Siber güvenlik araştırmacıları, tehdit aktörlerinin dinamik DNS sağlayıcılarını kötü niyetli altyapıya ev sahipliği yapmak için giderek daha fazla kullandıkları ve dünya çapında kurumsal kuruluşlar için önemli riskler oluşturdukları artan bir eğilim belirlediler.
Kamu kiralanabilir alt alan sağlayıcıları olarak da bilinen dinamik DNS sağlayıcıları, erişilebilirlikleri ve sınırlı düzenleyici gözetim nedeniyle kötü niyetli aktörler için cazip hedefler haline gelmiştir.
Bu hizmetler esasen, meşru etki alanı kayıt şirketlerinin karşılaşmasıyla aynı düzeyde inceleme olmadan “mini etki alanı kayıt şirketleri” olarak işlev görür.
ICANN ve IANA süreçlerine uygunluk gerektiren geleneksel alan adının aksine, dinamik DNS sağlayıcılarının yalnızca bir alan satın alması ve kendi yönlendirme altyapılarını oluşturmaları gerekir.
Silent Push’un son araştırması, birçoğu minimum gözetim ve gevşek güvenlik kontrolleri ile çalışan bu hizmetler aracılığıyla 70.000’den fazla alan adının şu anda alt alanlar kiraladığını ortaya koyuyor.
Tehdit aktörlerinin çekiciliği çeşitli temel faktörlerde yatmaktadır. Birçok sağlayıcı kripto para ödemelerini kabul eder ve “müşterinizi tanıyın” ayrıntılarını gerektirmeden anonim kaydı reklam yapar.
Bu anonimlik ve minimal doğrulama kombinasyonu, kötü niyetli aktörlerin algılamadan kaçınırken altyapı oluşturmaları ve kontrol altyapısı oluşturmaları için ideal bir ortam yaratır.
Alt alan kiralama hizmetleri türleri
Dinamik DNS ekosistemi, her biri farklı güvenlik zorlukları sunan çeşitli hizmet modellerini kapsar:
Sınırlı Kontrol Hizmetleri: Bu sağlayıcılar, bazı içerik kontrollerine izin verirken DNS’ye kayıt yapılandırmasını kısıtlar. Blogspot gibi hizmetler bu kategoriye girer, ancak varsayılan içerik kısıtlamalarını atlatmak için yöntemler mevcuttur.
Yalnızca İçerik Kontrolü: Pages.dev gibi platformlar, kullanıcıların DNS kayıtları ve IP adresleri üzerinde kontrolü korurken içeriği serbestçe ayarlamasına izin verir.
Tam Kontrol Hizmetleri: Chuck.org gibi premium teklifler, tipik olarak ücretli planlar aracılığıyla sunulan eksiksiz barındırma ve içerik kontrolü sağlar. Bu hizmetler, tehdit aktörlerine kötü niyetli faaliyetler için maksimum esneklik sundukları için en yüksek riski sunmaktadır.
Silent Push’un Tehdit İstihbarat Ekibi, dinamik DNS ekosistemini izlemek için sofistike izleme yetenekleri geliştirdi.
Araştırma metodolojileri, potansiyel tehditlerin kapsamlı bir şekilde kapsamını sağlamak için birden fazla veri kaynağını birleştirir.
İzleme sistemi, hem kurumsal hizmetleri hem de daha düşük kaliteli sağlayıcıları içeren “özel alan adları” alt bölümüne odaklanan genel sonek listesinden verileri içerir.
Ekip, yaklaşık 25 yıl öncesine dayanarak, on binlerce alan kiralayan alt alan kiralayan on binlerce alan işleten chuck.org’a özellikle dikkat çekti.
İlgili NS kayıtları için PADNS aramaları, platformumuzda aşağıdaki örnek gibi gerçekleştirilebilir:
Bu hizmetlerin izlenmesinin karmaşıklığı, CHARE.org’un herkese açık olarak listelenmemiş olan ve yalnızca NameServer Record analizi ile tanımlanabilen “Stealth” alan adlarıyla gösterilmiştir.
Silent Push’un platformu, NameServer DNS aramalarıyla sadece chuck.org ile 591.000’den fazla sonuç tespit etti.
Büyük Tehdit Oyuncu Kampanyaları
Yüksek profilli tehdit grupları, kötü amaçlı işlemler için yoğun bir şekilde dinamik DNS hizmetlerine sahiptir. APT29, 2022’de QuietExit komutları ve kontrol iletişimleri için dinamik DNS alanları kullanılarak belgelenmiştir.
Gamaredon Grubu, bu hizmetleri Ukrayna varlıklarını hedefleyen kampanyalarda kullanılarak gözlemlenirken, dağınık örümcek Ocak 2025 operasyonlarında halka açık kiralanabilir alanlar içeriyordu.
TitanHQ Siber Güvenlik Gösterge Tablosu Bugünün web trafiğini, istek özetlerini ve kategoriye dayalı filtreleme istatistiklerini gösteren
APT28 (Fantezi Ayı), dinamik DNS alanlarının ağır kullanımı için 2024 FBI raporunda özel bir söz aldı. Bu hizmetlerin gelişmiş kalıcı tehdit grupları tarafından yaygın olarak benimsenmesi, geleneksel güvenlik önlemlerinden kaçınmada etkinliklerini göstermektedir.
Dikkate değer ek durumlar arasında APT33’ün özel ve dinamik DNS alanları kullanımı, DDGroup tehdit oyuncusu C2 Communications için bu hizmetlere ağır güvenmesi ve APT Group Gallium’un 2022’de belgelenen kullanımı yer alıyor.
Tarihsel emsal, Microsoft’un devam eden saldırılarda yoğun bir şekilde kullanılan IP olmayan Dinamik DNS alanlarını devralma çabalarına öncülük ettiği 2014’e kadar uzanıyor.
Dinamik DNS istismarının güvenlik sonuçları, basit alan hostinginin ötesine uzanır. Bu hizmetler yanlışlıkla kurumsal izin listelerinde görünebilir ve çalışanlar engellenen içeriğe erişim istediğinde potansiyel güvenlik boşlukları oluşturur.
Tehdit aktörleri, kötüye kullanım şikayetlerine yanıt vermeyen hizmetler üzerindeki alt alanları kontrol ettiğinde, altyapı komuta ve kontrol iletişimleri için son derece cazip hale gelir.
Yayından kaldırma istekleri için hem kayıt şirketleri hem de barındırma sağlayıcılarının temasa geçilebileceği geleneksel alanlardan farklı olarak, dinamik DNS hizmetleri genellikle sınırlı iyileştirme seçenekleri sunar.
Kötü niyetli alt alanların kalıcılığı önemli bir endişeyi temsil eder. Siber güvenlik şirketleri kötü niyetli faaliyetleri belirlediklerinde ve rapor etse bile, alt alanlar tepkisiz sağlayıcılar veya yetersiz istismar işleme prosedürleri nedeniyle aktif kalabilir.
Hafifletme
Silent Push, kurumsal kuruluşların halka açık kiralanabilir alanlar için proaktif izleme ve engelleme stratejileri uygulamasını önerir. Toplu veri ihracatı, alt alan kiralayan ve dinamik DNS hizmetleri sunan izlenen alanların kapsamlı bir şekilde kapsamını sağlar.
Kuruluşlar, bu alanlarla bağlantıları işlemek için riske dayalı politikalar oluşturmalıdır. Bazı işletmeler, kullanıcılar manuel olarak belirli istisnalar istemedikçe tüm bağlantıların tam engellenmesini gerektirebilir. Diğerleri, uyarma mekanizmalarının operasyonel esnekliği korurken yeterli görünürlük sağladığını bulabilir.
Savunucular için temel ilke, bu hizmetlerdeki bireysel alt alanların meşruiyette önemli ölçüde değişebileceğini kabul etmektir.
Bir alt alan meşru amaçlara hizmet edebilirken, aynı hizmette diğeri kötü niyetli altyapıya ev sahipliği yapabilir. Bu çeşitlilik, nüanslı güvenlik yaklaşımları gerektiren benzersiz savunma zorlukları yaratır.
Bu hizmetler hem meşru kullanıcılar hem de tehdit aktörleri arasında popülerlik kazandıkça dinamik DNS tehdit manzarası gelişmeye devam ediyor. Birçok sağlayıcı, kötüye kullanım raporlarını görmezden gelme geçmişine sahip kabuk şirketleri veya varlıklar olarak çalışır.
Alt alan kiralama planlarını destekleyen iş sektörü, bazı kurumsal çözümler ciddi tehdit aktörleri tarafından ağır sömürü yaşayan bazı işletme çözümlerinden daha fazla kötü niyetli çabalar göstermektedir.
Silent Push’un 2025 yılı boyunca devam eden izleme çabaları, halka açık kiralanabilir alanların ek depolarının ve gelişmekte olan dinamik DNS sağlayıcılarının tanımlanması da dahil olmak üzere bu alandaki yeni gelişmeleri izleyecektir.
Siber güvenlik topluluğunun bu hizmetleri tanımlama ve izleme konusundaki işbirlikçi yaklaşımı, bu büyüyen tehdit vektörüne karşı etkili savunma duruşlarını korumak için gereklidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.