Zararlı Yazılımlarda Ağ Trafiği Analizi
Zararlı yazılımlarda ağ trafiği analizi kötü amaçlı yazılımların sistem üzerinde gerçekleştirdiği iletişim süreçlerini paket hareketlerini ve veri akışı davranışlarını inceleme sürecidir bu analiz zararlı yazılımın komut kontrol merkezine bağlanma girişimlerini veri sızdırma denemelerini arka kapı erişimlerini yayılma mekanizmalarını ve sistem içi yatay hareket yeteneklerini ortaya çıkarmak için yapılır ağ trafiği analizi sayesinde kötü amaçlı yazılımın çalışma mantığı çevrim içi davranış modeli bulaşma yöntemi saldırı amacı ve tehdit seviyesi hakkında detaylı bilgi elde edilir uzmanlar bu analiz ile hem bulaşmayı durdurma hem de olay sonrası adli inceleme süreçlerinde önemli teknik izler toplar böylece hem savunma sistemleri güçlendirilir hem de gelecekte benzer saldırıların engellenmesi mümkün hale gelir
Zararlı Yazılımların Ağ Üzerinden İletişim Yöntemleri Nelerdir?
Zararlı yazılımlar ağ üzerinden farklı yöntemlerle iletişim kurar bu iletişim biçimleri kötü amaçlı trafik kalıplarının anlaşılmasını kolaylaştırdığı için analizde kritik öneme sahiptir bazı zararlı yazılımlar düz metin ile basit veri göndererek tespit edilmesi kolay sinyaller üretirken gelişmiş türler şifreli iletişim gizli tünelleme teknikleri veya rastgele zamanlama döngüleri kullanarak tespit edilmekten kaçmaya çalışır dinamik iletişim kalıpları kullanan zararlı yazılımlar ağ içi davranışlarını duruma göre değiştirme yeteneğine sahiptir bu nedenle iletişim türlerini detaylı anlamak olay müdahalesi ve tespit sistemlerinin doğru çalışması için zorunludur
-Yaygın iletişim yöntemleri
-Dns tabanlı gizli iletişim
-Http ve https üzerinden kontrol sinyalleri
-Tls şifreli bağlantılar
-Tcp ve udp tabanlı basit sinyalleşme
-Tor veya proxy tabanlı kimlik gizleme
-Rastgele zaman aralıklı trafik üretimi
-Paket içine gömülü veri taşıma teknikleri
-P2p komut kontrol altyapıları
Komut Kontrol C2 Trafiği
Zararlı yazılımların en belirgin iletişim kaynağı komut kontrol trafiğidir bu trafik kötü amaçlı yazılımın saldırgan tarafından yönetilmesini sağlayan merkez ile yaptığı bağlantıdır c2 trafiği sayesinde saldırgan veri çalabilir yeni komutlar gönderebilir sistem üzerinde değişiklik yapabilir ek zararlı bileşenler yükleyebilir veya bulaşmayı ağ içinde yayabilir komut kontrol trafiği zararlı yazılımın tüm davranışını yöneten ana mekanizma olduğu için tespit edilmesi ve çözümlenmesi saldırının engellenmesi açısından kritik bir noktadır gelişmiş zararlı yazılımlar c2 trafiğini normal trafik gibi göstermek için taklit paket yapıları sahte user agent değerleri veya rastgeleleştirilmiş url yolları kullanır bu nedenle analistler bu trafik türünü incelemek için gelişmiş davranış analizi teknikleri uygular
C2 Analizinde İncelenen Öğeler
-Paket boyutu desenleri
-Bağlantı sıklığı
-Hedef ip ve alan adları
-Kullanılan protokoller
-İçerik şifreleme yöntemleri
-Zamanlama davranışları
-Gizleme amaçlı varyasyonlar
-Veri gönderim yönü ve hacmi
Veri Sızdırma Exfiltration Trafiği
Veri sızdırma trafiği saldırganın sistemden çaldığı verileri dışarı aktardığı trafik türüdür bu trafik genellikle gizlenmiş küçük paketler sürekli gönderilen düşük hacimli akışlar veya meşru servisleri taklit eden protokoller kullanılarak gerçekleştirilir zararlı yazılımlar bazen ekran görüntüsü dosya parçası kimlik bilgisi tarayıcı verisi veya sistem yapılandırma kayıtlarını küçük parçalar halinde dışarı gönderir veri sızdırma trafiği tespit edilmezse elde edilen bilgiler kimlik hırsızlığı şantaj kurumsal veri ihlali veya ekonomik casusluk gibi ciddi zararların oluşmasına neden olur bu nedenle exfiltration analizi ağ güvenliğinin en kritik parçalarından biridir
Veri Sızdırma Teknikleri
-Dns sorgularına veri gömme
-Https post isteklerine veri ekleme
-Websocket ile sürekli akış
-İcmp paketlerine gizli veri ekleme
-Smtp üzerinden dosya aktarımı
-Bulut servislerini taklit ederek gönderim
-Zamanlamayı manipüle ederek veri damlatma
-Sahte api çağrıları kullanma
Zararlı Yazılımlarda Şifreli Trafik Analizi
Modern zararlı yazılımların büyük kısmı trafiğini şifreleyerek analiz araçlarının içeriği görmesini zorlaştırır ancak şifreli trafiğin içeriği görülmese bile davranışsal analiz ile anormallikler tespit edilebilir paket uzunlukları zamanlama desenleri ip hedefleri bağlantı kurulma sıklığı tls sertifika bilgileri ve handshake davranışları incelenerek şifreli trafiğin zararlı olup olmadığı anlaşılabilir saldırganlar genellikle otomatik olarak üretilmiş sahte sertifikalar kullanır veya meşru siteleri taklit eden anomalik tls profilleri ile bağlantı kurar bu yüzden şifreli trafik analizi modern tehdit avcılığında önemli bir uzmanlık alanıdır
Ağ Tabanlı Yayılma Scanning Davranışları
Bazı zararlı yazılımlar ağ içindeki diğer sistemlere bulaşmak için port taraması zafiyet taraması veya rastgele ip denemeleri yapar bu trafik türü belirli portlara hızlı şekilde art arda bağlantı girişimleri anormal istek yoğunluğu ve aynı hedefe sürekli tekrar eden denemeler ile tespit edilir yayılan zararlı yazılımlar ağda zayıf şifreler açık servisler hatalı yapılandırmalar veya güncel olmayan cihazlar arar bu nedenle ağ davranışlarının sürekli izlenmesi hem yayılma riskini azaltır hem de saldırının erken aşamada yakalanmasına yardımcı olur
Paket Yapısı ve Anomalik İstek Analizi
Zararlı yazılımlar çoğu zaman paket yapısı veya istek biçimi ile normal uygulamalardan ayrılır paket başlıklarında anormal değerler protokol dışı bayraklar sahte kullanıcı ajanları yanlış ttl değerleri veya olağandışı payload içerikleri gibi işaretler analizde kullanılır paket anomalileri kötü amaçlı yazılımın türünü yeteneklerini ve kullandığı altyapıyı ortaya çıkarır ayrıca saldırganın ağ üzerinde neleri hedeflediği hangi alanlarla iletişim kurduğu ve hangi veri formatlarını tercih ettiği hakkında ipuçları sağlar bu nedenle paket analizi birçok adli incelemenin merkezinde yer alır
Ağ Trafiği Analizinde Kullanılan Araçlar
Ağ analizi yaparken uzmanların kullandığı araçlar sayesinde zararlı yazılımların paketleri bağlantıları zamanlama modelleri ve hedefleri detaylı olarak incelenir bu araçlar hem gerçek zamanlı hem kayıt üzerinden analiz yapma kapasitesine sahiptir bu sayede olay müdahalesi tespit ve adli inceleme süreçleri hızlanır
Yaygın Kullanılan Araçlar
-Wireshark
-Tcpdump
-Suricata
-Zeek bro
-Nmap
-Mitmproxy
-Netsniff ng
-Tshark
-P0f
-Malware trafik sandboxları
Zararlı yazılımlarda ağ trafiği analizi modern siber güvenlikte en kritik yeteneklerden biridir kötü amaçlı yazılımların komut kontrol bağlantıları veri sızdırma girişimleri ağ içi yayılma davranışları ve şifreli iletişim kalıpları bu analiz sayesinde ortaya çıkar bu süreç hem olay müdahalesi yapan ekipler hem tehdit avcıları hem de adli bilişim uzmanları için vazgeçilmezdir doğru yapıldığında ağ trafiği analizi saldırıları erken tespit eder hasarı azaltır ve benzer tehditlere karşı gelecekte daha güçlü savunma sağlanmasına katkı sunar böylece kurumlar bireyler ve altyapılar siber tehditlere karşı daha dirençli hale gelir
