Son siber güvenlik araştırmaları, TCP SYN segmentlerinde, siber suçluların gizli iletişim kanallarını oluşturmak ve geleneksel ağ güvenlik önlemlerinden kaçınmak için sömürdüğünü ortaya koymuştur.
Bu çığır açan analiz, saldırganların neredeyse tespit edilemeyen kötü amaçlı yazılım altyapısı oluşturmak için temel ağ protokollerini nasıl manipüle ettiğini ve siber tehdit metodolojilerinde önemli bir evrimi nasıl temsil ettiğini göstermektedir.
Bu TCP SYN tabanlı kötü niyetli aktivitenin ortaya çıkışı, siber suçluların ağ infiltrasyonuna ve kalıcılığına nasıl yaklaştığında bir paradigma değişimini temsil eder.
.png
)
.webp)
Uygulama katmanı protokollerine veya tanınmış bağlantı noktalarına dayanan geleneksel kötü amaçlı yazılımların aksine, bu sofistike yaklaşım TCP iletişimleri için temel üç yönlü el sıkışma mekanizmasını kullanır.
Kötü amaçlı yazılım, çoğu izleme sistemine meşru ağ trafiği olarak görünen komut ve kontrol kanallarını oluşturmak için SYN paket yapıları, zamanlama aralıkları ve dizi numarası modellerinde ince varyasyonlardan yararlanır.
Bu teknikle ilişkili saldırı vektörleri dikkate değer çok yönlülük ve gizli yetenekler göstermektedir.
İlk uzlaşma tipik olarak kimlik avı e -postaları veya yazılım güvenlik açıkları gibi geleneksel yöntemlerle gerçekleşir, ancak sonraki iletişim altyapısı tamamen manipüle edilmiş TCP SYN segmentlerine dayanır.
Kötü amaçlı yazılım, kontrol talimatlarını görünüşte normal bağlantı kurma girişimlerine yerleştirerek, saldırganların geleneksel derin paket inceleme sistemleri tarafından tespitten kaçınırken kalıcı erişimi sürdürmesine izin verir.
Netscout analistleri, birden fazla işletme ortamında rutin ağ trafik analizi yaparken ortaya çıkan bu tehdit modelini belirledi.
Araştırmaları, enfekte olmuş sistemlerin özenle hazırlanmış TCP seçenekleri alanları ve gizli veri kanalları olarak işlev gören standart olmayan başlangıç sırası numaralarına sahip SYN paketleri ürettiğini ortaya çıkardı.
Bu teknik, saldırganların ağ izleme ve güvenlik cihazı incelemesinden kurtulabilecek sağlam botnet altyapıları oluşturmalarını sağladığından, etki basit veri açığa çıkışının ötesine uzanır.
Bu yaklaşım temel olarak mevcut tespit metodolojilerine meydan okuduğundan, ağ güvenliği için daha geniş etkiler derindir.
Geleneksel güvenlik araçları, yerleşik bağlantıları ve yük içeriğini analiz etmeye odaklanırken, bu kötü amaçlı yazılım bağlantı kuruluşu aşamasında çalışır.
Bu etkinliği deneyimleyen kurumsal ağlar genellikle güvenlik gösterge tablolarında normal trafik modelleri gösterir ve tanımlamayı özel analiz araçları olmadan son derece zorlaştırır.
Enfeksiyon mekanizması ve protokol manipülasyonu
Çekirdek enfeksiyon mekanizması, çift yönlü bir iletişim kanalı oluşturmak için TCP sekans numarası randomizasyonunu ve seçenek alan manipülasyonundan yararlanır.
Giden bağlantılar oluşturulurken, enfekte olmuş sistemler, uzak operatörlerin bağlantı denemelerinden veri çıkarmasına izin veren önceden belirlenmiş bir algoritma kullanarak, ilk sekans numarası hesaplaması içinde komut yanıtlarını içerir.
Kötü amaçlı yazılım, kontrol talimatlarını belirli TCP pencere boyutu değerleri ve zaman damgası seçenekleriyle eşleştiren özel bir kodlama şeması uygular.
def encode_command(data, base_seq):
encoded_seq = base_seq + (hash(data) & 0xFFFF)
tcp_options = [(8, struct.pack('!L', int(data[:8], 16)))]
return encoded_seq, tcp_optionsBu teknik özellikle etkili olduğunu kanıtlamaktadır, çünkü SYN paketleri meşru bağlantı kuruluş süreçlerinin bir parçası olarak doğal olarak güvenlik duvarlarını ve güvenlik cihazlarını geçer.
Derinlemesine sanal alan kötü amaçlı yazılım analizini deneyin Soc çayınızM. Herhangi birini alın. Özel Teklif Yalnızca 31 Mayıs’a kadar -> Burada deneyin