CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Şifreli Yük Tespiti: Entropi Analizi ile Güvenlik Güçlendirme

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Şifreli yük tespiti, entropi analizi teknikleri ile hâkimiyet elde etmek için önemli bir adımdır. Siber güvenlikte dikkat edilmesi gereken detayları keşfedin.

Şifreli Yük Tespiti: Entropi Analizi ile Güvenlik Güçlendirme

Siber güvenlikte şifreli yüklerin tespit edilmesi, tahmin edilebilir bir analiz gerektirir. Entropi analizi, bu sürecin en önemli bileşenlerinden biridir. Detayları öğrenin!

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında veri koruma ve zararlı aktivitelerin tespiti sürekli olarak daha karmaşık hale gelmektedir. Kurumların veri güvenliğini sağlamak amacıyla kullandıkları yöntemler arasında en önemlileri, şifreleme teknikleri ve entropi analizi gibi araçlardır. Şifreli yük tespiti, ağ üzerinden iletilen verinin analiz edilmesi ve potansiyel tehditlerin belirlenmesi açısından kritik bir öneme sahiptir.

Entropi, bir veri bloğundaki karmaşıklığı ve rastgeleliği ölçen matematiksel bir terimdir. Veri bloklarının entropi değerleri, veri yapısı hakkında önemli ipuçları sunar. Örneğin, şifreli ve sıkıştırılmış verilerin entropi değeri, düz metinlere göre çok daha yüksektir. Bu durum, saldırganların veriyi şifrelemesiyle derin paket analizi (DPI) cihazlarının içerikteki komutları okuyamaması anlamına gelir. Özellikle bu nokta, bir güvenlik operasyon merkezi (SOC) analisti için, zararlıyı tespit etmek amacıyla verinin yapısının incelenmesine olanak tanır.

Neden Önemli?

Şifreli yük tespiti, yalnızca güvenlik alanındaki en son gelişmelerle ilgili bir kavram değildir; aynı zamanda modern siber tehditlere karşı bir savunma mekanizması olarak da işlev görmektedir. Modern zararlı yazılımlar, statik analizden kaçmak için genellikle paketleme yöntemleri kullanır. Bu durum, analiz sürecini karmaşıklaştırdığı için, SOC analistlerinin entropi analizi gibi teknikleri kullanarak yüksek entropili şüpheli veri yüklerini tespit etmesi gerekmektedir.

Entropi analizi, güvenlik tehditlerinin tespiti ile ilgili birkaç temel adım içerir:

  1. Verinin Dinlenmesi: Ağ trafiğinde indirilmekte olan dosyaların veya payload'un öncelikle ağ dinleme araçları ile tespit edilmesi gerekiyor.
  2. Entropi Hesaplaması: Elde edilen verinin entropisi hesaplanmalı, bu işlem için genellikle Python gibi bir programlama dili kullanılabilir.
  3. Yüksek Entropili Verilerin Belirlenmesi: Elde edilen entropi değeri üzerinden, hangi verilerin şifreli veya sıkıştırılmış olabileceği tespit edilmelidir.
  4. Müdahale Süreci: Analistler, yüksek entropi değerleri taşıyan şüpheli veri sızdırma kanallarına müdahale etmeli ve gerekli önlemleri almalıdır.

Teknik İçeriğe Hazırlık

Bu blog yazısında, entropi tanımından başlayarak, şifreli verinin karakteristik özelliklerine geçiş yapacağız. Ayrıca, entropi değeri aralıklarını analiz ederek, neden entropi analizinin kritik olduğuna dair derinlemesine bilgiler sunacağız. Paketleme mantığının şifreli veri üzerindeki etkilerini detaylandıracak ve bu bağlamda ağ loglarında şifreli yüklerin tespiti konusuna değineceğiz.

Ayrıca paket çıkarım süreçlerini açıklayarak, Zeek gibi araçların bu süreçte nasıl kullanılabileceğini irdeleyeceğiz. Son olarak, bu bilgilerin bir SOC L2 analisti için nasıl pratikte uygulanacağını ve karar verme ile müdahaleye yönelik adımları inceleyeceğiz.

Kısa bir örnekle başlamak gerekirse, ağ trafiğinde karşılaşılan bir dosyanın entropisi 0 ile 3 arasında olduğunda, bu genellikle basit metinler veya tekrar eden karakterlerden oluşan yapılar anlamına gelir. Ancak 7.5 ile 8.0 arasında bir entropi değeri, şifrelenmiş veya paketlenmiş verilere işaret eder ve bu durum bir tehdit anlamına gelebilir.

Bu çerçevede, okuyuculara entropi analizi ve şifreli yük tespiti konularında sağlam bir temel sunmayı amaçlıyoruz.

Teknik Analiz ve Uygulama

Entropi Tanımı

Entropi, bir veri blokundaki rastgeleliği, düzensizliği ve karmaşıklığı matematiksel olarak ölçen bir değerdir. Bilgi teorisinde, özellikle de veri analizi ve güvenlik alanlarında kritik bir rol oynar. Düşük entropi değerleri, verinin düzenli ve öngörülebilir olduğunu gösterirken; yüksek entropi değerleri, verinin karmaşık olduğunu ve olası şifreleme ya da sıkıştırma işlemlerine tabi tutulduğunu işaret eder.

Entropi, Shannon Entropy olarak bilinen bir ölçüm ile sıklıkla ifade edilir ve bu ölçüm 0 (düşük) ile 8 (yüksek) arasında bir değer aralığına sahiptir. Veri analizi sırasında, entropi değeri, verinin güvenliği açısından önemli bilgiler sunar.

Şifreli Veri Karakteristiği

Şifrelenmiş veya sıkıştırılmış verilerin entropi değeri, düz metinlere (plaintext) göre her zaman çok daha yüksek çıkmaktadır. Özellikle zararlı yazılımlar, tespit edilmemek için verilerini sıkça şifreler ve taşır. Bu noktada, siber güvenlik uzmanları için yüksek entropi değerleri, potansiyel bir tehlike veya veri sızdırma girişimini işaret edebilir.

Entropi Değer Aralığı

Entropi değerlendirmeleri, veri türlerine göre farklılık gösterir. Aşağıda bu entropi değerlerinin çeşitleri ve anlamları sıralanmıştır:

  • 0.0 - 3.0 (Düşük): Tekrar eden karakterler, boşluklar veya çok basit yapısal metinler.
  • 4.0 - 6.0 (Orta): Normal İngilizce metinler, standart HTML kodları veya yürütülebilir dosyalar.
  • 7.5 - 8.0 (Çok Yüksek): Tamamen şifrelenmiş, sıkıştırılmış veya paketlenmiş veri.

Bu değerler, özellikle ağ trafiği analizi sırasında şifreli yüklerin tespitini kolaylaştırmak açısından kritik öneme sahiptir.

Neden Entropi Analizi?

Siber güvenlikte entropi analizi, zararlı yazılımların (malware) kendilerini gizleme tekniklerini anlamak için önemlidir. Saldırganlar, veriyi şifrelediğinde Deep Packet Inspection (DPI) cihazları içerikteki komutları okuyamaz. Bu durumda, SOC analistleri zararlıyı tespit etmek için içerikten ziyade veri yapısını inceler.

Entropi analizi, şüpheli paketlerin belirlenmesi için etkilidir; ağ trafik analizinde yüksek entropi üreten ve Command and Control (C2) şüphesi taşıyan durumları eşleştirmek gereklidir. Aşağıda, bir ağ trafiğinde yüksek entropili şüpheli veri yükünü analiz etme adımları verilmiştir:

  1. Ağ dinleme aracı üzerinden dosya çıkarmak (extraction).
  2. Elde edilen dosyanın entropisini hesaplamak.
  3. Entropi hesaplama sonucunda yüksek bir değer tespit edilirse, bunun potansiyel bir şifreli yük olup olmadığını doğrulamak.
# Entropi değeri hesaplama örneği
python -c "
import math
import sys
from collections import Counter

def entropy(data):
    prob = [float(data.count(c)) / len(data) for c in dict(Counter(data))]
    return -sum(p * math.log2(p) for p in prob)

filename = 'payload.bin'
with open(filename, 'rb') as f:
    data = f.read()
    print(entropy(data))
"

Yukarıdaki Python kodu, bir dosyadaki veri bloklarının entropisini hesaplamakta kullanılabilir. Bu tarz standart bir uygulama, gerçekleştirilecek işlemlerin en iyi biçimde yapılabilmesi için önem taşır.

Ağ Loglarında Şifreli Yük

Ağ loglarında yüksek entropili veri yükleri belirlemek, siber güvenlikte kritik bir adım olarak öne çıkar. Entropinin loglarda nasıl izleneceğine ilişkin net bir anlayış, bir Blue Team analistinin başarı faktörlerinden biridir. Özellikle, zararlı yazılımlar genellikle statik analizden kaçmak için paketleme işlemleri uygular ve bu durum analiz sürecini zorlaştırır.

Payload Analiz Süreci

Payload analizi, zararlı aktivitelerin tespit edilebilmesi için gerçekleştirilen önemli bir adımdır. Bu süreç bir dizi yöntemi kapsar:

  1. Dosya Çıkarma (Extraction): Ağ üzerinden veri yakalanarak dosyaların çıkarılması.
  2. Entropi Hesaplama: Çıkarılan dosyaların entropi değerinin hesaplanması.
  3. Güvenlik Politikaları ile Karşılaştırma: Hesaplanan entropi değerinin güvenlik politikaları ile karşılaştırılarak yüksek entropili şüpheli durumlardan dolayı bir aksiyon alınması.

Ağ trafiğinde şüpheli veri yüklerini analiz etmek için entropi değeri kritik bir ölçüt olmaktadır. Şüphe durumları meydana geldiğinde, analistler yüksek entropili paketleri doğrulamak ve C2 sunucularını engellemek adına gerekli müdahaleleri gerçekleştirmelidirler.

İleride bu analizlerin doğru bir şekilde yapılması, hem ağ güvenliğinin sağlanması hem de olası veri sızdırma saldırılarına karşı koruma sağlaması açısından son derece önem arz etmektedir.

Risk, Yorumlama ve Savunma

Siber güvenlik alanında, şifreli yük tespiti, çeşitli siber tehditlerin belirlenmesi ve önlenmesi açısından kritik bir öneme sahiptir. Entropi analizi, şifreli veya sıkıştırılmış veri bloklarının analizinde yüksek verimlilik sağlar. Bu bölümde, elde edilen bulguların güvenlik anlamında nasıl yorumlanacağını, yanlış yapılandırma veya zafiyetlerin etkilerini, sızan verilerin, ağ topolojisinin ve hizmetlerin tespitine yönelik sonuçları inceleyeceğiz. Ayrıca, bu tehditleri azaltmak ve siber savunmamızı güçlendirmek için profesyonel önlemler ve hardening önerileri sunacağız.

Elde Edilen Bulguların Yorumlanması

Veri entropisi, bir veri bloğundaki rastgeleliği ve karmaşıklığı ölçen bir değerdir. Şifreli veriler genellikle daha yüksek entropi değerlerine sahiptir. Bu durum, badoku veya diğer veri analizi teknikleri kullanarak şifreli verilerin ele alınmasını zorlaştırır. Örneğin, tam anlamıyla şifrelenmiş bir veri parçası için entropi değeri 7.5 ile 8.0 aralığında olabilir:

Entropi Değerleri:
- 0.0 - 3.0 (Düşük): Tekrar eden karakterler veya çok basit metinler
- 4.0 - 6.0 (Orta): Standart metinler veya HTML kodları
- 7.5 - 8.0 (Yüksek): Tamamen şifrelenmiş veya sıkıştırılmış veriler

Bu tür verilerin ağ loglarında tespit edilmesi, genellikle kötü niyetli bir etkinlik veya veri sızıntısının belirtisidir. Örneğin, yüksek entropi gösteren bir HTTP POST isteği, dışarı sızdırılan verilerin AES ile şifrelendiğini gösterebilir.

Yanlış Yapılandırma ve Zafiyetler

Siber güvenlik tehditleri, genellikle yanlış yapılandırmalardan veya sistem zafiyetlerinden kaynaklanır. Ağda sık yapılan yanlış yapılandırmalar, şifreli veri yüklerinin düzgün bir şekilde analiz edilmesini engelleyebilir. Örneğin, yanlış yapılandırılmış bir güvenlik duvarı, şifreli trafiği göz ardı edebilir veya gereksiz yere engelleyebilir. Bu, hem yasal hem de teknik açıdan ciddi sorunlara yol açabilir.

Bir başka örnek ise bir sistemin zafiyetleridir. Bu tür zafiyetler, kötü niyetli yazılımların, örneğin zararlı yazılım (malware) paketlemesi gibi teknikler kullanarak ağda gizlenmesine olanak tanır. Malicious yazılımlar, normal paketin yapısını değiştirerek dikkat çekmemeyi hedefler ve bu sayede güvenlik sistemlerini aşabilir.

Sızan Veri, Topoloji ve Servis Tespiti

Bir veri sızıntısının tespit edilmesi için öncelikle ağınızdaki trafiği analiz etmeniz gerekir. Bu analiz sırasında, belirli veri paketlerinin yapısını ve içeriğini incelemek önemlidir. Şifreli yüklerin entropi analizi, bu tür veri sızıntılarının tespitinde son derece etkili bir yöntemdir. Zigbee ve diğer araştırma araçları kullanarak, örneğin pcap (packet capture) dosyalarını inceleyerek, ağınızdaki tüm şifreli trafiği belirleyebilirsiniz.

# Entropi hesaplama komutu
python -c "import math; data=b'your_encrypted_data'; print(-sum((data.count(c) / len(data)) * math.log(data.count(c) / len(data), 2) for c in set(data)))"

Profesyonel Önlemler ve Hardening Önerileri

Güvenli bir siber ortam sağlamak için aşağıdaki profesyonel önlemleri almak gerekmektedir:

  1. Ağ Güvenlik Duvarı Konfigürasyonu: Ağ güvenlik duvarlarının şifreli yük tespiti için uygun şekilde yapılandırıldığından emin olun. Gerekirse şüpheli trafiği izleme ve işleme algoritmaları uygulayın.

  2. Derin Paket Analizi: DPI (Deep Packet Inspection) araçlarının kullanımı, şifreli trafiği analiz etmek için kritik öneme sahiptir. Bu tür araçlarla trafiği kontrol ederek zararlı etkinlikleri tespit edebilirsiniz.

  3. Ağ İzleme ve Analiz Araçları: Zeek veya Snort gibi ağ analizi araçlarını kullanarak şifreli yüklerin varlığını sürekli takip edin. Bu araçlar, belirli kurallara göre trafiği analiz ederek şüpheli durumları işaret edebilir.

  4. Zafiyet Yönetimi: Ağ ve sistemlerde tespit edilen zafiyetleri düzenli olarak inceleyin ve güncellemeler yapın. Aksi takdirde, saldırganlar bu zafiyetleri kötüye kullanabilir.

Sonuç

Bu bölümde şifreli yük tespiti ve entropi analizi ile ilgili bulguların güvenlik açısından yorumlanması, yanlış yapılandırmalar ve zafiyetlerin etkileri üzerinde durduk. Ayrıca, kritik veri sızıntılarının tespiti ve siber güvenlik için alınabilecek önlemler hakkında bilgi verdik. Uygulanan stratejiler ve teknikler, organizasyonların içerikleri korumasına ve saldırganlara karşı etkili bir savunma oluşturmalarına yardımcı olmalıdır.