Picus güvenliği ile bir milyondan fazla kötü amaçlı yazılım örneğinin yakın tarihli bir analizi, gizli komut ve kontrol (C2) operasyonları için uygulama katmanı protokollerinin kullanılmasında artan bir eğilim ortaya koymuştur.
Kırmızı Rapor 2025’te ayrıntılı olarak açıklanan bu bulgular, hedef ortamlarda kalıcılıktan kaçınmak ve sürdürmek için yaygın olarak kullanılan protokollerden yararlanan siber rakiplerin artan sofistike olmasının altını çizmektedir.
Uygulama Katmanı Protokolleri: Modern kötü amaçlı yazılım için önemli bir kolaylaştırıcı
OSI modelinin en üst katmanı olan uygulama katmanı, farklı platformlardaki yazılım uygulamaları arasında iletişimi sağlamak için kritik öneme sahiptir.
Rakipler, kötü niyetli komutları ve verileri meşru trafik içine yerleştirerek bu katmanı kullanır ve faaliyetlerini etkili bir şekilde rutin ağ iletişimine harmanlar.
Bu taktik, HTTP/S, DNS, FTP ve WebSockets gibi çeşitli protokolleri kapsayan MITER ATT & CK Technque T1071 ve alt-tekniklerine eşlenir.
Rapor, rakiplerin yaygınlıkları ve doğal güvenleri nedeniyle uygulama katmanı protokollerini giderek daha fazla tercih ettiklerini vurgulamaktadır.
Örneğin, HTTPS trafiği şifrelenir, bu da geleneksel güvenlik araçlarının kötü niyetli yükleri incelemesini zorlaştırır.
Benzer şekilde, DNS tünelleme ve WebSockets, meşru faaliyetlerden ayırt edilmesi zor olan sürekli iletişim kanalları sağlar.
Vaka Çalışmaları: Uygulama Katmanı Protokollerini Kötü amaçlı kullanma
2024’teki birkaç önemli kötü amaçlı yazılım kampanyası, bu tekniklerin nasıl işlevselleştirildiğini göstermektedir:
- Wezrat kötü amaçlı yazılım: Bu kötü amaçlı yazılım, şifreli C2 iletişimi için HTTPS kullanır. Trafiğini meşru web istekleri olarak gizleyerek, Wezrat verileri ekler ve alarmları tetiklemeden komutları getirir.
- Glutton kötü amaçlı yazılım: HTTP üzerinden çalışma, bu modüler kötü amaçlı yazılım anketleri C2 sunucuları ek yükleri indirmek için standart GET/POST isteklerini kullanarak. Açık metin HTTP’ye olan güveni, kötü niyetli komutları yerleştirirken rutin web trafiğini taklit etmesini sağlar.
- Revc2 arka kapı: WebSockets’ten yararlanan REVC2, C2 sunucusuyla tam çift yönlü bir iletişim kanalı kurar. Bu kalıcı bağlantı, geleneksel HTTP trafiğini izleyen algılama araçlarından kaçarken gerçek zamanlı veri alışverişini sağlar.
- Zloader: Bu kötü amaçlı yazılımın en son sürümü, şifreli C2 iletişimi için DNS tünelini kullanır. DNS paketlerine verileri kodlayarak Zloader, gizli bir kanalı korurken geleneksel ağ savunmalarını atlar.
Picus güvenlik analizi, 2024’te gözlenen kötü niyetli eylemlerin% 93’ünün mevcut güvenlik önlemleriyle önlenebilir olduğunu ortaya koymuştur.
Bununla birlikte, HTTP’ler ve DNS-HTTPS (DOH) gibi “fısıldayan kanallar” daki artış, gizliliğinden ödün vermeden şifreli trafiği analiz edebilen gelişmiş algılama araçlarına olan ihtiyacı vurgulamaktadır.
Bu bulgular proaktif güvenlik stratejilerinin benimsenmesinin önemini vurgulamaktadır.
Kuruluşlar, uygulama katmanı trafiği için izleme yeteneklerini geliştirmeli ve protokol kötüye kullanımına karşı sağlam savunmaları uygulamalıdır.
Derin paket muayenesi (DPI), davranışsal analiz ve şifreli trafik analizi gibi teknikler bu gelişen tehditlere karşı koymak için kritik öneme sahiptir.
Düşmanlar yöntemlerini geliştirmeye devam ettikçe, gizli operasyonlar için güvenilir protokollerden yararlanmak, önümüzdeki yıllarda sofistike siber saldırıların temel taşı olarak kalacaktır.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free