Zararlı Yazılımlarda Ağ Trafiği Analizi: Modern Tehditleri Tespit Etmenin En Etkili Yolu

io

👑
Yetkili
Katılım
30 Temmuz 2024
Konular
47
Mesajlar
105
Tepkime puanı
46
TL
290
Siber saldırıların giderek daha karmaşık hâle geldiği günümüzde, zararlı yazılımların (malware) ağ üzerinde bıraktığı izleri analiz etmek savunmanın en önemli parçalarından biri haline gelmiştir. Ağ trafiği analizi, kötü amaçlı yazılımın sistem üzerinde gerçekleştirdiği iletişim süreçlerini, paket hareketlerini ve veri akışı davranışlarını inceleyerek tehditleri ortaya çıkarmayı hedefler.
Bu analiz sayesinde zararlı yazılımın:
  • Komut & Kontrol (C2) sunucularına bağlanma girişimleri
  • Veri sızdırma (exfiltration) denemeleri
  • Arka kapı bağlantıları
  • Ağ içinde yayılma mekanizmaları
  • Sistemler arası yatay hareket davranışları
detaylı şekilde tespit edilir.

Aşağıda, siber güvenlik uzmanlarının ağ trafiği analizinde odaklandığı temel noktaları ve teknikleri spyhackers.org üyeleri için kapsamlı şekilde özetledim.

Zararlı Yazılımların Ağ Üzerinden İletişim Yöntemleri

Birçok malware türü, ağ üzerinden farklı yöntemlerle iletişim kurarak komut alır veya veri gönderir. Bazıları basit HTTP trafiğiyle çalışırken gelişmiş zararlı yazılımlar; gizlenmiş tüneller, şifreli protokoller, rastgele zamanlama ve paket manipülasyonu gibi gelişmiş yöntemler kullanır.
Yaygın iletişim teknikleri:
  • DNS üzerinden gizli veri gönderimi
  • HTTP/HTTPS tabanlı kontrol sinyalleri
  • TLS ile şifrelenmiş bağlantılar
  • TCP/UDP protokolleri üzerinden sinyalleşme
  • Proxy / TOR ile kimlik saklama
  • Rastgele zaman aralıklı trafik üretimi
  • Paket içerisine gömülü veri taşıma
  • P2P tabanlı C2 altyapıları
Bu teknikleri tanımak, özellikle olay müdahalesi (IR) ve tehdit avcılığı (Threat Hunting) açısından kritik önem taşır.

Komut ve Kontrol (C2) Trafiği

C2 trafiği, zararlı yazılımlar için “merkezi sinir sistemi” görevini görür. Saldırgan, C2 üzerinden:
  • Yeni komutlar iletir
  • Veri çalar
  • Ek payload yükler
  • Yazılımın yayılmasını sağlar
Gelişmiş malware türleri, C2 trafiğini gizlemek için:
  • Sahte User-Agent değerleri
  • Normal trafiği taklit eden paket yapıları
  • Rastgeleleştirilmiş URL yolları
gibi yöntemler kullanır.

C2 analizi için incelenen kilit veriler:
  • Paket boyutu ve desenleri
  • Bağlantı kurulum sıklığı
  • Hedef IP / domain listesi
  • Protokol türleri
  • Şifreleme ve TLS profilleri
  • Veri gönderme yönü ve hacmi
  • Zamanlama davranışları

Veri Sızdırma (Exfiltration) Trafiği

Veri sızdırma, saldırganın sistemden çaldığı verileri dışarıya aktarmasıdır. Güvenlik ekipleri için en tehlikeli trafik türlerinden biridir çünkü çoğu zaman fark edilmesi zordur.
Yaygın exfiltration teknikleri:
  • DNS paketlerine gizli veri ekleme
  • HTTPS POST isteklerinde veri taşıma
  • WebSocket üzerinden sürekli akış
  • ICMP paketleri ile gizli iletişim
  • E-posta (SMTP) üzerinden dosya gönderimi
  • Bulut servislerini taklit ederek veri çıkarma
  • “Veri damlatma” (slow drip) şeklinde zamanlamalı gönderim
Bunların tespiti kurum güvenliği için hayati önem taşır.

Şifreli Trafik Analizi

Günümüzde zararlı yazılımların büyük bölümü tüm trafiğini TLS ile şifreli gönderir. İçeriği görmek zor olsa da davranışsal anomali analizi ile şüpheli trafik tespit edilebilir.

Bu analizde dikkat edilen noktalar:
  • TLS sertifika bilgileri
  • Handshake davranışları
  • Paket uzunluğu ve sıklığı
  • Hedef IP ve coğrafi konum
  • Zamanlama anomalileri
  • Sahte veya otomatik üretilmiş sertifikalar
Modern tehdit avcılığında şifreli trafik analizi artık bir zorunluluk hâline gelmiştir.

Ağ Tabanlı Yayılma Davranışları (Scanning)

Bazı zararlı yazılımlar, ağ içinde diğer cihazlara bulaşmak için yoğun port taraması ve zafiyet araması yapar.
Tespit edilen karakteristik davranışlar:
  • Aynı portlara art arda hızlı bağlantı denemeleri
  • Rastgele IP bloklarını yoklama
  • Açık servis / zayıf parola aramaları
  • Hatalı yapılandırılmış cihazları hedef alma
Bu tip trafik, erken aşamada fark edilirse yayılma büyük ölçüde engellenebilir.

Paket Yapısı ve Anomalik İstek Analizi

Her uygulamanın normal bir paket profili vardır. Zararlı yazılımlar genellikle:
  • Protokol dışı bayraklar
  • Yanlış TTL değerleri
  • Sahte User-Agent bilgileri
  • Anormal payload yapıları
gibi anormallikler taşır. Bu nedenle paket analizi, adli bilişim (DFIR) süreçlerinin en temel maddelerinden biridir.

Ağ Trafiği Analizinde Kullanılan Araçlar

Siber güvenlik ekiplerinin sık kullandığı profesyonel araçlar şunlardır:
  • Wireshark
  • Tcpdump
  • Zeek (Bro)
  • Suricata
  • Nmap
  • Mitmproxy
  • Tshark
  • P0f
  • Malware trafik sandboxları
Bu araçlar ile gerçek zamanlı trafik analizi ve kayıt üzerinden inceleme yapılabilir.
 
Cevap yazmak için giriş yap yada kayıt ol.

Benzer Konular

WiFi'a Bağlanmadan Ağ Trafiğini Kesmek; Wifislax Wifi İnternetini Kesmek
Cevaplar
3
Görüntüleme
584
Null
N
Wi-Fi Hackleme: Teknik Bilgiler ve Kullanılan Araçlar
Cevaplar
0
Görüntüleme
222
io
Menü
Giriş yap
Kayıt ol