Bant Dışı Veri Sızdırma DNS ve HTTP Tunneling ile Veri Kaçırma Teknikleri
Gelişmiş güvenlik duvarları, veri kaybı önleme sistemleri ve tehdit istihbaratı çağımızın en büyük siber güvenlik kazanımlarıdır. Ancak saldırganlar, ağ yöneticilerinin kapatamayacağı protokolleri kullanarak bu savunmaları ustalıkla aşar. Bant dışı veri sızdırma yöntemleri, modern siber tehdit aktörlerinin en çok tercih ettiği, tespit edilmesi en zor tekniklerin başında gelir.
Bu içerik, kurumların DNS ve HTTP tabanlı kaçak veri transferlerini nasıl tespit edebileceğini, saldırganların hangi taktikleri kullandığını ve NIST, ISO 27001 ile KVKK gibi standartlar çerçevesinde nasıl koruma sağlanabileceğini teknik derinlikte ele almaktadır. Türkiye’nin önde gelen siber güvenlik firmalarından Nesil Teknoloji olarak, TSE A Sınıfı Sızma Testi yetkinliğimizle bu tehditleri simüle edip kurumlarınızı koruma altına alıyoruz.
Bant dışı sızdırma, ağ egress filtrelerini bypass etmek için DNS (UDP 53) ve HTTP (TCP 80/443) gibi zorunlu protokolleri kullanır. DNS tunneling, veriyi alt alan adı sorgularına gömerek dışarı taşır. HTTP tabanlı yöntemler ise bulut servislerini veya API uçlarını kötüye kullanır. Tespit için derin paket analizi, DNS anomali tespiti ve kullanıcı davranış analizi kritik öneme sahiptir.
1. Bant Dışı Veri Sızdırma Nedir ve Neden Klasik Savunmaları Aşar
Veri sızdırma, bir saldırganın yetkisiz olarak ele geçirdiği sisteme ait hassas bilgileri dışarı aktarması sürecidir. Geleneksel senaryoda saldırgan, doğrudan kendi kontrolündeki sunucuya FTP, SCP veya özel bir TCP bağlantısı kurar. Ancak kurumsal ağlar, çıkış trafiğini sıkı şekilde denetler. Next Generation Firewall (NGFW), proxy sunucuları, Data Loss Prevention (DLP) sistemleri ve bulut tabanlı güvenlik duvarları, bilinmeyen IP adreslerine yapılan bağlantıları engeller, anormal veri hacmini tespit eder ve imza tabanlı algılama yapar.
Bant dışı veri sızdırma ise tam da bu noktada devreye girer. Saldırgan, veriyi doğrudan kendi sunucusuna göndermek yerine, ağın işleyişi için vazgeçilmez olan protokolleri veya güvenilir üçüncü taraf servisleri kullanır. Bu yöntemler, klasik güvenlik ürünlerinin “izin verilen” kategorisine girdiği için tespit edilme olasılığı dramatik biçimde düşer. Özellikle endüstriyel kontrol sistemleri (ICS) ve kamu kurumlarında, kesintisiz hizmet zorunluluğu nedeniyle DNS ve HTTP trafiğine yönelik katı kısıtlamalar uygulanamaz. Bu durum, siber tehdit aktörlerine doğal bir sızma koridoru sunar.
Gerçek dünyada bu teknikler, APT grupları tarafından düzenli olarak kullanılır. Örneğin 2017’de keşfedilen DNSMessenger zararlı yazılımı, tamamen DNS TXT sorguları üzerinden komuta kontrol (C2) iletişimi kuruyor ve dosya sistemine hiçbir iz bırakmadan veri çalabiliyordu. Benzer şekilde, 2020 SolarWinds saldırısının arka planında, saldırganların yasal yazılım güncellemeleri içine gizledikleri HTTP tabanlı backdoor ile bant dışı kanallar kullandıkları bilinmektedir. Bu örnekler, klasik savunmaların yetersiz kaldığını ve derinlemesine görünürlüğün şart olduğunu gösterir.
2. DNS Tunneling Teknik Derinlik ve Protokol Anatomisi
DNS, internetin temel direklerinden biridir. Bir cihaz, hedef alan adının IP adresini öğrenmek için DNS sunucusuna sorgu gönderir. Bu sorgular genellikle UDP 53 portu üzerinden yapılır ve çoğu güvenlik duvarı bu trafiğe izin vermek zorundadır. DNS tunneling, sorgu ve cevapların içine veri gömerek bu protokolü bir veri kaçırma tüneli haline getirir.
Teknik işleyiş şu şekilde özetlenebilir. Saldırgan, kendi kontrolündeki bir alan adını (örneğin data.nesil-test.com) yetkili DNS sunucusuna yönlendirir. İç ağdaki enfekte cihaz, çalınacak veriyi base32, base64 veya hex kodlamayla dönüştürür. Elde edilen string, maksimum 255 karakterlik DNS sorgu sınırına uygun parçalara bölünür. Her parça, alt alan adı olarak eklenir ve saldırganın alan adına yönlendirilir. Örneğin normal bir sorgu “www.google.com” iken, tunneling yapan cihaz “c2VjcmV0ZGF0YTEyMw.data.nesil-test.com” formatında sorgular gönderir. Kurumun DNS sunucusu bu sorguyu yetkili sunucuya iletir. Saldırganın DNS sunucusu, sorgudaki veriyi ayıklar, birleştirir ve cevap olarak genellikle bir TXT kaydı veya CNAME ile yeni komutlar gönderir. Böylece çift yönlü, düşük bant genişliğinde ancak son derece gizli bir iletişim kanalı kurulur.
DNS protokolünün katmanları düşünüldüğünde, saldırgan aslında OSI modelinin uygulama katmanında bir tünel oluşturur. Bu tünel içinden SSH, HTTP hatta RDP trafiği dahi yönlendirilebilir. Araçlar arasında dnscat2, iodine ve dns2tcp en bilinenleridir. Aşağıdaki tabloda bu araçların karşılaştırması verilmiştir.
| Araç | Kullanım Alanı | Veri Hızı | Gizlenme Yeteneği |
|---|---|---|---|
| dnscat2 | C2 iletişimi ve veri sızdırma | Düşük (20-30 kbps) | Yüksek (Sorgu türleri değiştirilebilir) |
| iodine | Yüksek hızlı tam tünel | Orta (300-800 kbps) | Orta (DNS response paket boyutu büyür) |
| dns2tcp | TCP trafiğini DNS üzerinden taşıma | Düşük | Orta (Sabit patternler oluşturabilir) |
Endüstriyel ortamlarda, özellikle Modbus TCP ve DNP3 gibi protokollerin kullanıldığı SCADA ağlarında DNS sorguları genellikle kısıtlanmaz. Saldırganlar, bir kez OT ağına sızdıklarında DNS tunneling ile verileri DMZ’e, oradan da internet e taşıyabilir. Bu nedenle Nesil Teknoloji gibi TSE A Sınıfı sızma testi yetkisine sahip ekipler, sızma testlerinde mutlaka DNS exfiltration senaryolarını simüle eder ve savunma açıklarını raporlar.
3. HTTP ve HTTPS Tabanlı Sızdırma Yöntemleri
HTTP ve HTTPS, modern kurumların vazgeçilmez trafik türleridir. Saldırganlar için bu durum, sınırsız bir kaçış koridoru anlamına gelir. Ancak sıradan bir HTTP POST isteği ile veri göndermek artık NGFW ve proxy ürünleri tarafından kolayca tespit edilmektedir. Bu yüzden bant dışı yaklaşım, saldırganın veriyi doğrudan kendi altyapısına göndermekten ziyade, itibarı yüksek bulut servislerini kötüye kullanması şeklinde evrilmiştir.
Living off the land olarak adlandırılan bu taktikte, saldırgan Microsoft OneDrive, Google Drive, Slack webhookları, Discord CDN veya Amazon S3 bucket’ları gibi kurumlarda izin verilen servislere veriyi gönderir. Örneğin bir zararlı yazılım, çaldığı veriyi şifreler, base64 kodlar ve bir Microsoft Graph API çağrısıyla OneDrive’a yükler. Güvenlik duvarı, bu trafiği “office365” kategorisinde değerlendirdiği için izin verir. Saldırgan ise daha sonra kendi bilgisayarından (ev interneti veya VPN) aynı bulut hesabına giriş yaparak veriyi indirir. Bu yöntem, sızmanın kaynağını ve hedefini gizleyerek olay müdahale ekiplerinin kök neden analizini ciddi şekilde zorlaştırır.
HTTP üzerinden sızdırma için bir diğer teknik ise verinin HTTP başlıklarına (header) veya çerez alanlarına (cookie) gizlenmesidir. Bir GET isteğinin içerisine “Cookie: data=base64_veri” şeklinde ekleme yapmak, standart log sistemlerinde sadece URL’nin loglanması durumunda atlatılabilir. Ayrıca saldırganlar, C2 iletişimini meşru API uçlarına benzetir. Örneğin bir sağlık kuruluşunda, “/api/patient-data” endpointine yapılan istekler meşru görünebilir. Oysa arka planda exfiltrasyon gerçekleşiyordur. Bu nedenle derin paket incelemesi ve SSL decryption (şifre çözme) modern savunma mimarisinin olmazsa olmazıdır. Ancak KVKK ve GDPR gibi regülasyonlar, kişisel verilerin şifresinin çözülmesi konusunda sıkı kurallar getirir. Burada dengeli bir yaklaşım gereklidir; Nesil Teknoloji danışmanlığında, hassas veri kategorilerini ayıran ve yalnızca riskli trafiği decrypt eden çözümler hayata geçirilmektedir.
4. Tespit, Savunma Stratejileri ve Regülasyon Uyumu
Bant dışı veri sızdırma tekniklerine karşı etkili bir savunma, çok katmanlı ve anomali tabanlı bir yaklaşımı gerektirir. İşte NIST SP 800-53, ISO 27001 A.13 ve KVKK ilkeleriyle uyumlu stratejiler.
DNS Trafik Analizi ve Anomali Tespiti
Geleneksel DNS trafiği belirli bir profile sahiptir. Ortalama sorgu uzunluğu 10-25 karakter arasındadır. Eğer bir iç istemci sürekli olarak 100+ karakterli, rastgele görünümlü alt alan adları sorguluyorsa (örneğin “a7f3d9e2c1b4.nesil-test.com”), bu DNS tunneling işaretidir. Ayrıca saniyede 100’ün üzerinde farklı alan adı sorgusu yapan bir cihaz, normal dışı davranış sergiliyordur. SIEM (Splunk, QRadar) üzerinde bu tür anomali kuralları tanımlanmalıdır. DNS over HTTPS (DoH) gibi şifreli DNS trafiği de kontrol altına alınmalı; kurum içinde yalnızca yetkili DNS sunucularının kullanımına izin verilmelidir.
Egress Filtreleme ve Sıfır Güven Modeli
Sıfır güven prensibi, “asla güvenme, her zaman doğrula” felsefesine dayanır. Bu bağlamda çıkış trafiği yalnızca iş için zorunlu olan servislere (belirli Office 365 IP aralıkları, yasal SaaS uygulamaları) izin verecek şekilde daraltılmalıdır. DNS sorguları için ise kurum içi forwarding yapan sunucular dışındaki tüm DNS trafiği (örneğin 8.8.8.8’e giden sorgular) engellenmelidir. Bu, saldırganın kendi C2 domainine direkt sorgu yapmasını zorlaştırır.
DLP ve Proxy Katmanı
Modern DLP çözümleri, HTTP ve HTTPS trafiğini içerik bazlı analiz eder. Ancak SSL decryption yapılmadığı sürece bu analiz etkisizdir. Kurumlar, yasal mevzuat çerçevesinde (KVKK madde 12) teknik ve idari tedbirleri alarak, belirli riskli kategorilerdeki trafiği decrypt etmelidir. Nesil Teknoloji, bu süreçte hem regülasyon uyumunu hem de güvenlik gereksinimlerini dengeleyen bir mimari sunar.
NIST ve ISO 27001 Perspektifi
NIST’in siber güvenlik çerçevesi (CSF), tespit (detect) fonksiyonu altında anomali tespiti ve sürekli izleme kontrollerini vurgular. ISO 27001’in A.12.4 maddesi, loglama ve izleme faaliyetlerini zorunlu kılar. Bant dışı sızdırma ile mücadele eden kurumlar, bu standartlar çerçevesinde DNS loglarını en az 6 ay saklamalı, SIEM üzerinde korelasyon yapmalı ve yılda en az bir kez sızma testi ile bu vektörleri test etmelidir. TSE A Sınıfı yetkisine sahip Nesil Teknoloji, bu testleri gerçekleştirirken hem DNS tunneling hem de HTTP exfiltration senaryolarını kapsayan bir metodoloji izler.
Aşağıdaki tabloda, bant dışı sızdırma tespitinde kullanılan yaygın araç ve yapay zeka tabanlı çözümler karşılaştırılmıştır.
| Araç / Çözüm | Tespit Tekniği | Avantaj | Kısıt |
|---|---|---|---|
| Zeek (Bro) | DNS protokol analizi, uzunluk ve entropi ölçümü | Açık kaynak, özelleştirilebilir | Yüksek hacimde performans sorunu |
| Darktrace / Vectra | AI tabanlı davranış analizi | Sıfır gün tespiti, otomatik öğrenme | Maliyet yüksek |
| Splunk ES | Korelasyon kuralları ve risk puanlama | Merkezi log yönetimi, detaylı raporlama | Kural güncellemeleri uzmanlık ister |
| Nmap NSE Scripts | DNS tunneling test scriptleri | Sızma testi aşamasında etkin | Sürekli izleme için uygun değil |
Sık Sorulan Sorular
DNS tunneling yasal bir işlem midir
DNS tunneling, yönetici onayı olmadan yapıldığında açık bir siber saldırı tekniğidir. Ancak yetkili sızma testleri kapsamında, kurumun yazılı izni ile bu yöntemlerin simülasyonu yapılabilir. Nesil Teknoloji, TSE A Sınıfı yetkisiyle bu testleri etik çerçevede yürütmektedir.
Bant dışı sızdırma yöntemlerini sadece büyük şirketler mi hedef alır
Hayır. Kamu kurumları, üretim tesisleri, hastaneler ve KOBİ’ler de bu tehditlere maruz kalır. Özellikle kritik altyapı kuruluşları, kesinti riski nedeniyle DNS ve HTTP trafiğini sıkı filtreleyemediği için yüksek risk taşır.
KVKK uyumluluğu için SSL decryption yapmak zorunda mıyım
KVKK, kişisel verilerin güvenliğini sağlamak için teknik tedbirler alınmasını zorunlu kılar. SSL decryption, kişisel verilerin şifresini çözmek anlamına gelir; bu işlem yapılırken veri minimizasyonu ve amaç sınırlaması ilkelerine uyulmalıdır. Danışmanlık hizmetimizle bu süreci mevzuata uygun şekilde kurguluyoruz.
DNS tunneling tespit edilemez mi
Tespit edilemez değildir, ancak klasik imza tabanlı sistemlerle tespit edilmesi zordur. Uzun sorgu analizi, entropi hesaplama, DNS sorgu frekansı ve kural dışı record türlerinin izlenmesi ile tespit edilebilir. Profesyonel bir SOC ve SIEM altyapısı gereklidir.
