Siber güvenlik araştırmacıları, kötü niyetli aktörler, sağlam komut ve kontrol altyapısı oluşturmak için dinamik DNS sağlayıcılarını giderek daha fazla kullandıkça büyüyen bir tehdit vektörü hakkında alarmlar veriyorlar.
Geleneksel olarak meşru barındırma amaçları için tasarlanan bu kamuoyu kiralanabilir alt alan hizmetleri, geleneksel güvenlik önlemlerini ve düzenleyici gözetimini atlatmak isteyen tehdit aktörleri için tercih edilen platform haline gelmiştir.
Bu hizmetlerden yararlanan saldırıların artan karmaşıklığı, siber suçlu altyapı gelişiminde önemli bir evrimi temsil eder ve kurumsal güvenlik için geniş kapsamlı etkilerdir.
Dinamik DNS sağlayıcılarının çekiciliği, asgari kayıt gereksinimlerinden ve zayıf uygulama mekanizmalarından kaynaklanmaktadır.
Sıkı ICANN ve IANA düzenlemelerine bağlı geleneksel etki alanı kayıt şirketlerinin aksine, bu sağlayıcılar önemli ölçüde daha az gözetim ile çalışır ve siber suçluların kapsamlı kimlik doğrulaması olmadan barındırma altyapısı oluşturmasına izin verir.
Bu düzenleyici boşluk, tehdit aktörlerinin, asgari düzeyde yayılma riski ile kötü niyetli altyapıyı hızla dağıtabileceği ve sürdürebileceği bir ortam yarattı.
Son analizler, tehdit aktörlerinin alt alan kiralama hizmetleri sunan yaklaşık 70.000 alandan yararlandığını ortaya koymaktadır.
Bu platformlar, saldırganların yerleşik ana alanların algılanan meşruiyetinden yararlanırken alt alanları kaydetmelerini ve kötü niyetli içeriğe ev sahipliği yapmalarını sağlar.
DNS kayıtları genellikle servis sağlayıcı tarafından otomatik olarak yönetilir ve altyapı yönetimine doğrudan katılımlarını gizleyerek saldırganlar için ek bir operasyonel güvenlik katmanı oluşturur.
.webp)
Sessiz Push analistleri, belgelenmiş kampanyalarda dinamik DNS alanlarını yoğun bir şekilde kullanan APT28 (Fancy Bear) dahil olmak üzere bu hizmetleri kullanan çok sayıda yüksek profilli tehdit grubunu belirledi.
Araştırma, APT29 gibi devlet destekli grupların, bu hizmetlerin kalıcı THR Eat aktörleri için sağladığı stratejik değeri gösteren QuietExit komutları ve kontrol iletişimleri için sadece dinamik DNS alanları kullandığını ortaya koymaktadır.
APT10 ve APT33 dahil olmak üzere Çin APT grupları, benzer şekilde dinamik DNS altyapısını operasyonel oyun kitaplarına dahil ederek, bu tekniğin çeşitli tehdit manzaralarında küresel olarak benimsenmesini vurguladı.
Komuta ve Kontrol Altyapı Kötüye Kullanımı
Dinamik DNS sağlayıcılarının komuta ve kontrol iletişimi için sömürülmesi, bu altyapı kötüye kullanımının en ilgili uygulamalarından birini temsil etmektedir.
Tehdit aktörleri, yayından kaldırma çabalarına karşı operasyonel esnekliği ve esnekliği korurken, tehlikeye atılan sistemlerle kalıcı iletişim kanalları oluşturmak için bu hizmetlerden yararlanır.
Bu hizmetlerin birden fazla sağlayıcıda dağıtılmış doğası, geleneksel güvenlik kontrollerinin kapsamlı bir şekilde izlemek ve engellemek için mücadele ettiği karmaşık bir altyapı ağı oluşturur.
Dinamik DNS istismarının teknik mimarisi, birden fazla gizlilik ve fazlalık katmanını içerir.
Saldırganlar genellikle aktif komut ve kontrol düğümleri arasında dinamik olarak geçiş yapabilen etki alanı oluşturma algoritmaları uygulayarak farklı sağlayıcılara birden fazla alt alan kaydeder.
Bu yaklaşım, bireysel alanlar güvenlik ekipleri tarafından tanımlanıp engellendiğinde bile operasyonların sürekliliğini sağlar.
Bu hizmetler tarafından sağlanan otomatik DNS kayıt yönetimi, saldırganların DNS altyapısı üzerinde doğrudan kontrolü sürdürme ihtiyacını ortadan kaldırarak operasyonel ayak izlerini ve algılama risklerini daha da azaltır.
Kötü niyetli kampanyaların analizi, tehdit aktörlerinin düzinelerce alt alandan önce kaydedildiği ve zamana dayalı aktivasyon programlarını uyguladığı sofistike rotasyon tekniklerini ortaya koymaktadır.
Bu metodoloji, saldırganların tam altyapılarının maruz kalmasını en aza indirirken uzun vadeli kalıcılığı korumalarını sağlar.
Bu hizmetlerin düşük maliyeti ve minimum doğrulama gereksinimleri, tehdit aktörlerinin ölçekte kapsamlı yedekleme altyapısı oluşturmalarını sağlar ve kapsamlı bir azaltma çalıştıran savunma ekipleri için önemli zorluklar yaratır.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
