmalıdır. Bir bağlantı incelenirken izlenecek yol şunlardır:

  1. TTL değerlerini analiz et.
  2. Gecikme sürelerini ölç.
  3. İlişkili yönlendirme araçlarını belirle.

Yukarıdaki yöntemler, bir ağda potansiyel bir siber saldırıyı ortaya çıkarmak için kritiktir. Ağı etkili bir şekilde gözlemlemek ve analiz yapmak, karmaşık yönlendirme yapılarını anlayarak tehditlerin tespit edilmesine olanak tanır.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Siber güvenlikte, çoklu aşamalı C2 (Command and Control) mimarilerinin kullanımı, siber saldırıların tespitini zorlaştıran karmaşık bir yapıyı ifade eder. Bu mimarilerde, saldırgan, kurbanın cihazıyla ana C2 sunucusu arasında birden fazla yönlendirici sunucu yerleştirir. Bu durum, saldırının izini sürmeyi zorlaştırarak hem siber güvenlik analistleri hem de güvenlik ekipleri için yeni zorluklar yaratır.

Yönlendirici katmanları (Tier 1, Tier 2, Tier 3) arasındaki veri akışı, saldırganın gerçek IP adresinin gizlenmesine olanak sağlar. Aşağıda, bu risklerin bağlı olduğu bazı temel kavramlar detaylandırılacaktır.

Yanlış Yapılandırmalar ve Zafiyetler

Multi-hop yapıları, insan hatasına yamalı güvenlik uygulamaları sonucunda oluşan zayıf noktalara karşı oldukça duyarlıdır. Yanlış yapılandırmalar, örneğin, yönlendirme sunucularının düzgün bir şekilde izlenmemesi ya da ağ segmentasyonunun uygulanmaması gibi durumlar, saldırganların yanal hareket etmelerini kolaylaştırır.

Örneğin, iç ağda bir C2 yönlendirme sunucusunun bulunması, analistin sadece ilk yönlendiriciyi görmesiyle sonuçlanabilir. Bu tür zafiyetler, saldırganların hedef sisteme erişimini sağlarken, güvenlik uzmanları için tehdit teşkil eder.

Sızan Veri ve Analiz

Çoklu aşamalı C2 mimarileri kullanıldığında, saldırganlar genellikle iç ağa entegre olmuş zararlı yazılımlar vasıtasıyla veri çalabilir. Örneğin, bir cihazdaki hassas bilgiler, multi-hop yapı üzerinden dışarıya sızdırılabilir. Saldırganlar, veri akışını farklı katmanlar üzerinden yönlendirdiği için, bu verileri izlemek ve analiz etmek son derece zor hale gelir.

Ağ üzerinde yapılan izleme, zamanla paketlerin izlediği yolun belirlenmesine yardımcı olabilir. Bunun için hem TTL (Time to Live) değerlerinin analizi hem de RTT (Round-trip time) verilere dikkat edilmesi gerekmektedir:

- TTL: Yönlendirme sırasında her hop paket üzerindeki TTL değerini azaltır. Düşük TTL değerleri, trafiğin çoklu aşamalardan geçtiğini gösterir.
- RTT: Uzaktan sunuculardan gelen bağlantılarda gecikmenin anormal şekilde yüksek olması, ağda tünelleme ile uzak bir hedefe bağlantı yapıldığını işaret edebilir.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik analistlerinin, multi-hop C2 mimarilerini tespit edebilmek için uygulayabilecekleri bazı profesyonel önlemler şunlardır:

  1. Ağ Segmentasyonu: İç ağların birbirinden ayrılması, saldırganların yanal hareketlerini ve veri sızmalarını önleyebilir.
  2. Gelişmiş İzleme ve Analiz Araçları: Hem ağ trafiğini hem de kullanıcı davranışlarını izleyen sistemlerin kurulumunu yapın. Örneğin, SOC (Security Operations Center) altyapısı, anomali tespiti bakımından kritiktir.
  3. Eğitim ve Bilinçlendirme: Güvenlik ekiplerinin multi-hop yapılar ve proxy chaining gibi teknik konularda eğitim alması, olası tehditleri daha iyi anlamalarına yardımcı olabilir.
  4. Güvenlik Duvarı ve IDS/IPS Kullanımı: Aktif ve dinamik güvenlik duvarları ile Intrusion Detection and Prevention Systems kullanılması, zararlı trafiği filtreden geçirerek sızma girişimlerini etkili bir şekilde engelleyebilir.

Sonuç Özeti

Multi-hop C2 mimarileri ve proxy chaining uygulamaları, siber güvenlik tehditlerini tespit etme ve önleme süreçlerini zorlaştırmaktadır. Yanlış yapılandırmalar ve zafiyetler, saldırganların iç ağa sızması ve veri çalmasını kolaylaştırır. C2 yönlendirme sunucularının analiz edilmesi ve profesyonel güvenlik önlemlerinin alınması, bu karmaşık tehdit yapılarıyla başa çıkmak için şarttır. Güvenlik analistlerinin, mevcut durumları sürekli izlemeleri ve ağlarını sürekli olarak güçlendirmeleri kritik bir öneme sahiptir.