Alan adı sistemi [DNS] İnternet’in adres defteri gibidir. Günlük web adreslerini sayısal IPS’ye çevirerek insanların uygulamalara ve içeriğe bağlanmasına izin verir. Ne yazık ki, DNS aynı zamanda siber suçluların en güvenilir aracıdır. Dolandırıcılar, kötü amaçlı yazılımları dağıtmak, komut ve kontrol (C2) işlemlerini çalıştırmak ve kimlik avı e -postaları içinde ikna edici alan adlarıyla kurbanları dağıtmak için kötü niyetli alanlara güvenir.
Aralık 2024 ve Haziran 2025 arasında kötü amaçlı yazılım iletişiminde yer alan 11.894 alandan oluşan yeni bir analizi, saldırganların etki alanı adlarını nasıl ölçeklendirdiğini göstermektedir. Forescout Verdere Labs araştırmacıları tarafından yapılan bu analiz, saldırganların genel üst düzey alanlara (GTLDS), bir avuç kayıt şirketinde ağır konsantrasyon ve tek kullanımlık anlamsız isimlere güvenmek için güçlü bir tercihi olduğunu buldular.
En iyi bulgular:
Jenerik alanlar için tercih: Kötü niyetli aktivitenin büyük çoğunluğu (%88) genel üst düzey alanlardan (TLD’ler) kullanılmıştır. Rusya’nın .RU alanı, ilk 10’da görünen ve tüm kötü amaçlı alanların% 4,1’ini oluşturan tek ülke kodu TLD idi.
Kısa ömürlü alan yaşam döngüleri: Neredeyse tüm kötü niyetli alanların (% 98) sadece bir yıl boyunca kaydedilmesi ve% 43’ünün bu dönemde süresi dolmasına izin verildi veya detaylandırıldı, bu da endüstri ve kolluk müdahalelerinin etkisini yansıtıp.
Marka taklit etme: Çoğunlukla büyük teknoloji şirketlerinin (örn. Adobe, Google, Microsoft, Proton VPN) ve popüler uygulamaların (örn., NMAP, TrueCrypt, Winrar) adlarını kötüye kullanan yazım hatlarıyla uğraşan alanların% 10’u.
Sektörle ilgili anahtar kelimeler: Alanların% 15’i endüstri terimlerini içeriyordu: 106 Referans teknolojisi (API, APK, CDN), 54 sağlık hizmeti (tıbbi, klinik, hastane), 40 finans (banka, kripto, finans) ve 13 kötü amaçlı yazılım (Botnet, CNC).
Infostealers önde gelen tehdit olmaya devam ediyor: Infostealer kötü amaçlı yazılım, botnetler (%11) ve indiriciler (%8) tarafından takip edilen, öncelikle Lumma ve Formbook tarafından yönlendirilen gözlemlenen aktivitenin%45’ini oluşturdu.
Üst düzey alanlar veya TLD’ler, DNS hiyerarşisinin en üst seviyesindedir. TLD’ler birçok biçim alabilir, ancak popüler olanlar .uk veya .usa veya daha fazla genel TLD (GTLDS) gibi .com veya .net gibi ülke kodu TLD’ler (CCTLD) olabilir. Analizde, kötü amaçlı yazılımla ilişkili alanların% 88.2’si .com ve .NET ile GTLD’ler kullanmıştır ve tüm vakaların yarısından fazlasını oluştururken, sadece% 11.8’i CCTLD’leri kullanmıştır. En çok kullanılan ilk on TLD’deki tek CCTLD, tüm kötü amaçlı alanların% 4.1’ini temsil eden ve tüm CCTLD istismarının üçte birinden fazlasını hesaplayan Rusya için .ru idi.
Genel olarak konuşursak, maliyet ve kayıt kolaylığı, siber suçluların seçilmesinin (yaklaşım biçimleri) önemli bir itici gücü gibi görünmektedir. Jenerik TLD’ler daha ucuzdur, kurbanlara daha tanıdık gelir ve genellikle ülkeye özgü alanlardan daha az kısıtlama ile gelir.
TLD’ler kayıtlar tarafından yönetilir, ancak kayıt memurları aktif olarak alan adlarını halka satar. Forescout analizi, kayıt şirketi düzeyinde istismarın saldırganlar arasında oldukça popüler olduğunu açıkladı. Tüm veri kümesindeki 440 kayıt memurundan ilk on, kötü amaçlı alanların% 54’ünü ve ilk 100’ü% 90’dan fazla oluşturdu.
GodAddy, Namecheap ve Tucows gibi tanınmış sağlayıcılar, TLD sömürüsünde kritik bir rol oynayan gname ve registrar.eu gibi daha küçük isimlerin yanı sıra listede görünür. Bununla birlikte, kötü niyetli alanlar ezici bir şekilde kısa ömürlüdür. Büyük bir çoğunluk bir yıllık sürelerle kaydedildi ve yıl bitmeden neredeyse yarısının süresi dolması veya düden hale gelmesi. ‘Davallama’ terimi, kötü niyetli bir etki alanının güvenli bir altyapıya yönlendirildiği ve saldırganlar tarafından kullanımını otomatik olarak azaltmasıdır. Bu hızlı karmaşanın düşük maliyetli sorununu vurgulayabilse de, kolayca tek kullanımlık alanlar da yayından kaldırma çabalarının başarısını gösterir.
Kötü niyetli alanlar nasıl görünüyor
Kötü niyetli alanların tespit edilmesi bazen zordur, ancak TLD’ler ve kayıt memurları sahneyi ayarlarsa, alan adlarının kendileri en acil kötüye kullanım sinyalini sağlar. Analistler veri kümesini üç geniş kategoriye ayırdı.
Veri kümesinin yaklaşık dörtte üçünü oluşturan en büyük kategori, rastgele veya algoritmik olarak üretilen isimlerden oluşuyordu. Bunlar genellikle anlamsız görünüyordu, örneğin “gqwhyjh[.]com ”veya“ 06626 gibi sayısal ağır isimler[.]açık.” Etki alanı oluşturma algoritmaları veya DGAS, sonsuz yeni isimler üreterek kötü amaçlı yazılımın algılamadan kaçınmasına yardımcı olur.
Bir diğer önemli kategori, veri kümesinin yaklaşık yüzde 10’unu oluşturan marka taklit edilmesini içeriyordu. Saldırganlar sık sık Google, Microsoft ve Adobe gibi büyük teknoloji şirketlerini veya Proton VPN ve Winrar gibi araçları taklit etti. Bir kampanya, Pages.dev ve Surge.sh gibi meşru platformlarda barındırılan alan adlarıyla Zoom güncellemelerini bile taklit etti.
Alanların geri kalan yüzde 15’i belirli kuruluşlara atıfta bulunmadan sektörle ilgili anahtar kelimeleri kullandı. Birçok isim, teknoloji, finans veya sağlık hizmetlerine bağlı terimler – “CDN”, “Kripto” ve “Klinik” gibi kelimeler. Bu sektör terimleri, kullanıcıların alana tıklayacak kadar alana güvenme olasılığını artırır.
Etki alanlarının arkasında kötü amaçlı yazılım türleri
Veri kümesinin yaklaşık dörtte biri için araştırmacılar, alan adlarını belirli kötü amaçlı yazılım ailelerine bağlayabildiler. Infostealers egemen oldu ve vakaların yüzde 45’ini oluşturdu. Lumma ve Formbook gibi aileler özellikle yaygındı.
Botnetler daha sonra yüzde 11’i oluşturdu, Amadey ve Mirai gruba liderlik etti. Downloaders, Smokeloader ve Bumblebee liderliğindeki yüzde sekiz olarak izledi. Infostealers’ın yaygınlığı daha geniş siber suç eğilimleriyle uyumludur. Kimlik bilgilerini ve oturum belirteçlerini çalmak, yeraltı ekonomisinin karlı bir temel taşı haline gelmiştir ve bu tür alanlar bu tür kampanyaların devam etmesini sağlamak için gereken altyapıyı sağlar.
Neden Önemlidir
Kötü niyetli alan kötüye kullanımı teknik bir sıkıntıdan daha fazlasıdır. Saldırganlar aynı alanları korurken arka uç IP adreslerini döndürerek, yayından kaldırma çabalarını hayal kırıklığına uğratır ve esnek kalırlar. “Forescoutt gibi yazım hataları[.]com ”temkinli kullanıcıları tıklamaya bile kandırabilir.
Son aylarda, ulusal güvenlik ajansları bu teknikler hakkında alarmlar verdi. Nisan 2025’te Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), DNS hızlı akış tekniklerinin esnek kötü amaçlı yazılım ve kimlik avı altyapısı sağladığı konusunda uyardı. Ağustos ayında, sağlık-ISAC, sarkan DNS kayıtlarının-hizmetten çıkarılan kaynaklara işaret eden isimlerin-saldırganlar tarafından kaçırılabileceği için sağlık sektöründe artan riskler verdiğini bildirdi. DNS istismarı, modern kötü amaçlı yazılım kampanyalarının merkezinde yer alarak savunucular için kritik bir hedef haline getiriyor.
Azaltma: savunucuların yapabileceği şey
Araştırma, kuruluşların atabileceği birkaç pratik adım vurgulamaktadır. Birincisi, kötü niyetli aramaları engellemektir. Kuruluşlar, bilinen-kötü alanları filtreleyen ve şüpheli bağlantıları kesmek için uç nokta kontrollerini kullanan DNS çözücüleri kullanabilir.
İkincisi, kullanıcı eğitimi çok önemlidir. Şüpheli alanları tanıyabilen ve bunları hızlı bir şekilde bildirebilen personel ve müşteriler kritik bir savunma hattıdır. Üçüncüsü, kuruluşlar saldırganlardan önce ortak yazım hatalarını, varyantları ve kampanya ile ilgili alanları önceden değerlendirerek taklit etme risklerini azaltabilir. Son olarak, savunucular yalnızca güçlü istismar kontrollerini uygulayan ve potansiyel güvenlik açıklarını belirlemek için DNS kayıtlarının düzenli denetimlerini yapan kayıt memurları ile çalışmalıdır.
Sonuç olarak, kötü amaçlı yazılım işlemleri ucuz, tek kullanımlık ve ikna edici alanlarda gelişir. Algoritmik olarak üretilen isimlerden marka taklitine kadar DNS, İnternet’in altyapısının en çok istismar edilen kısımlarından biri olmaya devam ediyor. Filtreleme, uyanık kayıt ve proaktif izleme yoluyla DNS duruşlarını güçlendiren savunucular, en sevdikleri giriş noktasında saldırganları kesme şansı en iyi şansı: İnternetin adres defteri.
Vedere Labs Research, DNS istismarını ortaya koyuyor, ilk önce BT Security Guru’da ortaya çıktı.