Bilgisayar korsanları, kullanıcıları kötü amaçlı web sitelerine yönlendirmek, yoğun DNS sunucuları aracılığıyla dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak ve gözetleme veya veri hırsızlığı amacıyla trafiği engellemek için etki alanı çözümlemelerini değiştirmek için DNS güvenlik açıklarından yararlanır.
Infoblox araştırmacıları geçtiğimiz günlerde Çin’in Büyük Güvenlik Duvarı internet sansür sistemini manipüle edebilen oldukça sofistike bir Çin devlet aktörü olan “Muddling Meerkat”ı ortaya çıkardı.
Bu DNS tabanlı tehdit, dünya çapındaki açık çözümleyiciler aracılığıyla yayılan devasa dağıtılmış DNS sorgu hacimleri oluşturarak güvenliği atlıyor.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Karışık Meerkat & Çin Güvenlik Duvarı
Infoblox, DNS uzmanlığından yararlanarak, müşterilerini Çin’in ulusal internet altyapısının kontrolü altında faaliyet gösteren bu ortaya çıkan siber tehdide karşı korumak için aktörün alan adlarını proaktif bir şekilde keşfetti ve engelledi.
Infoblox Tehdit Intel’den Dr. Renee Burton şunları açıkladı: “‘Sözde ‘Karışık Meerkat’ın arkasında olduğuna inandığımız, Çin tarafından kontrol edilen bir DNS operatörünün izini sürmemizi sağlayan şey, gelişmiş veri bilimi ve yapay zeka ile birlikte DNS verilerine sarsılmaz bir şekilde odaklanmamızdı” kampanya.”
Takma ad, kampanyanın gizemli doğasını ve taktiklerini gizlemek için açık çözümleyicileri ve MX kayıtlarını ayrıntılı bir şekilde kullandığını ifade ediyor.
Bu keşif, Infoblox müşterilerinin DNS tabanlı bu tür gelişmiş tehditlere karşı güçlü tespit ve yanıt yeteneklerine olan ihtiyacın altını çiziyor.
Sadece bu da değil, bu aktörün etkinliği aynı zamanda alan adı sistemi (DNS) operasyonları konusunda derin bir anlayışa sahip olduğunu gösteriyor ve bu da bunların güvenliğinin sağlanmasının önemini gösteriyor.
Muddling Meerkat 2019’dan beri aktif ve DNS sistemine çok üst düzey bir saldırı gösteriyor.
Meerkat’ın gerçek niyeti şu anda bilinmiyor, ancak keşifle ilgili gibi görünüyor. Başlangıçta bunun yavaş damlayan DDoS saldırısının başka bir türü olduğuna inanılıyordu.
Bu yılki tehditlerin %82’si, patentli teknoloji ve Sıfır Gün DNS yetenekleri tarafından, daha ilk sorgulamalarını bile yapmadan durduruldu; bu, 2023’te bir milyon başına yüzde 0,0002 yanlış pozitif oranına eşit bir oranda tanımlanan toplam 46 milyon göstergeye tekabül ediyor. sorguları.
Aşağıda, tehdit aktörlerinin operasyonlarında yaptığı tüm karmaşık şeylerden bahsettik: –
- Büyük Güvenlik Duvarı’nın tepkisini kışkırtmak için, stratejilerinin ulusal altyapıyı yeni şekillerde kullanmayı nasıl içerdiğini göstermek için Çin IP aralıkları içindeki MX olmayan kayıtları kullanabilirler; bu sahte olacaktır.
- Bu aynı zamanda MX kayıtları için DNS sorgularının yanı sıra, sahip olunmayan veya sahip olunmayan “.com” ve “.org” gibi ortak üst düzey alan adları altındakiler gibi diğer alan adı sistemi kaynak kayıt kümeleri türleri için DNS sorguları gönderilerek de yapılabilir. Tehdit aktörleri tarafından kontrol ediliyor. Bu gerçek niyetlerin gizlenmesine yardımcı olur.
- Diğer bir yöntem ise, 2000’den önce oluşturulmuş eski alan adlarını, alan adı hizmetinde normal trafik olarak geçirmek için kullanmak ve yalnızca yeni kaydedilenleri arayan algılama mekanizmalarını atlayarak DNS’nin nasıl çalıştığına dair daha derin bir anlayışa işaret etmektir.
Muddling Meerkat bir Çin devlet aktörü gibi görünüyor, çünkü Muddling Meerkat hedef alan adlarının 53 numaralı bağlantı noktasında açık olmayan Çin IP adreslerinden gelen MX kayıt yanıtlarını birkaç yıl boyunca gözlemleyebiliyoruz, bu yanıtların GFW’nin sonuçları olduğuna eminim.” söz konusu.
Combat Email Threats with Easy-to-Launch Phishing Simulations: Email Security Awareness Training -> Try Free Demo