CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Sosyal Medyada C2 Tespiti: Dead Drop Resolvers ile Güvenliğinizi Artırın

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Sosyal medya üzerinden C2 iletişimini anlamak için Dead Drop Resolvers konusunu keşfedin. Siber güvenliğinizi güçlendirin.

Sosyal Medyada C2 Tespiti: Dead Drop Resolvers ile Güvenliğinizi Artırın

C2 iletişimi, zararlı yazılımlar tarafından sosyal medya platformları üzerinden nasıl gerçekleştiriliyor? Dead Drop Resolvers ile bu tehditleri nasıl tespit edebileceğinizi öğrenin.

Giriş ve Konumlandırma

Sosyal medyanın yaygın kullanımı, günümüzde birçok iş ve sosyal etkileşim için yeni olanaklar sunmaktadır. Ancak, bu meşru platformların kötüye kullanımını önlemek ve siber güvenliği sağlamak oldukça karmaşık bir hale gelmiştir. Siber saldırganlar, meşru servisleri, özellikle sosyal medya platformlarını, Komut ve Kontrol (C2) iletişimi için bir araç olarak kullanmaktadır. Bu durum, siber güvenlik profesyonellerinin ve analistlerinin bu tür durumları tespit etmek için geliştirilmiş yöntemleri anlamasını zorunlu kılmaktadır. Bu bağlamda, Dead Drop Resolver teknolojisi, siber güvenlik alanında önemli bir konumlandırma sunmaktadır.

Dead Drop Resolver Nedir?

Dead Drop Resolver, saldırganların güncel C2 adreslerini gizlemek için kullandığı bir yöntemdir. Zararlı yazılımlar, asıl C2 sunucusunun adresini doğrudan gizlemek yerine, bu bilgiyi GitHub, Pastebin veya Twitter gibi meşru platformlardaki gönderilerin içine entegre etmektedir. Bu durum, analiz edilmesi gereken C2 akışlarının, görünüşte zararı olmayan veri akışları ile örtüşmesine neden olmaktadır.

Bu tür gizleme teknikleri, siber güvenlik ekipleri için zorluklar yaratmakta; çünkü sosyal medya trafiği çoğu kurumda beyaz liste dahilinde olduğu ve SSL/TLS ile şifrelendiği için standart firewall kurallarıyla engellenememektedir. Bu da, şirketin siber güvenlik politikalarını gözden geçirmesi, güncellemeler yapması ve algılama yeteneklerini artırması gerekliliğini doğurmaktadır.

Neden Önemli?

Dead Drop Resolver kullanımı, yalnızca kötü niyetli faaliyetlerin tespiti açısından değil, aynı zamanda güvenlik değerlendirmelerinin ve periyodik penetrasyon testlerinin de kritik bir parçasıdır. Özellikle infostealer zararlı yazılım türleri, çalınan verileri dışarı sızdırmak için Discord veya Telegram gibi sosyal medya platformlarını kullanmaktadır. Bu tür kanallar aracılığıyla yapılan iletişim, kötü niyetli trafiğin izlenmesi açısından zorlu bir alan sunmaktadır.

Yapılan güvenlik analizleri ve incelemeleri, bu uygulamaların siber suçların üstesinden gelinmesinde önemli rol oynamaktadır. Özellikle ağ güvenliği uzmanları ve Blue Team analistleri, meşru servislerin suistimaline karşı güçlü kontrol noktaları oluşturmak zorundadır. Kullanıcı etkileşimi olmadan arka planda çalışan sosyal medya isteklerini incelemek önemli bir gereklilik haline gelmiştir.

Teknik İçeriğe Hazırlık

Sosyal medya üzerinden C2 tespiti konusunda yapılacaklar arasında, meşru servis tabanlı iletişim akışının izlenmesi ve analiz edilmesi yer almaktadır. Aşağıda, sosyal medya üzerinden C2 iletişiminin izlenmesi için kullanabileceğiniz bazı teknik yöntemler yer almaktadır:

tshark -Y http.host matches "discordapp|api.telegram.org"

Yukarıdaki komut, Discord ve Telegram API'lerine giden trafiği filtreleyerek, şüpheli veya anormal iletişimleri anlamanızı sağlar. Bu tür bir analiz, ağ üzerindeki saldırgan aktivitelerini tespit etme yeteneğinizi artırır.

Sonuç olarak, sosyal medyada C2 tespiti yapabilmek için gerekli bilgi ve teknik donanımın sağlanması hayati öneme sahiptir. Saldırganlar, trafiği daha doğal hale getirmek için komutları sosyal medya gönderilerinin içine gizleyebilir ya da meşru hashtag'ler kullanarak aramalara dahil edebilir. Bu bağlamda, sosyal medyada C2 tespitini güçlendirmek üzere kullanılan yöntem ve araçların etkin bir şekilde entegrasyonu, siber güvenlik stratejilerinin önemli bir parçasını oluşturmaktadır.

Teknik Analiz ve Uygulama

Dead Drop Resolver Tanımı

Dead Drop Resolver (DDR), zararlı yazılımların Command and Control (C2) sunucularını gizlemek için kullandığı bir teknik olarak tanımlanabilir. Bu yaklaşım, zararlının asıl C2 adresini doğrudan barındırmak yerine, bilgiyi GitHub, Pastebin veya Twitter gibi meşru platformlardaki gönderilere gizleyerek iletişimi sağlar. Örneğin, bir infostealer zararlısı, çaldığı verileri dışarı çıkarmak için Discord ya da Telegram gibi meşru hizmetleri kullanabilir.

Bu durum, siber güvenlik analistlerinin yapılan iletişimi doğrulamasını zorlaştırır. Sosyal medya trafiği, genellikle kurumların beyaz listesi içinde yer alır ve SSL/TLS ile şifrelendiği için, standart güvenlik duvarı kuralları ile engellenemez.

Kullanılan Platformlar

Saldırganlar, C2 iletişimlerini gerçekleştirmek için çeşitli meşru platformları kullanırlar. Bu platformlar şunlardır:

  • GitHub / Gist: C2 yapılandırma dosyaları veya güncel IP adresleri kod parçacıkları içinde saklanabilir.
    Örneğin:

    GET /my_script.js HTTP/1.1
Host: raw.githubusercontent.com

  • Discord / Telegram: Bot API'leri ve Webhook'lar üzerinden komut kontrolü veya veri sızdırma işlemleri gerçekleştirilir.

  • Twitter / Reddit: Gizli C2 adresleri, kullanıcı profillerine veya yorumlara şifreli (Base64) biçiminde yerleştirilebilir.

Bu tarz platformların kullanımı, izlemeyi zorlaştırdığı için SEO konusunda zorluk yaratan bir yapı oluşturur.

Tespit Zorluğu: Whitelist

Meşru hizmetler üzerinde gerçekleşen iletişimler, çoğu güvenlik sistemi için beyaz liste (whitelist) içerisine alınmış durumdadır. Bu durum, örneğin, tüm HTTPS trafiğinin güvenli sayılması gibi yanlış bir güvenlik algısı yaratabilir. Zararlı yazılımların sosyal medya ağları üzerinden gerçekleştirdiği C2 iletişimi, standart güvenlik kuralları ile engellenememektedir.

Siber güvenlik analistleri, bu çelişkiyi izlemek için mevcut sosyal medya ağlarının trafiğini incelemelidir. Bu noktada, normal trafik ile anormal trafik arasında bir denge kurmak önemlidir.

İletişim Akışı

Dead Drop Resolver mimarisi, genellikle iki aşamada gerçekleşir: ilk olarak zararlı yazılım, bir meşru platformdaki iletişim kanalını keşfeder ve ikinci olarak, kazandığı bu kanalı kullanarak C2 sunucusuna bağlanır. Bunu yaparken aşağıdaki adımları izlemektedir:

  1. Zararlı yazılım, belirlediği meşru platformda gizli bilgiler içeren bir gönderi yapar.
  2. Kullanıcı veya başka bir yazılım, bu gönderiyi okuyarak zararlının C2 sunucusuna bağlanmasını sağlar.

Bu süreçlerin izlenebilirliği için aşağıda belirtilen yaklaşım kullanılabilir.

Webhook Suistimali

Saldırganlar, sistemlerine Webhook'lar aracılığıyla komut gönderebilir. Bu, özellikle Discord ve Telegram gibi platformlarda yaygındır. Örneğin, bir Discord botu, belirli bir komutu almak için bir Webhook yapısına ihtiyaç duyar:

{
  "content": "Fwd: Bilgi al",
  "embed": {
    "title": "C2 Komutu",
    "description": "Burada zararlı yazılımın etkileşimde bulunduğu içerik var."
  }
}

Bir analist olarak, bu tür Webhook'ları incelemek ve anomali tespiti yapmak, kritik öneme sahiptir.

Ağ İzi: Host Profil Analizi

Ağ trafiği analizi yaparken, farklı cihazların sosyal medya platformlarına olan isteklerini incelediğinizde, alışılmadık davranışlar tespit edebilirsiniz. Aşağıda, analiz sırasında dikkat edilmesi gereken noktalara dair örneklerle alanı daraltmak mümkündür:

  1. Unusual User Context: Normalde sosyal medya kullanmayan bir sunucunun bu tür platformlara erişimi,
  2. Data Exfiltration Pattern: Giden trafiğin gelen trafiğe kıyasla daha yoğun ve düzenli olması.

Bu tür durumları analiz ederek, zararlı yazılımların C2 ile etkileşime girdiğini tespit etmek mümkündür.

Tshark ile Platform İzleme

Tshark, ağ trafiğini izlemede ve analiz etmede kullanılan etkili bir araçtır. Discord ve Telegram API'lerine giden trafiği filtrelemek için aşağıdaki komut kullanılabilir:

tshark -Y http.host matches "discordapp|api.telegram.org"

Bu komut, belirtilen sunuculara giden HTTP trafiğini izleyerek, potansiyel zararlı aktiviteleri ortaya çıkarabilir.

Görünmezlik Stratejisi

Saldırganlar, C2 adreslerini gizlemek için steganografi kullanabilir. Sosyal medya gönderilerinin içine yerleştirilen komutlar, görülemeyecek şekilde şifrelenerek gizlenir. Bu, sosyal mühendislik ve yaratıcı yaklaşımlarla birleştiğinde çok daha etkili olur.

SOC L2 Pratiği: Kaynak Analizi

Yapılan analizlerden elde edilen verileri toplamak, zararlı aktivitelerin kaynağını bulmak için önemlidir. Saldırganların kullandığı meşru profil URL’lerini tespit etmek için şu adımları izlemek gereklidir:

  1. Şüpheli aktivitelerin kaynağını tanımlayın.
  2. Belirli son noktalara erişimi engelleyin.
  3. Platform güvenlik ekiplerine durumu rapor edin.

Operasyonel Müdahale

Son olarak, meşru servis tabanlı C2 tespiti sonrası yapılacaklar sürecinde, etkili bir operasyonel müdahale planı geliştirmek hayati önem taşır. Bu plan, şüpheli aktivitelerin izlenmesi ve hızlı yanıt stratejilerinin devreye alınmasını içerir.

Bu teknik detayların göz önünde bulundurulması, sosyal medya platformlarında C2 tespitini geliştirmek ve siber güvenliği artırmak yönünde önemli bir katkı sağlayacaktır. Analistlerin, bu zorluklarla başa çıkabilmesi için sürekli yenilikçi ve dikkatli olması gerekmektedir.

Risk, Yorumlama ve Savunma

Sosyal medya üzerinden gerçekleştirilen performansa dayalı saldırıların ardındaki karmaşık yapı, siber güvenlik analistleri için yeni bir tehdit ortamı oluşturmuştur. Dead Drop Resolvers (DDR) kullanımıyla, zararlı yazılımlar artık doğrudan Komut ve Kontrol (C2) sunucularıyla bağlantı kurmak yerine, bu bilgiyi meşru platformlarda gizleyerek iletişim kurmaktadır. Bu noktada, elde edilen bulguların güvenlik anlamını doğru bir şekilde yorumlamak kritik öneme sahiptir.

Elde Edilen Bulguların Yorumlanması

Zararlı yazılımların keşfi, genellikle bilgi çalan botlar (infostealers) ya da diğer tehdit aktörleri tarafından meşru sosyal medya platformları üzerinde gerçekleştirilen hareket düzeneklerini analiz etmeyi gerektirir. C2 sunucularının yerini alabilecek bir Dead Drop Resolver mekanizmasını tespit etmek, analistlerin meşru servisler üzerindeki ağ izlerini doğru bir biçimde yorumlamasını gerektirir. Örneğin, bir profilin sıkça aynı GitHub bağlantısına yönlendirmesi, "Specific URI Access" olarak sınıflandırılır ve bu durum şüpheli bir davranış olarak değerlendirilmelidir.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırmalar veya zafiyetler, sistemler üzerindeki etkileri göz önüne alındığında, genellikle derinlemesine bir analiz gerektirir. Eğer bir organizasyonda sosyal medya trafiği beyaz listeye alınıyorsa (whitelist), bu, potansiyel C2 trafiğinin tespitini zorlaştırır. Saldırganlar, bu tür ağ yapılandırmalarından yararlanarak trafiği gizlemek için meşru servisleri kullanma eğilimindedir. Örneğin:

tshark -Y http.host matches "discordapp|api.telegram.org"

Yukarıdaki komut, Discord ve Telegram API’lerine giden şüpheli trafiği filtreleme işlemi için kullanılabilir. Analistlerin bu tür anormallikleri tespit etmeleri gerekmektedir.

Sızıntı ve Ağ İzlerinin Tespiti

Daha fazla özelleşmiş saldırılar, sızıntıları daha da artırabilir. Meşru platformlar üzerinden geçen C2 trafiği, sık kullanılan kullanıcı etkileşimleri arasında gömülü halde gözükebilir. Örneğin, bir kullanıcının normalde hiç yapmadığı sosyal medya istekleri göndermesi, "Unusual User Context" olarak sınıflandırılabilir. Bu tür davranışlar, ağ izleri üzerinden şüpheli aktivitelerin tespiti açısından dikkatlice incelenmelidir.

Profesyonel Önlemler ve Hardening Önerileri

Ağ güvenliği için profesyonel önlemler alınması şarttır. İlk olarak, meşru servislerin izlenmesini sağlamak için izleme araçlarının ve analitiklerin kapasitesinin artırılması gerekmektedir. Benzer şekilde, organizasyonlar, sosyal medya trafiğinde anormalliklerin belirlenmesine yönelik sistematik bir yaklaşım geliştirmelidir.

  • Hardening Genel Önlemleri:
    • Ağ trafiğinin düzenli olarak analiz edilmesi ve anormallik belirleme yazılımlarının devreye alınması.
    • Sosyal medya platformları ile olan ağ bağlantılarının sıkı denetimi.
    • Kötü niyetli trafiği tespit eden ve engelleyen sistemlerin (IDS/IPS) entegrasyonu.

Sonuç

Sosyal medyanın C2 tespiti üzerindeki etkisi, siber güvenlik analistleri için hem fırsatlar hem de zorluklar sunmaktadır. Anomalilerin, bağlantıların ve meşru servislerin detaylı bir şekilde analizi, olası tehditleri önceden belirlemek için kritik bir rol oynamaktadır. Bunun yanı sıra, ortaya çıkan zafiyetlerin kapatılması ve ağ güvenliğinin sağlamlaştırılması, bu tür tehditlerin yok edilmesinde anahtar bir faktördür. Unutulmamalıdır ki, sürekli eğitim ve etkileşim, siber güvenlik güncellemeleri arasında önemli bir yer tutmaktadır.