[tl;dr sec] #292- HTTP/1.1 ölmeli, AI + SAST, Google’ın İçeriden Tehdit Tespit Aracı

Bu sayıda yeni bir şey deniyorum!

Her bölüm büyük ölçüde Hacker Yaz Kampı’ndan ilginç görünen konuşmalardan ve/veya araçlardan oluşuyor.

Yüzlerce konuşma ve araç vardı, bu yüzden her şeyi gözden geçirecek zamanım olmadı ama insanların beğenip beğenmeyeceğini görmek için bunu deneyeceğim. Bana bildirmekten çekinmeyin 👇️

Not: Geçen hafta Seviye Atlama partisine katılacağımı söylemiştim ama HSC şu anki haliyle, katılamadım. Orada olsaydın ve seni özlediysem özür dilerim 🙏 Umarım bir dahaki sefere seni yakalarız!

Google Workspace’teki e-postaları, dosyaları ve hesapları her açıdan koruyun. Malzeme Güvenliği, gelişmiş tehdit tespitini, veri kaybını önlemeyi ve hızlı müdahaleyi tek bir otomatik platformda birleştirerek yalın ekibinizin daha azıyla daha fazlasını yapabilmesini sağlar. Dakikalar içinde devreye alın, SIEM’inizle entegre edin ve “ayarla ve unut” otomasyonunun 7/24 çalışmasına izin verin. Kurumsal ek yük olmadan kurumsal düzeyde güvenlikle çok kiracılı görünürlük elde edin.

Materyal’in kurulumunun ne kadar hızlı olduğunu ve tüm Google Workspace öğelerinde kolayca sorgulama yapabilmenizi seviyorum.

HTTP/1.1 ölmeli: senkronizasyonun bozulması oyun sonu
Bu yıl “James Su Isıtıcısı İnternetin çoğunu kırıyor”™️ James, istek kaçakçılığı saldırılarını kaçınılmaz kılan temel kusurlar nedeniyle, özellikle bireysel HTTP istekleri arasındaki sınırların zayıf olması nedeniyle HTTP/1.1’in terk edilmesi gerektiğini savunuyor. James, 0.CL ve Expect tabanlı senkronizasyon bozukluğu da dahil olmak üzere çeşitli yeni HTTP senkronizasyon bozukluğu saldırı sınıflarını tanıtıyor ve Akamai, Cloudflare ve Netlify gibi büyük CDN’lerdeki kritik sorunları ele alıyor. (Siyah Şapka soyut Ve slaytlar)

Bu araştırma 350.000 dolarlık hata ödülüyle sonuçlandı ve James şunları yayınladı: HTTP İstek Kaçakçısı v3.0 ayrıştırıcı tutarsızlıklarını tespit etmek için.

💡 Cloudflare’in altyapısında dahili bir HTTP/1.1 senkronizasyon bozukluğu buldular ve 24 milyon web sitesini tamamen devralmaya maruz bıraktılar ve bunun karşılığında… 7.000 $ -_- aldılar Utanç! 🔔

Sıfır Yanlış Pozitifli Offsec için Yapay Zeka Aracıları
XBOW’lar Brendan Dolan-Gavitt (@moyix), yapay zeka aracılarının güvenlik açıklarını uygun ölçekte, tamamen özerk bir şekilde ve sıfır hatalı pozitif sonuçla bulmasını sağlayan teknikleri açıklar. Burada önemli olan, aracı tarafından talep edilen bir istismarın gerçek olup olmadığını nihai olarak belirleyebilecek ve aracının, sonuçları gözden geçirmek için gereken insan çabasını artırmadan keyfi olarak çok sayıda girişimde bulunmasına olanak tanıyan sağlam yararlanma doğrulayıcıları geliştirmektir. Docker Hub’da binlerce web uygulamasını test ettiler ve 200’den fazla sıfır gün buldular.

Slaytlar BuradaXBOW’un Hacker Yaz Kampı özet blogu Burada.

Mikro Hizmet Yapılı Web Uygulamalarında Kusur Tarzı Güvenlik Açıklarının Tespiti
Fudan Üniversitesi’nden Fengyu Liu ve diğerleri, gerçek dünyadaki mikro hizmet uygulamalarındaki kusur tarzı güvenlik açıklarını tespit edebilen, MTD adı verilen yeni bir güvenlik analizi yaklaşımı önermektedir. Yaklaşım üç aşamadan oluşur: 1) MTD, ağ geçidi merkezli bir analiz uygulayarak harici kötü niyetli kullanıcıların erişebileceği giriş noktalarını tanımlar, 2) MTD, hizmetler arası iletişimi köprülemek için yeni bir veri yapısı (hizmet bağımlılığı grafiği) kullanır ve 3) MTD, güvenlik açıklarını tespit etmek amacıyla seçici bağlama duyarlı kusur analizi için mesafe kılavuzlu bir strateji kullanır.

MTD, 25 OSS mikro hizmet uygulaması ve Alibaba Group’un 5 uygulamasında 59 yüksek riskli sıfır gün güvenlik açığı (31 CVE) keşfetti.

💡 Düzgün konuşma, bu zorlu bir problem alanı ve harika bir araştırma! Bazı LLM kullanımı, çoğunlukla 20-21. slaytlarda rota kuralının çıkarılmasıyla ilgili.

Güvenlik ekipleri, kodlarında gerçekte yararlanılmayan CVE’leri kovalayarak saatler kaybederken, gerçek tedarik zinciri saldırıları da gözden kaçıyor. Soket, kodunuzu hem savunmasız hem de kötü amaçlı bağımlılıklara karşı korur. Tüm büyük açık kaynak kayıtlarındaki her paket sürümünü gerçek zamanlı olarak izliyor, tehditleri dakikalar içinde işaretliyor ve yanlış pozitifleri %80’e kadar azaltmak için ulaşılabilirlik analizini kullanıyoruz. Anında başlayın; kurulum veya kod erişimi gerekmez.

Socket’in yakaladığı tüm kötü amaçlı paketleri görmek çok güzel, teknik blog gönderilerini takdir ediyorum.

Çerçeve aynı zamanda çeşitli DNS veri gizleme teknikleri üzerine eğitilmiş bir kullanıcı alanı derin öğrenme modelinden yararlanıyor ve dinamik alan adı kara listeye almayı, dinamik çekirdek içi ağ politikası oluşturmayı ve tehdit olayı akışını destekliyor.

Onay ve Uzlaşma: Entra OAuth’un Eğlence ve Dahili Microsoft Uygulamalarına Erişim Amacıyla Kötüye Kullanılması
Black Hat konuşmasının blog versiyonu (slaytlar) Eye Research tarafından Vaisha Bernard Yanlış yapılandırılmış çok kiracılı uygulamaların, Copilot’u yönetmesine, kendi Windows sürümünü oluşturmasına, kendi ödül ödemelerini onaylamasına ve daha fazlasına izin vermek de dahil olmak üzere 22 dahili Microsoft hizmetine erişmesine nasıl olanak tanıdığını anlatıyor 😅 Güvenlik açığı, uygulamaların erişim belirteçlerini veren kiracıyı düzgün bir şekilde doğrulamaması ve herhangi bir Azure AD kiracısı (örn. kötü niyetli kiracınız) aracılığıyla kimlik doğrulamasına izin vermemesinden kaynaklanmaktadır.

💡 Çok güzel bir yürüyüş ve bulgular. Ayrıca, araştırmacıların bunun gibi kritik sorunları bulabileceğini, ulus devletlerin yeni Sharepoint ve Exchange güvenlik açıkları aracılığıyla sürekli olarak şirketlere sızmaya çalıştıklarını ve Microsoft’un piyasa değerinin hala ~4 trilyon dolar olduğunu dostane bir hatırlatma olarak görüyoruz.

• ECS görevleri, her görev için benzersiz bir kimlik bilgileri uç noktasına sahip yerel bir meta veri hizmeti aracılığıyla kimlik bilgilerini alır. Kötü niyetli bir aktör, bu süreçte ECS’nin görevleri tanımlama biçiminden yararlanarak, ECS aracısı kılığına girebilir ve ana bilgisayardaki herhangi bir görev için kimlik bilgileri elde edebilir. Kapsayıcının dağıtılması (ana makine kökü erişimi yok) gerekmez.

• Çalınan anahtarlar tam olarak gerçek görevin anahtarları gibi çalışır. CloudTrail, API çağrılarını kurban görevinin rolüyle ilişkilendireceğinden algılama zordur.

• Azaltıcı önlemler: Yalıtım için Fargate’i kullanın, görevler için IMDS erişimini devre dışı bırakın, ayrıcalıklı görevleri yalıtın ve şüpheli IAM rolü kullanımını izleyin.

Trafiğiniz Yalan Söylemez: Uygulama Davranışı Yoluyla Tedarik Zinciri Saldırılarının Maskesini Ortaya Çıkarma
Netskope’un Colin Estep Ve Dagmawi Mulugeta tartışmak KİRİŞ (Uygulama Metriklerinin Davranışsal Değerlendirmesi), yalnızca web trafiğinden tedarik zinciri saldırılarını tespit etmek için yeni bir teknik içeren açık kaynaklı bir araç; uç nokta aracıları yok, kod araçları yok, yalnızca muhtemelen zaten toplamakta olduğunuz ağ verilerinden elde edilen bilgiler. Temel olarak BEAM, kullanıcı aracısı dizeleri, DNS sorgu kalıpları, istekler ve yanıtlar için harcanan süre, zaman aralığı düzenliliği vb. dahil olmak üzere her uygulamanın (örn. Notion, Spotify, Slack,…) davranışının neye benzediğine dair bir model oluşturur ve ardından anormallikleri tanımlar.

💡 Bu harika bir fikir ve çalışmalarının açık kaynaklı olmasını seviyorum. Ayrıca bunun pratikte uygulanmasının ne kadar pratik olduğunu da merak ediyorum. Mesela, her bir uygulamayı temellendirmek ne kadar mümkün (örneğin, uzun bir uygulama kuyruğuna sahip kuruluşlar)? Oldukça değişken davranışlara sahip uygulamalara ne dersiniz?

Facade, kurumsal belge erişim günlükleri, SQL sorguları ve HTTP/RPC istekleri üzerine eğitilmiş özel bir çoklu eylem türü modeli kullanarak her eylemi çevreleyen bağlamı dikkate alarak şüpheli eylemleri algılayan, kendi kendini denetleyen yeni bir makine öğrenimi sisteminden yararlanır. Facade, olay verilerinin kıtlığının üstesinden gelmek için yalnızca iyi huylu verilere dayanan yeni bir karşılaştırmalı öğrenme stratejisinden yararlanıyor. Bu + yenilikçi kümeleme yaklaşımı sayesinde, Facade son derece doğrudur ve <%0,01 yanlış pozitif oranına sahiptir.

Otonom Zaman Çizelgesi Analizi ve Tehdit Avcılığı
Google’ın Alex Kantchelian, Maarten van Dantzig, Diana Kramer ve diğerleri tanıtıyor Sec-İkizler dijital adli ajan ve entegrasyonu Zaman Çizelgesiaçık kaynaklı bir zaman çizelgesi analiz aracı. Aracı, gerçek dünyadaki olaylarda karşılaşılan büyük ve çeşitli günlük hacimleri üzerinde bağımsız olarak dijital adli analiz gerçekleştirebilir. Aracının tehdit avlama (önceden tanımlanmış saldırı imzalarına ihtiyaç duymadan sistem ihlali kanıtlarını tanımlama ve açıklama) konusundaki yeterliliğine ilişkin örnekler verir ve gerçek dünyada güvenliği ihlal edilmiş 100 farklı sistemden oluşan bir veri kümesi üzerindeki performansı değerlendirir.

Slaytlardan: “Sec-Gemini, milyonlarca günlükte kritik göstergelerin %53’ünü 3 doların altında bir fiyata buluyor.” Düzenli.

💡 25. slaytta başlayan “Ajan Belleği Olarak Keşif Grafiği” bölümü ve sonraki örnek özellikle harika. Bu konuyu daha fazla düşünmek istiyorum 🤔

Sıfır Güven, Tam Baskın – Tek bir hatayla binlerce bulut tabanlı VPN’e girmek
AmberWolf’un DEF CON 33 konuşması David Nakit Ve Zengin Warren Zscaler, Netskope ve Check Point’in önde gelen Sıfır Güven Ağ Erişimi (ZTNA) çözümlerinde nasıl kritik güvenlik açıkları bulduklarını anlattı. Yerel ayrıcalık yükseltmeyi sağlamak için kimlik doğrulama ve cihaz duruş kontrollerini (donanım kimliği sahtekarlığı dahil) atlayarak ve ZTNA istemci bileşenleri arasındaki güvenli olmayan süreçler arası iletişimi (IPC) kötüye kullanarak harici keşif sürecini gösterirler. Engellenen içeriğe ulaşmak için trafik yönlendirmesini aşmanın, cihaz güvenini zayıflatmak için kimlik doğrulama akışlarındaki kusurlardan yararlanmanın ve hatta bağlanan istemcilerde kod yürüten kötü amaçlı ZTNA sunucularını çalıştırmanın mümkün olduğunu gösteriyorlar. Slaytlar | Blog Gönderisi

Eğitim Uzmanı Modelleri: Kötü Amaçlı Yazılım Geliştirmeyi Otomatikleştirme
Dış kanat Kyle Avery küçük, özel olarak eğitilmiş bir Yüksek Lisans’ın (Dante-7BQwen2.5-Coder-7B’yi temel alan), Uç Nokta için Microsoft Defender’ı atlayabilen kaçınılmaz kabuk kodu yükleyicileri oluşturmada büyük genelci modellerden daha iyi performans gösterebilir. Model, doğrulanabilir ödüllerle takviyeli öğrenme (RLVR) kullanılarak eğitildi ve çalışma örneklerinden oluşan bir veri kümesi gerektirmeden deneme yanılma yoluyla öğrenmesine olanak tanıdı.

Eğitim döngüsü şuydu: “bana bir kabuk kodu yükleyicisi yaz” ve doğrulayıcının ödül işlevi, kabuk kodu yükleyicisinin hatasız derlendiğini, bir Cobalt Strike Ekip sunucusuna başarılı bir şekilde geri çağrı yaptığını ve mümkün olduğu kadar az AV/EDR uyarısı verdiğini test etti. Dante-7B çok daha büyük modellerden daha iyi performans gösterdi: DeepSeek R1, Gemini 2.5 Pro, Sonnet 3.7. Ayrıca bkz. Kyle’ınki Black Hat ABD 2025 konuşması ve bir OpenAI araştırmacısı ve o1’e katkıda bulunan biri tarafından, eğitimin değeri üzerine yazılan bu gönderi doğrulanabilir görevler.

Daha Fazla Akış, Daha Fazla Hata: SAST’ı Yüksek Lisans ve Özelleştirilmiş DFA ile Güçlendirme
Tencent Security’den Yuan Luo, Zhaojun Chen, Yi Sun ve Rhettxie, açık kaynak çerçevelerindeki kaynakları ve havuzları otomatik olarak tanımlamak için LLM’lerin kullanıldığını ve bunun CodeQL’in daha fazla tarihsel CVE üretmesine olanak sağladığını anlatıyor. Ayrıca veri akışı analizinin (DFA) QL dil kitaplığı için, Java yansıma işleme, kısmi yerel yöntem desteği ve değer aktarma modeli optimizasyonu dahil olmak üzere dil özelliği zorluklarını ele alan yamalar geliştirdiler.

“Artımlı anlamsal bilgi öğrenimini kolaylaştıran yenilikçi bir yaklaşım öneriyoruz kullanarak muhakeme modelleri. Yöntemimiz statik analizin rolünü yeniden çerçevelendiriyor; Doğrudan önceden tanımlanmış kurallara güvenmek yerine, LLM için odaklanmış öğrenme materyali olarak hizmet eden ilgili kod bölümlerini belirlemek ve çıkarmak için bundan yararlanıyoruz. Daha sonra karmaşık kod tabanlarını stratejik olarak güvenlik açığının yayılmasıyla ilgili anlamlı, anlamsal düzeyde dilimlere ayırıyoruz. Bu dilimlerden yararlanan çerçevemiz, LLM’ye, potansiyel olarak insan açıklamalarının rehberliğinde, değerli anlamsal bilgiyi özetlemeyi ve önbelleğe almayı aşamalı olarak öğretir.”

Sorularınız, yorumlarınız veya geri bildirimleriniz mi var? Doğrudan yanıt vermeniz yeterli. Sizden haber almayı çok isterim.

Bu bülteni faydalı buluyorsanız ve bunu yapacak başka kişileri de tanıyorsanız, bunu onlara iletirseniz gerçekten çok memnun olurum. 🙏