CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Endpoint Edr

Uç Nokta Ağ Etkinliği: Soket Bağlantıları ve Alan Adı Sorguları

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Endpoint Edr

Uç nokta ağ etkinliği üzerine derinlemesine bilgi edinin. Soket bağlantıları ve alan adı sorgularının siber güvenlikteki önemi.

Uç Nokta Ağ Etkinliği: Soket Bağlantıları ve Alan Adı Sorguları

Siber güvenlik alanında kritik öneme sahip olan uç nokta ağ etkinliği, soket bağlantıları ve alan adı sorguları ile derinlemesine inceleniyor. Bu blog yazısında, bu kavramların siber tehditler karşısındaki rolünü keşfedin.

Giriş ve Konumlandırma

Uç Nokta Ağ Etkinliği: Soket Bağlantıları ve Alan Adı Sorguları

Siber güvenlik, günümüz dijital dünyasının vazgeçilmez bir unsuru haline gelmiştir. Özellikle uç nokta güvenliği, ağ etkinliği ve iletişim protokollerinin doğru bir şekilde izlenmesi, tehditleri tespit etme ve önleme açısından kritik bir rol oynamaktadır. Çalışmalar, ağdaki her bir cihazın etkinliğini anlamadan, güvenlik politikalarının etkin bir şekilde uygulanamayacağını göstermektedir. İşte bu bağlamda, uç nokta ağ etkinliği içindeki soket bağlantıları ve alan adı sorgularının analiz edilmesi, güvenlik analistleri için hayati önem taşımaktadır.

Ağın Temel Yapı Taşı: Soket Bağlantıları

Soket, bir cihazın ağ üzerindeki iletişim noktasını temsil etmektedir. Her bir soket, bir IP adresi ve port numarasının birleşiminden oluşur. Bu iki bileşen, bir cihazın diğer cihazlarla iletişim kurabilmesini sağlamakta ve dolayısıyla ağ üzerinde veri akışını yönlendirmektedir. Aşağıdaki komut, bir cihazdaki tüm aktif bağlantıları listeleyerek, mevcut soket durumlarını gözlemleme imkanı sunmaktadır:

netstat -ano

Bu komut, sistemdeki tüm bağlantıları ve bu bağlantıları başlatan işlemlere ait PID numaralarını listeler. Aynı zamanda, bağlantıların durumunu (örneğin, "LISTENING" veya "ESTABLISHED") kontrol etmenize olanak tanır. Özellikle "ESTABLISHED" durumu, iki cihaz arasında veri akışının başladığını göstermektedir ve güvenlik açısından dikkat edilmesi gereken bir noktadır.

Alan Adı Sistemi ve Güvenlik

Alan adı sistemleri (DNS), kullanıcıların web sitelerine erişimini kolaylaştıran bir yapıdır. Kullanıcılar, fiziksel IP adreslerini ezberlemek zorunda kalmadan, alan adları aracılığıyla hedeflerine ulaşabilirler. Ancak, saldırganlar, IP adreslerini engellemenin kolay olması sebebiyle, zararlı yazılımlarını gizlemek için sürekli rasgele alan adları üretebilen yöntemler kullanmaktadır (DGA - Domain Generation Algorithm). Bu tür bir taktik, şüpheli trafiğin tespit edilmesini zorlaştırarak, saldırganların daha fazla zaman kazanmasına olanak tanır.

Ağ Durumlarının Analizi

Uç nokta ağ analizi, yalnızca zararlı yazılımların tespitiyle sınırlı değildir; aynı zamanda bununla birlikte ağ durumlarının, yani hangi süreçlerin hangi dış IP adresleriyle iletişim kurduğunun izlenmesini de içerir. Bu süreç ve ağ eşleşmesi, her bir çalıştırılabilir dosyanın hangi ağ trafiğini yarattığını anlamanızı sağlayan bir haritalama işlemidir. Aşağıdaki komutlarla, belirli bir sürecin hangi dış IP adresiyle iletişim kurduğunu anlık olarak tespit edebilmek mümkündür.

Get-NetTCPConnection -State Established | Where-Object {$_.OwningProcess -eq <PID>}

Böylece, komut satırı araçları gibi şüpheli süreçlerin dışa açılmalarını kolayca tespit edebiliriz. Örneğin, "cmd.exe" veya "powershell.exe" gibi araçların aniden yüksek riskli portlardan dış IP adreslerine bağlanması, ciddi bir tehdit sinyali olarak değerlendirilmektedir.

Savunma Stratejileri

Zararlı yazılımlar genellikle "Command and Control" (C2) sunucuları aracılığıyla enfekte ettikleri cihazları uzaktan yönetmektedir. Bu sunucular, zararlının hedef bilgisayardan bilgi topladığı ve aynı zamanda güncellemeler veya yeni emirler gönderdiği merkezlerdir. Uç nokta ağ etkinliğinin analiz edilmesi, bu tür kötü niyetli iletişimlerin tespit edilmesine olanak tanır ve böylece potansiyel saldırıların önüne geçilebilinir.

Sonuç olarak, uç nokta ağ etkinliği üzerinden gerçekleştirilen analizler, siber güvenlik stratejilerinin geliştirilmesinde önemli bir adım teşkil etmektedir. Soket bağlantıları ve alan adı sorguları, ağların güvenliğini sağlamada kritik bileşenlerdir. Hem savunma mekanizmalarının güçlendirilmesi hem de saldırıların önlenmesi adına bu konuların derinlemesine incelenmesi kaçınılmazdır.

Teknik Analiz ve Uygulama

Ağın Temel Yapı Taşı

Siber güvenlik alanında, ağ etkinliği izleme ve analiz etme sürecinde temel yapı taşlarından biri soket bağlantılarıdır. Herhangi bir cihazın ağa bağlanabilmesi için bir IP adresi ve bir port numarasına ihtiyacı bulunur. Bu ikilinin oluşturduğu mantıksal iletişim noktası, teknikte "soket" olarak adlandırılır. Özellikle zararlı yazılımlar, enfekte oldukları cihazları uzaktan yönetmek amacıyla farklı portlar üzerinden iletişim kurarlar. Bu nedenle, bir ağda gerçekleşen tüm soket bağlantılarını izlemek ve analiz etmek kritik önem taşır.

Örnek olarak, bir ağ üzerindeki aktif bağlantıları görebilmek için kullanılan en yaygın komutlardan biri netstat -ano komutudur. Bu komut, cihazdaki tüm aktif bağlantıları ve bunları başlatan PID (Process ID) numaralarını listeler.

netstat -ano

Yukarıdaki komut ile elde edilen sonuçlar, ağ üzerindeki her bir bağlantının durumu hakkında bilgi verir. Örneğin, "LISTENING" durumu, bir sürecin dışarıdan gelecek bağlantıları beklediğini gösterirken, "ESTABLISHED" durumu ise iki cihaz arasında veri akışının gerçekleştiğini belirtir.

Eve Telefon Etmek

Ağ trafiğinde bir diğer önemli kavram, "beaconing" olarak adlandırılan bir tekniktir. Zararlı yazılımlar, sık sık Command and Control (C2) sunucularına bağlantılar göndererek periyodik sinyaller gönderirler. Bu sinyaller, "ben buradayım, yeni emir var mı?" mesajı taşır ve saldırganın uzaktan kontrol yeteneğini sürdürmesine olanak sağlar. Bu bağlamda, analiz sürecinde bu tür bağlantıların tespit edilmesi gerekmektedir.

Terminalin Dili

Soket bağlantıları ile ilgili daha fazla teknik bilgi edinmek için, ağ trafiği incelemesi yapmak da mümkün. Örneğin, bir zararlı yazılımın C2 sunucusuna bağlanarak veri çalmayı hedeflediği durumlarda, o yazılımın kullandığı dış IP adreslerini belirlemek kritik bir adımdır. EDR (Endpoint Detection and Response) sistemleri, belirli bir sürecin hangi dış IP adresiyle iletişim kurduğunu anlık olarak tespit edebilir.

Alan Adı Sistemi

Ağ üzerinden iletişim kurulurken, saldırganlar genellikle IP adresleri yerine alan adlarını kullanmayı tercih eder. Bunun nedeni, IP adreslerinin kolayca engellenebilmesidir. Alan adlarını IP adreslerine çeviren sistem, DNS (Domain Name System) olarak adlandırılır. DNS, internetin "telefon rehberi" niteliğindedir ve zararlı yazılımlar çeşitli DGA (Domain Generation Algorithm) tekniklerini kullanarak sürekli rastgele alan adları üretebilir; böylece tespit edilmekten kaçınabilir.

Süreç ve Ağ Eşleşmesi

Ağ durumunu izlerken, hangi sürecin hangi ağ trafiğini oluşturduğunu tespit etmek hayati önem taşır. Bu işlem, "Process-to-Network Mapping" olarak bilinir. Bu eşleştirme, saldırganların enfekte ettikleri zombi bilgisayarları kontrol etmek amacıyla kullandıkları bağlantıları analiz etmemizi sağlar.

# Örnek olarak, bir sürecin hangi ağ iletişimini yaptığını görmek için aşağıdaki gibi bir komut kullanılabilir:
netstat -ano | findstr [PID]

Yukarıdaki komut, belirli bir PID'ye ait aktiviteyi görebilmek için kullanılabilir.

Saldırganın Karargahı

Saldırganların genellikle kullandığı bir strateji, altyapılarında yüksek derecede gizlilik sağlamaktır. Bu nedenle, destek aldıkları C2 sunucularının IP adreslerini tespit etmek, siber güvenlik ekipleri için kritik bir görevdir. EDR sistemleri, bağlantıların kaynağını ve hedefini belirlemede son derece etkili araçlardır.

Tespit edilen zararlı yazılım etkinliklerini değerlendirmek için bir süreç oluşturmak, izleme ve analiz stratejilerinin daha etkili olmasını sağlar. Bu süreç, ağ trafiği analizinin yanı sıra, performans izleme, günlük kontrolü gibi yöntemleri de içermelidir.

Modül Sonu

Sonuç olarak, soket bağlantıları ve alan adı sorguları, ağ etkinliği analizinin temel unsurlarını oluşturur. Kritik ağ durumlarını izlemenin yanı sıra, zararlı yazılımların kullanım stratejilerini anlamak için de bu alanlarda derinlemesine bilgi sahibi olmak gerekmektedir. Ayrıca, bu bilgileri kullanarak siber güvenlik önlemlerini artırmak, sistemlerin güvenliğini sağlamak açısından oldukça önemlidir.

Risk, Yorumlama ve Savunma

Risk Değerlendirmesi

Bu bölümde, uç nokta ağ etkinliği analizi sırasında elde edilen bulguların güvenlik açısından nasıl yorumlanacağını ve olası riskleri nasıl değerlendirebileceğimizi ele alacağız. Öncelikle, ağ üzerinde izlenen soket bağlantıları ve alan adı sorgularının analizi, size potansiyel tehditleri belirlemek ve bu tehditlerle başa çıkmak için önemli bilgiler sağlayacaktır.

Bir cihazın ağ üzerinde verimli ve güvenli bir şekilde iletişim kurabilmesi için doğru yapılandırılması gerekmektedir. Yanlış yapılandırmalar veya sistemdeki zafiyetler, siber saldırganların saldırı vektörlerini genişletebilir. Örneğin, bir süreç beklenmedik bir şekilde dış IP adreslerine bağlanıyorsa, bu durum yüksek bir risk faktörü olarak değerlendirilmelidir.

Örnek bir durum olarak, eğer bir komut satırı aracı (örn. cmd.exe) aniden 4444 gibi yüksek riskli bir port üzerinden dış bir IP'ye bağlanıyorsa, bu durum potansiyel bir güvenlik ihlalini gösterir. Aşağıdaki komut, cihazdaki aktif bağlantıları ve bunları başlatan süreçlerin PID'lerini listelemek için kullanılabilir:

netstat -ano

Yukarıdaki komut ile elde edilen sonuçlarda, ESTABLISHED durumu ile gösterilen bağlantılar, veri akışının aktif olduğu anlamına gelir ve bu bağlantılar dikkatlice incelenmelidir.

Yorumlama ve Analiz

Saldırganlar, IP adreslerini kolayca engellemek amacıyla alan adları kullanma eğilimindedir. Bu sebeple, Domain Generation Algorithm (DGA) adı verilen teknikler kullanılarak, sürekli rastgele alan adları üretebilirler. Bu durum, sistem yöneticileri için ek bir zorluk yaratırken, ağ üzerindeki trafiğin izlenmesini ve analizini zorlaştırabilir.

Bir EDR (Endpoint Detection and Response) sistemi ile, şüpheli bağlantıları tespit etmek mümkündür. EDR, bir sürecin dış IP adresiyle ne zaman ve hangi şekilde iletişim kurduğunu anında belirleyebilir. Bu noktada, aşağıda örnek olarak sunulan bir süreç ve onun bağlı olduğu IP adreslerinin tespit edilmesi süreci, "Process-to-Network Mapping" işlevi ile gerçekleştirilir.

Örnek: Süreç ve Ağ Eşleşmesi

Varsayalım ki, bir süreç pid=1234 komut dizisi çalıştırıyor. Eğer bu süreç, bilinen zararlı yazılım bağlantı noktalarının birine (örneğin 4444) bağlanıyorsa, bu durum, sistem yöneticileri için ciddi bir uyarı işareti olabilir. Duyarlı bir sistem yöneticisi, bu bağlantıyı hemen durdurmalı ve ilgili süreci incelemelidir.

Savunma Önlemleri

Zararlı yazılımların ağ üzerindeki etkisini minimize etmek için alınacak temel savunma önlemleri şu şekilde sıralanabilir:

  1. Ağ Segmentasyonu: Ağ yapısını segmentasyona uğratmak, zafiyetlerin yayılmasını sınırlamak açısından önemlidir.

  2. Güvenlik Duvarı Kuralları: İzin verilmeyen IP adresleri ve bağlantı noktalarının trafiğini engellemek için güvenlik duvarı kurallarının düzenli olarak gözden geçirilmesi gerekmektedir.

  3. Eğitim ve Farkındalık: Personelin siber tehditler hakkında bilinçlendirilmesi, insan faktörünün oluşturduğu riskleri azaltabilir.

  4. Sürekli İzleme: EDR sistemleri gibi araçların kullanımı ile ağ trafiğinin sürekli olarak izlenmesi, anlık tehdit tespiti ve müdahale olanağı sağlar.

  5. Yamanın Uygulanması: Sistem yazılımlarının ve uygulamalarının güncel tutulması, bilinen zafiyetlerin istismar edilmesine karşı koruma sağlar.

Sonuç

Uç nokta ağ etkinliği analizi, bir ağ üzerinde potansiyel tehditleri belirlemek için kritik bir rol oynamaktadır. Yanlış yapılandırmalar, zafiyetler ve saldırganların kullandığı çeşitli teknikler gibi faktörler, güvenlik tehditlerinin ciddiyetini artırmaktadır. Bu nedenle, analistlerin sürekli izleme, analitik düşünme ve proaktif savunma uygulamaları ile bu tehditlere karşı hazırlıklı olmaları gerekmektedir.