Bilgisayar Korsanları Gizli İletişim İçin DNS Tünelini Kötüye Kullanıyor

   Mayıs 14, 2024  Posted in GBHackers


Bilgisayar korsanları, sinsi bir plan olarak geleneksel güvenlik önlemlerini atlamak için DNS tünelini kullanır.

Kötü amaçlı verileri DNS sorguları ve yanıtlarının içine sararak hassas bilgileri dışarı çıkarabilir veya yakalanmadan komuta ve kontrol sunucularıyla konuşabilirler.

DNS tüneli, bilgisayar korsanlarının, trafiğin görünürde meşru göründüğü ancak aslında öyle olmadığı gizli veri sızıntısı kanalları olarak DNS protokollerini kullanması için bir yol sağlar.

Bunun yanı sıra, güvenlik sistemlerinin kötü niyetli trafiğin mevcut olup olmadığına ilişkin kapsamlı araştırmalar yapmasını zorlaştıran şifreleme yeteneklerini de içerir.

Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın

Palo Alto Networks’teki siber güvenlik araştırmacıları yakın zamanda bilgisayar korsanlarının izleme ve tarama için “DNS Tüneli”nden aktif olarak yararlandığını keşfetti.

Bilgisayar Korsanları DNS Tünelini Kötüye Kullanıyor

DNS tünellemesi genellikle gizli C2 iletişimleri için kullanılsa da, siber güvenlik analistleri yakın zamanda bunun ağ taraması ve e-posta dağıtımını veya CDN kullanımını izlemek için kullanıldığı kampanyaları tespit etti.

Tehdit aktörleri, tarama için kurbanın altyapısını haritalandırmak amacıyla DNS sorgularını tünelliyor. İzleme için kötü amaçlı e-postalar ve CDN’lerle ilgili DNS etkileşimlerini izlerler.

DNS isteklerine ve yanıtlarına veri eklemek, güvenliği ihlal edilmiş ana bilgisayarların güvenlik duvarları aracılığıyla saldırganın kontrolündeki ad sunucularıyla iletişim kurmasına olanak tanır.

DNS tünellemeyle veri sızması ve sızma (Kaynak – Palo Alto Networks)

DNS tüneli aşağıdaki üç faktörden dolayı gizlidir: –

  • Güvenlik duvarları DNS trafiğine izin verir
  • İstemci ile sunucu arasında iletişim dolaylıdır
  • Veri kodlama, yüklerin yasal trafik olduğunu gizler

Meşru kullanımların yanı sıra kötü niyetli komut ve kontrole de olanak sağlar. Saldırganlar çeşitli DNS kayıt türlerinden yararlanır.

Geleneksel komuta ve kontrolün yanı sıra, DNS tünellemesi aynı zamanda kurbanların faaliyetlerini izlemeyi ve ağ altyapısını taramayı da kolaylaştırır.

“TrkCdn” kampanyası, 75 ad sunucusu IP’sine çözümlenen 658 saldırgan kontrollü alan adı kullanarak kurban verilerini benzersiz alt alan adlarında kodlayarak e-posta etkileşimlerini izliyor.

TrkCdn kampanyası, kurbanların saldırgan tarafından kontrol edilen e-posta içeriğiyle etkileşimlerini izlemek için DNS tünellemeyi kullanıyor. E-posta adreslerini aşağıdaki gibi benzersiz alt alan adlarında MD5 karmaları olarak kodlar: –

Bu alt alan adlarının sorgulanması, kurbanların e-postaları açtığında veya bağlantıları tıkladığında takip edilmesine olanak tanıyarak kampanya izlemeyi mümkün kılar.

Alan adları, bir yıla yayılan kuluçka, aktif dağıtım, izleme ve kullanımdan kaldırma aşamalarını içeren bir yaşam döngüsünü takip eder.

Saldırganlar belirli barındırma sağlayıcılarının IP aralıklarını kullandı. Başka bir kampanya olan “SpamTracker” da benzer şekilde spam dağıtımını izliyor.

“SecShow” kampanyası, açık çözümleyicileri tespit etmek, gecikmeleri test etmek, güvenlik açıklarından yararlanmak ve genellikle saldırıların öncüsü olan TTL bilgilerini elde etmek için hedef IP adreslerini ve alt alanlardaki zaman damgalarını kodlayarak ağ taraması için DNS tünellemesinden yararlanır.

Azaltmalar

Aşağıda tüm azaltımlardan bahsettik: –

  • Çözümleyici erişimini gerekli dahili ağlara veya güvenilir IP aralıklarına sınırlayın.
  • Çözümleyicileri yalnızca meşru sorgulara yanıt verecek şekilde yapılandırın.
  • Erişim kontrol listelerini (ACL’ler) uygulayın.
  • Çözümleyici yazılım satıcıları tarafından yayınlanan güncellemelere karşı dikkatli olun ve yamaları hemen uygulayın.
  • Çözümleyici yazılımın zamanında yamalanmasını sağlamak için otomatik güncelleme mekanizmalarını uygulayın.
  • Çözümleyici yazılımını etkileyen N günlük güvenlik açıkları hakkında bilgi sahibi olun ve düzeltme eklerini buna göre önceliklendirin.

IoC’ler

DNS Tüneli İçin Kullanılan Alan Adları

  • 85hsyad6i2ngzp[.]iletişim
  • 8egub9e7s6cz7n[.]iletişim
  • 8jtuazcr548ajj[.]iletişim
  • anrad9i7fb2twm[.]iletişim
  • aucxjd8rrzh7xf[.]iletişim
  • b5ba24k6xhxn7b[.]iletişim
  • cgb488dixfxjw7[.]iletişim
  • d6zeh4und3yjt9[.]iletişim
  • epyujbhfhbs35j[.]iletişim
  • hhmk9ixaw9p3ec[.]iletişim
  • hjmpfsamfkj5m5[.]iletişim
  • 8xredu2 kullanıyorum[.]iletişim
  • npknraafbisrs7[.]iletişim
  • pacyfswg33nh[.]iletişim
  • rhctiz9xijd4yc[.]iletişim
  • sn9jxsrp23x63a[.]iletişim
  • swh9cpz2xntuge[.]iletişim
  • tp7djzjtcs6gm6[.]iletişim
  • uxjxfg2ui8k5zk[.]iletişim
  • wzbhk2ccghtshr[.]iletişim
  • y43dkbzwar7cdt[.]iletişim
  • ydxpwzhidexgny[.]iletişim
  • z54zspih9h5588[.]iletişim
  • 3yfr6hh9dd3[.]iletişim
  • 4bs6hkaysxa[.]iletişim
  • 66tye9kcnxi[.]iletişim
  • 8kk68biiitj[.]iletişim
  • 93dhmp7ipsp[.]iletişim
  • api536yepwj[.]iletişim
  • bb62sbtk3yi[.]iletişim
  • cytceitft8g[.]iletişim
  • dipgprjp8uu[.]iletişim
  • ege6wf76eyp[.]iletişim
  • f6kf5inmfmj[.]iletişim
  • f6ywh2ud89u[.]iletişim
  • h82c3stb3k5[.]iletişim
  • hwa85y4icf5[.]iletişim
  • ifjh5asi25f[.]iletişim
  • m9y6dte7b9i[.]iletişim
  • n98erejcf9t[.]iletişim
  • rz53par3ux2[.]iletişim
  • szd4hw4xdaj[.]iletişim
  • wj9ii6rx7yd[.]iletişim
  • wk7ckgiuc6i[.]iletişim
  • secshow[.]açık
  • secshow[.]çevrimiçi
  • saniyeler[.]alan

İlişkili IP Adresleri

  • 35.75.233[.]210
  • 202.112.47[.]45

On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free



Source link