Gölgelerde Yatan C2: Botnetlerin Sessiz Yönetim Merkezleri ve Delphi ile Gizli İletişim Kanalları

C2 botnetlerin arka planında Delphi'nin neden hala sessiz komuta merkezleri için tercih edildiğini anlatıyor. Gölgelerde yatan bu sistemler, statik analizi zorlayan paketleme ve obfuskasyon teknikleriyle dikkat çekiyor—ama asıl risk, iletişim kanallarının nasıl gizlendiği ve hangi protokollerin (veya custom payload'lerin) kullanıldığı. Botnet operasyonlarında, Delphi'nin C++'ten daha az iz bıraktığı ve reverse engineering'i zorlaştırdığı biliniyor; ama senaryo, C2 sunucularının nasıl dağıtıldığına ve hangi iletişim stratejilerinin (DNS tunneling, HTTP/2 header abuse, veya tamamen custom TCP/UDP) kullanıldığına bağlı. Pratikte, bu tür sistemlerin izini sürmek için, trafiği dinlerken anormal payload uzunlukları, C2 sunucularının IP'sinde gece-gündüz trafik modeli değişiklikleri ve botların hangi portlarda beklenmedik şekilde bağlandığına dikkat etmen gerekiyor. Delphi ile yazılmış bir botnetin C2'sini keşfetmek için, ilk adım, botların hangi DLL'leri enjekte ettiğini ve hangi API call'leri sıkça kullandığını görmek—genellikle `CreateRemoteThread` veya `NtCreateThreadEx` gibi. Ardından, bu call'lerin nereye gittiğini izlemek: olası bir C2 sunucusu IP'si veya domain'i ortaya çıkabilir.