Şifreli Trafik Analizi: JA3 ve JA3S ile Siber Tehditleri Tespit Etme Yöntemleri

Şifreli Trafik Analizi: JA3 ve JA3S ile Siber Tehditleri Tespit Etme Yöntemleri

Siber güvenlikte şifreli trafik analizi, JA3 ve JA3S parmak izleri ile zararlı yazılımları tespit etme yeteneğimizi artırıyor. Bu yazıda bu tekniklerin nasıl çalıştığını keşfedeceğiz.

Giriş ve Konumlandırma

Siber güvenlikte, ağ trafiğinin analizi ve izlenmesi, zararlı etkinliklerin tespiti için kritik öneme sahiptir. Özellikle şifrelenmiş trafiğin yaygınlaşmasıyla birlikte, bu tür iletişimleri incelemek ve içeriğini analiz etmek her geçen gün daha da zorlaşmaktadır. Ancak, bu zorluğun üstesinden gelmek için geliştirilen yöntemlerden biri olan JA3 ve JA3S parmak izi çıkarma teknikleri, güvenlik analistlerine önemli avantajlar sunmaktadır.

Şifreli Trafik ve TLS Parmak İzi Çıkarma İhtiyacı

Günümüzde çoğu ağ iletişimi, veri güvenliğini sağlamak için TLS (Transport Layer Security) şifrelemesi kullanmaktadır. TLS iletişimi, özellikle Client Hello ve Server Hello paketleri gibi farklı aşamalardan oluşur. Bu aşamalarda, istemci ve sunucu arasında kullanılan TLS sürümü, şifreleme algoritmaları ve uzantı bilgileri gibi unsurlar yer alır. Ancak, şifreli iletişimlerin en büyük zorluğu, bu trafiğin içeriğini görememek ve dolayısıyla potansiyel tehditleri zamanında tespit edememektir. Bu bağlamda, JA3 ve JA3S, iletişimin içeriğine doğrudan erişim olmadan zararlı yazılımların ve istemcilerin ne tür iletişimde bulunduğunu belirlemek için kullanılabilecek parmak izi yöntemleridir.

JA3 ve JA3S Nedir?

JA3, bir istemcinin TLS bağlantısı sırasında kullandığı parametrelerin MD5 özetini çıkararak oluşturulan bir parmak izi türüdür. Özellikle, istemcinin kullandığı TLS sürümü, şifreleme algoritmaları ve eklentilerin (extensions) detaylarına dayanarak hesaplanan bu parmak izi, farklı istemcilerin tanımlanmasına yardımcı olur. Öte yandan, JA3S ise sunucunun TLS Hello paketindeki parametrelerine dayanarak oluşturulan benzeri bir parmak izi olarak tanımlanabilir. Bu ikili kombinasyon, zararlı yazılımların ve meşru uygulamaların belirlenmesi açısından son derece yararlıdır.

Kod örneği olarak, JA3 parmak izi oluşturulurken kullanılan alanlar şunlardır:

# JA3 parmak izi oluşturma sürecinde kullanılacak parametreler
tls_version = "TLSv1.2"
accepted_ciphers = ["TLS_AES_256_GCM_SHA384", "TLS_CHACHA20_POLY1305"]
list_of_extensions = ["server_name", "status_request"]
ja3_string = f"{tls_version},{','.join(accepted_ciphers)},{','.join(list_of_extensions)}"

Bu basit örnekte, TLS sürümü ve kullanılan şifreleme algoritmalarını birleştirerek bir JA3 string oluşturmuş olduk. JA3 ve JA3S, her iki parmak izinin eşleştirilmesiyle; zararlı yazılımın veya uygulamanın belirlenmesi sürecinde daha etkili sonuçlar alınmasını sağlar.

Neden JA3 Kullanılır?

Siber tehditlerin hızla gelişmesi ve saldırganların IP adresleri ile domain isimlerini kolayca değiştirebilmesi, geleneksel engelleme yöntemlerini yetersiz kılmaktadır. Örneğin, bir saldırgan tarafından kullanılan IP adresleri hızlı bir şekilde değiştirilebileceği gibi, Domain Generation Algorithm (DGA) ile oluşturulan domain isimleri sürekli olarak yenilenebilir. Bu durumda JA3 gibi bir parmak izi yöntemi, bu dinamik tehdidi tanımakta daha etkin bir çözüm sunmaktadır. Zararlı yazılımlar genellikle belirli bir geliştirme ortamında (örneğin, belirli bir kütüphane kullanılarak) inşa edilir, bu nedenle parmak izi tespiti çok daha etkili hale gelir.

Siber Güvenlikteki Rolü

Güvenlik analistleri, şifreli trafiğin içerdiği tehlikeleri tanımak için JA3 ve JA3S kullanarak tehdit avcıları stratejilerini geliştirme sürecinde önemli adımlar atabilirler. Örneğin, bir analist, loglar üzerinden bir zararlı yazılımın JA3 imzasını tespit eder ve bunun sonucunda Blue Team aksiyonu ile bu imzayı güvenlik duvarında engelleme sürecini başlatabilir. Bu sayede, sadece belirli bir IP adresi veya domain ismi üzerinden yapılan engellemelerin ötesine geçilmiş olunur.

Günümüzde siber güvenlik, gelişen teknoloji ile birlikte daha kompleks hale gelmiştir. Bu nedenle, şifreli trafik analizi gibi tekniklerin doğru bir şekilde uygulanması, her organizasyon için hayati önem taşımaktadır. JA3 ve JA3S parmak izi teknikleri, analistlerin bu karmaşık tehdit ortamıyla başa çıkmalarında kullanabilecekleri etkili araçlar arasında yer almaktadır.

Teknik Analiz ve Uygulama

TLS Parmak İzi İhtiyacı

Çağımızda siber güvenlik tehditleri giderek artmakta ve bu tehditlerin çoğu şifreli trafik içinde saklanmaktadır. Özellikle zararlı yazılımlar, veri sızıntıları ve diğer kötü niyetli aktivitelerin çoğu, TLS (Transport Layer Security) protokolü kullanarak şifrelenmiş iletişim üzerinden gerçekleştirilmektedir. Bu durumda, iletişimin içeriğini göremeden tehditleri tespit etme ihtiyacı doğmaktadır. İşte bu noktada, JA3 ve JA3S parmak izi çıkarma teknikleri devreye girmektedir.

JA3 ve JA3S Tanımı

JA3, bir istemcinin (Client) TLS bağlantısı sırasında kullandığı parametrelerin (TLS versiyonu, cipher suites ve eklentiler gibi) MD5 hash'i ile oluşturulan bir parmak izidir. Kısaca, bir JA3 değeri, belirli bir TLS istemcisinin karakteristiğini ortaya koyar. Örnek bir JA3 hesaplama süreci şu şekilde özetlenebilir:

1. Client Hello paketine ait alanlar sıralanır.
2. Sıralanan alanların MD5 hash'i alınır.

JA3S, buna benzer şekilde, bir sunucunun (Server) TLS Hello paketindeki parametrelerine dayanarak oluşturulan parmak izidir. Her iki parmak izi de, zararlı yazılımların veya meşru istemcilerin karakteristiklerini belirlemeye yardımcı olur.

JA3 ve JA3S Kombinasyonu

Analistler, JA3 ve JA3S değerlerini bir arada kullanarak daha zengin ve güvenilir veriler elde etmektedir. Bu birleşim, hem istemci hem de sunucu parmak izlerini inceleyerek, kötü niyetli iletişimleri daha kesin bir şekilde tespit etme imkanı sağlar. Şifreli trafik analizinde yapılan bu yaklaşım, özellikle belirli bir zararlı yazılımın davranışını anlamak için önemlidir.

Neden JA3 Kullanılır?

JA3 parmak izi çıkarma yöntemi, geleneksel IP veya domain engelleme yöntemlerine göre daha etkili bir çözüm sunar. Çünkü zararlı yazılımlar, IP adreslerini sıkça değiştirebilir ya da domain isimlerini sürekli yeniden üretebilir (DGA). Ancak, JA3'ün temel özelliği, zararlı yazılımın kullanmak zorunda olduğu kütüphaneyi baz almasıdır ki bu da onun değiştirilmesini zorlaştırır.

JA3 Hesaplama Bileşenleri

Bir JA3 string’i oluşturmak için Client Hello paketinden alınan alanların sırası aşağıdaki gibidir:

tls_version, accepted_ciphers, list_of_extensions, elliptic_curves, curve_formats

Bu alanların her biri, istemcinin bağlantı oluşturmadaki seçimlerini yansıtır ve bu seçimlerin MD5 hash’lenmesi ile JA3 değeri elde edilir.

Wireshark ile JA3 İncelemesi

Wireshark, TLS trafiğini analiz etmek için yaygın olarak kullanılan bir ağ protokolü analizcisidir. Güncel sürümlerde, TLS trafiğini filtreledikten sonra Client Hello paketinin detaylarında doğrudan bir JA3 alanı bulunur. Bu alan, otomatik olarak hesaplanmış parmak izini gösterecektir. Örneğin:

JA3: d3c5aaa9a794b1bfb9e80319074fdfb2

Bu değer, belirli bir istemciye ait karakteristikleri yansıtır ve potansiyel zararlı aktiviteleri tespit etmek için kullanılabilir.

Yanlış Pozitif (False Positive) Durumu

JA3 parmak izinin potansiyel yanlış pozitif durumları vardır. Örneğin, standart Python 'requests' kütüphanesiyle yazılmış bir zararlı yazılım ve aynı kütüphaneyi kullanan meşru bir otomasyon aracı aynı JA3 değerini üretebilir. Bu durumda, analistler dikkatli olmalı ve bir JA3 tespiti sonrasında daha kapsamlı bir analiz yapılmalıdır.

SOC L2 Pratiği: C2 Avı

Zararlı parmak izini tespit süreci genellikle analistlerin loglar üzerinden ilerlediği bir yol haritası izlemektedir. JA3 tespiti sonrası Blue Team, zararlı JA3 imzasını güvenlik duvarında engelleme gibi aksiyonlar alır. Bu tür bir pratik, özellikle Command and Control (C2) sunucularını tespit etmek için kritik öneme sahiptir.

Operasyonel Karar

Sonuç olarak, JA3 ve JA3S parmak izi çıkarma teknikleri, şifreli trafikte siber tehditleri tespit etmek adına etkili bir yöntem sunar. Ancak, bu yöntemlerin etkinliği, analistlerin doğru verileri yorumlama ve potansiyel yanlış pozitiflerden kaçınma becerisine bağlıdır. Siber güvenlik uygulamalarında bu tür tekniklerin sürekli olarak geliştirilmesi ve güncellenmesi, kuruluşlar için kritik önem taşımaktadır.

Risk, Yorumlama ve Savunma

Siber tehditlere karşı etkin bir savunma stratejisi geliştirmek, yalnızca güvenlik önlemleri almakla sınırlı değildir; aynı zamanda mevcut verilerin anlamını doğru bir şekilde yorumlayabilmekle de ilgilidir. JA3 ve JA3S gibi parmak izi çıkarma teknikleri, şifreli trafik analizinde önemli bir rol oynar ve bu sayede siber tehditlerin tespitine yardımcı olur. Bu bölümde, elde edilen bulguların güvenlik anlamını değerlendirecek, olası riskleri ve savunma stratejilerini inceleyeceğiz.

Elde Edilen Bulguların Değerlendirilmesi

JA3 ve JA3S kullanarak yapılan analizler, şifreli trafikteki istemcilerin ve sunucuların davranışlarına ilişkin önemli bilgiler sunar. Örneğin, bir JA3 parmak izi, bir istemcinin kullandığı TLS parametrelerinin (TLS versiyonu, şifreleme algoritmaları, eklentiler) MD5 özetini temsil eder. Bu parmak izleri, belirli bir zararlı yazılımın veya istemcinin davranışını tanımlama konusunda kritik öneme sahiptir.

Elde edilen parmak izlerinin analizi sürecinde, aşağıdaki unsurların göz önünde bulundurulması gerekmektedir:

• Sızan Veri: Şifreli trafik, temelinde veri güvenliğini sağlasa da, zararlı yazılımlar bu trafiği kullanarak veri sızdırabilir. JA3 ve JA3S analizinde, tanımlanan şüpheli parmak izleri, potansiyel veri sızıntılarını ortaya çıkarabilir.

• Topoloji: Şef hiyerarşisi ve cihaz bağlantıları, siber saldırılara karşı savunmanın etkinliğini etkileyen başlıca unsurlardır. Bu yapıların anlaşılması, saldırı yüzeylerinin belirlenmesi açısından önemlidir.

• Servis Tespiti: Gelişmiş tehdit avcılığı, hangi hizmetlerin kurulduğunu ve bu hizmetlere hangi istemcilerin eriştiğini anlamayı gerektirir. Bunun için JA3 ve JA3S verilerinin karşılaştırılması faydalı olur.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, bir ağda potansiyel zafiyetler oluşturarak, saldırganların sisteme erişimini kolaylaştırabilir. Örneğin, bir şifreleme algoritmasının kullanılmaması veya zayıf bir algoritmanın tercih edilmesi, şifreli trafiğin güvenliğini tehdit edebilir.

Sistemlerdeki zafiyetler ise, bilinen saldırı yöntemleri kullanılarak istismar edilebilir. Bu bağlamda, JA3 ve JA3S'yi kullanarak potansiyel açıktan yararlanabilecek parmak izleri belirlenmeli ve bu izlerin geçersiz kılınması için gerekli önlemler alınmalıdır.

Profesyonel Önlemler ve Hardening Önerileri

Siber güvenlik önlemleri, altyapının doğasına göre özelleştirilmelidir. JA3 ve JA3S kullanarak yapılan analizler sonucunda belirlenen şüpheli parmak izlerine yönelik alınacak bazı önlemler şunlardır:

1. Güvenlik Duvarı Kuralları: Zararlı JA3 imzalarının tespitinin ardından, bu imzaların güvenlik duvarında engellenmesi, olası saldırıların önlenmesi açısından kritik bir adımdır.

   Port 443 için filtreleme kuralları oluşturulmalı,
   bilinen zararlı JA3 parmak izleri engellenmelidir.
   

2. Güncellemeler: Tüm ağ bileşenlerinin güncel tutulması, bilinen zafiyetlerin kapatılmasını sağlar. Yazılımsal güncellemeler, siber tehditlerin etkisini azaltan önemli bir faktördür.

3. İzleme ve Alarm Sistemleri: Anomalilerin tespit edilmesi için sürekli izleme yapılmalıdır. JA3 ve JA3S ile tespit edilen şüpheli aktiviteler, otomatik alarm sistemleri aracılığıyla analistlere bildirilmelidir.

4. Eğitim ve Farkındalık: Son kullanıcıların farkındalığı artırılmalı, potansiyel tehditleri tanıma konusunda eğitilmelidir. Cihazların ve ağ yapılandırmalarının bilincinde olunması, siber güvenliği artırır.

Sonuç

JA3 ve JA3S ile yapılan siber tehdit analizi, şifreli trafik içerisinde zararlı aktiviteleri tespit etme açısından güçlü bir araçtır. Elde edilen sonuçların yorumlanması, yanlış yapılandırmaların ve sistem zafiyetlerinin tespit edilmesi, profesyonel önlemlerle birleştiğinde, güvenlik seviyesini önemli ölçüde artırabilir. Güvenlik stratejilerimizin sürekli gelişimli ve değişken tehditlere karşı esnek olması gerekmektedir.