Salam əziz oxucular, bu gün sizə Kiberhücumlar zamanı hücum edən şəxslər oğurladıqları məlumatları birbaşa göndərmək yerinə əvvəlcə kodlaşdırma üsullarından istifadə edirlər. Bu prosesə encode etmək deyilir. Encode zamanı məlumat müxtəlif üsullarla çevrilir və fərqli formata salınır. Bunun əsas məqsədi oğurlanan məlumatın təhlükəsizlik sistemləri tərəfindən asanlıqla aşkarlanmasının qarşısını almaqdır. Çünki təhlükəsizlik alətləri açıq mətn formasında olan məlumatları daha rahat analiz edib, potensial riski tanıya bilir. Lakin kodlaşdırılmış məlumatlar analiz edildikdə orada nə olduğu bəlli olmur. Bu da hücumçulara məlumatı aşkarlanmaqdan qorumağa kömək edir.
Encode etmək həm də məlumatların ötürülməsi zamanı pozulmasının qarşısını alır. Çünki bəzi məlumatlar elə simvollardan ibarət olur ki, şəbəkə protokolları həmin simvolları düzgün ötürə bilmir. Bu zaman Base64, Hexadecimal, URL encoding kimi üsullarla məlumat çevrilir və yalnız hücumçunun öz serverində yenidən orijinal formaya qaytarılır. Bu üsul həm də məlumatların bütövlüyünü qoruyur. Hücum edən tərəf məlumatı hədəf sistemdən çıxarır və təhlükəsizlik divarlarını keçmək üçün encode edir. Encode olunmuş məlumat firewall, DLP və IDS sistemləri tərəfindən təmiz və zərərsiz data kimi qiymətləndirilə bilər.
Kiberhücumçular müxtəlif encoding texnikalarından istifadə edir. Məsələn, Base64 çox məşhur encoding üsuludur. Bu üsul ilə binary məlumat sadə mətinə çevrilir. Belə olduqda binary formatlı fayllar da şəbəkədən keçərkən text formasına düşür və aşkarlanması çətinləşir. Digər bir üsul URL encoding metodudur. Burada məlumat web trafikindəki URL-lərin kodlaşdırılmasına bənzər şəkildə çevrilir. Bu isə xüsusən web əsaslı hücumlarda istifadə olunur.
Əlavə olaraq, məlumatlar bəzən bir neçə dəfə fərqli encoding metodları ilə çevrilir. Buna multi-layer encoding deyilir. Bu halda məlumat qat-qat kodlaşdırılır və analiz edən sistemlərin onu tanıması daha da çətinləşir. Təhlükəsizlik sistemləri isə bəzən yalnız bir qat dekod etməyə çalışır, buna görə də çox qatlı encoding aşkarlanma ehtimalını azaldır.
Bundan başqa, encode olunan məlumatların aşkarlanmasının çətin olması ilə yanaşı, onların şifrələnməsi ilə qarışdırılmamalıdır. Encoding sadəcə məlumatın başqa formata salınmasıdır. Şifrələmə isə məlumatın oxunmaz hala gətirilməsidir və yalnız açarla açıla bilər. Hücumçular isə adətən encode etməyə üstünlük verirlər, çünki bu üsul daha sürətli və effektiv olur.
Encode etməyin digər səbəbi məlumatların ötürülən zaman protokol limitlərinə uyğundur. Məsələn, HTTP, DNS, ICMP kimi protokollar bəzi mətn tiplərini və ya simvolları dəstəkləmir. Hücumçular bu boşluqdan istifadə edərək məlumatları həmin protokollara uyğun şəkildə encode edirlər. Beləliklə məlumat çıxarılır və istənilən forma salınıb hücumçunun idarəsində olan serverə göndərilir.
SOC analitikləri və təhlükəsizlik komandaları bu cür halları aşkarlamaq üçün anomaliya analizi və trafik inspection texnikalarından istifadə etməlidir. Məlumat trafikinə baxaraq normaldan fərqli uzunluqda və ya kodlaşdırılmış paketləri analiz etmək vacibdir. Çünki anormal encoding nümunələri təhlükənin göstəricisi ola bilər.
Nəticə olaraq, kiberhücum zamanı məlumatların encode edilməsi həm aşkarlanmaqdan yayınmaq, həm də məlumatların bütövlüyünü qorumaq üçün əsas taktikadır. Hücumçular təhlükəsizlik tədbirlərini aşmaq üçün encode, şifrələmə və obfuscation kimi üsullardan kombinə olunmuş şəkildə istifadə edirlər. Bu səbəbdən təhlükəsizlik mütəxəssisləri encode üsullarını başa düşməli və bu cür trafiki tanımaq üçün daim bacarıqlarını inkişaf etdirməlidirlər.
Nümunə Encoding yollarına aşağıda baxaq
-
Base64: Binary məlumatı text formatına çevirir.
-
Hexadecimal Encoding: Məlumatı onaltılıq formata salır.
-
URL Encoding: Xüsusi simvolları URL formatına uyğun kodlaşdırır.
-
ASCII Encoding: Binary məlumatı ASCII cədvəlinə uyğun kodlaşdırır.
-
Unicode Encoding: Məlumatı Unicode formatına çevirir, çoxdilli sistemlərdə istifadə olunur.
-
Bu üsullarla məlumat çıxarışı zamanı həm aşkarlanmaqdan yayınmaq, həm də məlumatın pozulmasının qarşısını almaq mümkündür.
