Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
Saldırı Tekniği

Trafik yansıtma

Trafik yansıtma, ağ tanılamasının önemli bir parçasıdır - ancak aynı zamanda veri sızıntısına da kapı açar. İşte bu saldırı tekniği hakkında bilmeniz gerekenler.

Tanım
Nasıl çalışır
Saldırganlar bunu neden kullanır?
Algılama
Sıkça Sorulan Sorular
Tanım

Trafik yansıtma nedir?

Trafik yansıtma, ağ trafiğini kopyalamanıza ve bir denetim veya sorun giderme aracı gibi başka bir hedefe göndermenize olanak tanıyan bir Amazon Sanal Özel Bulut (VPC) özelliğidir. AWS'ye göre bu teknik, EC2 örneklerinize bağlı ağ arayüzlerinden gelen ve giden trafiği kopyalayarak çalışır. Bu yansıtılmış trafiği UDP dinleyicisi olan bir ağa veya ağ geçidi yük dengeleyicisine ya da başka bir örneğin ağ arayüzüne gönderebilirsiniz. Bileşenler şunları içerir:

  • Trafik yansıtma kaynağı, tipik olarak bir elastik ağ arayüzü (ENI)
  • Trafik yansıtma hedefleri veya güvenlik ve izleme cihazları
  • Trafik yansıtma oturumu veya kaynak ile hedef arasındaki bağlantı

Trafik yansıtma filtresi veya hangi trafiğin kopyalanıp gönderileceğini belirleyen gelen ve giden kuralları

Nasıl çalışır

Trafik yansıtma nasıl çalışır?

Trafik yansıtma, anahtarlar, yönlendiriciler veya özel ağ muslukları gibi bir ağın çeşitli noktalarında uygulanabilir. Yansıtılan trafik genellikle güvenlik cihazlarına, saldırı tespit sistemlerine (IDS), saldırı önleme sistemlerine (IPS) veya bir güvenlik bilgi ve olay yönetimi (SIEM ) sistemine yönlendirilir. Amaç, orijinal trafiğin akışını kesintiye uğratmadan bu araçlara gerçek zamanlı veri sağlamaktır. Faydaları şunları içerir:

  • Daha fazla görünürlük: Trafiğin gerçek zamanlı olarak izlenmesi, siber güvenlik ekiplerinin ağ faaliyetlerinin kapsamlı bir görünümünü elde etmesine yardımcı olur. Bu görünürlük, şüpheli davranışları ve potansiyel güvenlik olaylarını tespit etmek için çok önemlidir.
  • Müdahaleci olmayan izleme: Trafik yansıtma, ağ verilerini pasif olarak gözlemlemenize olanak tanıyarak güvenlik önlemlerinin normal ağ işlemlerine müdahale etmemesini sağlar.
  • Gelişmiş tehdit algılama: Yansıtılmış trafik, makine öğrenimi ve yapay zekanın anormallikleri, kötü amaçlı etkinlikleri ve yanal hareketleri tespit ettiği ağ algılama ve yanıt çözümünüze beslenebilir.
  • Performans izleme: Güvenliğin ötesinde, trafik yansıtma ağ yöneticilerinin sorunları daha verimli bir şekilde teşhis etmesine ve çözmesine yardımcı olur.
  • Uyumluluk: Trafik yansıtma, ağ etkinliklerinin sürekli izlenmesini ve günlüğe kaydedilmesini sağlayarak yasal gerekliliklerle uyumluluğu sürdürmenize yardımcı olur. 

Trafik yansıtma ağ tanılamasının temel bir parçası olsa da, saldırganların verilerinizi sızdırmasının da bir yolu olduğunu unutmamak önemlidir.

Trafik yansıtma işlemi
Saldırganlar bunu neden kullanır?

Saldırganlar neden trafik yansıtmayı kullanır?

Saldırganlar, yetkilendirme olmadan ağ iletişimlerini kesmek, yakalamak ve analiz etmek için trafik yansıtmayı kullanır. Saldırganlar ağ trafiğini çoğaltarak ve kontrol ettikleri bir konuma yönlendirerek hassas bilgilere erişim sağlayabilir, iletişimleri izleyebilir ve bir ağdaki güvenlik açıklarından yararlanabilir.

Saldırganların trafik yansıtmayı kullanmasının başlıca nedenleri

Hassas verilerin ele geçirilmesi

  • Kimlik bilgisi toplama: Saldırganlar ağ üzerinden iletilen kullanıcı adlarını, parolaları ve kimlik doğrulama belirteçlerini ele geçirebilir. Bu da sistemlere, uygulamalara ve hizmetlere yetkisiz erişim sağlar.
  • Veri hırsızlığı: Kişisel veriler, finansal kayıtlar, fikri mülkiyet ve gizli iş iletişimleri gibi hassas bilgiler ele geçirilebilir ve dışarı sızabilir.
  • Oturum ele geçirme: Saldırganlar oturum çerezlerini veya belirteçlerini ele geçirerek aktif kullanıcı oturumlarını ele geçirebilir ve daha fazla erişim elde etmek için meşru kullanıcıları taklit edebilir.

Ağ keşfi ve gözetimi

  • Ağ haritalama: Yansıtılmış trafiği analiz etmek, saldırganların ağ topolojisini anlamasına, cihazları, hizmetleri ve iletişim modellerini tanımlamasına yardımcı olur.
  • Güvenlik açıklarını belirleme: Trafik analizi, istismar edilebilecek eski yazılımları, güvensiz protokolleri, yanlış yapılandırmaları veya zayıf şifreleme yöntemlerini ortaya çıkarabilir.
  • Gizlice dinleme: Saldırganlar istihbarat toplamak, hassas konuşmaları gözetlemek veya gelecekteki saldırılar için bilgi toplamak amacıyla iletişimleri izleyebilir.

Şifreleme ve güvenlik önlemlerini atlama

  • SSL/TLS müdahalesi: Saldırganlar şifrelenmiş trafiği şifrelenmeden önce veya şifresi çözüldükten sonra kesebilirlerse, düz metin verilerine erişebilirler.
  • Tespit edilmekten kaçınmak: Saldırganlar trafiği dahili olarak yansıtarak, güvenlik duvarları ve harici tehditleri izleyen saldırı tespit sistemleri gibi çevre güvenlik önlemlerini atlayabilirler.

Gelişmiş saldırıların kolaylaştırılması

  • Ortadaki Adam (MitM) saldırıları: Trafik yansıtma, saldırganların kendilerini iletişim kuran taraflar arasında konumlandırmalarını sağlayarak iletişim akışına müdahale etmelerine, değiştirmelerine veya kötü amaçlı veriler enjekte etmelerine olanak tanır.
  • Command and Control (C2) iletişimi: Saldırganlar, şüphe uyandırmadan tehlikeye atılmış sistemleri kontrol etmek için yansıtılmış trafik içinde gizli kanallar kurabilirler.
  • Enjeksiyon malware: Saldırganlar trafiği manipüle ederek hedeflenen sistemlere malware yükleri gönderebilirler.

Verilerin dışarı sızması

  • Gizli veri aktarımı: Yansıtılmış trafik, zaman içinde büyük miktarda veriyi dışarı sızdırmak için kullanılabilir ve tespit edilme olasılığını azaltır.
  • Veri kodlama ve steganografi: Saldırganlar verileri yasal trafik modelleri veya dosyalar içinde gizleyerek sızıntıyı daha az fark edilir hale getirebilir.

Saldırganların trafik yansıtmayı uygulamak için kullandıkları yöntemler

Ağ cihazlarını tehlikeye atma

  • Yönlendiriciler ve anahtarlar: Bağlantı noktası yansıtma veya SPAN (Switch Port Analyzer) oturumlarını yapılandırmak için ağ altyapısı cihazlarına yetkisiz erişim elde etme.
  • Ağ dinleme cihazları: Ağ operasyonlarını kesintiye uğratmadan trafiği yakalamak için ağ kablolarını kesen cihazları fiziksel olarak kurmak.

Kötü amaçlı yazılım yükleme

  • Paket koklayıcılar: Ağ paketlerini yakalamak için Wireshark, tcpdump veya özel koklayıcılar gibi yazılımları tehlikeye atılmış sistemlere dağıtmak.
  • Rootkitler ve malware: Ağ iletişimini görünmez bir şekilde engellemek için çekirdek seviyesinde çalışan gelişmiş malware kullanmak.

Protokol açıklarından yararlanma

  • ARP Spoofing/Zehirlenme: Trafiği saldırganın sistemi üzerinden yönlendirmek için Adres Çözümleme Protokolü tablolarını manipüle etme.
  • DNS Spoofing: Kullanıcıları kötü amaçlı sitelere göndermek için DNS yanıtlarını bozarak trafiği yeniden yönlendirmek.

Kablosuz ağları tehlikeye atma

  • Sahte erişim noktaları: Kablosuz trafiği engellemek için yetkisiz kablosuz erişim noktalarının kurulması.
  • Kötü İkiz saldırıları: Kullanıcıları kandırarak bağlanmalarını sağlamak için meşru Wi-Fi ağlarını taklit ederek saldırganların trafiklerini kesmesine olanak tanır.
Platform Tespitleri

Kötü amaçlı trafik yansıtma nasıl tespit edilir

Kötü niyetli trafik yansıtmayı başlamadan önce yakalamanın kanıtlanmış tek yolu gelişmiş yapay zeka ve makine öğrenmesidir. Bu nedenle Vectra AI'un güvenlik mühendisleri, özellikle trafik izleme için gelişmiş bir yapay zeka odaklı algılama modeli oluşturdu. Güvenlik analistleri, bir AWS kontrol düzlemi API'sinin ne zaman çağrıldığını - trafik yansıtmadan yararlanmaya yönelik kötü niyetli bir girişimin en erken işareti - görmek için kullanır, böylece saldırganı bir ağ trafiği oturumu oluşturma şansı bulmadan durdurabilirsiniz.

Algılama
AWS Şüpheli Trafik Aynası Oluşturma
Daha fazla bilgi edinin
Tüm tespitleri keşfedin

Gelişmiş tespitlerle ağınızı koruyun

Trafik yansıtma, ilgili MITRE ATT&CK tekniklerinin %90'ını kapsayan Vectra AI Platformunda bulunan düzinelerce gelişmiş yapay zeka odaklı tespitten biridir.

Platformu Keşfedin
Daha fazla bilgi edinin

Sıkça Sorulan Sorular