CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Sosyal Medya ile Siber Güvenlik: C2 İletişiminde Discord, Telegram ve GitHub'ın Rolü

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Bu yazıda, sosyal medya platformları aracılığıyla yapılan C2 iletişimini ve bunun siber güvenlik açısından taşıdığı riskleri ele alıyoruz.

Sosyal Medya ile Siber Güvenlik: C2 İletişiminde Discord, Telegram ve GitHub'ın Rolü

Sosyal medya platformları, saldırganlar için meşru trafik izlenimi yaratmanın yanı sıra siber güvenlik açısından ciddi tehditler oluşturabiliyor. Bu makalede, Discord, Telegram ve GitHub üzerinden kurulan C2 iletişimini detaylı bir şekilde inceliyoruz.

Giriş ve Konumlandırma

Sosyal Medya ile Siber Güvenlik: C2 İletişiminde Discord, Telegram ve GitHub'ın Rolü

Günümüzde siber güvenlik alanında, özellikle komut ve kontrol (C2) iletişimi, saldırıların etkili bir şekilde gerçekleştirilmesinde ve tespitte zorluk yaratmasında kritik bir öneme sahiptir. Saldırganların, genellikle kendi sunucularından ziyade meşru, tanınmış platformları kullanarak gerçekleştirdikleri bu iletişim yöntemleri, siber saldırıların etkilerini minimize etmeyi hedefler.

Neden Önemli?

C2 iletişimi, bir zararlının veya tehdit aktörünün, saldırgan tarafından kontrol edilen sunucular ile iletişim kurmasına olanak tanır. Bu iletişim, zararlının görevlerini almak, veri sızdırmak veya güncellenmiş olan kötü amaçlı yazılım komutlarını almak üzere yapılandırılmıştır. Meşru sosyal medya platformlarının kullanımı, genellikle güvenlik duvarları ve izleme sistemleri tarafından beyaz listeye alınmış olması nedeniyle, bu trafiğin tespit edilmesini son derece zor hale getirmektedir. Dolayısıyla, saldırganlar için bu yöntemleri kullanmak, izleme ve müdahale olasılığını azaltmak açısından stratejik bir avantaj sunar.

Örneğin, Telegram veya Discord gibi platformlar, çok sayıda kullanıcıya sahip olması ve yaygın olarak kullanılması nedeniyle, siber tehdit analizinde önemli bir rol oynamaktadır. Saldırganlar, bu platformların API'lerini kullanarak zararlılarla etkileşim kurabilir, komutları iletebilir ve veriyi sızdırabilirler.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlantı

Siber güvenlik uzmanları ve pen-test (penetrasyon testi) yapan ekipler, bu tür C2 iletişim yöntemlerinin farkında olmalı ve bunu göz önünde bulundurarak ağlarını koruma stratejileri geliştirmelidir. Meşru hizmetler üzerinden gerçekleşen iletişimi tespit etmek, yalnızca zararlı yazılımların etkisini azaltmakla kalmaz; aynı zamanda ağ güvenliği mimarisinin güçlendirilmesine de katkı sağlar. Bunun için:

  • İletişim Akışlarının Analizi: Saldırganların, meşru platformlar üzerinden nasıl iletişim kurduğunu anlamak için iletişim akışlarının analiz edilmesi gereklidir. Bu, maliyetleri azaltacak ve zaman tasarrufu sağlayacaktır.
  • Anomalilerin Tespiti: Kullanıcı aktiviteleri üzerindeki olağan dışı durumların tespiti, meşru servislerin kötüye kullanıldığını göstermektedir. Örneğin, bir organizasyonun ağında, sürekli olarak api.telegram.org/bot<token>/getUpdates gibi isteklerin bulunması, potansiyel bir C2 faaliyetinin güçlü bir işareti olarak değerlendirilebilir.

Okuyucuya Hazırlık

Bu içerik, okuyucuları meşru servisler üzerinden gerçekleştirilen C2 iletişimlerinin doğası ve etkileri hakkında bilgilendirmeyi amaçlamaktadır. Böylece siber güvenlik uzmanları, ağlarını koruma ve saldırıların farkına varma hususunda daha donanımlı hale gelebilirler. Yazının devamında, Discord, Telegram ve GitHub gibi platformların C2 iletişimindeki rolü daha detaylı bir şekilde işlenecek ve tespit yöntemleri analiz edilecektir.

Bu bağlamda, sosyal medya platformlarının siber güvenlik üzerindeki etkileri ve bu etkilerin nasıl yönetilebileceği üzerinde durulacaktır. Böylece, her bir platformun karakteristik özelliklerini ve bu özelliklerin siber güvenlik stratejilerine olan katkısını daha iyi anlayabileceğiz. Hem saldırganlar hem de savunma ekipleri için fırsatlar ve zorluklar sunan bu ortamda, siber güvenliğin dinamik doğasına da odaklanılacaktır.

Teknik Analiz ve Uygulama

Meşru Servis C2 Tanımı

Siber güvenlik alanında, Command and Control (C2) iletişim sistemleri, saldırganların kontrol ettikleri zararlı yazılımlarla etkileşimde bulunmalarını sağlayan altyapılardır. Geleneksel yöntemlerin yanı sıra, siber suçlular giderek daha fazla güvenilir platformları kullanarak bu iletişimi sağlamakta. Discord, Telegram ve GitHub gibi meşru servislerin API'ları, saldırganların kendi sunucuları yerine bu platformları tercih etmelerine olanak tanır. Bu duruma "meşru hizmet C2" denir.

Kullanım Avantajı

Bu meşru platformların kullanımının başlıca avantajı, trafiğin tamamının meşru domainlere yönlendirilmesidir. Kurumların çoğu, bu hizmetleri whitelist (beyaz liste) içine almış olduğundan, güvenlik sistemleri tarafından tespit edilme olasılığı oldukça düşmektedir. Saldırganlar, bu platformlar üzerinden veri almak veya zararlı yazılımlarına komut göndermek için botlar kullanarak iletişim kurabilirler.

Platform ve Kullanım Amacı

Discord ve Telegram

Discord ve Telegram gibi platformlar, API'ları sayesinde bot aracılığıyla komut göndermeye ve veri sızdırmaya olanak tanır. Örneğin, bir Telegram botu için aşağıdaki API isteği kullanılabilir:

curl -X POST "https://api.telegram.org/bot<token>/sendMessage" -d "chat_id=<chat_id>&text=Merhaba"

Bu komut, belirtilen chat_id üzerinden bir mesaj göndermek için kullanılabilir ve burada <token> kısmı botun API anahtarını temsil eder. Bu tür bir komut, zararlı yazılımın saldırganla iletişim kurmasında önemli bir rol oynamaktadır.

GitHub

GitHub ve Gist hizmetleri, zararlı kod parçalarını (payload) veya güncel C2 adreslerini barındırma amacıyla kullanılabilmektedir. Örneğin, bir zararlı yazılımın güncellenmesi gerektiğinde, bu güncelleme Gist gibi bir sistem üzerinden paylaşılabilir, böylece tespit edilmesi zorlaştırılır.

İletişim Akışı

C2 iletişimi, genellikle bir komut gönderme ve veri alma döngüsü şeklinde işler. Örneğin, bir Telegram C2 botu aşağıdaki gibi çalışmaktadır:

  1. Bot, getUpdates API isteği ile güncellemeleri kontrol eder.
  2. Eğer saldırgan bir komut gönderirse, bu komut bot tarafından alınır ve işlenir.
  3. Bot, bu komutları yerine getirerek zararlı yazılım üzerinde eylemler gerçekleştirir.

Bu süreç, aşağıdaki üzere bir API isteği ile izlenebilir:

curl "https://api.telegram.org/bot<token>/getUpdates"

Yukarıdaki komut, botun hangi güncellemeleri aldığını kontrol eder. Sürekli olarak bu tür API istekleri ile botun çalıştığı otomatik bir süreç oluşur.

Ağ İzi: API Endpointleri

Bir ağ analizinde dikkat edilmesi gereken en temel nokta, belirli API endpointlerine yapılan sürekli isteklerdir. Örneğin, aşağıdaki gibi bir istek örneği, bir Telegram tabanlı C2 aktivitesinin güçlü bir işareti olarak kabul edilmektedir:

GET /bot<token>/getUpdates HTTP/1.1
Host: api.telegram.org

Bu tür istekler, C2 trafiğini analiz etmekte kritik bir rol oynamaktadır ve analistlerin şüpheli aktiviteleri tespit etmesine yardımcı olur.

Tespit Zorlukları

Meşru hizmetler üzerinden yapılan C2 iletişimini tespit etmeyi zorlaştıran birkaç faktör bulunmaktadır. İlk olarak, bu platformların sunduğu tüm trafik meşru olarak görüldüğünden, güvenlik sistemleri için tespit edilmesi zorlaşmaktadır. İkinci olarak, yüksek trafik hacmi nedeniyle şüpheli aktivitelerin meşru trafik içinde kaybolma olasılığı yüksektir. Ayrıca, kullanılan platformların geniş IP havuzları sayesinde IP tabanlı engellemeler de etkisiz hale gelebilir.

Örneğin, tshark kullanarak DNS loglarında Discord veya Telegram API sorgularını filtrelemek için aşağıdaki komut kullanılabilir:

tshark -Y "dns.qry.name matches \"discord|telegram\""

Bu komut, analistlerin şüpheli trafiği izlemelerine ve incelemelerine olanak tanır.

Anomali Tespiti Stratejisi

Meşru hizmet C2'sini tespit etmek için bir dizi strateji uygulanabilir. Bu stratejiler arasında, kullanıcı ajanlarının (user agent) anormal kullanım sıklığını analiz etmek ve sık API çağrıları ile kullanıcının davranışlarını korele etmek yer alabilir. Örneğin, belirli bir yüklemenin ardında yatan iletişim modelini anlamak, anomali tespiti için önemli bir adımdır.

Zararlı trafiğin tespiti için mevcut araç ve tekniklerin uygulanması, organizasyonların bu tür tehditlere karşı daha etkili müdahale stratejileri geliştirmesine olanak tanıyacaktır.

Sonuç olarak, sosyal medya platformlarının ve meşru servislerin siber saldırganlar tarafından C2 amaçlı kullanımını anlamak, hem savunma stratejilerinin geliştirilmesi hem de tehditlerin daha etkili bir şekilde tespit edilmesi adına kritik öneme sahiptir.

Risk, Yorumlama ve Savunma

Sosyal medya ve diğer meşru web servislerinin kullanımı, siber saldırganların komut ve kontrol (C2) iletişimi için yeni fırsatlar sunmaktadır. Discord, Telegram ve GitHub gibi platformlar, zafiyetlerini ve yanlış yapılandırmalarını anlamanın yanı sıra, fırsatları değerlendirmek için analiz ve yorumlama sürecine ihtiyaç duyar. Aşağıda, bu platformların C2 iletişimi üzerindeki etkilerini, tespit zorluklarını ve alınabilecek önlemleri inceleyeceğiz.

Elde Edilen Bulguların Güvenlik Anlamı

Bu platformların kullanımı, saldırganların meşru servisleri kendi yararlarına nasıl kullandığını göstermektedir. Örneğin, bir saldırganın, Discord API'si üzerinden bir bot aracılığıyla komut göndermesi, sürekli olarak api.discord.com/bot<token>/getUpdates gibi adreslere istekler göndermesiyle kolayca tespit edilebilir. Ancak, meşru bir servise yönelik bu tür yüksek frekanslı istekler dikkat çekmediği sürece, analistlerin durumu yorumlaması zorlaşır.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Saldırganlar, ağ güvenliğini atlatabilmek için meşru platformların API’larını kullanarak kendi C2 iletişimlerini kolaylaştırmaktadır. Bu durumun belirtileri, örneğin Telegram üzerinde zaman zaman meydana gelen bot komutları veya yüksek trafik hacmi olabilir. Kurumların bu tür aktiviteleri göz ardı etmesi, kötü niyetli kullanıcıların ağlarına sızma ihtimalini artırır. Bununla birlikte, yanlış yapılandırmalar ve zafiyetler, örneğin, şirket politikalarının dışında kalan IP'leri beyaz listeye dahil etmesi durumunda büyük risk oluşturur.

Sızan Veri, Topoloji ve Hizmet Tespiti

Bir saldırı sonrasında, sızan verilerin doğru bir şekilde yorumlanması hayati öneme sahiptir. Diyelim ki bir sızma olayı gerçekleşti ve bir Telegram C2 botundan ele geçirilen veriler dahilinde kötü niyetli komutlar bulundu. Bu durumda, analistler öncelikli olarak hedef sistemin topolojisini anlamalı ve hangi verilerin sızdığını tespit etmelidir. Aşağıda bu tür bir analiz için kullanılan basic bir komut örneği verilmiştir:

tshark -Y "http.request.uri contains 'api.telegram.org'" -r capture.pcap

Bu komut, belirli bir pcap dosyasında Telegram API sorgularını filtreleyerek analistlerin potansiyel zararlı trafiği tespit etmelerine yardımcı olur.

Profesyonel Önlemler ve Hardening Önerileri

  1. İzleme Araçları Kullanımı: Meşru platformlardan gelen yüksek frekanslı trafik örüntülerini izlemek için ağ analizi ve izleme araçları kullanılmalıdır. Bu, anormal aktivitelerin belirlenmesine yardımcı olur.

  2. Güvenlik Duvarı Kuralları: Güvenlik duvarı (firewall) kuralları, meşru fakat sahte olabilecek alan adlarını düzenli olarak gözden geçirmelidir. Beyaz listeleme süreçlerinin dikkatlice yönetilmesi önemli bir gerekliliktir.

  3. Eğitim ve Bilinçlendirme: Kullanıcıları, sosyal mühendislik saldırılarına karşı bilinçlendirmek, potansiyel zafiyetlerin azalmasına yardımcı olabilir. Kullanıcıların, kurumsal bilgilerin paylaşımı veya bilinmeyen bağlantılara tıklamaları gibi konularda daha dikkatli olması teşvik edilmelidir.

  4. Sistem Hardening: Sistemlerin güvenlik durumunu iyileştirmek için durum değerlendirmeleri ve hardening işlemlerinin düzenli olarak yapılması gerekmektedir. Örneğin, gereksiz servislerin kapatılması ve mevcut yazılımların en güncel versiyonlarının kullanılmasına özen gösterilmelidir.

Sonuç Özeti

Sosyal medya ve meşru web servisleri üzerinden gerçekleştirilen C2 iletişimleri, siber güvenlik tehdidi bulunmaktadır. Yanlış yapılandırmalar, sızan veriler ve meşru platformların kötüye kullanılması gibi unsurlar, derinlemesine analiz ve sürekli izleme gerektirir. Gelişmiş önlemler ve hardening yöntemleri uygulanarak, bu tür siber tehditlere karşı daha dirençli bir altyapı oluşturmak mümkündür. Bu nedenle, kurumların risk değerlendirme süreçlerini güncel tutmaları ve güvenlik stratejilerini sürekli olarak gözden geçirmeleri kritik öneme sahiptir.