CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

Tor (The Onion Router) ile .onion Tabanlı C2 İletişimi: Anlayış ve Savunma Stratejileri

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

Siber güvenlikte Tor ağı ve .onion tabanlı C2 iletişimi hakkında derinlemesine bilgi edinin. Anlayın ve savunma stratejilerinizi güçlendirin.

Tor (The Onion Router) ile .onion Tabanlı C2 İletişimi: Anlayış ve Savunma Stratejileri

.onion adres yapısı ve Tor ağı C2 iletişiminin detaylarını öğrenin. Saldırganların nasıl gizli kalma stratejileri geliştirdiğini keşfedin ve savunma alanında bilgi sahibi olun.

Giriş ve Konumlandırma

Giriş

Günümüz dijital çağında siber güvenlik, her geçen gün daha da karmaşık hale gelen tehditlerin önlenmesi ve yönetilmesi açısından kritik bir öneme sahiptir. Bu bağlamda, Tor (The Onion Router) ağı ve onun üzerinde barınan .onion uzantılı gizli hizmetler, hem saldırganlar hem de savunma uzmanları için önemli bir alan oluşturmaktadır. Tor, anonim iletişim sağlayan bir ağ olarak, kötü niyetli yazılımların komut ve kontrol (C2) sunucularıyla iletişim kurarken kullandığı etkili bir araçtır.

Tor'un temel işlevi, kullanıcıların kimliklerini gizleyerek internet üzerinde güvenli bir şekilde gezinmelerine olanak tanımaktır. Ancak bu aynı zamanda siber suçluların, kötü amaçlı yazılımların kontrolünü sağlamak için Tor'u nasıl kullandıkları konusunda farkındalık gerektirmektedir. Bu yazıda, Tor ağı ile .onion tabanlı C2 iletişimi ve bunun siber güvenlik açısından önemi üzerinde durulacaktır.

Tor C2 Tanımı

Tor ile C2 iletişimi, saldırganların kötü amaçlı yazılım komutlarını ve güncellemelerini gizli bir ağ üzerinden iletmek için kullandıkları yöntemdir. Saldırganlar, genellikle zararlı yazılımlarını Tor ağına bağlanarak anonimleştirir ve böylece müşteri veya sunucu IP adreslerini gizleme imkânı bulurlar. Bu yerleşik gizlilik, güvenlik uzmanlarının tespit etmelerini zorlaştırmaktadır. Örneğin, tipik bir C2 iletişimi şu şekilde gerçekleşir:

1. Kötü niyetli yazılım, yerel olarak bir Tor istemcisi başlatır.
2. Trafigi SOCKS5 protokolü ile Tor ağına yönlendirir.
3. İletişim, .onion adresleriyle gerçekleşir.

Neden Önemli?

Tor ağı kullanarak C2 iletişim kurmak, siber tehdit aktörleri için birçok avantaj sağlamaktadır. Öncelikle, Tor'un sunduğu anonimlik sayesinde, saldırganlar tespit edilme riskini azaltırken, dijital ayak izlerini de minimize ederler. Bu durum, siber güvenlik araştırmacılarının kötü niyetli aktiviteleri izlemelerini ve çözümlemelerini güçleştirir. Ayrıca, .onion uzantılı gizli hizmetler, kullanıcılarına sadece Tor ağı üzerinden erişim sağlayarak, daha fazla gizlilik ve güvenlik sunar. Bunun sonucunda, bu tür hizmetler, suç faaliyetlerinin artmasına zemin hazırlar.

Siber Güvenlik ve Savunma Açısından Bağlam

Siber güvenlik uzmanları ve tehdit analistleri için, Tor ağının nasıl çalıştığını anlamak, karşılaşılabilecek tehditleri tanıma ve önleme açısından hayati bir öneme sahiptir. Tor, savunma mekanizmalarını aşarak, mevcut güvenlik duvarlarını ve izleme sistemlerini geçebilecek bir yapı sunar. Örneğin, bir yönlendirilmiş saldırıda, bir siber analist doğru bir şekilde Tor trafiğini belirleyebilmek için aşağıdaki teknikleri kullanabilir:

tshark -Y tcp.port in {9001,9050,443}

Bu komut, belirli Tor giriş ve kontrol portlarındaki trafiği filtrelemek amacıyla kullanılır.

Teknik İçeriğe Hazırlık

Bu yazının ilerleyen bölümlerinde, Tor ağının temel bileşenleri, .onion adres yapıları, agresörlerin kullandığı teknikler ve bu tehditlerin nasıl tespit edilebileceğine dair savunma stratejileri üzerinde durulacaktır. Tor'un temel yapı taşlarını anlamak, dikkatli bir siber güvenlik analisti için kritik öneme sahiptir.

Sonuç olarak, Tor ve .onion tabanlı C2 iletişimi, siber suçlular için önemli bir araç olmakla birlikte, güvenlik profesyonelleri için de gözlemlenmesi gereken dinamik bir tehdit modelidir. Bu bağlamda, bu konuyu derinlemesine incelemek, hem kötü niyetli aktivitelerin izlenmesi hem de güvenlik protokollerinin geliştirilmesi açısından gereklidir.

Teknik Analiz ve Uygulama

Tor C2 Tanımı

Tor (The Onion Router), kullanıcıların internet üzerinde anonim olarak gezinmesini sağlayan bir ağdır. Bu yapı, genellikle saldırganlar tarafından kötü niyetli etkinlikleri gizlemek amacıyla kullanılmaktadır. Command and Control (C2) sunucuları, siber saldırganların zararlı yazılımlarını kontrol etmek için Tor'u bir ara katman olarak kullanır. Burada, Tor ağı üzerinden iletişim kurarak C2 sunucusunun gerçek IP adresini gizlemeyi amaçlarlar.

Proxying ve SOCKS5

Tor, kullanıcıların internet trafiğini anonimleştirmek için bir proxy hizmeti sunar. Bununla birlikte, Tor istemcisinin kullandığı protokol SOCKS5’tir. Bir zararlı yazılım, genellikle aşağıdaki gibi bir komut kullanarak yerel bir Tor istemcisi başlatır ve trafiğini SOCKS5 protokolü üzerinden Tor ağına yönlendirir:

tor

Bu komut, yerel Tor istemcisini çalıştırır ve varsayılan olarak trafiği Port 9050 üzerinden dinler. Zararlı yazılımlar, SOCKS5 protokolünü kullanarak bu port aracılığıyla Tor ağına bağlanır.

.onion Adres Yapısı

Tor ağı içerisinde gizli hizmetler (hidden services) .onion uzantısına sahip adresler kullanır. Bu adresler, yalnızca Tor tarayıcısı veya istemcisi ile erişilebilen özel alan adlarıdır. Örneğin, bir zararlı yazılımın C2 sunucusu aşağıdaki gibi bir .onion URL'sine sahip olabilir:

abc123xyz456.onion

Bu adresler, internet üzerindeki normal alan adlarından bağımsız olarak, tamamen anonim bir yapıda hizmet verir.

Tor Ağı Bileşenleri

Tor ağı, kullanıcıların internet trafiğini şifreleyerek ve rastgele düğümler (nodes) üzerinden ileterek çalışır. Bu yapı üç ana bileşenden oluşur:

  1. Entry Guard (Giriş Düğümü): Kullanıcının Tor ağına girdiği ve gerçek IP adresini gören düğüm.
  2. Middle Node (Orta Düğüm): Trafiği şifreli olarak ileten, ne kaynağı ne de hedefi bilen aracı düğüm.
  3. Exit Node (Çıkış Düğümü): Trafiğin Tor ağından çıkıp açık internete ulaşmasını sağlayan son nokta.

Bu bileşenlerin her biri, trafiği şifreleyerek gerçek IP adresini gizler ve kullanıcıların bağlantılarını anonim hale getirir.

Ağ İzi: Tor Directory Authorities

Bir cihaz Tor ağına bağlandığında, ilk olarak Dizin Yetkilileri (Directory Authorities) ile iletişime geçerek güncel düğüm listesini indirir. Bu bağlantılar, ağ seviyesinde Tor kullanımının ilk kanıtıdır. Bu tür bir izleme, siber güvenlik profesyonellerinin Tor trafiğini analiz etmelerine yardımcı olur. Dizin Yetkilileri, Tor ağının güvenliğini sağlamak için kritik bir rol oynar.

Erişim Engellerini Aşma

Siber saldırganlar, Tor ağını kullanarak erişim engellerini aşmayı hedefler. Örneğin, bazı kurumlar Tor'ı engelleyerek kullanıcıların bu ağa erişimini zorlaştırabilir. Bu durumda, Tor'a giriş için "Köprüler" (Bridges) kullanılabilir. Köprüler, halka açık olmayan giriş düğümleridir ve kullanıcıların Tor'a bağlanmalarını sağlamak için kullanılabilir.

Tshark ile Tor Trafiği Filtreleme

Tor trafiğini analiz etmek ve filtrelemek için Tshark kullanılabilir. Aşağıdaki komut, yaygın Tor giriş ve kontrol portlarını (9001, 9050, 443) filtrelemek için kullanılmaktadır:

tshark -Y tcp.port in {9001,9050,443}

Bu komut, belirli portlar üzerinden geçen TCP trafiğini analiz ederek Tor kullanımını belirlemek adına önemli verilere ulaşmamızı sağlar.

Ağ İzi: Sertifika Anomalileri

Tor düğümleri arasındaki TLS bağlantılarında genellikle rastgele üretilmiş, kısa süreli ve meşru bir kuruluşa bağlı olmayan öz-imzalı (self-signed) sertifikaları kullanılır. Bu tür sertifikalar, güvenilir bir sertifika otoritesine (CA) bağlı olmaksızın oluşturulduklarından, analizler sırasında dikkat edilmesi gereken önemli bir kriterdir.

SOC L2 Pratiği: Tor Avı

Siber güvenlik uzmanları, kurum içindeki Tor kullanımını izlemek için çeşitli yöntemler geliştirmektedir. Tor kullanımına dair bazı işaretler, zararlı yazılımların belirli IP adreslerine bağlantı kurup kurmadığını analiz ederek tespit edilebilir. Örneğin, analist, bilinen Tor giriş düğümlerine giden yüksek portlu şifreli trafiği tespit ederken aşağıdaki işlem sırasını izleyebilir:

  1. Tor kullanıcılarını izolasyon altında incelemek.
  2. tor.exe sürecini bulmak ve durdurmak.
  3. Zararlı trafiği engelleyen güvenlik duvarı kuralları oluşturmak.

Olay Müdahale (IR) Adımı

Tor tabanlı bir C2 şüphesiyle karşılaşıldığında, olay müdahale süreci başlatılmalıdır. Bu süreç, olayın kapsamını anlamak ve güvenlik açıklarını kapatmak için kritik öneme sahiptir. Analistler, Tor trafiği üzerinde yaptıkları incelemelerle, APT (Advanced Persistent Threat) tehditlerini ortaya çıkarabilir ve kurum içindeki siber güvenlik düzeyini artırmak için gerekli adımları atabilir.

Bu teknik analiz ve uygulama bölümü, Tor ağı ve .onion tabanlı iletişim ile ilgili önemli kavramları ve pratik adımları incelemiştir. Anlayış geliştirmek için bu bilgilere dayanarak siber güvenlik stratejileri oluşturmak, tehditlerin yerinde tespit edilmesi ve önlenmesi açısından kritik bir öneme sahiptir.

Risk, Yorumlama ve Savunma

Risklerin Anlaşılması ve Yorumlanması

Tor ağı, kullanıcıların internet üzerindeki kimliklerini gizlemelerine yardımcı olmak amacıyla tasarlanmıştır. Ancak bu durum, siber saldırganların kötü niyetli yazılımlarını gizlemeleri ve Komut Kontrol (C2) iletişimi için kullanmaları açısından ciddi riskler taşımaktadır. Tor ile ilgili risklerin değerlendirilmesi, siber güvenlik profesyonellerinin bu tehdide karşı hazırlıklı olmalarını sağlayacaktır.

Birçok kötü niyetli yazılım, Tor istemcisi aracılığıyla çalışır. Genellikle, kötü niyetli yazılım, trafiği yerel bir Tor istemcisine yönlendirir; bu istemci genellikle SOCKS5 protokolü kullanarak Tor ağına bağlanır. Böylece, saldırganlar cihaza ve gerçek IP adresine erişimlerini gizlerler.

Yanlış Yapılandırma ve Zafiyetler

Eğer sistem yöneticileri, Tor’a yönelik yanlış yapılandırmalar yaparlarsa, bu durum ciddi güvenlik açıklarına yol açabilir. Aşağıdaki senaryolar, yanlış yapılandırmanın sonuçlarını açıklamaktadır:

  1. Yetersiz Trafik İzleme: Eğer yapılan yapılandırmalarla Tor trafiği izlemez veya izin verilmiş giriş düğümlerini exclude etmezseniz, dışarıdan gelen Tor trafiğini doğru bir biçimde analiz etmeniz zorlaşır. Bu durum, bir saldırının sisteminize girmesine olanak tanır.

  2. Gizli Servis Zafiyetleri: Tor üzerindeki gizli servislerin yanlış yapılandırılması, saldırganların bu servislere erişim sağlamasına ve istismar etmelerine neden olabilir. Hedef kullanıcıların bir gizli servise ait olduğu düşünüldüğünde, bu durum veri ihlallerine yol açabilir.

  3. Erişim Yönetimi: Yanlış yetkilendirme ve erişim kontrol politikaları, yetkisiz kullanıcılara veya kötü niyetli kişilere Tor ağı üzerinden sistemi manipüle etmeleri için fırsatlar tanıyabilir.

Sızan Veri, Topoloji ve Servis Tespiti

Siber saldırganlar, sızan verilere ulaşmak için Tor ağı üzerinde birçok katmandan geçerek hareket ederler. Bu noktada, aşağıdaki unsurlar ortaya çıkar:

  • Sızan Veri: Kötü niyetli yazılımlar, hassas verileri toplamak için genellikle sistemin bellek alanını hedef alır. Sızan veriler, genellikle kullanıcı kimlik bilgileri, finansal bilgiler veya şirket içi gizli veriler olabilir.

  • Topoloji Belirleme: Tor ağı içinde, kullanıcıların hangi düğümleri kullandığını izlemek neredeyse imkansızdır. Ancak, bir sistemdeki Tor trafiğinin analizi, hangi tür düğümlerin kullanıldığını ortaya koyabilir. Aşağıdaki komut, Tor giriş portlarını filtrelemek için kullanılabilir:

tshark -Y tcp.port in {9001,9050,443}
  • Servis Tespiti: Tor üzerinden henüz keşfedilmemiş gizli servislerin izlenmesi; bu servislerin hangi tür veri barındırdığına yönelik analizleri zorlaştırabilir. Ancak, bağlı olduğu TLS bağlantısı üzerinden yapılan sertifika analizleri, bu hizmetlerin olası barındırma yerlerini çıkarmaya yardımcı olabilir.

Profesyonel Önlemler ve Hardening Önerileri

Etkin bir savunma mekanizması oluşturmak için aşağıdaki önlemler alınmalıdır:

  1. Ağ Tabanlı İzleme: Tor trafiğini izlemek için gerçek zamanlı bir izleme alt yapısı kurulmalıdır. Anormal trafik desenleri, olası saldırıların erken tespit edilmesi için hayati önem taşır.

  2. Yetkilendirme Politikasının Gözden Geçirilmesi: Kurum içindeki tüm tor kullanımlarına yönelik negatif ve pozitif listeler oluşturulmalıdır. Yalnızca onaylı kullanıcıların Tor erişimi olmalıdır.

  3. Sertifika Doğrulama ve Yönetimi: Tor düğümleri üzerinden kullanılan sertifikaların doğruluğu her zaman kontrol edilmelidir. Özellikle, öz-imzalı sertifikalı bağlantılar büyük bir risk taşır.

  4. Eğitim ve Farkındalık: Kullanıcı ve personel eğitimleri, siber güvenlik tehditlerine karşı bilinçli bir yaklaşım geliştirmeye yardımcı olacaktır.

Sonuç

Tor ile .onion tabanlı C2 iletişimi, siber güvenlik alanında önemli riskler içermektedir. Doğru bir izleme ve yapılandırma ile bu tehditlere karşı etkin bir savunma mekanizması oluşturulabilir. Sürekli eğitim ve güncellemeler, organizasyonların güvenlik profilini güçlendirecek ve saldırılar karşısında daha dayanıklı hale getirecektir.