Yeni keşfedilen bir tehdit aktörü, kötü amaçlı etki alanlarının sürekli değişmesini ve yayından kaldırılmaya karşı dirençli kalmasını sağlamak için Etki Alanı Adı Sisteminden (DNS) yararlanan, akıllıca tasarlanmış bir trafik dağıtım sistemi (TDS) aracılığıyla bir yatırım dolandırıcılığı yürütüyor.
“Savvy Seahorse”, Meta ve Tesla gibi büyük marka adlarını taklit ediyor ve dokuz dilde Facebook reklamları aracılığıyla kurbanları sahte bir yatırım platformunda hesap oluşturmaya teşvik ediyor. Kurbanlar hesaplarına para yatırdıktan sonra para, Rus devletine ait bir bankada muhtemelen saldırganın kontrolündeki bir hesaba aktarılıyor.
Bu yaygın bir dolandırıcılık türüdür. Federal Ticaret Komisyonu’na (FTC) göreABD’li tüketiciler yalnızca 2023 yılında yatırım dolandırıcılığı nedeniyle 4,6 milyar dolar kaybettiklerini bildirdi. Bu, her türlü dolandırıcılık nedeniyle kaybedildiği bildirilen 10 milyar doların neredeyse yarısına tekabül ediyor ve bu da dolandırıcılığı piyasadaki en karlı tür haline getiriyor.
Yani Savvy Seahorse’u sürüden ayıran şey, hilesinin karakteri değil, onu destekleyen altyapıdır.
Infoblox’un yeni bir raporunda belirtildiği gibi, binlerce çeşitli ve değişken alandan oluşan bir TDS işletiyor. Tüm sistemi bir arada tutan şey, bir DNS’nin sıradan bir özelliği olan Kanonik Ad (CNAME) kaydıdır ve bu kaydı, Theseus’un gemisi gibi, TDS’nin gerçekten hiçbir şeyi değiştirmeden sürekli olarak yeni alan adları oluşturabilmesini ve eski alan adlarını atabilmesini sağlamak için kullanır. kampanyanın kendisi hakkında.
DNS Aracılığıyla Güçlendirilen TDS Saldırıları
Renée Burton, “Normalde TDS’nin HTTP dünyasında olduğunu düşünürüz; bir bağlantı gelir, cihazınızın parmak izini alırım ve parmak izinize göre sizi bazı kötü amaçlı yazılımlara veya dolandırıcılığa gönderebilirim veya hizmeti reddedebilirim,” diye açıklıyor Renée Burton, Infoblox’ta tehdit istihbaratı başkanı.
Aslında son yıllarda tüm siber suç ekosistemleri HTTP tabanlı TDS ağları etrafında gelişmiştir. VexTrio tarafından işletilen. Saldırganların kurbanlardan ele geçirmesine olanak tanıyan tüm meta veriler için HTTP tercih edilir: tarayıcıları, mobil veya masaüstü bilgisayar vb.
“Çoğunlukla TDS’leri göz ardı ediyoruz” diye devam ediyor, “ve eğer dikkat edersek bunu bu dar çerçevede düşünürüz. Ancak son iki buçuk yılda bulduğumuz şey, gerçekte, aslında bir bütünün var olduğudur. aslında sadece DNS’de var olan trafik dağıtım sistemleri kavramı.”
Gerçekten de Savvy Seahorse yeni değil – en azından Ağustos 2021’den beri faaliyet gösteriyor – ve tamamen benzersiz de değil – diğer gruplar benzer DNS tabanlı trafik dağıtımı gerçekleştiriyor, ancak şu ana kadar hiçbiri güvenlik literatüründe tanımlanmadı. Peki bu strateji nasıl çalışıyor?
Bilgili Denizatı CNAME’i Nasıl Kötüye Kullanıyor?
Bu durumda her şey CNAME kayıtlarına bağlı.
DNS’de CNAME, birden fazla alan adının aynı temel (kanonik) alan adıyla eşlenmesine olanak tanır. Örneğin, “darkreading.com” temel etki alanı www.darkreading.com, darkreading.xyz, için CNAME kayıtlarına sahip olabilir. ve daha birçok alt alan adı. Bu temel işlev, meşru kuruluşların ve açıkça siber saldırganların sahip olduğu, normalde büyük, hantal ve değişken bir alan adı grubunun düzenlenmesine yardımcı olabilir.
Burton’ın açıkladığı gibi, “Bu CNAME kaydının Savvy Seahorse için özellikle yaptığı şey, operasyonlarını gerçekten hızlı bir şekilde ölçeklendirmelerine ve taşımalarına olanak sağlamasıdır. Yani her seferinde birisi kimlik avı sitelerinden birini kapattığında – ki bu oldukça sık oluyor, çok sayıda kişiye oluyor” onların tek yapması gereken yeni bir yere geçmek. Aynaları var [of the same content]aslında her yerde ve CNAME’i bu aynaların haritası olarak kullanıyorlar.”
Aynı şey IP’ler için de geçerlidir; herhangi biri Savvy Seahorse’un barındırma altyapısını kapatmaya çalışırsa, CNAME’lerini anında farklı bir adrese yönlendirebilirler. Bu, alt alan adlarından herhangi birinin ortalama beş ila on gün boyunca reklamını yaparak yalnızca dayanıklı olmasını değil, aynı zamanda kaçamak olmasını da sağlar (muhtemelen bunları açıp kapatmak onlar için çok kolay olduğundan).
CNAME ayrıca tehdit aktörünün başlangıçtan itibaren daha sağlam bir TDS geliştirmesine olanak sağlar.
CNAME Saldıranlar ve Savunanlar İçin Oyunu Nasıl Değiştiriyor?
Saldırganlar, tüm alan adlarını toplu olarak tek bir kayıt şirketi aracılığıyla kaydetme ve hepsini yönetmek için tek bir İnternet servis sağlayıcısı (ISP) kullanma eğilimindedir; böylece aynı anda çok fazla şeyle uğraşmak zorunda kalmazlar. Bunun dezavantajı (onlar için), siber savunucuların ortak kayıt meta verileri aracılığıyla tüm etki alanlarını keşfetmelerini kolaylaştırmasıdır.
Şimdi, 4.200 alanı barındırmak için en az 30 alan adı kayıt şirketi ve 21 İSS’den yararlanan Savvy Seahorse’u düşünün. Kaç tane kayıt şirketi, İSS veya alan adı kullandıkları önemli değil, sonuçta hepsi CNAME aracılığıyla tek bir temel alan adı ile ilişkilendirilir: b36cname[.]alan.
Ama burada da bir sorun var. Aşil’in topuğu. CNAME, hem Bilgili Denizatı’nın yol gösterici yıldızı, hem de onun tek başarısızlık noktasıdır.
Burton, “Yaklaşık 4.000 kötü alan adı var, ancak yalnızca bir tane kötü CNAME var” diye belirtiyor. O halde Bilgili Denizatı gibi bir gruba karşı savunma yapmak inanılmaz derecede zahmetli veya tamamen kolay bir yol gerektirebilir. “Tek yapmanız gereken tek temel etki alanını engellemek [which the CNAME points to] ve tehdit istihbaratı açısından bakıldığında her şeyi tek darbeyle öldürebiliyorsunuz.”
Burton, saldırganların çok sayıda CNAME kullanarak kötü amaçlı ağlar oluşturamayacağını söyleyen bir kural olmadığını, ancak “çoğunlukla bir araya geldiklerini söylüyor. En büyük sistemlerde bile, bunların çok daha küçük bir CNAME kümesi halinde toplandığını görüyoruz.”
“Neden?” “Belki de yakalanmadıkları için” diye soruyor.