DNS tünelleme, DNS protokolünden yararlanarak bilgileri gizleyen bir bilgisayar korsanlığı tekniğidir. Bu saldırı, tehdit aktörlerinin güvenlik duvarlarından ve güvenlik önlemlerinden kaçmasına olanak tanır.
Bilgisayar korsanları genellikle DNS sorgularında ve yanıtlarında kodlanmış bilgileri alır. Bu onların “hassas bilgileri sızdırmalarına” ve güvenliği ihlal edilmiş sistemler üzerinde “Kontrol ve Kontrol” işlemlerini sürdürmelerine olanak tanır.
Palo Alto Networks’ün 42. Birimi yakın zamanda bilgisayar korsanlarının ağ güvenlik duvarlarını atlatmak için DNS tünelleme hizmetlerinden aktif olarak yararlandığını keşfetti.
DNS Tüneli Yoluyla Ağ Güvenlik Duvarını Atlatma
DNS tünelleme, insan tarafından okunabilen alan adlarını makine tarafından okunabilen IP adreslerine dönüştürür (“192.168.1.1” gibi).
Bu saldırı, DNS iletişimleri için kurumsal güvenlik duvarlarında genellikle açık bırakılan ve izlenmeyen bağlantı noktası 53’ü (hem “UDP” hem de “TCP”) hedef alır.
Bu saldırı yönteminde, tehdit aktörleri “öncelikle bir istemci sistemine kötü amaçlı yazılım bulaştırır”, ardından “çalınan verileri alt alan sorguları içinde kodlar” (‘stolen-data.attacker-domain gibi)[.]com’).
Analyse Any Suspicious Links Using ANY.RUN’s New Safe Browsing Tool: Try for Free
Daha sonra bunu “DNS istekleri” aracılığıyla kontrol ettikleri yetkili ‘DNS’ (aDNS) sunucularına iletin.
Saldırı, arabulucu olarak “yinelenen DNS sunucularını” kullanarak gizliliğe ulaşıyor ve bu da kötü amaçlı trafiğin “meşru DNS sorguları” olarak görünmesini sağlıyor.
Tehdit aktörleri, DNS yanıtlarındaki talimatları kodlayarak virüslü sistemlere komutlar da gönderebilir. Bu, gizli bir “C2” kanalının oluşturulmasına yardımcı olur.
Bu teknik özellikle kritik altyapılara karşı “Evasive Serpens” (aka ‘OilRig’) ve “Obscure Serpens” (namı diğer ‘DarkHydrus’) gibi tehdit grupları tarafından kullanılıyor.
Saldırı altyapılarını korumak için belirli özellikleri kullanırlar: –
- Tutarlı DNS yapılandırmaları
- Yük kodlama modelleri
- Alan adı kayıt özellikleri
Bunun yanı sıra siber güvenlik analistleri 4 kötü amaçlı kampanya keşfettiler ve bunlar “FinHealthXDS”, “RusSite”, “8NS” ve “NSfinder”.
“FinHealthXDS” kampanyası, Cobalt Strike C2 iletişimleri için özelleştirilmiş bir DNS işaretleme formatı kullanarak finans ve sağlık sektörlerini hedefliyor.
Komut isteklerini belirtmek için ‘DNS sorgularında’ “xds” gibi benzersiz üç harfli önekleri kullanır.
Kampanya “40.112.72” gibi IP’lere çözümleniyor[. ]205” ve komutları yorumlamak için ‘IP’nin son baytındaki ‘XOR hesaplamalarını’ kullanır.
Veri aktarımı “A kayıtları” (“pro” öneki) veya “TXT kayıtları” (“snd” öneki) aracılığıyla gerçekleştirilir. Sızma için “txt” (‘kısa mesajlar’) ve “del” (‘uzun mesajlar’) önekleri kullanılır.
“RusSite” tünelleme kampanyası, “IP 185.161.248” ad sunucusunu paylaşan “100’den fazla alanı” içeriyor[. ]Rusya’dan 253”. Çoğu alan adı “TLD.site”yi, birkaçı da “.website”i kullanır.
Burada kampanyanın alt alanları “5 karakterlik alfasayısal yük” ve “1-2 harf dolgusundan” oluşuyor. Palo Alto raporuna göre ‘A’ kayıtları dünya çapında dağıtılıyor ancak tünel açmak için geçerli bir “aDNS” IP’si gerekiyor.
“8NS” tünel kampanyası, “aynı DNS yapılandırmalarına” ve “aDNS sunucu IP’si 35.205.61”e sahip “6 alan”ı içeriyor[. ]67.”
Her alan adında 8 “NS kaydı” bulunur ve bunların hepsi aynı A kaydını işaret eder. “NSfinder” kampanyası, her birinin sonunda “finder” bulunan üç kelime kullanılarak adlandırılan “50’den fazla alanı” hedefliyor.
Kurbanları yetişkinlere yönelik web siteleri aracılığıyla ‘kredi kartı bilgilerini çalmaya’ teşvik ediyor ve “IcedID” ve “RedLine” hırsızı gibi Truva atlarıyla bağlantılı.
DNS tünelleme kampanyaları, “altyapı kurulumu”, “DNS yapılandırmaları”, “yük kodlama yöntemleri”, “etki alanı kayıt modelleri” ve “hedef seçimi” gibi farklı “tanımlayıcı nitelikleri” paylaşır.
Tüm bu unsurlar onu siber güvenlik alanında önemli bir tehdit haline getiriyor.
IoC’ler
Alanlar
- avtomati-bcg[.]çevrimiçi
- kod eklentisi[.]açık
- dreyzek[.]iletişim
- dtodcart[.]alan
- foxxbank[.]iletişim
- sağlık incelemesi[.]iletişim
- suluplaymatesfinder[.]iletişim
- lifemedicalplus[.]açık
- bağlantı çapında[.]alan
- şehvetli ortaklar bulucu[.]iletişim
- mouvobo[.]alan
- mponiem[.]alan
- ns2000wip[.]iletişim
- piquantchicksfinder[.]iletişim
- pretoria[.]alan
- sosa[.]cz
- Çorba ve kişisel bakım[].com
- sınırsız ortak bulucu[.]iletişim
- nefisflingsfinder[.]iletişim
- yummyloversfinder[.]iletişim
- zzczloh[.]alan
IP Adresleri
- 88.119.169[.]205
- 185.161.248[.]253
- 185.176.220[.]80
- 185.176.220[.]212
Örnekler
- 0b99db286f3708fedf7e2bb8f24df1af13811fe46b017b6c3e7e002852479430
- c22d25107e48962b162c935a712240c0a4486b38891855f0e53d5eb972406782
- c3a29c2457f33e54298a1c72a967aa161a96b0ae62ffbefe9e5e1c2057d7f3f4
- dfb3e5f557a17c8cdebdb5b371cf38c5a7ab491b2aeaad6b4e76459a05b44f28
Strategies to Protect Websites & APIs from Malware Attack => Free Webinar