Gerçek Zamanlı Linux Kötü Yazılım Ağ Trafiği Nasıl Analiz Edilir

   Mart 6, 2025  Posted in CyberSecurityNews


Linux Kötü Yazılım Ağı Trafik Analizi

Ağ trafik analizi, Linux tabanlı kötü amaçlı yazılım enfeksiyonlarını tespit etmek ve araştırmak için en etkili yöntemlerden biri olarak ortaya çıkmıştır.

İletişim modellerini inceleyerek, güvenlik uzmanları komut ve kontrol (C2) bağlantıları, veri açığa çıkması ve dağıtılmış hizmet reddi (DDOS) saldırıları dahil olmak üzere kötü amaçlı etkinlik belirtilerini ortaya çıkarabilir.

Bu kılavuz, trafik analizinin kötü amaçlı yazılım algılamasına nasıl yardımcı olduğunu, bu işlem için kullanılan temel araçları ve analiz edilen Linux kötü amaçlı yazılım örneklerini araştırıyor Herhangi bir.Run’un etkileşimli sanal alan.

Trafik analizi yoluyla tespit edilebilen temel kötü amaçlı yazılım davranışları

1. DDOS saldırıları

Siber suçlular, enfekte cihazları BOTNET “Zombies” e dönüştürmek için kötü amaçlı yazılımlar dağıtarak, hedef sunucuları aşırı isteklerle ezmelerini söyler. Bu, çevrimiçi hizmetleri bozabilir, web sitelerini yavaşlatabilir veya tüm ağları çevrimdışı alabilir.

Ağ Trafiğindeki Göstergeler:

  • Alışılmadık derecede yüksek miktarda trafik
  • Çoklu IP’lere ani bağlantı patlamaları
  • Çok sayıda SYN Paket

2. Komut ve Kontrol (C2) İletişim

Truva atları ve fidye yazılımı da dahil olmak üzere birçok kötü amaçlı yazılım türü, saldırganlardan talimat almak için Komut ve Kontrol (C2) sunucularına güvenir. Bu iletişim, ek kötü amaçlı yüklerin indirilmesini, uzak komutların yürütülmesini veya çalıntı verilerin iletilmesini içerebilir.

Ağ Trafiğindeki Göstergeler:

  • Şüpheli veya yeni kayıtlı alanlarla tekrarlanan iletişim
  • Olağandışı bağlantı noktaları üzerinden şifrelenmiş trafik
  • Düzenli işaretleme desenleri

3. Veri Defiltrasyonu ve Kimlik Bilgisi Hırsızlığı

Oturum açma kimlik bilgileri, finansal bilgiler veya tescilli veriler gibi hassas verileri çalmak için tasarlanmış kötü amaçlı yazılım, genellikle çalınan bilgileri saldırgan kontrollü sunuculara şifreler ve iletir.

Ağ Trafiğindeki Göstergeler:

  • Bilinmeyen yabancı IP adreslerine yönelik giden trafik
  • Dosya Aktarım Protokollerinde Olağandışı Artışlar (FTP, SFTP)
  • Büyük miktarlarda giden DNS sorguları

4. Sömürü girişimleri ve yanal hareket

Gelişmiş kötü amaçlı yazılım sadece bir makineye bulaşmaz; Bir ağ boyunca yanal olarak hareket etmek, ayrıcalıkları artırmak ve ek sistemlerden ödün vermek için güvenlik açıkları arar.

Ağ Trafiğindeki Göstergeler:

  • Brute-Force saldırılarının göstergesi olan tek bir kaynaktan tekrarlanan giriş denemeleri
  • Sunucu Mesaj Bloğu (SMB) trafiğinde olağandışı sivri uçlar
  • NMAP gibi dahili IP tarama araçlarının kanıtı kullanılıyor

5. Kötü amaçlı yazılım indirme ve damlalık etkinliği

Birçok enfeksiyon basit bir indirme ile başlar. Kötü amaçlı yazılım damlaları, daha fazla kötü amaçlı faaliyetler yürütmek için internetten ek yükler çeker.

Ağ Trafiğindeki Göstergeler:

  • Olağandışı veya yeni kayıtlı alanlardan indirmeler
  • Bilinen kötü amaçlı yazılım barındırma hizmetlerine bağlantılar
  • Bilinmeyen kaynaklardan PowerShell veya WGY/Curl komutlarının yürütülmesi

Trafik analizi için temel araçlar

  1. Kötü amaçlı yazılım kum havuzları: Dinamik analiz ortamları gibi Any. runkontrollü bir ortamda kötü amaçlı yazılım davranışını gözlemlemek için güçlü bir platform. Bu kum havuzları, ayrıntılı ağ iletişimi de dahil olmak üzere kötü amaçlı etkinliklere gerçek zamanlı görünürlük sunar.

Sandbox, ağla ilgili çeşitli eylemleri gündeme getirir ve analiz eder:

  1. Ağ Talepleri: Kötü amaçlı yazılımlar tarafından başlatılan tüm giden bağlantılar yakalanır ve potansiyel komut ve kontrol (C2) sunucularını veya veri açığa çıkma girişimlerini ortaya çıkarır.
  2. DNS sorguları: DNS isteklerini analiz ederek, analistler kötü amaçlı yazılımların uzak ana bilgisayarlarla nasıl etkileşime girdiğini ortaya çıkarabilir ve genellikle kötü amaçlı alan adlarını ortaya çıkarır.
  3. Protokol Kullanımı: Sandbox, hangi ağ protokollerini (HTTP, HTTPS, FTP, vb.) Tanımlar, kötü amaçlı yazılım kullanır ve iletişim yöntemlerini anlamaya yardımcı olur.
  4. Trafik müdahalesi: MITM (Ortadaki Adam) Proxy gibi özellikler, sofistike kötü amaçlı yazılımları analiz etmek için çok önemli olan şifreli trafiğin daha derin incelemesine izin verir.
  5. IOC Ekstraksiyonu: Sistem, IP adresleri, alan adları ve URL’ler gibi ağ tabanlı uzlaşma göstergelerini (IOC’ler) otomatik olarak çıkarır.
  6. Olağandışı bağlantı noktası tespiti: Herhangi bir.Run, kötü amaçlı aktiviteyi gösterebilen standart olmayan bağlantı noktalarına bağlantıları bayrak eder.
  7. Süreç korelasyonu: Ağ etkinlikleri, her iletişim için bağlam sağlayan sanal alanındaki belirli işlemlerle bağlantılıdır.

Bu kapsamlı ağ analizi, diğer davranışsal gözlemlerle birleştiğinde, güvenlik profesyonellerinin kötü niyetli kalıpları hızlı bir şekilde tanımlamasını, kötü amaçlı yazılım işlevselliğini anlamalarını ve etkili karşı önlemler geliştirmelerini sağlar.

  1. Wireshark: Ağ etkinliğinin derin incelemesi için güçlü bir paket analiz aracı.
  2. tcpdump: Linux sistemlerinde paket yakalama ve analiz için bir komut satırı aracı.
  3. mitmproxy: HTTP/HTTPS trafiğini gerçek zamanlı olarak analiz etmek için etkileşimli bir proxy.

Analyze Linux and Windows threats inside the safe and secure ANY.RUN Interactive Sandbox -
Sign up for free

Bir kum havuzu ile Linux kötü amaçlı trafik analizi

Any.ruNLinux kötü amaçlı yazılım trafik analizinde devrim yapmak için tasarlanmış gelişmiş bir interaktif sanal alan, gerçek zamanlı, dinamik analiz yetenekleri sunar, araştırmacılar ve güvenlik ekiplerini Linux tabanlı tehditlerle ilişkili kötü amaçlı ağ faaliyetlerini daha etkili bir şekilde ortaya çıkarmaya güç verir.

Run etkileşimli sanal alanının temel özellikleri şunlardır:

  • Gerçek Zamanlı Ağ İzleme: Analistler, giden HTTP, HTTPS ve DNS trafiği dahil olmak üzere Malware’in ağ davranışını canlı olarak gözlemleyebilir. Bu özellik, sabit kodlu komut ve kontrol (C2) sunucularının ve olağandışı şifreli bağlantıların algılanmasını sağlar.
  • Etkileşimli analiz ortamı: Kullanıcılar enfekte olmuş ortamla aktif olarak etkileşime girebilir ve kötü amaçlı yazılım davranışlarını sanal alan kaçırma taktiklerini atlamak ve gizli tehditleri ortaya çıkarmak için tetikleyebilirler.
  • PCAP dışa aktarma işlevselliği: Sandbox, Wireshark gibi araçları kullanarak daha derin analizleri kolaylaştırarak tüm ağ trafiğinin yakalanmasına ve dışa aktarılmasına izin verir.
  • Suricata güdümlü tehdit tespiti: Suricata’nın gücünden yararlanan sanal alan, botnet iletişimi, istismar girişimleri ve veri açığa çıkması dahil olmak üzere kötü amaçlı ağ davranışını otomatik olarak işaretler.

Endüstri uzmanları, bu aracın manuel trafik analizi için gereken süreyi önemli ölçüde azaltacağını ve güvenlik uzmanlarına canlı, eyleme geçirilebilir içgörüler ve otomatik raporlama özellikleri sağlayacağını tahmin ediyor.

Linux tabanlı kötü amaçlı yazılım gelişmeye devam ettikçe, RUN’un etkileşimli sanal alan siber güvenlik araç setinde önemli bir ilerlemeyi temsil eder ve tehdit analizi ve azaltma için daha verimli ve kapsamlı bir yaklaşım sunar.

Vaka çalışmaları: Linux kötü amaçlı yazılım analizi

1. Gafgyt (Bashlite)

Bu Linux Botnet kötü amaçlı yazılım, herhangi bir.Run’un sanal alanında analiz edildi, sanal makineyi kaçırdı ve DDoS özelliklerini gösteren 700’den fazla farklı IP adresi ile bağlantı kurmaya çalıştı: Gafgyt ile analiz oturumunu görüntüle.

Gafgyt kötü amaçlı yazılım herhangi bir içinde analiz edildi.

Any.run’a göre raporHerhangi birinde inceledikten sonra. Daha sonra, ağın kötü niyetli trafikle su basması ve 700’den fazla farklı IP adresi ile bağlantılar kurmaya çalıştı.

2. Mirai

Kötü şöhretli bir IoT hedefleme kötü amaçlı yazılım Mirai’nin davranışı herhangi birinde otomatik olarak algılandı. Mirai Saldırısı ile Analiz Oturumunu Görüntüle.

Mirai kötü amaçlı yazılımlar tarafından tespit edildi. Run Sandbox
Mirai kötü amaçlı yazılım tarafından tetiklenen Suricata kuralı

3. İstismar

RUN’un kum havuzunda bir analiz oturumu, Suricata kurallarıyla otomatik olarak işaretlenen sistem süreçlerini manipüle etmeye çalışan bir istismar ortaya çıktı: Söküm ile analiz oturumunu görüntüleyin.

Any. run küresel olarak 500.000’den fazla profesyonel hizmet veren önde gelen bir siber güvenlik platformudur. Etkileşimli sanal alanımız hem Windows hem de Linux tabanlı tehditler için kötü amaçlı yazılım analizini düzenler. Bir dizi tehdit istihbaratı ürünleri sunuyoruz:

  1. Bakma
  2. Çocuklar Arıyor
  3. Yemler

Bu araçlar, uzlaşma göstergelerinin (IOC’ler) ve dosya analizi, tehdit anlayışını geliştirerek ve olay yanıtını hızlandıran hızlı bir şekilde tanımlanmasını sağlar.

Try Free malware research with ANY.RUN - 14 Days Free Trial



Source link