Dünya çapında siber güvenlik ajansları, kötü niyetli aktörler tarafından emir ve kontrol (C2) sunucularının yerlerinden kaçınmak ve gizlemek için kullanılan sofistike bir teknik olan “Fast Flux” tarafından ortaya çıkan artan tehdide karşı ortak bir danışma uyarısı yayınladı.
Ulusal Güvenlik Ajansı (NSA), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) gibi kuruluşlar ve Avustralya, Kanada ve Yeni Zelanda’daki meslektaşları tarafından yayınlanan danışmanlık, hızlı akışı hemen dikkat gerektiren ağ savunmalarında kritik bir boşluk olarak vurgulamaktadır.
Hızlı akı, tek bir etki alanıyla ilişkili IP adresleri de dahil olmak üzere Alan Adı Sistemi (DNS) kayıtlarının hızlı dönüşü ile karakterizedir.
Bu dinamik çözünürlük tekniği, siber suçluların fidye yazılımı saldırıları, kimlik avı kampanyaları ve botnet yönetimi gibi kötü amaçlı operasyonlar için esnek altyapı sürdürmesini sağlar.
Hızlı akıdan yararlanarak, saldırganlar IP engelleme mekanizmalarını etkili bir şekilde atlayabilir, faaliyetlerini izleme veya ağlarını bozma çabalarını karmaşıklaştırabilir.
Tek ve çift akı varyantları
Hızlı akı tekniği iki birincil varyantta kendini gösterir:
- Tek akı: Bu yaklaşımda, tek bir etki alanı adı, DNS yanıtlarında sıklıkla döndürülen birden çok IP adresiyle bağlantılıdır. Bu, tek tek IP adresleri engellenmiş veya kaldırılmış olsa bile, etki alanına kesintisiz erişim sağlar.
- Çift akı: Tek akı üzerine bina olan bu varyant, etki alanının çözülmesinden sorumlu DNS ad sunucularında sık sık değişiklikleri de içerir. Bu ek fazlalık katmanı, kötü niyetli alanları daha da anonimleştirerek izlemeyi zorlaştırır.
Her iki teknik de büyük ölçüde İnternet genelinde uzlaşmış cihazlardan oluşan botnetlere dayanmaktadır.
Rapora göre, bu botnetler vekil veya röle puanları olarak hareket ederek savunucuların kötü niyetli trafiği tanımlamasını veya altyapının yayından kaldırılmalarını zorlaştırıyor.
Kötü niyetli aktörler için temel avantajlar
Fast Flux, siber suçlulara çeşitli stratejik avantajlar sunar:
- Esneklik: Botnet cihazlarının hızlı rotasyonu, kolluk kuvvetlerine veya istismar bildirimlerine rağmen operasyonların sürekliliğini sağlar.
- Anonimlik: Müfettişler, sürekli değişen IP adresleri nedeniyle kötü niyetli içeriğin kökenine kadar uzanmasında önemli zorluklarla karşı karşıyadır.
- IP engellemenin etkisizliği: Hızlı akışın dinamik doğası, geleneksel IP engelleme tekniklerini eskimiş hale getirir.
Bu teknik, Hive ve Nefilim gibi fidye yazılımı kampanyalarında ve Gamaredon gibi gelişmiş kalıcı tehdit gruplarının operasyonlarında gözlenmiştir.
C2 iletişimini sürdürmenin ötesinde, Fast Flux, kimlik avı kampanyalarında ve siber suçlu pazarlarda çok önemli bir rol oynar.
Hızlı akıdan yararlanan kimlik avı web siteleri, yayından kaldırma çabalarına rağmen operasyonel olarak kalır ve saldırganların hassas bilgileri çalmasını veya kötü amaçlı yazılımları verimli bir şekilde dağıtmasını sağlar.
Bazı kurşun geçirmez barındırma (BPH) sağlayıcıları, Spamhaus blok listelerinden kaçınmanın ve kötü amaçlı faaliyetlerin güvenilirliğini artırmanın bir yolu olarak karanlık web forumlarında hızlı akı hizmetlerinin reklamını yapar.
Hızlı akı aktivitesinin tespit edilmesi, içerik dağıtım ağları (CDN’ler) gibi meşru dinamik barındırma uygulamalarına benzerliği nedeniyle devam eden bir zorluk olmaya devam etmektedir.
Ancak, siber güvenlik ajansları çeşitli önlemler önerir:
- DNS Analizi: Yüksek entropi veya sık IP adres rotasyonları sergileyen alan adları için DNS sorgu günlüklerini izleyin.
- Yaşam süresi (TTL) analizi: Hızlı akı davranışını gösteren alışılmadık derecede düşük TTL değerlerine sahip alanları tanımlayın.
- Coğrafi konum tutarsızlıkları: Şüpheli alanlara bağlı tutarsız coğrafi konum verileri için DNS çözünürlüğünü analiz edin.
- Tehdit İstihbarat Entegrasyonu: Bilinen hızlı akı alanlarını tanımlamak için beslemeler ve itibar hizmetlerinden yararlanın.
Azaltma stratejileri DNS ve IP engelleme, kötü niyetli alanlar, itici filtreleme, gelişmiş izleme ve işbirlikçi savunma arasında bilgi paylaşım girişimleri yoluyla.
Hızlı akı özellikli tehditleri tespit etmek ve engellemek için koruyucu DNS hizmetleri de önerilir.
Hızlı akı, ağ güvenliği için kalıcı bir zorluğu temsil eder ve saldırganların kötü niyetli işlemler için sağlam altyapıyı korurken algılamadan kaçınmasını sağlar.
Siber güvenlik ajansları, kuruluşları DNS analizi, ağ izleme ve tehdit istihbaratını birleştiren çok katmanlı savunma stratejileri benimsemeye çağırıyor.
Bu tehdide proaktif olarak ele alarak, paydaşlar savunmalarını hızlı akı özellikli saldırılara karşı önemli ölçüde destekleyebilirler.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!