Giriş: Tehdit Aktörlerinin Fiziksel Konum Attribüsyonunda Yeni Nesil Yöntemler

Modern tehdit aktörleri, OPSEC (Operational Security) disiplinlerini uygulayarak, tespit edilme ve coğrafi konumlarının deşifre edilmesi riskini minimuma indirmeye çalışmaktadır. VPN zincirleri, Tor ağları, CDN ön proxy’leri, cloud relay noktaları ve farklı Layer 7 proxy mimarileri, saldırganın gerçek fiziksel konumunu maskelemek için yaygın olarak kullanılmaktadır.

Bu makalede, sofistike bir Tehdit İstihbaratı Analisti’nin kullanabileceği multi-layer, cross-protocol, time-domain correlated, stack-level signature-based ve active deception-driven saldırgan konum attribüsyon tekniklerini incelemek niyetindeyim.

1. Asimetrik Round-Trip Time Profiling (Distributed Multi-Vector Latency Mapping)

Amaç: Geografik latency signature korelasyonu yoluyla saldırganın gerçek ağ konumuna yönelik tahmini kısıtlamak.

Teknik Metodoloji:

  • Distributed Source RTT Sampling: Farklı kıtalarda bulunan distributed measurement nodes (AWS EC2, Google Cloud VMs, Azure Regions, RIPE Atlas Probes) üzerinden hedef IP’ye ICMP Echo, UDP Traceroute, TCP SYN probe’ları ile latency profili çıkarılır. Yani, dünyanın çeşitli bölgelerine dağılmış bulut sağlayıcılarına ve ölçüm altyapılarına ait düğümler kullanılarak, hedef IP adresine farklı protokoller üzerinden düşük seviyeli ağ paketleri gönderilir. ICMP Echo, UDP Traceroute ve TCP SYN probe’ları sayesinde, her bir ölçüm noktasından hedefe olan round-trip time (RTT) yani gidiş-dönüş süresi ölçülür. Bu yöntem, ağın farklı coğrafi kaynaklardan hedefe olan erişim süresini detaylı biçimde analiz etmeye imkân tanır ve gecikme dağılımını kıtasal veya bölgesel olarak haritalandırmayı mümkün kılar.
  • Hop-Level Latency Gradient Analysis: Traceroute çıktılarındaki intermediate hop latency farklılıkları per-hop jitter variance, MSS clamping artifacts, MTU plateau mapping ile analiz edilir. Yani, hedefe giden yoldaki her bir ara noktada (hop) gözlemlenen gecikme dalgalanmaları detaylı şekilde incelenerek, ağda paket boyutuna bağlı davranışlar (örneğin MSS kısıtlamaları) ya da MTU kaynaklı performans sınırları tespit edilir.
  • Geospatial RTT Anomaly Correction: CDN / Anycast etkilerini azaltmak için multi-hop distance-to-RRT ratio correction factor uygulanır. Yani, içeriği en yakın sunucudan yanıtlayan CDN'ler veya coğrafi olarak dağılmış Anycast IP’ler nedeniyle oluşabilecek ölçüm yanılmalarını minimize etmek için, her bir hop’un fiziksel mesafesi ile o hopa ait gidiş-dönüş süresi (RTT) arasındaki oran analiz edilir.

Araçlar:

  • Scapy
  • RIPE Atlas API
  • MTR
  • Pathchar
  • Paris-Traceroute
  • tcptraceroute
  • nping (Nmap)

2. Deep TCP/IP Stack Fingerprinting (Low-Level OSI Layer-3/4 Behavior Profiling)

Amaç: Saldırgan cihazının OSI Layer-3/4 network stack davranış karakteristiklerini çıkartarak OS, cihaz tipi ve hatta kullanılan sanallaştırma platformunu tahmin etmek.

Teknik Metodoloji:

  • TCP ISN Predictability & Entropy Analysis: Saldırganın TCP Initial Sequence Number üretim algoritmasının RFC 793 compliance drift, PRNG entropy analysis, sequence increment vector modeling ile analizi. Yani, saldırganın kullandığı TCP bağlantılarında başlangıç dizin numaralarının (ISN) üretim şekli; TCP protokol standardı olan RFC 793’e ne derece uyumlu olduğu, kullanılan sahte rastgele sayı üreteci (PRNG) algoritmasının entropi seviyesi ve ardışık ISN değerlerindeki artış desenleri modellenerek incelenir. Bu sayede ISN üretiminin tahmin edilebilirliği, deterministik davranışlar ve olası fingerprinting (iz bırakma) vektörleri ortaya çıkarılır.
  • TCP Window Scaling Factor Profiling: Saldırgan cihazın network stack’inde RFC 1323 window scaling implementasyonunun varlığı, scaling factor step pattern analizi. Yani, saldırganın kullandığı sistemin TCP protokol yığını (network stack) içerisinde pencere ölçekleme (window scaling) özelliğinin RFC 1323 standardına göre doğru şekilde uygulanıp uygulanmadığı incelenir. Bu amaçla, bağlantı kurulumu sırasında müzakere edilen scaling factor değerlerinin zamansal ve bağlantı bazlı değişim desenleri analiz edilerek, sistemin işletim sistemi türü, ağ yığını davranışı ya da potansiyel olarak özel yapılandırmaları hakkında parmak izi (fingerprint) elde edilmeye çalışılır.
  • IP Identification Field Behavior: IP ID field increment model: Global incremental mı, per-destination mı yoksa randomized mı? Yani, IP paketlerinin kimlik numarasını taşıyan IP Identification (IP ID) alanının nasıl arttığı incelenir: Tüm sistem genelinde tek bir sayaçla mı (global incremental), her hedef IP için ayrı sayaçlarla mı (per-destination), yoksa rastgele değerlerle mi (randomized)? Bu davranış biçimi, işletim sistemi türünün tespiti, trafik korelasyonu ve olası trafik analizi saldırılarında (örneğin idle scan) kullanılabilecek kritik bir parmak izi sağlar.
  • DF Bit & TOS/DSCP Tagging Artifacts: MSS Clamping ve Path MTU Discovery izlerinin analizi. Yani, TCP oturumlarında maksimum segment boyutunun (MSS - Maximum Segment Size) suni olarak sınırlandırılması (MSS Clamping) ve ağ boyunca ideal paket boyutunu belirlemek için kullanılan Path MTU Discovery (PMTUD) sürecinin izleri incelenir. Bu analiz, yönlendiriciler veya güvenlik cihazları tarafından uygulanan paket boyutu kısıtlamalarının tespit edilmesini sağlar; ayrıca bağlantı sırasında oluşan ICMP “Fragmentation Needed” mesajları, DF (Don't Fragment) bayrağı ve MSS değerindeki tutarsızlıklar gibi sinyaller üzerinden ağ topolojisindeki şeffaf veya müdahaleci yapıların varlığı anlaşılabilir.

Araçlar:

  • p0f
  • Xprobe2
  • Nmap OS Detection
  • NetScanTools Pro
  • Scapy

3. TLS/SSL Stack Signature Attribution (JA3/JA3S Hash Correlation)

Amaç: Saldırganın kullandığı TLS/SSL client kütüphanesi, sürümü, işletim sistemi ve araç tipi hakkında istihbarat çıkarmak.

Teknik Metodoloji:

  • JA3 Fingerprint Extraction: TLS ClientHello paketlerinden Cipher Suites Order, Elliptic Curve List, Extensions Order, ALPN List, Signature Algorithms verilerinin hashlenmesi. Yani, istemci tarafından gönderilen TLS ClientHello mesajında bulunan şifreleme algoritmaları sıralaması (Cipher Suites Order), kullanılan eliptik eğri listesi (Elliptic Curve List), uzantıların sıralaması (Extensions Order), uygulama katmanı protokolü listeleme (ALPN List) ve imzalama algoritmaları gibi parametrelerin birleşimi, benzersiz bir parmak izi oluşturmak için kriptografik olarak özetlenir (hashlenir). Bu yöntem, istemcinin TLS yığınına dair detaylı bir profil çıkararak, cihaz, tarayıcı veya kütüphane türü hakkında tespit yapmayı mümkün kılar.
  • JA3S Reverse Fingerprinting: ServerHello tarafında sunucunun SSL/TLS stack signature’ının çıkarılması. Yani, sunucudan gelen ServerHello mesajında bulunan protokol versiyonu, seçilen şifreleme algoritmaları, uzantılar, sertifika detayları ve diğer parametreler analiz edilerek, sunucunun kullandığı SSL/TLS yazılım yığınına özgü imza (signature) oluşturulur. Bu imza, sunucu yazılımının türü, versiyonu ve konfigürasyonuna dair kritik bilgiler sağlar.
  • TLS Session Ticket Behavioral Analysis: Session ticket reuse, lifetime hint field kullanımı, TLS resume behavior analizi. Yani, TLS oturumlarının yeniden kullanımı sürecinde sunucunun gönderdiği session ticket’ların tekrar kullanılıp kullanılmadığı, ticket’ların geçerlilik süresini belirten lifetime hint alanının nasıl değerlendirildiği ve TLS bağlantılarının yeniden başlatılma (resume) davranışları incelenir.
  • Grease Value Anomaly Detection: RFC 8701 uyumlu GREASE extension pattern detection, custom TLS stack kullanımını gösterir. Yani, TLS istemci ve sunucu mesajlarında rastgele ve geçersiz değerler ekleyerek protokol uyumluluğunu test eden GREASE (Generate Random Extensions And Sustain Extensibility) mekanizmasının, RFC 8701 standardına uygun şekilde kullanılıp kullanılmadığı tespit edilir.

Araçlar

  • Wireshark
  • Bro/Zeek IDS
  • JA3 Python Module
  • TLS-Shark
  • FingerprinTLS

4. Passive DNS & Infrastructure Pivoting (Historical Resolution Enumeration)

Amaç: Hedef IP’nin veya domaininin geçmişte ilişkilendiği tüm altyapı bileşenlerini tespit etmek.

Teknik Metodoloji:

  • Passive DNS Historical Analysis: Hedef IP’nin daha önce hangi domainler tarafından kullanıldığı PassiveTotal, SecurityTrails, Farsight DNSDB gibi kaynaklardan analiz edilir. Yani, hedef IP adresinin geçmişte ilişkilendirildiği tüm alan adları, çeşitli siber tehdit istihbarat platformları ve DNS veri tabanları (PassiveTotal, SecurityTrails, Farsight DNSDB gibi) aracılığıyla sorgulanarak ortaya çıkarılır. Bu analiz sayesinde, IP’nin kötü amaçlı kampanyalar, botnetler veya diğer tehdit altyapıları ile bağlantıları detaylı biçimde haritalanabilir ve geçmişteki kullanım örüntüleri tespit edilir.
  • WHOIS & ASN Attribution: Prefix Origin AS Path analizi, BGP route origin analysis, RPKI signed route objects doğrulaması. Yani, hedef IP veya domainin geçmişte bağlı olduğu tüm altyapı bileşenleri analiz edilir. Bu kapsamda, IP bloklarının hangi otonom sistemler (AS) tarafından yönetildiği ve BGP rotalarında nasıl duyurulduğu incelenir. RPKI ile imzalanmış rota nesnelerinin doğrulanması sayesinde, saldırganın kullandığı altyapının güvenilirlik seviyesi, rota değişiklikleri ve olası gizli bağlantılar ortaya çıkarılır. Böylece, saldırganın ağ yapısı, kullandığı servis sağlayıcılar ve altyapı geçişleri detaylı şekilde haritalandırılır.
  • CNAME Chain Misconfiguration Hunting: Origin server IP leakage vakalarının detection’u. Yani, genellikle CDN veya proxy arkasına gizlenen asıl (origin) sunucu IP adreslerinin yanlışlıkla veya kötü niyetli yollarla açığa çıkması durumları tespit edilir. Bu süreçte, DNS kayıtları, HTTP başlıkları, geçmiş altyapı bilgileri ve aktif tarama yöntemleri kullanılarak, hedefin gerçek sunucu IP’si ortaya çıkarılır. Böylece, saldırganların gizlenen kaynaklara doğrudan erişim sağlaması ve hedefin korunmasız noktalarının belirlenmesi mümkün olur.
  • Historical PTR Record Comparison: PTR geçmiş kaydı değişimlerinin zaman serisi analizi. Yani, bir IP adresine atanmış ters DNS (PTR) kayıtlarının zaman içindeki değişimleri takip edilerek analiz edilir. Bu yöntemle, IP’nin hangi domain veya host isimleriyle ilişkilendirildiği, yapılan değişikliklerin sıklığı ve zamanlaması incelenir. Böylece, saldırganın altyapı değişiklikleri, operasyonel hareketliliği veya gizlenme çabaları gibi davranışları ortaya çıkarılır.

Araçlar:

  • PassiveTotal
  • Farsight DNSDB
  • SecurityTrails
  • Robtex
  • RiskIQ Illuminate

5. Cloud Proxy & CDN Eviction Techniques (Origin IP Exposure Methodologies)

Amaç: Saldırganın lokal cihazından dışarıya outbound HTTP/HTTPS/SMTP/DNS çağrısı yapmasını sağlamak.

Teknik Metodoloji:

  • Web Beacon Injection: XSS veya SSRF sırasında, zararsız bir 1x1 px image beacon veya remote script inclusion ile hedef tarayıcıdan veri çekmek. Yani, hedef sistemdeki tarayıcı üzerinden Cross-Site Scripting (XSS) veya Server-Side Request Forgery (SSRF) zafiyetlerini kullanarak, görünmez 1x1 piksel boyutunda bir resim (image beacon) yüklenir ya da uzaktaki bir script sayfaya dahil edilir. Bu tekniklerle, hedef kullanıcının tarayıcısından gizlice bilgi toplamak, oturum çerezlerini yakalamak veya uzak sunucuya veri göndermek mümkün hale gelir. Böylece saldırgan, doğrudan hedef cihazla etkileşime geçmeden hassas verileri dışarı sızdırabilir.
  • Canary Tokens: Fake credential setleri, API keys, dokument embed tokens veya SMTP beacon payload’ları. Yani, hedef saldırganın cihazından dışarıya yapılan çağrılarda, sahte kimlik bilgileri, API anahtarları, belgeye gömülü erişim tokenları veya SMTP protokolü üzerinden gönderilen izleme amaçlı veri paketleri kullanılır. Bu sayede saldırgan, kendi altyapısına ya da komuta kontrol sunucularına veri iletir, kimlik doğrulama yapar veya gizli iletişim kanalları oluşturur. Bu çağrılar, dış dünyayla etkileşim için kullanılan farklı protokollerde (HTTP/HTTPS/SMTP/DNS) çeşitli payloadlarla gerçekleştirilebilir.
  • DNS Canarying: Özel domain’e yapılan DNS query’leri üzerinden outbound bağlantı tespiti. Yani, hedef cihazdan dışarıya yapılan DNS sorgularında, saldırganın kontrolündeki veya özel olarak belirlenmiş domain isimlerine yönelik istekler tespit edilir. Bu sorgular, cihazın dış dünyayla iletişim kurduğunu ve belirli altyapılarla bağlantı sağladığını gösterir.
  • Reverse Shell Traps: Fake reverse shell endpoints ile saldırganın bağlantı açmaya zorlanması. Yani, hedef saldırganın cihazına, sahte olarak oluşturulmuş reverse shell adresleri sunularak, cihazdan dışarı doğru bu adreslere bağlantı kurması tetiklenir. Bu yöntemle, saldırganın cihazının dışa yönelik iletişim kanalları aktive edilerek gözlemlenmesi, izlenmesi veya kontrol edilmesi amaçlanır. Böylece, saldırganın aktif olduğu ağ trafiği ve kullandığı altyapı hakkında değerli istihbarat toplanabilir.

Araçlar:

  • Canarytokens.org
  • GSuite Canary
  • Responder
  • Gophish
  • Burp Collaborator

6. Temporal Behavior Profiling (Circadian Rhythm Mapping & Timezone Attribution)

Amaç: Saldırganın aktif olduğu zaman pencereleri üzerinden timezone ve muhtemel ülke tahmini.

Teknik Metodoloji:

  • Activity Burst Pattern Recognition: Loglar üzerinden Inter-Request Time Gaps, Clustered Attack Windows, Sleep/Idle Period Mapping. Yani, saldırganın aktivitelerini içeren log kayıtlarında istekler arasındaki zaman boşlukları (Inter-Request Time Gaps) analiz edilerek, ardışık ve yoğun saldırı dönemleri (Clustered Attack Windows) tespit edilir. Ayrıca, uzun süreli hareketsizlik veya uyku (Sleep/Idle) dönemleri belirlenerek, saldırganın operasyonel çalışma düzeni ve molaları haritalandırılır.
  • Cross-Timezone Offset Correlation: Saldırganın timestamp manipülasyonlarını engellemek için Multiple Remote Time References (MRTR) kullanımı. Yani, saldırganın sistem saatini değiştirmesi veya log zamanlarını manipüle etmesini önlemek amacıyla, farklı uzak zaman sunucularından (Multiple Remote Time References) eş zamanlı zaman bilgileri alınır ve karşılaştırılır. Bu yöntem sayesinde, tek bir kaynak üzerinden yapılan saat hileleri tespit edilir ve zaman tutarlılığı sağlanarak saldırganın aktivitelerinin doğru zaman diliminde analiz edilmesi mümkün olur.
  • Natural Language Processing on Payload Content: Payload içerisindeki hata mesajları, değişken isimleri, header casing konvansiyonları, accept-language header analizi. Yani, hedef sistemden dönen payloadlarda bulunan hata mesajlarının içeriği, kullanılan değişken isimlendirme tarzları, HTTP başlıklarındaki (header) büyük-küçük harf kullanımı (casing konvansiyonları) ve Accept-Language başlığı gibi dil tercihleri detaylı şekilde incelenir. Bu analizler, hedefin geliştirme ortamı, programlama dili, framework’ü ve coğrafi konumu hakkında ipuçları vererek saldırganın altyapı ve ortam tespiti yapmasını sağlar.
  • Keyboard Layout Fingerprinting: SQLi payload karakter düzeni, parametre isimlendirmeleri, Türkçe-QWERTY, US-ANSI gibi keyboard layout izleri. Yani, hedef sistem veya saldırgan tarafından kullanılan SQL enjeksiyon (SQLi) saldırı payload’larındaki karakter dizilimleri, parametre adlandırma biçimleri ve klavye düzeni (örneğin Türkçe-QWERTY ya da US-ANSI) izleri analiz edilir. Bu veriler, saldırganın muhtemel dil ve bölgesel tercihleri hakkında bilgi verirken, saldırı araçlarının veya manuel müdahalelerin kaynağına dair ipuçları sağlar.

Araçlar:

  • Splunk
  • Elastic SIEM
  • Kibana
  • Timesketch
  • MISP
  • Cortex
  • TheHive
  • Custom ML classifiers (Sklearn / TensorFlow)

7. Composite Multi-Layer Attribution Model (Attribution Confidence Scoring Framework)

Amaç: Tüm katmanlardan gelen sinyalleri birleştirip, saldırganın fiziksel konumu için confidence-based, weighted attribution scoring üretmek.

Teknik Metodoloji:

  • Bayesian Inference Models: Her teknikten gelen sinyalin güven skoru üzerinden olasılık ağırlıklı nihai bölge tahmini. Yani, farklı tekniklerden elde edilen her veri sinyali, kendi güvenilirlik (confidence) skoruna göre ağırlıklandırılır ve bu ağırlıklı değerler bir araya getirilerek hedefin en muhtemel coğrafi bölgesi tahmin edilir. Bu yöntem, tek bir veri kaynağına bağlı kalmadan, çeşitli analiz sonuçlarının entegrasyonu ile daha kesin ve tutarlı lokasyon belirlemesi yapılmasına olanak sağlar.
  • Multi-Layer Correlation Matrix: TLS Fingerprint vs RTT Pattern vs OS Fingerprint vs Activity Timezone gibi çapraz matris korelasyon. Yani, hedef cihazdan elde edilen TLS parmak izi, round-trip time (RTT) gecikme desenleri, işletim sistemi fingerprint’i ve saldırganın aktif olduğu zaman dilimi gibi farklı sinyaller birbiriyle çapraz olarak karşılaştırılır. Bu çapraz matris korelasyon yöntemi, bireysel sinyallerin birleşimiyle daha güçlü ve tutarlı profil çıkarılmasını sağlar, böylece saldırganın kimliği, konumu ve davranış kalıpları hakkında daha kesin çıkarımlar yapılabilir.
  • False Positive Elimination Heuristics: VPN relay/exit-node artifact’larının ayıklanması. Yani, hedef ağ trafiğinde VPN servislerine ait ara geçiş (relay) ve çıkış (exit) noktalarından kaynaklanan izler ve kalıntılar tespit edilerek filtrelenir veya ayrıştırılır. Bu süreç, saldırganın gerçek konumunu gizlemek için kullandığı VPN tabanlı yönlendirme ve anonimleştirme katmanlarının etkisini azaltmaya, böylece daha doğru fiziksel veya ağ tabanlı analiz yapmaya olanak sağlar.
  • GeoIP Anomaly Correction: MaxMind GeoIP hatalarının multi-source verilerle düzeltilmesi. Yani, MaxMind gibi GeoIP veritabanlarının zaman zaman içerebileceği konum hataları, farklı kaynaklardan (örneğin BGP verileri, pasif DNS kayıtları, kullanıcı davranışları ve ağ gecikme ölçümleri) gelen verilerle çapraz kontrol edilerek düzeltilir. Bu çoklu veri entegrasyonu sayesinde, IP adreslerinin coğrafi konumlandırmasındaki doğruluk artırılır ve yanlış atamalardan kaynaklanan analiz sapmaları minimize edilir.

Araçlar:

  • MISP
  • Maltego
  • OpenCTI
  • IBM QRadar Threat Intelligence Module
  • Splunk Phantom
  • Custom Bayesian Scoring Scripts (Python/Pandas)

Sonuç: Saldırgan Fiziksel Attribüsyonunda Pratik Sınırlar ve Hukuki Riskler

Bu tür yüksek seviyeli teknik analizler, siber istihbarat disiplininde attribution confidence level kavramı ile değerlendirilmelidir. Kesin, %100 doğruluklu coğrafi konum tespiti, özellikle adversarial OPSEC tekniklerine karşı mümkün olmayabilir.

Yine de yukarıda anlattığım metodolojiler, gerçek dünyada:

  • APT takibi
  • Suç gruplarının deşifresi
  • SOC düzeyinde saldırgan kaynağının coğrafi filtrelenmesi
  • Hukuki süreçlerde delil zinciri güçlendirmesi

gibi alanlarda kritik öneme sahiptir.

Sorumluluk Reddi Beyanı

Bu blog yazısı, yalnızca eğitim, araştırma ve savunma amaçlıdır. Burada anlatılan teknikler, siber güvenlik analizleri, tehdit istihbaratı üretimi ve adli bilişim çalışmaları için geliştirilmiştir. Hiçbir şekilde yasa dışı erişim, izinsiz gözetleme veya saldırgan faaliyetler için teşvik niteliği taşımaz. Yazar(lar), bu bilgiler kullanılarak gerçekleştirilecek herhangi bir kötü niyetli faaliyetten veya doğabilecek yasal sonuçlardan sorumlu değildir. Her okuyucunun, yerel yasalar ve etik kurallar çerçevesinde hareket etmesi beklenmektedir.