Hibrit Saldırı Bülteni: Salt Typhoon - Telco Siber Saldırılarında Sessiz Fırtına >

Vectra AI Japonya、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Hamburger simgesi üst satır
Hamburger simgesi orta çizgi
Hamburger simgesi alt satırı
Saldırı Tekniği

Tünel açma

Tünelleme, güvenli iletişim kurmak veya coğrafi kısıtlamaları atlamak gibi meşru ağ amaçları için yaygın olarak kullanılır. Ancak bu aynı zamanda saldırganların güvenlik kontrollerinizi atlamak için kullandıkları bir tekniktir.

Tanım
Nasıl çalışır
Saldırganlar bunu neden kullanır?
Algılama
Sıkça Sorulan Sorular
Tanım

Tünelleme nedir?

Gerçek dünyada tüneller, dağlar ve binalar gibi engelleri aşmak için kullanılan gizli geçitlerdir. Ağ tünelleme de benzerdir - desteklenmeyen protokolleri kullanarak veri taşımaya yönelik bir tekniktir. Daha spesifik olarak, ağ kısıtlamalarını atlamak için veri paketlerini diğer paketlerin içine kapsüller. Bu yöntem, ağ trafiğinin meşru bir ağ protokolünün parçasıymış gibi görünmesini sağlayarak sistemler arasında aksi takdirde engellenebilecek veya kısıtlanabilecek yollarla iletişim kurulmasına olanak tanır.

Şirketler tarafından uygulamalar veya sistemler arasında güvenli bir şekilde veri paylaşmak için kullanılan birçok meşru tünel ağlarda mevcut olsa da, gizli tüneller kötü niyetli amaçlara hizmet eder. Saldırganlar bunları güvenlik kontrollerini atlamak ve normal trafik gibi görünerek komuta ve kontrol faaliyetleri yürütmek ve veri çalmak için kullanır.

Nasıl çalışır

Tünelleme nasıl çalışır?

Tipik bir tünelleme senaryosunda, bir protokolden gelen veriler başka bir protokolün yük bölümü içine alınır. Dış katman ya da "sarmalayıcı" normal trafik gibi görünür. İçteki yetkisiz içeriği gizler. Bu, aşağıdaki gibi protokollerle yapılabilir:

  • VPN (Sanal Özel Ağlar), özel ağ trafiğini şifrelenmiş IP paketleri içinde kapsülleyerek internet üzerinden iletişimi güvence altına alır.
  • Güvenli Kabuk (SSH tünelleme) , çoğunlukla güvenlik duvarı kısıtlamalarını atlamak için istemci ve sunucu arasında şifreli bağlantılar kurmak için.
  • DNS, HTTPS ve HTTP Tünelleme , meşru oturumlar içinde başka bir protokolü kapsülleyerek harici komut ve kontrol sunucularıyla gizlice iletişim kurmak için trafiği kullanır.
Saldırganlar bunu neden kullanır?

Saldırganlar neden tünelleme kullanır?

Saldırganlar tünellemeyi bir ağ protokolünü başka bir ağ protokolü içinde kapsüllemek için bir yöntem olarak kullanarak güvenlik kontrollerini atlamalarına, tespit edilmekten kurtulmalarına ve tehlikeye atılmış sistemlerle kalıcı iletişim kurmalarına olanak tanır. Tünelleme, saldırganların verileri, komutları veya malware adresini, aksi takdirde bu tür trafiği kısıtlayacak veya izleyecek olan ağ sınırları boyunca gizlice iletmelerini sağlar.

Saldırganların tünelleme tekniklerini kullanmasının belirli nedenleri şunlardır:

Güvenlik duvarlarını ve ağ kısıtlamalarını atlama

  • Güvenlik politikalarından kaçmak: Güvenlik duvarları ve ağ filtreleri genellikle belirli trafik türlerine izin verirken diğerlerini engeller. Saldırganlar, bu kısıtlamaları aşmak için yasaklanmış protokolleri izin verilen protokoller içinde kapsüllemek için tünellemeyi kullanır (örneğin, kötü amaçlı trafiği HTTP veya DNS protokolleri içine sarmak).
  • Kısıtlı hizmetlere erişim: Tünelleme, saldırganların trafiği izin verilen kanallar üzerinden yönlendirerek dış ağa açık olmayan dahili hizmetlere ulaşmasını sağlar.

Gizlilik ve kaçınma

  • Kötü niyetli faaliyetleri gizleme: Saldırganlar, meşru protokollerin içine kötü niyetli iletişimler yerleştirerek saldırı tespit sistemleri (IDS) ve saldırı önleme sistemleri (IPS) tarafından tespit edilmekten kaçınabilirler.
  • Şifreleme ve gizleme: Tünelleme, yükü şifreleyerek güvenlik araçlarının trafiğin içeriğini incelemesini zorlaştırabilir.

Veri sızıntısı

  • Gizli veri hırsızlığı: Saldırganlar, güvenlik uyarılarını tetiklemeden hassas verileri tehlikeye atılmış bir ağdan dışarı sızdırmak için tünellemeyi kullanır.
  • Tespit edilmekten kaçınma: Saldırganlar, dışarı sızan verileri normal trafik düzenleriyle harmanlayarak fark edilme olasılığını azaltır.

Kalıcı bağlantıların sürdürülmesi

  • Command and Control (C2) iletişimi: Tünelleme, güvenlik önlemlerinin varlığında bile tehlikeye atılmış sistemler ile saldırganların sunucuları arasında kalıcı iletişim kanallarını kolaylaştırır.
  • Ağ değişikliklerine karşı esneklik: Tüneller ağ değişikliklerine uyum sağlayarak iletişimin bozulmadan kalmasını sağlar.

Anonimlik ve atıflardan kaçınma

  • Kaynak IP adreslerini gizleme: Tünelleme, saldırganın kaynağını gizleyerek savunucuların saldırıyı kaynağına kadar takip etmesini zorlaştırabilir.
  • Ara ana bilgisayarları kullanma: Saldırganlar, ilişkilendirmeyi daha da zorlaştırmak için trafiklerini birden fazla katman veya güvenliği ihlal edilmiş ana bilgisayarlar üzerinden yönlendirir.

Protokol istismarı

  • İzin verilen protokollerden yararlanma: Saldırganlar, kötü niyetli faaliyetler gerçekleştirmek için güvenlik duvarlarında yaygın olarak izin verilen protokollerden (ör. HTTP, HTTPS, DNS) yararlanır.
  • Zayıflıklardan yararlanma: Bazı protokollerin doğal zayıflıkları vardır veya saldırganlar için bir fırsat sağlayan daha az incelenmiştir.

Saldırganlar Tarafından Kullanılan Yaygın Tünelleme Teknikleri

DNS Tünelleme

DNS tünelleme, verilerin DNS sorguları ve yanıtları içinde kapsüllenmesini içerir. DNS trafiği alan adı çözümlemesi için gerekli olduğundan ve genellikle sıkı bir inceleme yapılmadan güvenlik duvarlarından geçmesine izin verildiğinden, saldırganlar DNS paketlerinin içine kötü niyetli veriler veya komutlar yerleştirmek için bu protokolden yararlanır. Bu teknik, güvenlik önlemlerini fark edilmeden atlamak için izin verilen DNS trafiğinden yararlanarak veri sızıntısı gerçekleştirmelerini ve güvenliği ihlal edilmiş sistemlerle komuta ve kontrol iletişimini sürdürmelerini sağlar.

DNS tünelleme nasıl çalışır?

HTTP/HTTPS Tünelleme

HTTP/HTTPS tünelleme, kötü amaçlı trafiğin standart HTTP veya HTTPS istekleri ve yanıtları içine gömülmesini gerektirir. Saldırganlar, iletişimlerini gizlemek için web trafiğinin yaygın kullanımından ve kabul görmesinden yararlanırlar. Verilerini HTTP protokolleri içinde kapsülleyerek, genellikle web trafiğine sıkı kontroller olmadan izin veren güvenlik duvarlarından geçebilirler. HTTPS kullanmak ekstra bir şifreleme katmanı ekleyerek güvenlik araçlarının içerik incelemesini engeller ve kötü niyetli faaliyetleri normal şifrelenmiş web trafiği içinde gizler.

Http/https tünelleme nasıl çalışır?

SSH Tünelleme

SSH tünelleme, ağ trafiğini güvenli bir şekilde iletmek için Secure Shell (SSH) bağlantılarını kullanır. Saldırganlar, verileri ve komutları uçtan uca şifrelenmiş olarak iletmek için SSH tünelleri kurar, böylece ağ izleme araçları tarafından içerik analizini ve müdahaleyi önler. Bu yöntem, ağ kısıtlamalarını atlamalarına ve tehlikeye atılmış ana bilgisayarlarla kalıcı, şifreli iletişim kanallarını sürdürmelerine olanak tanır ve genellikle şüphe uyandırmamak için meşru SSH hizmetlerini kullanır.

SSH tünelleme nasıl çalışır?

ICMP Tünelleme

ICMP tünelleme, ping komutları gibi ağ tanılamaları için yaygın olarak kullanılan yankı istekleri ve yanıtları gibi verilerin İnternet Kontrol Mesajı Protokolü (ICMP) paketleri içinde kapsüllenmesini içerir. Saldırganlar, ağ sorunlarını gidermeyi kolaylaştırmak için ICMP trafiğine genellikle güvenlik duvarları üzerinden izin verilmesinden yararlanarak, verilerini ICMP paketlerinin içine gömerek bu durumdan faydalanırlar. Bu teknik, ICMP trafiğinin yakından incelenme olasılığı daha düşük olduğundan, güvenlik duvarı kurallarını atlamalarına ve verileri gizlice aktarmalarına olanak tanır.

ICMP tünelleme nasıl çalışır?

VPN ve Şifreli Tüneller

Saldırganlar, trafiklerini güvenli kanallar içinde kapsüllemek için Sanal Özel Ağlar (VPN'ler) veya özel şifrelenmiş tüneller oluşturur. Standart protokoller veya özel şifreleme yöntemleri kullanarak VPN bağlantıları kurarak, gizliliği ve bütünlüğü korurken ağ sınırları boyunca veri, komut veya malware iletebilirler. Bu yaklaşım, ağ izleme araçlarının trafiği incelemesini veya analiz etmesini zorlaştırarak saldırganların anonimliğini korumasına, tespit edilmekten kaçınmasına ve meşru şifreli bağlantılar kisvesi altında tehlikeye atılmış sistemlerle sürekli iletişim kurmasına olanak tanır.

VPN ve şifreli tüneller nasıl çalışır?
Platform Tespitleri

Gizli tüneller nasıl tespit edilir

Saldırganların gizli tünellerle ortama karışma çabalarına rağmen, iletişimleri kaçınılmaz olarak ağ konuşmalarının akışında ince sapmalara neden olur. Bunları gelişmiş yapay zeka odaklı tespitlerle tespit etmek mümkündür. 

Vectra AI özellikle gizli DNS, HTTPS ve HTTP tünelleri için tespitler sağlar. Her biri, gizli tünellerin varlığına işaret eden ince anormallikleri tanımlamak için ağ trafiği meta verilerinin son derece gelişmiş analizini kullanır. Protokol davranışlarını titizlikle inceleyen Vectra AI , bu gizli yolların varlığına ihanet eden hafif düzensizlikleri tespit eder. Bu, ağ verileriniz tehlikeye girmeden önce hızlı hareket etmenizi sağlar.

Algılama
Gizli DNS Tüneli
Daha fazla bilgi edinin
Algılama
ICMP Tüneli
Daha fazla bilgi edinin
Algılama
Gizli HTTP Tüneli
Daha fazla bilgi edinin
Algılama
Gizli HTTPS Tüneli
Daha fazla bilgi edinin
Algılama
Çok Ev Cepheli Tünel
Daha fazla bilgi edinin
Algılama
ICMP Tüneli: İstemci
Daha fazla bilgi edinin
Algılama
ICMP Tüneli: Sunucu
Daha fazla bilgi edinin
Tüm tespitleri keşfedin

Gelişmiş tespitlerle ağınızı koruyun

Gizli tüneller saldırganların ağınıza sızmak için kullandıkları yöntemlerden sadece biridir. Vectra AI 'un tespitlerinin ilgili MITRE ATT&CK tekniklerinin %90'ını nasıl kapsadığını görün.

Platformu Keşfedin
Daha fazla bilgi edinin

Sıkça Sorulan Sorular