Siber suçlular, kimlik avı ve dolandırıcılık saldırıları başlatmak için sahte alan adları kaydederek küresel spor şampiyonaları gibi yüksek profilli etkinliklerden yararlanıyor.
Araştırmacılar, özellikle yeni kaydedilen alanlarda etkinliğe özel terimler veya ifadeler kullanıldığında şüpheli alan adı kayıt kampanyalarını ortaya çıkarıyor.
Olayla ilgili kötüye kullanım, alan adı kayıtları, DNS trafiği, URL trafiği, en aktif alanlar, karar değişikliği talepleri ve alan adı metin kalıpları gibi kalıplara odaklanır.
Ürün lansmanları ve spor şampiyonaları gibi yüksek profilli küresel etkinlikler, halkın heyecanından yararlanmak isteyen siber suçluların ilgisini çekiyor.
“Bu suçlular, sahte ürünler satmak ve sahte hizmetler sunmak için resmi web sitelerini taklit eden aldatıcı alan adları kaydediyor. Palo Alto Networks’ün Cyber Security News ile paylaştığı rapora göre, bu siteler etkinlikle ilgili bilgi veya kaynak arayan milyonlarca kişiye ulaşabilir.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Hackerlar Küresel Spor Şampiyonalarına Saldırıyor
Tehdit aktörleri yüksek profilli olaylardan yararlanırken sıklıkla belirli metriklerde uyarı göstergeleri bırakırlar.
Savunmacılar aşağıdaki alanlardaki olağandışı davranışlara karşı dikkatli olmalıdır:
Kötü niyetli aktörlerin istismar edilecek popüler konuları seçerken attığı ilk adımlardan biri, alan adlarını uygun anahtar kelimelerle kaydetmektir.
Bu nedenle, olayla ilgili belirli siber tehditleri derinlemesine incelemek için, olaya özgü anahtar kelimeler içeren geçmiş yeni kayıtlı alanları (NRD’ler) inceleyin.
Raporlara göre, bölge dosyaları, WHOIS veritabanları ve pasif DNS gibi kaynaklar aracılığıyla her gün 200.000’den fazla yeni kayıtlı alan adı (NRD) bulunuyor.
Bu alanlardaki anahtar kelimeleri, yapıyı ve hatta üst düzey alan adı (TLD) göstergelerini incelemek, kötü niyetli niyete işaret eden ortak özellikleri ortaya çıkarabilir.
Belirli bir anahtar kelimeyi içeren alan adlarının sayısını ve şüpheli alan adlarının oranını göstermek için yakın zamanda kaydedilen bu alan adlarının metin kalıplarına dalın.
DNS trafiğindeki eğilimler, kullanıcıların çevrimiçi ortamda nasıl davrandığı ve bilgisayar korsanlarının kullandığı taktikler hakkında önemli bilgileri ortaya çıkarabilir. Belirli alan adlarına yönelik sorgulardaki ani artışlar gibi DNS trafiğindeki anormallikler, C2 iletişimleri gibi olağandışı etkinliklerin göstergesi olabilir.
2024 Olimpiyat Oyunları sırasında sahte DNS trafiği yüzdesinin %10 ile %15 arasında değiştiğini belirtmekte fayda var.
26 Temmuz’daki açılış töreni ve 20 Nisan’daki 100 günlük geri sayım gibi önemli olaylar sırasında kötü amaçlı DNS aktivitesinde ani artışlar yaşandı.
URL trafiği, olayla ilgili NRD’leri analiz etmek için kullanılabilir. Bu, hem şüpheli hem de genel NRD’ler için şüpheli trafik oranını, güncel olaylar sırasındaki kayda değer artışları ve URL trafiği eğilimlerini gösterir.
Bu model, özellikle kimlik avı web sitelerine yapılan ziyaretlerde saldırganların etkinlik konularından yararlanmak için kullandıkları taktikleri ortaya çıkarabilir.
DNS veya URL trafiğinde dikkate değer bulgulara rastlanması durumunda, belirli bir dönemde en çok ziyaret edilen ilk on alanın kalıpları incelenebilir.
Bu araştırma, ziyaretçilerin ilgisindeki değişiklikleri vurgulayabilir veya yeni alan adları popülerlik kazandıkça artan sorunları tespit edebilir.
Değişiklik isteği eğilimleri, ağ etki alanlarının yeniden sınıflandırılmasına yönelik isteklerin sıklığı ve miktarıdır. Bu istekler hem yanlış negatif hem de yanlış pozitif değişiklikleri içerir. Beklenmedik olaylar ve diğer ani olaylar, değişiklik taleplerinde hızlı bir artışa neden olabilir.
Araştırmacılar, “Güvenlik ekipleri, etki alanı kayıtları, metin kalıpları, DNS anormallikleri ve değişiklik isteği eğilimleri gibi temel ölçümleri izleyerek tehditleri erken tespit edip hafifletebilir” dedi.
Bu kalıpların etkin bir şekilde incelenmesi, işletmelerin fırsatçı dolandırıcılıkları önlemesine ve kötü amaçlı etki alanlarını engellemesine yardımcı olan yararlı bilgiler sağlar.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses