İnternetin alan adı sistemi (DNS), tehdit aktörleri için bir tür otoyol haline geldi ve altı kuruluştan biri Emotet gibi kötü amaçlı yazılım, kimlik avı saldırıları veya komuta ve kontrol (C2) etkinliği şeklinde kötü amaçlı ağ trafiği yaşıyor. Belirli bir çeyrekte, araştırmacılar buldu.
Akamai’den araştırmacılar, tehdit aktörlerinin kuruluşların hain faaliyetlerini yürütmek için bu istekleri yönetmek için kullandıkları sunuculardan ve cihazlardan nasıl yararlandığını incelemek için günlük 7 trilyondan fazla DNS talebinden elde edilen verileri inceledi.
Buldukları şey, saldırganların DNS aracılığıyla ağları endişe verici bir sıklıkta yakınlaştırıp uzaklaştırdığı ve kuruluşların %23 ila %27’sinin herhangi bir çeyrekte ağlarından C2 trafiğinin çıktığının gözlemlendiği en az bir örnek yaşadığı. Akamai araştırmacıları bugün yayınlanan bir raporda söyledi.
Akamai’de siber güvenlik araştırma ekibi lideri Eliad Kimhy, bu trafiğin “devam eden saldırılar için çok doğru bir tahminci sağladığını ve tehdit ortamının çok doğru bir görüntüsünü sağlayabileceğini” söylüyor.
Ayrıca, bu trafiğin büyük bir kısmının gerçek zamanlı olarak gerçekleşmesi, işletmenin buna karşı savunmasını zorlaştırıyor, diye ekliyor.
Kimhy, “Saldırganlar giderek artan bir şekilde ‘eller klavyede’ felsefesiyle hareket ediyor ve bir organizasyonu hackleme işini canlı bir operatöre veriyor” diyor. “Bu, C2 trafiğini algılamayı ve durdurmayı bir kuruluşun güvenliğinin çok önemli bir yönü haline getirecek ve bunun modern saldırıda giderek artan bir rol oynadığını muhtemelen göreceğiz.”
Emotet, QSnatch ve Saldırıların Mevcut Durumu
Akamai araştırmacıları, yalnızca saldırganların DNS’yi nasıl kullandıklarına değil, aynı zamanda gözlemlerinde en yaygın olan saldırı türleri ve kötü amaçlı yazılımlara ilişkin bir dizi bulgu bildirdi. En ilginçlerinden biri, kısa süre önce kısa bir aradan sonra yeniden ortaya çıkan güçlü tehdit Emotet’in sadece geri değil, aynı zamanda intikamla geri dönmesiydi.
Kimhy, “Yaygın ve kuruluşlara sızmaya çalışmak için büyük kampanyalar yürütüyor gibi görünüyor” diyor.
Araştırmacılar geçen yıl bir “devasa kampanya” gözlemlediler ve tehdit grubunun bir başkası için hızlandığını söylüyor. Kimhy, “Bu, fidye yazılımı grupları gibi daha tehlikeli gruplara erişim sağlama ve bunlara erişim satma konusunda uzmanlaştığı için, mücadele etmesi çok zor bir grup.”
Ayrıca, Emotet’in bu yeniden dirilişi, kötü amaçlı yazılım genellikle ağlara ilk erişim olarak kullanıldığından, potansiyel olarak fidye yazılımı gruplarından gelen daha fazla saldırının ufukta olduğunun iyi bir göstergesidir, diyor.
Aslında araştırmacılar, C2’lere ulaştığını gözlemledikleri virüs bulaşmış ağ cihazlarının %9’unun hizmet olarak fidye yazılımı (RaaS) grubuyla ilişkili alanlara eriştiğini ve bu durumun, işletmeyi felç eden sonuçları olan fidye yazılımı saldırılarından kaynaklanan riskin devam ettiğini gösterdiğini buldu. iyileştirme ve kurtarma maliyetleri, yasal ücretler, para cezaları, üretkenlik kaybına neden olan kesinti süresi ve marka ve itibar zararları — işletme için.
Saldırganlar ayrıca botnet QSnatch’in arkasındaki ağa bağlı depolama (NAS) cihazları aracılığıyla kuruluşların ağlarına giderek daha fazla giriyorlar ve araştırmacıların gözlemlediği etkilenen cihazların üçte birinden fazlası bu tehdide ilişkin C2 etki alanlarına giden trafiği gösteriyor. araştırmacılar buldu.
Akamai’ye göre, kuruluşlar genellikle yedeklemeler ve önemli verilerin depolanması için NAS cihazlarını kullandıklarından, bu cihazlar iyi korunmazlarsa “büyük bir tehdit yüzeyini” temsil edebilir.
Kimhy, “Kendinizi bir fidye yazılımı saldırısını desteklemek için verilerinizin çalındığı veya yedeklerin silindiği bir konumda bulmak korkunç bir durum olabilir” diyor.
Araştırmacılar, saldırganların DNS kullanmak için hangi tür kuruluşların peşine düştüğü açısından bakıldığında, hiçbir sektör olası saldırılara karşı güvenli olmasa da, üretim, iş hizmetleri ve perakendenin en yüksek riskle karşı karşıya olduğunu buldu.
Siber Savunmacılar DNS Tehditlerine Karşı Nasıl Korunabilir?
DNS aracılığıyla kurumsal ağlara sızan mevcut kötü amaçlı etkinlik hakkındaki içgörü göz önüne alındığında, güvenlik yöneticileri artık ağlarını hedef alan en yaygın tehditlere karşı kendilerini silahlandırabilir. Araştırmacılar, bunu yapmanın bir yolunun boşluk değerlendirmeleri yapmak ve gerektiğinde bu boşlukları kapatmak olduğunu söyledi.
Genel olarak, mevcut tehdit ortamı göz önüne alındığında, bilgi güçtür, diyor Kimhy. “Güvenlik ekiplerinin saldırının diğer tarafında kimin olduğunu bilmesi gerekiyor. — ve hangi grupların kuruluşlarını riske attığını — Savunma yapabilmeleri için” dedi.
Dahası, “sıfır güven” zihniyetini benimsemeye yönelik “kırık rekor” tavsiyesi, “çevreyi aşan bir saldırıyı durdurmada uzmanlaşmış ürünlerin” konuşlandırılmasıyla doğru gelmeye devam ediyor. — Araştırmacılar, uç nokta tespiti ve yanıtı (EDR), mikro segmentasyon ve güvenli Web ağ geçitleri (SWG’ler) gibi — mevcut tehdit ortamına karşı savunmada özel avantajlar sunuyor.
NAS cihazlarına yönelik gelişmiş tehdit göz önüne alındığında, Akamai araştırmacıları ayrıca kuruluşların, şirketlerin ağlarındaki her şeyin güvenli bir şekilde sabitlenmesini sağlamasını tavsiye etti. Kimhy, “Güvenlik ekiplerinin NAS cihazlarının güncel olduğundan ve segmentasyon veya diğer uygun araçlarla uygun şekilde güvenli olduğundan emin olmaları şiddetle tavsiye edilir” diyor.