Guardio Labs'taki araştırmacılar, bir grup spam göndericinin kötü niyetli e-postalar göndermek için MSN, eBay, CBS ve Marvel gibi köklü markaların uzun süredir unutulmuş alt alan adlarını kullandığını keşfetti. E-postalar spam kontrollerini atlayabilir ve alıcılara meşru bir kaynaktan gelmiş gibi görünebilir.
Alt alan adı, alan adının adlandırılmış bir alt bölümüdür. Örneğin my.malwarebytes.com Ve www.malwarebytes.com her ikisi de alt alan adlarıdır malwarebytes.com ihtisas.
Şirketler alt alan adlarını, pazarlama kampanyalarını farklılaştırmaktan farklı çevrimiçi sistemleri adlandırmaya kadar her türlü amaç için kullanır.
Şirketlerin, bir alt alan adını başka bir alan adına veya alt alan adına takma ad veren CNAME (Kanonik Ad) DNS kayıtları oluşturması da yaygın bir uygulamadır.
Örneğin, alt alan adı my.malwarebytes.com CloudFront sunucusu için okunması kolay bir takma addır. d1ok04i2z9vvoy.cloudfront.net.
Şirketler bu teknikleri kullandıklarında ve işleri bittikten sonra kayıtlarını temizlemediğinde suçlular bundan faydalanabilir.
Araştırmacılar şu örneği veriyor: marthastewart.msn.comiçin bir takma addı msnmarthastewartsweeps.com ihtisas.
Bir noktada MSN'in artık msnmarthastewartsweeps.com alan adını satın aldı ve ödemeyi durdurdu ancak kullanılan CNAME kaydını kaldırmadı marthastewart.msn.com ona.
Suçlular ikisi arasındaki bağlantıyı keşfettiler ve msnmarthastewartsweeps.com ihtisas.
Araştırmacıların açıkladığı gibi bu kötü:
Bu, alt alanın tüm davranışını devraldığı anlamına gelir.
msnmarthastewartsweeps.comSPF politikası da dahil.
Gönderen Politikası Çerçevesi (SPF), belirli bir alan adı için hangi alan adlarının ve IP adreslerinin e-posta gönderebileceğini belirleyen bir anti-spam DNS kaydıdır.
Eski ve unutulmuş takma adı kaydederek msnmarthastewartsweeps.comsayesinde suçlular SPF kaydına kendi IP adreslerini ekleyerek spam göndermelerine olanak tanıdı. marthastewart.msn.com SPF kontrollerinden geçen.
Guardio Labs, SPF'nin aynı zamanda suçlulara kontrolü ele geçirmeleri için başka bir yol sunduğu konusunda uyarıyor. SPF'ler include: sözdizimi, bir alan adına e-posta göndermesine izin verilen diğer alan adlarının bir listesini içerebilir. Dahil edilen alanlardan herhangi biri terk edilirse suçlular bunları satın alabilir ve ana alan adı adına e-posta gönderebilir.
Araştırmacılar ne aradıklarını öğrendikten sonra, hem CNAME hem de SPF tabanlı taktikleri kapsayan ve en az iki yıl öncesine dayanan binlerce sözde “alt alan adı gönderme” örneğini belirlediler.
Ele geçirilen alt alan adlarının ve kullanılabilir IP adreslerinin çok sayıda olması, suçluların “varlıklarının” tespit edilmesini ve tükenmesini en aza indirmek için bunlar arasında geçiş yapmasına yetecek kadar büyüktür.
Bir kuruluş olarak, kullanılmayan alt alan adlarının ve DNS kayıtlarının kaldırılmasıyla başlayarak, alan adlarınızı güvenlik ihlali belirtileri açısından düzenli olarak kontrol etmeniz ve çevrimiçi varlıklarınızı daha iyi yönetmeniz önemlidir.
Guardio Labs, alan yöneticilerinin ve site sahiplerinin herhangi bir kötüye kullanım izinin bulunup bulunmadığını hızlı bir şekilde kontrol etmelerine olanak tanıyan özel bir alt alan adı denetleyicisi web sitesi oluşturdu. Araştırmacılar, denetleyicinin CNAME ve SPF tabanlı saldırılardan etkilenen en son alan adlarını içeren bir veritabanını sorguladığını belirtiyor. Yani olumlu bir sonuç güvende olduğunuz anlamına gelmez, yalnızca henüz kaçırılmadığınız anlamına gelir.
İş çözümlerimiz, fidye yazılımının tüm kalıntılarını ortadan kaldırır ve yeniden virüse yakalanmanızı önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.