Bilgisayar korsanları genellikle kimlik avı saldırıları, kötü amaçlı yazılım yayma ve diğer aldatıcı faaliyetler için yeni alan adları kaydederler.
Bu tür alan adları, güvenilir kuruluşlarmış gibi davranarak kişilerin hassas bilgilerini ifşa etmelerine veya zararlı içerik indirmelerine neden olabilir.
InfoBlox’taki siber güvenlik araştırmacıları, bilgisayar korsanlarının kapsamlı siber saldırılar için Kayıtlı Alan Adı Oluşturma Algoritmalarını kullanarak 500 binden fazla alan adı kaydettiğini keşfetti.
Hackerlar 500 binden fazla alan adı kaydetti
Kayıtlı Alan Adı Oluşturma Algoritmaları (RDGA’lar), tehdit aktörlerinin milyonlarca alanadı gizlice kaydetmek için kullandıkları geleneksel DGA’ların gelişmiş halidir.
AI Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz Demo
Öte yandan, kötü amaçlı yazılım tabanlı DGA’ların aksine RDGA’lar esnektir ve kimlik avı, kötü amaçlı yazılım ve dolandırıcılık gibi çeşitli kötü amaçlı amaçlar için kullanılabilir.
Bunun yanı sıra araştırmacılar, XLoader kötü amaçlı yazılımıyla ilişkilendirilen bir RDGA tehdit aktörü olan Revolver Rabbit’i ve Hancitor kötü amaçlı yazılımının C2 etki alanları için uzun süredir RDGA kullandığını ortaya çıkardı.
Geleneksel DGA’ların aksine tespit edilmesi daha zor olan RDGA’ları kullanırlar ve suç grupları ve meşru işletmeler bunları uygular. Bazı kayıt şirketleri alan adı değişkeni oluşturma araçları bile sağlar.
Bu yeni teknik, DNS tehdit ortamını önemli ölçüde değiştiriyor ve siber güvenlikte daha fazla zorluk yaratıyor.
RDGA’lar, çok sayıda alan adını özel olarak kaydetmek için kullanılması bakımından geleneksel DGA’lardan farklıdır.
RDGA’ların sergilediği, rastgele karakterlerden oluşturulmuş kelime kombinasyonlarına kadar uzanan karmaşık desenler nedeniyle, bunları tespit etmek, büyük çaplı DNS veri analizi yapılmadan zordur.
Hancitor zararlı yazılımının vaka çalışması, RDGA’ların nasıl C2 alan adı oluşturucularına dönüştüğünü ve tipik İngilizce kelimeler gibi tekrarlanan bir karakter desenini benimsediğini göstermektedir.
Infoblox, 2018 yılında Hancitor’un RDGA’sı tarafından oluşturulan etki alanlarını önceden tespit edip engellemek için istatistiksel bir model oluşturdu; bu da olgunlaşan bu tehditler için gelişmiş tespit tekniklerine olan ihtiyacın altını çizmeye yardımcı oluyor.
RDGA’nın ünlü horn-stepper’ı Revolver Rabbit, sözlük kelimelerini, sayıları ve ülke kodlarını karıştıran değişken desenler kullanarak yalnızca .bond TLD’sinde 500.000’den fazla alan adı kaydetti.
Bu aktörlerin etki alanlarının XLoader zararlı yazılımıyla ilişkilendirilmiş olması, RDGA tespitinin önemini bize hatırlatıyor.
Söz konusu altı aylık dönemde, yaklaşık 52.000 aktör grubunda günde ortalama 11.000 yeni alan adı olmak üzere yaklaşık 2 milyon benzersiz RDGA alan adı tespit edildi.
RDGA operasyonlarının büyüklüğü ve karmaşıklığı göz önüne alındığında manuel araştırma etkisizdir, dolayısıyla bu tür tehditlere karşı ön cephe savunması otomatik tespit olarak kalmalıdır.
Kuruluşlar, RDGA’larla ilişkili çok sayıda kötü amaçlı faaliyetin farkında olmalı ve ağları için gelişmiş DNS analitiği tabanlı güvenlik çözümleri uygulamalıdır.
Faaliyet Göstergeleri
Günümüzün büyük bir tehdidi olan yavaş DDoS saldırılarıyla mücadele hakkında bilgi edinmek için ücretsiz web seminerimize katılın.