Selam, bugün biraz daha gerçek hayattan bir şey anlatayım. Çoğu insan nmap’i -sS -T4 şeklinde çalıştırıp iş bitiyor sanıyor ama artık işler değişti. Özellikle endpoint’lerde CrowdStrike, SentinelOne gibi EDR’ler var ve basit SYN scan’leri direkt yakalıyorlar. Ben de geçenlerde bir red team çalışmasında bunu nasıl daha derine taşıdığımı anlatayım.
Asıl mesele şu: Sadece decoy IP koymak yetmiyor. EDR’ler flow’u ve timing’i de inceliyor. O yüzden hem decoy’ları randomize ettim hem de paketlerin arasındaki süreyi eBPF ile izlenen “normal” trafik paternine uydurdum.
Öncelikle klasik nmap komutunu biraz daha “kirli” hale getirdik:
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
Bu script her çalıştırıldığında farklı decoy seti ve data-length üretiyor. Ama asıl iş eBPF tarafında. Bazı EDR’ler nmap’in SYN paketlerini “kısa aralıklı ve aynı boyutta” geldiği için yakalıyor. O yüzden tcpdump ile normal tarayıcı trafiğini izleyip, aradaki ms cinsinden jitter’ı kopyaladım.
Terminalde şöyle bir çıktı aldım mesela (gerçek ortamdan kısaltılmış hali):
Hidden content - for more
Konuyu Görebilmeniz için "Beğenmeniz ve Yorum yapmaniz" Gerekir.
EDR log’larında bu tarama “suspicious scanner activity” olarak işaretlenmedi çünkü hem decoy sayısı yüksek hem de rate düşük tutuldu. Tabii bu yöntem de %100 garantili değil, sadece detection surface’ü epey daraltıyor.
Kısaca özetlersem: Artık sadece -D RND:10 yetmiyor. Hem decoy hem timing hem de paket boyutu randomization’ı bir arada kullanmak gerekiyor.
