Siber güvenlik uzmanlarının yeni araştırmasına göre, siber suçlular kurumsal güvenlik önlemlerini atlamak ve hassas verileri çalmak için alan adı sisteminden (DNS) giderek daha fazla yararlanıyor.
DNS tüneli olarak bilinen bu sofistike teknik, internetin temel “telefon defterini” kötü niyetli faaliyetler için gizli bir iletişim kanalına dönüştürür.
DNS tünelleme, DNS sorguları ve yanıtları içindeki verilerin kodlanmasını ve saldırganlar ve tehlikeye atılan sistemler arasında görünmez bir yol oluşturmayı içerir.
DNS trafiği rutin olarak minimum muayene ile kurumsal güvenlik duvarlarından geçtiğinden, bu yöntem siber suçluların Infoblox tarafından yapılan bir rapora göre büyük ölçüde tespit edilmediğinde komut ve kontrol (C2) işlemleri ve veri açığa çıkmasına izin verir.
Saldırı süreci, tehdit aktörleri bir alan adının yetkili ad sunucusunun kontrolünü ele geçirdiğinde başlar.
Mağdur sistemlerine yüklenen kötü amaçlı yazılım, daha sonra kontrollü alan adının periyodik aramalarını gerçekleştirir ve DNS yanıtları aracılığıyla kodlanmış talimatlar alır.
Bu iletişimler, dizin listelerinden dosya silme işlemlerine kadar çeşitli kötü niyetli işlemleri tetikleyebilir ve hepsi meşru DNS trafiği olarak görünür.
Siber güvenlik araştırmacıları, “Kötü amaçlı yazılım DNS sistemini kullanıyor, bu nedenle kötü amaçlı istemci ile C2 sunucusu arasında doğrudan trafik yok” dedi.
Bunun yerine, iletişim kurbanın özyinelemeli isim sunucusundan akar, bu da genellikle internet bağlantısına izin veren izinli kurallara sahiptir.
Saldırganlar, bir kayıt (IPv4 adresleri), AAAA kayıtları (IPv6 adresleri), TXT kayıtları (serbest form metin) ve CNAME kayıtları (kanonik alan adları) dahil olmak üzere çeşitli DNS kayıt türlerini kullanabilir.
Örneğin, bir alt alan sorgusu “Kullanıcı Adı: Andy: Andy, Parola: 123xyzabc” gibi kodlanmış kimlik bilgileri içerebilirken, sunucunun TXT kaydı yanıtı kötü amaçlı yazılımdan “sudo rm /etc /shadow” gibi tehlikeli komutları yürütmesini talimat verebilir.
Tehdit aktörleri tarafından sıklıkla kötüye kullanılan bu popüler penetrasyon test aracı, özelleştirilebilir öneklerle altıgen kodlu sorgular kullanır ve TXT kayıtları aracılığıyla C2 işlemleri yaparken bir kayıt kullanarak işaretleme gerçekleştirir.
Diğer önemli DNS tünel aileleri, şifreli DNS tünelleri oluşturmak için hafif bir araç olan DNSCAT2; Konsept kanıtı verileri gösteren DNS exfiltrator; ve Platformlar arası bir C2 çerçevesi olan Sliver.
İyot, Pupy ve Weasel gibi ek araçlar her biri benzersiz imzalar ve iletişim kalıpları kullanır.
Kuruluşlar, olağandışı alt alan desenlerinin izlenmesi, sorgu sıklığının analiz edilmesi ve özel tehdit algılama sistemlerinin dağıtılması da dahil olmak üzere gelişmiş DNS güvenlik önlemleri uygulamaktadır.
Zorluk, aşırı agresif engelleme meşru DNS operasyonlarını bozabileceğinden, güvenliği işlevsellikle dengelemektir.
DNS tünelinin artan prevalansı, siber suçlular kötü niyetli amaçlar için giderek daha fazla temel internet altyapısını kullandıkları için, sadece belirgin saldırı vektörlerini değil, tüm ağ protokollerini güvence altına almanın kritik öneminin altını çizmektedir.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now