Infoblox’un güvenlik araştırmacıları, “yetersiz ad sunucusu yetkilendirmesi” olarak bilinen bir DNS yanlış yapılandırma tekniğinden yararlanarak milyonlarca kötü niyetli anlık bildirim reklamını başarıyla yakaladı ve herhangi bir sistemden doğrudan ödün vermeden büyük ölçekli bir bağlı kuruluş reklam operasyonunda tam görünürlük elde etti.
Araştırmacılar, tehdit aktörleri tarafından kullanılan terk edilmiş alan adlarını belirlediklerini ve iki haftalık bir süre içinde küresel çapta kurbanları hedef alan yaygın aldatıcı uygulamaları, dolandırıcılık faaliyetlerini ve marka kimliğine bürünmeyi açığa çıkaran 57 milyondan fazla günlüğün kopyasını aldıklarını iddia etti.
Saldırı, alan sahiplerinin, alan adlarını bu alanlarla ilgili bilgi içermeyen harici ad sunucularını kullanacak şekilde yapılandırdığı “Oturan Ördekler” adı verilen bir güvenlik açığından yararlandı.
Araştırmacılar, kötü niyetli bir anlık bildirim ağının yetersiz yetkilendirme yoluyla birden fazla alan adını terk ettiğini keşfettiklerinde, alan adlarını kaydetmeye gerek kalmadan DNS sağlayıcısından talep ettiler.
Kontrolü ele geçirdikten sonraki bir saat içinde sunucuları, ayrıntılı cihaz bilgileri, kullanıcı ölçümleri ve reklam verilerini şifrelenmemiş açık metin olarak gönderen kurban cihazlarından gelen trafikle doldu.
Araştırmacılar operasyonlarını bir gün içinde tek bir alanı izlemekten yaklaşık 120 yanlış yapılandırılmış alana kadar genişleterek saniyede 30 megabaytlık günlük topladılar.
Bu, geleneksel bir ortadaki düşman saldırısı değildi; araştırmacılar, tehdit aktörünün altyapısının “tarafında” bir pozisyon aldılar ve kurbanlara gönderilen her bildirimin kopyalarını pasif olarak aldılar.
Ölçek ve Etki
Ele geçirilen veriler, kurbanlara 60’tan fazla dilde yanıltıcı içerik sunan küresel bir anlık bildirim reklam ağının ortaya çıktığını ortaya çıkardı.
Mağdurlar günde ortalama 140 bildirim aldı; bazıları bu hizmete bir yılı aşkın süredir abone oldu.
Bildirimler Bradesco, Sparkasse, MasterCard, Touch ‘n Go ve GCash gibi meşru finans kurumlarının kimliğine bürünürken aynı zamanda kumar dolandırıcılığını, sahte güvenlik uyarılarını ve yetişkinlere yönelik içeriği teşvik ediyordu.
Coğrafi analiz, trafiğin %50’sinin Güney Asya’yı, özellikle Bangladeş, Hindistan, Endonezya ve Pakistan’ı hedeflediğini gösterdi.
Devasa ölçeğe rağmen operasyonun ekonomisi şaşırtıcı derecede zayıftı; tehdit aktörünün kodladığı tıklama oranı tahminleri ortalama 60.000’de 1’di; gerçek oranlar ise 52 milyon reklamdan yaklaşık 630 tıklamayla bu kasvetli rakamları doğruladı.
Araştırmacılar, operatörlerin izlenen alanlardan günlük yalnızca 350 dolar gelir elde ettiğini tahmin ediyor.
Güvenlik Etkileri
Araştırma, hem kötü niyetli aktörleri hem de meşru kuruluşları etkileyen kritik DNS hijyeni hatalarını vurguluyor.
Farklı gecikmeler, bu tehdit aktörünün 1000 reklam gösterimi başına ödeme almasına rağmen kurbanlara aynı reklamı günde 20 defaya kadar göstermesi anlamına geliyor.
Aynı Oturan Ördekler tekniği, Vacant Viper gibi tehdit aktörleri tarafından meşru şirketlerin hareketsiz alan adlarını ele geçirmek ve bunları 404TDS gibi trafik dağıtım sistemleri aracılığıyla kötü amaçlı yazılım dağıtımı için kullanmak için kullanıldı.
Güvenlik uzmanları, eksik delegasyonlara sahip terk edilmiş alan adlarının, farklı kötü amaçlı kampanyalar için tekrar tekrar talep edilebilecek, genellikle alan adı sahiplerinin uzlaşmayı fark etmeden “oturan ördekler” haline geldiği konusunda uyarıyor.
Kuruluşların, tüm ad sunucusu yetkilendirmelerinin doğru bir şekilde sürdürüldüğünden ve harici ad sunucularının yapılandırılmış etki alanları için eksiksiz kayıtlara sahip olduğundan emin olmak için DNS yapılandırmalarını denetlemesi gerekir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.