DNS tünelleme, DNS paketlerindeki kötü amaçlı trafiği gizleyerek güvenlik filtrelerini atlamak, bilgisayar korsanlarının çalınan verileri çalmasına veya gelen kötü amaçlı yazılımları veya komut ve kontrol talimatlarını gizlemesine olanak tanımak için kullanılır.
Ancak Palo Alto Networks’ün 42. Birimi, tehdit aktörlerinin DNS tünellemeyi, ağdaki güvenlik açıklarını taramak ve kimlik avı kampanyalarının başarısını değerlendirmek de dahil olmak üzere C2 ve VPN dışında yenilikçi yöntemlerle kullandığını keşfetti.
İzleme için DNS Tüneli
Bildirildiğine göre saldırganlar, kurbanların spam, kimlik avı veya reklam içerikleriyle ilgili etkinliklerini izlemek için DNS tünelini kötüye kullanıyor ve kurbanların kimlik bilgilerinin alt alan adlarında kodlandığı kötü amaçlı alanlar dağıtıyor.
Örneğin, kimlik avı saldırılarında DNS tüneli, saldırganların izleme bilgilerini DNS istekleri içine yerleştirmesine yardımcı olarak İçerik Dağıtım Ağlarında (CDN’ler) barındırılan içerikle kullanıcı etkileşimlerini izlemelerine ve e-postalarının teslim edilip edilmediğini görmelerine olanak tanır.
Bu, ad sunucuları için 75 IP adresi kullanan 731 potansiyel kurbanı hedef alan TrkCdn kampanyasında ve 35.75.233210 IP adresli 44 tünel alanı kullanan Japon eğitim kurumlarını hedefleyen SpamTracker kampanyasında gözlemlendi. Her iki kampanya da aynı DGA adlandırma ve alt alan adı kodlama yöntemini kullandı.
Saldırganlar, kurbanların e-postalarını izlemek ve kampanya performansını izlemek için DNS günlüklerini kullandı. Ekim 2020 ile Ocak 2024 arasında, dağıtımdan 2 ila 12 hafta önce yeni alan adlarını kaydettiler ve dokuz ila 11 ay boyunca davranışlarını izlediler ve bir yıl sonra bunları kullanımdan kaldırdılar.
Tarama için DNS Tüneli
Saldırganlar, sahte kaynak IP adresleriyle tünelleme yüklerindeki IP adreslerini ve zaman damgalarını kodlayarak ağ altyapısını taramak, açık çözümleyicileri keşfetmek, çözümleyicinin güvenlik açıklarından yararlanmak ve DNS saldırıları gerçekleştirmek için DNS tünellemeyi kullanabilir; bu da potansiyel olarak kötü niyetli yeniden yönlendirmeye veya hizmet reddine yol açabilir.arasında).
Bu yöntem, saldırganların kurbanın ağ altyapısını periyodik olarak tarayarak yansıma saldırıları gerçekleştirdiği “SecShow” adlı kampanyada gözlemlendi.
“Bu kampanya genel olarak açık çözümleyicileri hedef alıyor. Sonuç olarak, mağdurların ağırlıklı olarak açık çözümleyicilerin yaygın olarak bulunduğu eğitim, ileri teknoloji ve hükümet alanlarından geldiğini görüyoruz.” Birim 42 araştırmacıları yazdı.
Ayrıca, saldırganlar aynı tekniği birden fazla kurbanı izlemek için kullanabilir ve hedeflenen kuruluşlardaki yanlış ağ yapılandırmalarını tespit etmek için DNS sorgularından yararlanarak bunları DoS saldırıları, veri hırsızlığı veya kötü amaçlı yazılım yükleme amacıyla potansiyel olarak kullanabilir.
Kendinizi korumak için, olağandışı DNS trafik modellerini algılayan güvenlik yazılımına yatırım yapın ve güvenlik açıklarını gidermek için işletim sisteminizi ve uygulamalarınızı düzenli olarak güncelleyin. E-posta veya mesajlardaki şüpheli bağlantılara tıklamaktan her zaman dikkatli olun.
İLGİLİ KONULAR
- DNS zehirlenmesinin tehlikeleri ve nasıl önleneceği
- DNSpionage grubunun Karkoff kötü amaçlı yazılımı seçici olarak kurbanları seçiyor
- Roaming Mantis Kötü Amaçlı Yazılımı, DNS Değiştirici Özelliğiyle Geri Dönüyor
- VPN DNS test aracınızın meşruiyetini kontrol edin: “Yasal” mı yoksa aldatıcı mı
- Siber Güvenlik Firması Kendini Hackledi ve DNS Kusur Sızıntısını Buldu AWS Kimlik Bilgilerini