CISA, NSA, FBI Sorunu Hızlı Akı Siber Güvenlik Danışmanlığı

   Nisan 7, 2025  Posted in ThecyberExpress


ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA), Federal Soruşturma Bürosu (FBI) ve uluslararası siber güvenlik ortakları, “Hızlı Flux: Ulusal Güvenlik Tehditi” başlıklı acil bir danışma yayınladı. Danışmanlık, siber suçlular ve potansiyel olarak ulus devlet aktörleri tarafından hızlı akı tekniklerinin artan kullanımını, tespit etmek ve kötü niyetli faaliyetler için son derece esnek ve gizli altyapı oluşturmak için kullanmayı vurgulamaktadır.

Hızlı akı, siber aktörler tarafından emir ve kontrol (C2) altyapılarını gizlemek için kullanılan bir gizleme mekanizmasıdır. Bu teknik, kötü amaçlı alanlarla bağlantılı IP adreslerinin hızla döndürülmesini içerir, bu da savunucuların saldırganın altyapısını izlemesini, engellemesini veya bozmasını son derece zorlaştırır. Etki alanı ve IP konfigürasyonlarını sürekli olarak değiştirerek, hızlı akı siber suçluların operasyonlarını güvenlik önlemlerinden gizlemelerini sağlar.

Hızlı akıHızlı akı
Tek Akı Tekniği (Kaynak: Cyber.gov.au)

CISA, NSA, FBI tarafından yayınlanan Ortak Danışma, Avustralya Sinyalleri Müdürlüğü Avustralya Siber Güvenlik Merkezi (ACSC), Kanada Siber Güvenlik Merkezi (CCC’ler) ve Yeni Zelanda Ulusal Siber Güvenlik Merkezi (NCSC-NZ), hızlı akışlı faaliyetlerin devam eden tehdidi uyarıyor. Siber güvenlik hizmet sağlayıcılarını (CSP’ler), özellikle koruyucu DNS (PDNS) hizmetlerini, bu kaçak teknikle ilişkili riskleri tespit etmek ve azaltmak için proaktif adımlar atmaya çağırıyor.

Hızlı akının arkasındaki kaçırma teknikleri

Hızlı akının temel amacı, engellenmesi veya izlenmesi neredeyse imkansız olan hareketli bir hedef yaratmaktır. Bu teknik, etki alanı adlarını IP adreslerine bağlayan DNS (etki alanı adı sistemi) kayıtlarının manipüle edilmesini içerir. Bu kayıtları sürekli olarak değiştirerek, kötü niyetli aktörler altyapılarının gerçek yerini gizleyerek yayından kaldırma veya kolluk kuvvetlerine daha dayanıklı hale getirebilir.

İki hızlı akı varyantı, siber suçlular tarafından yaygın olarak kullanılır:

  1. Tek akı: Bu, tek bir etki alanının birden fazla dönen IP adresiyle ilişkilendirilmesini içerir. Bir IP adresi engellendikçe, diğerleri yerini alabilir ve alan adının erişilebilirliğini koruyabilir. Bu, siber aktörlerin altyapının bir kısmı bozulsa bile kötü amaçlı hizmetlerini çalışır durumda tutmalarını sağlar.
  2. Çift akı: Daha gelişmiş bir varyant olan çift akı, yalnızca IP adreslerini değil, aynı zamanda etki alanını çözen DNS ad sunucularını da döndürmeyi içerir. Bu teknik, ekstra bir fazlalık ve anonimlik katmanı eklediği için kötü niyetli aktiviteyi tanımlama ve engelleme görevini daha da karmaşıklaştırır.

Her iki varyant da, kötü niyetli trafik için vekil veya röle puanı olarak hizmet vermek için tehlikeye atılan cihazlara – genellikle bir botnetin bir parçası – büyük ölçüde güvenir. Bu dağıtılmış ağ, savunucuların zararlı iletişimi izole etmesini ve engellemesini zorlaştırır.


Tarayıcınız video etiketini desteklemez.

Kurşun geçirmez hosting ve ulus devlet aktörlerinin rolü

Kurşun geçirmez barındırma (BPH) hizmetleri, hızlı akı ağlarının birincil kolaylaştırıcılarından biridir. Bu hizmetler, kötü niyetli siber aktörler için anonimlik sunan kolluk müdahalesine meydan okuyan barındırma çözümleri sağlamak için tasarlanmıştır. Bazı BPH sağlayıcıları, bir hizmet olarak hızlı akış sunacak kadar ileri gider ve müşterilerin kötü niyetli faaliyetlerini tespitten kolayca maskelemelerine olanak tanır.

Özellikle, hızlı akı, Hive ve Nefilim gibi kötü şöhretli grupların fidye yazılımı saldırıları ve Gamaredon gibi gelişmiş ısrarlı tehdit (APT) aktörleri de dahil olmak üzere çeşitli yüksek profilli siber suç aktivitelerine bağlanmıştır. Bu saldırılarda hızlı akının kullanılması, operasyonlarının esnekliğini önemli ölçüde artırır, bu da kolluk kuvvetlerinin ve siber güvenlik profesyonellerinin etkili bir şekilde yanıt vermesini zorlaştırır.

Kimlik avı ve siber suç pazarlarına yönelik tehdit

C2 iletişiminin korunmasındaki rolüne ek olarak, Fast Flux da kimlik avı kampanyaları için kritik bir araçtır. Alanları ve IP adreslerini hızla döndürerek, siber suçlular, bazı alanlar güvenlik sistemleri tarafından engellendiğinde bile kimlik avı web sitelerinin çevrimiçi kalmasını sağlayabilir. Bu taktik, kimlik avı saldırılarının daha geniş bir kitleye ulaşmasına ve etkilerini sürdürmesine izin vererek kuruluşların hasarı azaltmasını zorlaştırıyor.

Ayrıca, hızlı akı genellikle karanlık ağdaki yasadışı pazarları ve forumları desteklemek için kullanılır. Çalıntı veri satmaktan kötü amaçlı yazılım dağıtmaya kadar bir dizi yasadışı faaliyet barındıran bu platformlar, kullanılabilirliği korumak ve yetkililer tarafından kapatılmaktan kaçınmak için hızlı akışa güvenmektedir.

Hızlı akının tespiti ve hafifletilmesi

Hızlı akıyı tespit etmenin zorluğu, içerik dağıtım ağları (CDN’ler) gibi yüksek performanslı ağ ortamlarındaki meşru davranışları genellikle taklit etmesidir. Bu tehdide etkili bir şekilde mücadele etmek için CISA, NSA, FBI ve diğer ajanslar tespit ve hafifletme için çok katmanlı bir yaklaşım önermektedir.

Tespit teknikleri:

  • Anomali tespiti: DNS sorgu günlüğü analizi ve anomali algılama uygulanması hızlı akı aktivitesinin tanımlanmasına yardımcı olabilir. Bu, DNS kayıtlarında alışılmadık derecede yüksek entropi veya IP çeşitliliği, sık IP adresi rotasyonları ve düşük yaşam süresi (TTL) değerlerini aramayı içerir.
  • Coğrafi konum tutarsızlıkları: Hızlı akı alanları tipik olarak, kötü niyetli aktivitenin bir göstergesi olabilen birden fazla coğrafi durumdan büyük miktarlarda trafik üretir.
  • Tehdit İstihbarat Beslemeleri: Tehdit istihbarat platformlarından ve itibar hizmetlerinden yararlanmak, bilinen hızlı akı alanlarını ve ilişkili IP adreslerini tanımlamaya yardımcı olabilir.

Azaltma Stratejileri:

  • DNS ve IP Engelleme: Koruyamaz DNS yanıtları veya güvenlik duvarı kuralları yoluyla bilinen kötü niyetli hızlı akı alanlarına erişimin engellenmesi, tehdidi azaltmaya yardımcı olabilir. Datholing – Analiz için kontrollü bir sunucuya kötü niyetli trafiği yeniden yönlendirmek – aynı zamanda tehlikeye atılan ana bilgisayarların belirlenmesine yardımcı olabilir.
  • İtibar Filtreleme: Alanlardan veya IP’lerden trafiğin, özellikle hızlı akışla ilişkili olanlar, kötü itibarlarla engellenmesi, kötü niyetli iletişimin önlenmesine yardımcı olabilir.
  • İşbirlikçi Savunma: Güvenilir ortaklar ve tehdit istihbarat toplulukları arasında hızlı akı göstergelerini paylaşmak – alan adları ve IP adresleri gibi – toplu savunma çabalarını geliştirir.

Hızlı akı, kötü niyetli aktörlerin algılamadan kaçınmasını sağlayan bir siber güvenlik zorluğu olmaya devam ediyor. CISA, NSA ve FBI organizasyonları, siber güvenlik sağlayıcılarıyla, özellikle de koruyucu DNS hizmetleri sunanlarla çalışmaya çağırıyor ve zamanında tespit ve azaltma stratejileri uygulamak, bu siber tehditle ilişkili riskleri azaltıyor.

Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber ​​Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.



Source link