BiznetBiznet

Command and Control [C&C] Server

Yazar: Fatih Mustafa Oysal

Bilgisayarınızda tarayıcınızı açtığınızda sürekli rahatsız edici pop-up’ların otomatik olarak açılması veya bilgisayarınızda hiçbir bir problem olmamasına rağmen normalden daha yavaş çalışması…

Bu tür olaylar ne kadar da tanıdık geliyor değil mi? Peki ya nasıl yüklendiğini bile bilmediğiniz, hiç kullanmadığınız ve yüklü olmasını önemsemediğiniz tarayıcı eklentileri? İyi de bunlar nasıl oluyor?

Tam şu anda, bütün bunları yapan bir malware olarak düşünebilir miyiz veya bilgisayarımıza virüs bulaşmış diyebilir miyiz? Haklısınız! Cihazınız bir C&C tarafından kontrol edilen “Zombi”ye dönüştürülmüş olabilir.

Command and Control Server, aynı zamanda C&C veya C2 olarak da bilinen, ransomware veya rootkit gibi kötü amaçlı yazılım bulaşmış cihazlara komutlar/yönergeler gönderen merkezi bir sunucudur. Bu sunucunun göndermiş olduğu komutlar sayesinde veri çalma, DDoS atakları, veri silme, cihazdaki verileri şifreleme gibi birden çok işlem yapılabilmektedir. Örneğin; Kredi Kartı bilgilerini öğrenme.

C&C sunucusu tarafından kontrol edilen malware bulaşmış cihazlara Zombi denilmektedir. Bu cihazların kullanıcıları, verilerinin internet yoluyla başka bir bilgisayara gönderildiğinden haberleri yoktur. Bu cihazları “Botnet” olarak da adlandırabiliriz. Botnet, robot ve network kelimelerinin birleşiminden ortaya çıkarılmış bir isimdir.

Aşağıdaki grafikte C&C sunucularının nasıl çalıştığını kolayca anlayabiliriz.

Genel anlamda 2 farklı Botnet yapısı bulunmaktadır. Bunlar Centralized ve Decentralized yapılarıdır.

Centralized en yaygın ve kullanılan Botnet yapısıdır. Bu yapı kendi arasında aşağıdaki resimde görüldüğü gibi 3 farklı yapıda oluşturulabilir.

  • Internet Relay Chat (IRC) protokolünü kullanılarak C&C sunucu ile Botnet bilgisayar arasında iletişim sağlanır.
  • Botnet bilgisayarlar aralarındaki iletişimi “Chat” sunucularını kullanarak sağlarlar.
  • Basit ve düşük band genişliği iletişim metotları kullanırlar.

Decentralized veya Peer-to-Peer (P2P) olarak da bilinen diğer Botnet yapısıdır.

Aşağıdaki resimde görüldüğü üzere, bu yapıda C&C sunucusu için merkezi bir nokta yoktur. Botnet ağı içerisindeki herhangi bir host C&C sunucusu ve Zombi bilgisayar olarak kullanılabilir. Bu sayede C&C sunucu iletişiminin fark edilmesi önlenir ve C&C başarısızlıkları en aza indirilmiş olur. Böylece bir Zombi host saptandığında aradaki boşluk Botnet ağında bulunan diğer hostlar tarafından sekteye uğramadan devam ettirilebilmektedir.

IBM QRadar SIEM ürünü çeşitli birçok C&C server offenseleri üretebilmektedir. Ortaya çıkan bu offenseleri inceleyip muhtemel saldırının gerçek olup olmadığına karar verebiliriz. Bu sayede olası bir Botnet bilgisayarı tespit edebilir veya Botnet bilgisayarlardan gelen trafiği saptayabiliriz.

IBM QRadar SIEM ürününün üretmiş olduğu örnek bir offense’i inceleyelim.

  1. IBM QRadar üzerinde oluşturulan olay örgüsüne verilen isim
  2. Olayın kısa bir açıklaması
  3. Oluşan offense’in ağ içerisindeki etkisi (Kural oluşturulurken 1 ile 10 arasında bir değer atanabilir). Örnek olarak eğer ki tehdit açık bir porta doğru ise relevance değeri yüksek olacaktır.
  4. Tehdit seviyesi (Kural oluşturulurken 1 ile 10 arasında bir değer atanabilir)
  5. Oluşan tehdidin doğruluğu (Kural oluşturulurken 1 ile 10 arasında bir değer atanabilir). Aynı zamanda birden fazla log kaynağı aynı offense’i üretirse credibility yüksek olacaktır.
  6. Trafiği oluşturan kaynak cihaza giriş yapmış kullanıcının adı
  7. Trafiği oluşturan kaynak cihazın IP adresi
  8. Trafiğin kaynaktan çıkarak muhtemel C&C sunucusuna gitmek istediği IP adresi
  9. Kaynak cihazın adı
  10. Trafiği oluşturan kaynak cihazın port numarası
  11. Kaynak cihazın erişmek istediği IP adresinin port numarası
  12. Kaynak cihazın MAC adresi
  13. Log’un içerisindeki ham veriler. Buradaki ham veriler pars edilerek bahsi geçen alanlarda gösterilmektedir.

IBM QRadar SIEM ürünü içerisinde IBM tarafından oluşturulan kurallar vardır. Offense’ler ürün içerisinde gelen Log’ların parslanmasından sonra bir Event QID ve Low Level Category dediğimiz değerlerle eşlenip eşlenmediğine bakarak üretilir. Bu EventQID ve Low Level Category değerleri QRadar cihazının yapmış olduğu korelasyonlar sayesinde atanır.

fatihmustafa.oysal
Yazar: fatihmustafa.oysal