Modern siber saldırılar, geleneksel güvenlik kontrollerini atlamak için ağ protokollerinden ve web uygulamalarından giderek daha fazla yararlanıyor.
Bu tehditlere karşı koymak için, güvenlik ekipleri, paket düzeyinde meta verilerden yük içeriğine kadar ham ağ trafiğini analiz etmek için gelişmiş teknikler benimsemelidir.
Bu makale, Packet Capture (PCAP) analizini kullanarak avlama ağına ve ağ tabanlı tehditlere teknik derin bir dalış sağlar, kötü niyetli aktiviteyi tanımlamak için pratik örnekler ve metodolojiler sunar.
.png
)
Ağ Paketi Analizinin Temelleri
Paket yakalama, ağ tabanlı tehdit avının temelini oluşturur ve bir ağdan geçen tüm trafiğin değiştirilemez bir kaydını sağlar.
Her paket, yönlendirme bilgilerini tutan başlıklar, gerçek verilerle yükler ve hata kontrolü için römorklar içerir.
Güvenlik analistleri bu verileri iletişim kalıplarını yeniden yapılandırmak, anomalileri tanımlamak ve gizli tehditleri ortaya çıkarmak için kullanırlar.
Enterprise sınıfı paket yakalama çözümleri, performansı etkilemeden trafik toplamak için ağ muslukları veya açıklık bağlantı noktaları gibi ağdaki stratejik noktalarda sensörleri dağıtın.
Örneğin, bir finans kurumu tüm trafiği çevrimiçi bankacılık portalına yakalayabilir ve retrospektif analizi mümkün kılmak için paketleri 30 gün boyunca saklayabilir.
Paket yakalama uygulanırken temel hususlar arasında, tekilleştirme ve protokol filtreleme yoluyla depolamanın optimize edilmesi ve ayrıca adli korelasyon için dağıtılmış sensörler arasında doğru zaman senkronizasyonunu sağlamak yer alır.
Örneğin bir perakende şirketi, anormal SQL veritabanı bağlantılarını otomatik olarak işaretleyen bir paket yakalama sistemi uyguladıktan sonra olay soruşturma süresini yüzde 60 azalttı.
Taban çizgisi kuruluşu için akış analizi
Tehditleri avlamadan önce, analistler normal ağ davranışının nasıl göründüğünü anlamalıdır.
Kaynak ve hedef IP’lerin, bağlantı noktalarının ve protokolün beş-tuple verilerini ve oturum süresini içeren bağlantı günlükleri oluşturmak için Zeek Process Paket başlıkları gibi akış analizi araçları.
Bu, ekiplerin sekiz saatlik SSH seansları gibi uzun ömürlü bağlantıları ve DNS kaba zorlama girişimleri gibi kısa ani artışları ayırt etmelerini sağlar.
Örneğin, bir sağlık hizmeti sağlayıcısı, iki dakika içinde tek bir IP’den 150 SSH giriş denemesini işaretleyerek bir kimlik bilgisi-shuffing saldırısı tespit etti ve IP başına saatte beş girişin taban çizgisini aştı.
Paket yakalama mimarisi
Kurumsal ortamlar sağlam paket yakalama mimarileri gerektirir. Sensörler giriş ve çıkış noktalarında dağıtılır ve yakalanan veriler analiz için merkezi depolamaya aktarılır.
Zaman senkronizasyonu, dağıtılmış ortamlardaki olayları ilişkilendirmek için çok önemlidir.
Tekilleştirme ve seçici protokol yakalama gibi depolama optimizasyon teknikleri, yüksek hacimde veri yönetilmesine yardımcı olur.
Örneğin, yalnızca HTTP, DNS ve SMB trafiğini yakalamak, tehdit avı için kapsamlı bir kapsam sağlarken depolama gereksinimlerini önemli ölçüde azaltabilir.
Yük denetim teknikleri
Başlıklar kiminle iletişim kurduğunu açıklarken, yükler iletilenleri cevaplar.
Saldırganlar, protokol uyumlu trafikte kötü niyetli içeriği giderek daha fazla gizleyerek derin yük analizi gerektiriyor.
Etkili bir teknik, bayt dizilerinin rastgeleliğini hesaplayarak gizlenmiş yükleri tespit eden N-gram entropi analizidir.
- Şifreli komut ve kontrol (C2) trafiğini tanımlamak için analistler, şüpheli bir kötü amaçlı yazılım paketinden TCP yükünü çıkarabilir.
- Yükdeki her iki baytlık kombinasyonun (bigrams) frekansını hesaplarlar.
- Entropi daha sonra: h = -σ (p (x) log2 p (x)) formülü kullanılarak hesaplanır, burada p (x) her bigramın olasılığıdır.
- Meşru HTTP trafiği tipik olarak entropi 4.5 veya daha düşüktür, şifreli yükler 7.0 veya daha yüksek puan alır.
- Bir gerçek dünya durumunda, TLS şifreli yükleri 7.8 entropi gösterdiğinde, 5.2’de normal HTTPS trafiği ile zıt olarak bir fidye yazılımının eksfiltrasyon kanalı ortaya çıkarıldı.
Her protokol özel denetim kuralları gerektirir.
HTTP ve HTTPS için analistler, bir HTTP 404 durumuyla yanıt veren ancak şüpheli büyük bir içerik uzunluk başlığı veya bir Base64-kodlanmış arama parametresi ile bir GET isteği gönderen bir parametre gizlemesi gibi bir C2 sunucusu gibi başlık manipülasyonu ararlar.
DNS için tünel algılama kritiktir. Örneğin, 63 karakterli bir alt alan için bir DNS sorgusu, altıgen kodlu pesfiltratlanmış veriler içerdiği için alt alanlar için izin verilen maksimum uzunluğu kullandığı için işaretlendi.
Gelişmiş tehdit avcılık metodolojileri
Sofistike saldırganlar normal trafiğe karışan çok aşamalı kampanyalar kullanıyor, bu nedenle gelişmiş tehdit avcılık metodolojileri gerekli.
Yanal hareket teknikleri genellikle ince ağ ayak izleri bırakır. Örneğin, bir Windows iş istasyonu, bir Windows iş istasyonu 10 dakika içinde farklı sunuculara 50 SMB bağlantısı başlattı.
Paket yakalama, ana bilgisayarlar arasında özdeş giriş zaman damgaları ile NTLMV1 kimlik doğrulaması gösterdi. Bu davranış, yanal hareket için bilinen taktiklerle eşleşti ve bir uyarıyı tetikledi.
Yeniden kullanılan NTLM karmalarıyla beş dakikada 20 denemeden daha büyük KOBİ kimlik doğrulama sivri uçları gibi önleyici kurallar oluşturulabilir.
Veri eksfiltrasyonunun tespit edilmesi, normal trafiği temel alan ve sapmaları tanımlamanın bir kombinasyonunu gerektirir. Saldırganlar genellikle DNS veya HTTP gibi ortak protokoller içinde eksfiltrasyonu gizler.
Örneğin, DNS tünelleme, çalınan verilerin kötü amaçlı sorguların alt alanlarına kodlanmasını içerebilirken, HTTP Post istekleri büyük hacimlerde yapılandırılmamış veri harici sunuculara iletebilir.
Analistler, tipik DNS sorgu boyutları veya HTTP yükleme hacimleri için temel çizgiler oluşturarak başlar.
Anormal derecede uzun alt alanlara sahip DNS istekleri veya gigabayt veri ileten HTTP oturumları gibi aykırı değerler daha derin inceleme için işaretlenir.
Entropi analizi ayrıca algılamayı rafine eder: Araçlar, DNS TXT kayıtlarındaki yüksek entropinin veya HTTP yüklerinin baz64 tarafından kodlanmış eksfiltrit verileri gösterebileceği yük rasgeleliğini hesaplayabilir.
Bir üniversite ortamında, normal DNS sorguları ortalama 45 bayttı, ancak 7.6 entropisi olan şüpheli bir alana 512 bayt TXT kayıt sorununun ani bir görünümü, öğrenci kaydı eksfiltrasyonu için gizli bir kanal ortaya çıkardı.
Bu teknik göstergeleri, çalışma saatleri dışındaki etkinlik gibi bağlamsal verilerle ilişkilendirerek, güvenlik ekipleri hassas veriler ağdan ayrılmadan önce eksfiltrasyonu kesebilir.
Etkili tehdit avı, paket seviyesindeki artefaktların saldırgan taktikleri anlayışı ile ilişkilendirilmesini gerektirir.
Akış analizi, entropi hesaplamaları ve protokole özgü kuralları birleştirerek, güvenlik ekipleri, saldırganlar şifreleme veya meşru protokoller kullandıklarında bile fidye yazılımı, veri sızma ve yan hareket gibi tehditleri tespit edebilir.
Uygulama için pratik adımlar arasında hem bulut hem de şirket içi çıkış noktalarına ağ sensörlerinin dağıtılması, entropi anomalilerini ve protokol ihlallerini işaretlemek için otomatik oyun kitapları oluşturmak ve KOBİ kimlik doğrulama sivri uçları ve anormal DNS kalıpları için düzenli avlar yapmak yer alıyor.
Bu tekniklere hakim olan kuruluşlar, ham paket verilerini stratejik bir savunma varlığına dönüştürür ve tehditlerin ihlallere dönüşmeden önce proaktif bir şekilde tanımlanmasını sağlar.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!