Komuta ve kontrol

Command and Control (C2) iletişimleri, saldırganların ele geçirilmiş sistemler üzerindeki kontrolünü sürdürmesi, onları kötü niyetli faaliyetler yürütmeye veya veri sızdırmaya yönlendirmesi için çok önemlidir. Bu iletişimler saldırı yaşam döngüsünde kritik bir aşamayı temsil eder ve kurbanın ortamına kalıcı, gizli erişim sağlar. Bu kılavuz, tehditleri azaltmak ve kurumsal varlıkları korumak için C2 iletişimlerini tanımlamanın ve kesintiye uğratmanın önemini vurgulamaktadır.

Saldırganların Command and Control Kanallarını Nasıl Kullandığını Anlamak

Herhangi bir ağ tabanlı saldırıda, saldırgan eylemlerini gerçekleştirmek için bir komuta ve kontrol kanalına (C2) güvenir. Bir ana makineye kötü amaçlı yazılım yerleştirerek harici bir sunucuyla bağlantı kurarlar. Şaşırtıcı bir şekilde, virüs bulaşmış ana makine tarafından gerçekleştirilen eylemleri dikte eden ve saldırganın saldırısını ilerletmesine olanak tanıyan şey harici sunucudan alınan talimatlardır.

Cobalt Strike ve Metasploit gibi komut ve kontrol araçları saldırganlar tarafından yaygın olarak kullanılmaktadır. Bu araçlar kanalın şifrelenmesini destekler ve tespitten kaçmak için alan önceliği ve oturum titremesi gibi teknikler kullanır.

‍

Şifrelemeden Bağımsız Olarak Command and Control Tespit Edilmesi

Vectra AI , komuta ve kontrol kanallarını tespit etmek için farklı bir yaklaşım benimser. Şifreleme veya kaçınma teknikleri ne olursa olsun, Vectra'nın güvenlik odaklı yaklaşımı tespit edilmesini sağlar. Vectra'nın güvenlik araştırma ekibi, matematik odaklı bir yaklaşıma güvenmek yerine davranış kalıplarına odaklanır.

Bir komuta ve kontrol kanalının davranışını inceleyen Vectra ekibi, en net göstergelerin ağ trafiğinin zaman içindeki şeklinde yattığını tespit etti. Bu zaman serisi verilerini analiz eden Vectra'nın veri bilimcileri, farklı zaman ölçeklerindeki olayları anlamada mükemmel olan derin öğrenme modellerini, özellikle de LSTM'yi (uzun kısa süreli bellek) kullandı. Bu sayede Vectra, kullanılan belirli araçlardan bağımsız olarak bir komuta ve kontrol görüşmesinin niteliğini etkili bir şekilde belirleyebilmektedir.

Normal trafik neye benziyor?

Aşağıdaki harici bir sistemden gelen iyi huylu trafiğin temsili bir örneğini düşünün.

Yukarıdaki örnekte, bir ana makinenin harici bir sunucuya düzenli sinyaller gönderdiğini görüyoruz. İşaretçiler olarak bilinen bu sinyaller, sistemleri bağlı tutmak ve etkili bir şekilde iletişim kurmak için çeşitli hizmetler tarafından yaygın olarak kullanılır.

Ancak, işaretçiler kötü niyetli amaçlar için de kullanılabilir. İşaretçilerin hisse senedi göstergeleri veya sohbet uygulamaları gibi meşru kullanımları ile kötü niyetli komuta ve kontrol kanalları için kullanılmaları arasındaki ince farkları anlamak önemlidir.

Şüpheli trafik neye benziyor?

Kavramı daha iyi anlamak için kötü niyetli şifrelenmiş bir tünelin özel bir durumunu inceleyelim:

Yukarıdaki grafikteki farklı desenleri gözlemliyor musunuz? Bu ani artışlar saldırganın gönderdiği komutları ve virüslü sistemin verdiği yanıtı göstermektedir. "Alma baytlarındaki" ilk artış herhangi bir uyarı olmadan gerçekleşir ve hemen ardından virüslü makinenin tepkisi gelir.

Vectra'nın veri bilimcileri bu kalıpları analiz ederek bu davranışı tanımanın etkili bir yolunu keşfetti. Komuta ve kontrol kanalı davranışını temsil eden zaman serisi verileri, konuşma tanıma ve doğal dil işlemede kullanılan verilerle benzerlikler taşıyor. Bu benzerlik, ekibin tanımlama için bir derin öğrenme modeli benimsemesine yol açtı.

Vectra, saldırı davranışını tespit etmek için LSTM (uzun kısa süreli bellek) olarak bilinen güçlü bir sinir ağı türü kullanır. Bu özel mimari, birden fazla zaman dilimindeki olayları analiz etmede ustadır ve komuta ve kontrol görüşmesi verilerinin kapsamlı bir şekilde anlaşılmasına olanak tanır. LSTM, çeşitli senaryoları, araçları, yapılandırmaları ve ortamları yakalayan çok çeşitli gerçek ve algoritmik olarak oluşturulmuş örnekler üzerinde eğitilir. Sonuç olarak model, kullanılan belirli araçlardan bağımsız olarak bir kontrol kanalının göstergesi olan kapsayıcı kalıpları belirleyebilmektedir.

Bu analizde kullanılan algoritmik yaklaşım, Vectra'nın ağ oturumu verilerini biçimlendirme şekli sayesinde mümkün olmuştur. Vectra, Zeek benzeri meta veriler sağlayabilse de, özel ayrıştırıcısı, ağ iletişimlerinin saniyenin altında aralıklarla ayrıştırılmasını sağlayarak standart Zeek yeteneklerinin ötesine geçer. Bu ayrıntı düzeyi, hem iyi huylu hem de kötü niyetli iletişimlerin net bir şekilde görülebilmesini sağlayarak Vectra'nın veri bilimi ekiplerinin çok çeşitli sorunlar için en etkili algoritmaları kullanmasına olanak tanır.

Benzersiz meta veriler ve sofistike algoritmaların birleşimi Vectra'nın saldırganları etkili bir şekilde tespit etmesini sağlar. Sadece yüzey seviyesindeki sinyaller yerine iletişim verilerinin kendisine odaklanan bu yaklaşım, saldırgan araçlarındaki değişikliklere ve hatta şifrelenmiş trafiğe karşı dirençli kalır. Ayrıca, açık davranış sinyali, önemli bilgileri veya gizli saldırgan eylemlerini yanlışlıkla filtreleyebilecek bastırma filtrelerine olan ihtiyacı ortadan kaldırır.

Command and Control iletişimleri, siber saldırıların temel taşlarından biridir ve proaktif tespit ve engelleme stratejileri gerektirir. Vectra AI , güvenlik ekiplerinin C2 tehditlerini gerçek zamanlı olarak tespit etmesini, araştırmasını ve etkisiz hale getirmesini sağlayan gelişmiş çözümler sunar. Sofistike siber düşmanlara karşı savunmanızı geliştirmek ve kritik varlıklarınızı korumak için bugün bize ulaşın.