C2 Tehditleri

C2 nedir, nasıl tespit edilir?

Komuta-kontrol (Command & Control, C2) kategorisindeki kayıtlar; saldırgan tarafından implant yönetimi için kullanılan teamserver, dropper paneli veya RAT konsolu olarak işaretlenmiş kaynakları içerir. Tipik altyapılar Cobalt Strike, Sliver, Mythic, Brute Ratel veya özel HTTP/DNS C2 protokolleridir.

Tespit; NDR/NTA telemetrisinde beaconing davranışı (düzenli aralıklı, düşük-hacimli, jitter'lı bağlantılar), EDR'de process → outbound IP eşlemesi, JA3/JA4 TLS parmak izi eşleştirmesi ve DNS tunneling tespiti üzerinden sağlanır. Sandbox dinamik analizinde malware örneklerinin C2 callback davranışı bu kategorideki adreslerin proaktif tespitine olanak tanır.

Bu kategorideki bir IoC'ye yapılan herhangi bir outbound beacon, varlık uzlaşmasının kesin göstergesidir ve hemen izolasyon gerektirir. Olay müdahale (IR) prosedürü tetiklenmeli, forensic image alınmalı ve yanal hareket araştırması başlatılmalıdır.

Kritiklik dağılımı

Toplam 0 C2 göstergesinin operasyonel risk bandlarına dağılımı.

Önerilen Aksiyonlar

C2 kategorisinde bir tehdit göstergesi tespit edildiğinde, aşağıdaki kurumsal müdahale adımları takip edilmelidir.

• 1 Bu göstergeyi mevcut güvenlik duvarı ve web proxy engelleme listelerine günlük senkronizasyonla ekleyin.
• 2 SIEM platformunda eşleştirme kuralı oluşturun; son 30 günlük log verisinde geriye dönük arama yapın.
• 3 Sınır yönlendiricilerinde bu IP/aralık için inbound ve outbound ACL kuralı tanımlayın; NetFlow telemetrisini etkinleştirin.
• 4 NDR/NTA çözümünüzde bu IP'ye yönelik bağlantı denemelerini yüksek-öncelikli alarm olarak işaretleyin.
• 5 Bu göstergeyi kurumsal tehdit istihbarat platformuna (TIP) kaynak atfı ile birlikte kaydedin; resmi kaynak: siberguvenlik.gov.tr · USOM. Orijinal kayıt: —

Filtre Matrisi