Açıklandı: Etki alanı ön yüzü | Malwarebytes


Etki alanı yönlendirme, aynı HTTPS bağlantısında farklı alan adlarının kullanılmasına yönelik bir tekniktir. Basitçe söylemek gerekirse, alan adı ön izleme, belirli bir web sitesine bağlanırken trafiğinizi gizler. Trafiği daha büyük bir platform üzerinden yönlendirerek süreçteki gerçek hedefi maskeliyor.

Bu teknik, mobil uygulama geliştirme ekosisteminde 2010’ların başında popüler hale geldi; burada geliştiriciler, uygulamalarını bir “ön” alana bağlanacak şekilde yapılandırıyor ve bu alan daha sonra bağlantıları geliştiricinin arka ucuna iletiyordu. Bu şekilde geliştirici, sürekli olarak uygulama güncellemeleri yayınlamak zorunda kalmadan, artan trafikle ve yeni özelliklerle başa çıkmak için arka uçlarını genişletebilir.

Ancak doğru ve pek çok iyi şey gibi, bunun da bir diğer tarafı var. Alan adı yönlendirme, kötü niyetli aktörlerin, genellikle savunucuların izin verilenler listesinde yer alan meşru veya yüksek itibarlı alan adlarını kullanmasına olanak tanır. Meşru alanlar genellikle İçerik Dağıtım Ağlarına (CDN’ler) aittir, ancak son yıllarda bir dizi büyük CDN bu yöntemi engellemiştir. Listede Amazon (2018’de yasaklandı), Google (2018), Microsoft (2022) ve Cloudflare (2015) yer alıyor.

CDN temel olarak proxy sunuculardan ve veri merkezlerinden oluşan geniş bir ağdır ve birden fazla alanı barındırmak için kullanılabilir. İçerik dağıtım ağları olarak da bilinirler. Netflix gibi şirketlerin istenen içeriği yakınınızdaki bir sunucudan iletmek için kullandığı şey budur.

Bir web sitesine “normal” bir bağlantı için Domian Ad Sistemi (DNS), istenen alan adının IP adresini bulur. DNS ele geçirmeleri: ne aranmalı blogunda açıkladığım gibi, DNS, girişin bir isim ve çıkışın bir sayı olduğu anlamına gelen internetin telefon rehberidir. Ulaşmak istediğiniz şeye veya kime ait olan numara.

Aynı CDN’de barındırılan iki alanla HTTPS, kullanıcının sınırsız bir web sitesi üzerinden bağlanıyormuş gibi görünmesini sağlamak için kullanılabilir. HTTPS protokolleri şifrelenmiştir, dolayısıyla farklı bir hedef etki alanına gizlice bağlanmak için kullanılabilir. Böylece bir saldırgan, izin verilen bir siteye yapılan TLS bağlantısı içindeki kısıtlı bir siteye yapılan HTTPS isteğini gizleyebilir.

Etki alanı yönlendirmede süreç aynıdır ancak farklı bir etki alanından geliyormuş gibi görünen bir HTTPS isteğinde bulunacaktır. Bunu, ikincil alanın DNS ve TLS isteklerini taklit ederek, kullanıcının başka bir alandan bağlanmış gibi görünmesini sağlayarak yapar. Bu yöntem, çevrimiçi sansürden kaçmanın ve kısıtlamaları aşmanın bir yolu olarak popülerdir.

Bu teknik, baskıcı ülkelerdeki internet sansürü girişimlerini atlatmak için Tor, Telegram ve Signal gibi çevrimiçi hizmetler tarafından benimsendi. Hem Amazon hem de Google, platformlarında alan adı yönlendirmeyi engellediğinde, bazıları bunun arkasında Rus hükümetinin olduğundan şüpheleniyordu çünkü o sırada Rus hükümeti, Telegram’ın anlık mesajlaşma uygulamasına erişimi engellemek amacıyla 1,8 milyon AWS ve Google Cloud IP adresini engellemişti.

Arka uç altyapısını gizleme yeteneği nedeniyle, etki alanı ön yüzleme, kötü amaçlı yazılım operasyonlarında da popülerlik kazanmıştır. Savunma tekniklerini atlamak için görünüşte meşru bir etki alanında bir komuta ve kontrol (C2) kanalı oluşturmak için etki alanı ön işlemeyi kullanabilirler. İyi itibara sahip sitelerin sahipleri, ana bilgisayar adlarının bu etkinlik için kötüye kullanılmasını engelleyemez.

Kurumsal bir kuruluşta etki alanı yönlendirmeye karşı en iyi savunma, sınırsız TLS müdahale kapasitesine sahip bulut tabanlı bir SWG (Güvenli Web Ağ Geçidi) hizmetidir. Güvenli bir web ağ geçidi (SWG), trafiği filtrelemek ve kabul edilebilir kullanım ve güvenlik politikalarını uygulamak için kullanıcılar ile internet arasında bulunan bir ağ güvenliği teknolojisidir. Bir SWG veya benzer işlevselliğe sahip diğer araçlarla, TLS Sunucu Adı Göstergesi (SNI) ile HTTPS ana bilgisayar başlığı arasındaki uyuşmazlıkları tespit edebilir ve etki alanı yönlendirme hakkında uyarı alabilirsiniz.


İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.



Source link