TLS Handshake Fingerprint Benzersizliği ile APT Avlama

TLS Handshake Fingerprint Benzersizliği ile APT Avlama​

TLS Parmak İzi Nedir?​

Modern siber güvenlik stratejilerinin temel taşlarından biri haline gelen TLS (Transport Layer Security) parmak izi, ağ trafiği analizi için güçlü bir yöntem sunar. Temel olarak, bir cihazın veya uygulamanın TLS el sıkışması (handshake) sırasında gönderdiği benzersiz özellikler setini ifade eder. Özellikle "Client Hello" mesajında bulunan şifre paketleri, uzantılar, uzantıların sıralaması ve diğer parametreler, belirli bir istemci yazılımının adeta dijital imzasını oluşturur. Bu parmak izleri, kullanıcı kimliğini değil, ağdaki iletişim kuran yazılımın kimliğini ortaya çıkarmak amacıyla kullanılır. Sonuç olarak, bu yöntem, bilinmeyen veya gizlenmiş yazılımları ağ içinde tespit etmede kritik bir rol oynar.

Parmak İzlerinin Benzersizliğini Sağlayan Faktörler​

Her yazılım geliştiricisi, TLS kütüphanesi veya işletim sistemi, TLS el sıkışmasını farklı parametrelerle uygulayabilir. İşte bu farklılıklar, parmak izlerinin benzersizliğini ortaya çıkarır. Örneğin, OpenSSL, Go'nun özel TLS uygulamaları, .NET veya Java gibi farklı platformlar, kendi varsayılan şifre paketleri ve uzantı setleriyle gelir. Ayrıca, bu parametrelerin sıralaması bile bir parmak izi için ayırt edici bir faktör olabilir. Bir mobil uygulamanın TLS el sıkışması, standart bir web tarayıcısından tamamen farklı görünebilir. Bu nedenle, en küçük varyasyonlar dahi, belirli bir yazılımın veya hatta bir siber saldırı aracının ağdaki varlığını tespit etmek için kullanılabilecek benzersiz bir imza yaratır.

APT Aktörleri TLS'i Nasıl Kullanır?​

Gelişmiş Kalıcı Tehdit (APT) aktörleri, tespit edilmekten kaçınmak ve komuta kontrol (C2) iletişimlerini gizlemek için genellikle TLS şifrelemesini kullanır. Bu gruplar, kötü amaçlı yazılımlarının ağ trafiğini yasal trafiğe benzeterek güvenlik duvarları ve izinsiz giriş tespit sistemlerinden saklanmaya çalışır. Bununla birlikte, çoğu zaman, özel olarak geliştirilmiş veya değiştirilmiş C2 çerçeveleri, standart TLS kütüphanelerinin aksine, benzersiz TLS el sıkışma desenleri sergiler. Bu durum, onların iletişimlerini standart tarayıcılardan veya işletim sistemi süreçlerinden farklı kılar. Ek olarak, bu aktörler, sıklıkla standart dışı TLS uzantıları veya belirli şifre paketlerini tercih ederek kendilerini ele verirler.

TLS Parmak İzlerinin Tespiti ve Analizi​

TLS parmak izlerinin tespiti ve analizi genellikle pasif ağ dinleme yöntemleriyle gerçekleşir. Bu süreçte, ağ trafiği izlenerek her TLS "Client Hello" mesajı yakalanır ve içerdiği kritik bilgiler (şifre paketleri, uzantılar, sıralama vb.) ayrıştırılır. Ardından, bu bilgiler bir hash algoritması kullanılarak benzersiz bir parmak izi değeri (örneğin JA3 veya JA4) oluşturulur. Elde edilen bu parmak izleri, bilinen kötü amaçlı yazılım veya APT gruplarıyla ilişkilendirilen veritabanlarıyla karşılaştırılır. Bununla birlikte, parmak izlerinin tespiti sadece bir başlangıçtır; asıl değer, bu parmak izlerinin zaman içindeki davranışlarını ve ağdaki bağlamını analiz etmekten gelir. Bu sayede, anormal bağlantılar veya şüpheli iletişim kalıpları hızla belirlenebilir.

Pasif TLS Analizinin Avantajları​

Pasif TLS analizi, siber güvenlik dünyasına önemli avantajlar sunar. İlk olarak, bu yöntem, ağ trafiğini şifresini çözmeden çalışır, bu da gizliliği korurken performansı olumsuz etkilemez. İkincisi, geleneksel imza tabanlı sistemlerin atladığı veya algılayamadığı, şifrelenmiş tüneller içindeki bilinmeyen tehditleri tespit etme yeteneği sağlar. Örneğin, bir APT grubu sıradan bir web sitesi gibi görünen bir C2 sunucusu kullanabilir, ancak özelleştirilmiş TLS parmak izleri sayesinde gerçek niyeti ortaya çıkar. Başka bir deyişle, bu yöntem, ağdaki gizli kötü amaçlı yazılım iletişimini, içeriğine bakmadan bile, davranışsal özelliklerinden tanıma potansiyeli taşır.

Tehdit Avcılığında Pratik Uygulamalar​

Tehdit avcılığı senaryolarında TLS parmak izleri, kurban ağlarda gizlenmiş APT operasyonlarını tespit etmek için paha biçilmez bir araçtır. Birincil uygulama alanlarından biri, standart dışı veya özel TLS uygulamalarına sahip özel kötü amaçlı yazılım C2 iletişimlerini tanımlamaktır. Örneğin, bir kuruluşun ağındaki normalde olmayan bir TLS parmak izinin sürekli olarak belirli bir dış IP adresiyle iletişim kurması, şüpheli bir durumu işaret edebilir. Ayrıca, bu teknik, bilinen APT gruplarının geçmişte kullandığı parmak izlerini tarayarak belirli aktörleri proaktif olarak avlamayı mümkün kılar. Bu nedenle, güvenlik ekipleri, ağlarında temel bir TLS parmak izi envanteri oluşturarak, herhangi bir sapmayı hızlıca belirleyebilir ve olası bir ihlali erken aşamada önleyebilir.

Gelecekteki Gelişmeler ve Zorluklar​

TLS parmak izi tabanlı tehdit avcılığı sürekli gelişiyor olsa da, önünde bazı zorluklar bulunuyor. Saldırganlar, tespit edilmekten kaçınmak için tarayıcıların veya işletim sistemlerinin TLS parmak izlerini taklit etmeye çalışıyorlar. Bu durum, daha sofistike ve çok katmanlı parmak izi tekniklerinin geliştirilmesini gerektiriyor. Ek olarak, TLS 1.3'ün yaygınlaşması ve Encrypted Client Hello (ECH) gibi yeni özellikler, "Client Hello" mesajının kendisini şifreleyerek geleneksel parmak izi çıkarma yöntemlerini zorlaştırabilir. Bu nedenle, gelecekteki çözümler, tam TLS el sıkışma analizini, makine öğrenimi tabanlı anomali tespitini ve daha geniş bağlam analizini içermelidir. Siber güvenlik topluluğu, bu zorluklara karşı yenilikçi çözümler geliştirmeye devam ederek, bu değerli savunma tekniğini etkin tutmak için çalışmaktadır.