Tehdit aktörleri, en az 2019’dan beri DNS’teki kusurlardan yararlanarak kötü amaçlı yazılım dağıtımı, kimlik avı, marka taklidi ve veri sızdırma gibi eylemleri gerçekleştirmek için Sitting Ducks olarak bilinen saldırı vektörünü kullanıyor.
Birden fazla DNS sağlayıcısını etkileyen bu yaygın kusur, tespit edilemeyen alan adı ele geçirmelerine olanak sağlıyor.
Bunun yanı sıra Infoblox ve Eclypsium araştırmacıları da DNS altyapısındaki kritik bir açığı ortaya çıkardı.
Araştırmacılar, bunun sonucunda yaklaşık bir milyon alan adını etkilediğini ve DNS sağlayıcıları tarafından yetersiz alan adı doğrulaması nedeniyle 30.000’den fazla doğrulanmış ele geçirme vakasına yol açtığını keşfettiler.
Teknik Analiz
Kötü amaçlı yazılım dağıtımı, marka taklitçiliği, veri hırsızlığı ve kimlik avı gibi saldırıların hepsi güvenlik sistemindeki bu açıktan yararlanıyor.
Eclypsium ile iş birliği yapan Infoblox araştırmacıları, bu kritik güvenlik sorununu çözmek için kolluk kuvvetleri ve ulusal CERT’lerle birlikte çalışıyor.
2016 yılında bildirilen ancak hala yaygın olarak kullanılan Sitting Ducks saldırısı, DNS altyapısındaki güvenlik açıklarını hedef alıyor.
Bu yöntem, bilgisayar korsanlarının alan adı sahiplerinin kayıt şirketlerindeki veya DNS sağlayıcılarındaki hesaplarını ele geçirmelerine olanak tanır.
Alan adı delegasyonundaki, özellikle “zayıf” delegasyonlardaki yanlış yapılandırmalardan yararlanarak saldırganlar, savunmasız DNS sağlayıcılarından alan adlarının kontrolünü ele geçirebilir.
.webp)
Bu teknik, kimlik avı için meşru görünen alan adlarını kullanarak kötü amaçlı yazılımların yayılmasını ve veri çalınmasını kolaylaştırdığı için daha etkili ve daha az tespit edilebilir olması bakımından geleneksel kaçırma türlerinden daha üstündür.
Rus tehdit aktörlerinin favori aracı olup, günlük olarak çeşitli üst düzey alanlarda tahmini bir milyondan fazla kişiyi etkiliyor.
Bu saldırı büyük bir ciddiyet taşıdığı için çoğunlukla çözümsüz kalmıştır.
Hatta gerçek gibi görünseler bile tespit edilmesi zor olan marka koruma tescilli alan adlarını tehlikeye atıyorlar.
.webp)
DNS açıklarının Sitting Ducks tarafından istismar edilmesi, sahip hesaplarına erişim gerektirmeden alan adı ele geçirmeyi içerir.
Önlenebilir bu tehdit, sektör genelindeki alan adı ve DNS kayıt yönetimi boşluklarından kaynaklanmaktadır.
2018 yılından bu yana Rusya bağlantılı 12’den fazla siber çete bu yöntemi kullanarak en az 35 bin alan adını ele geçirdi.
Raporda, bu saldırganların zayıf DNS sağlayıcılarını genellikle “alan adı ödünç verme kütüphaneleri” olarak gördüğü ve ele geçirilen alan adları üzerindeki kontrolün tespit edilmekten kaçınmak için her 30-60 günde bir değiştirildiği belirtiliyor.
Bu tür tehlikeye atılmış alan adları, VexTrio ve 404TDS gibi trafik dağıtım sistemleri (TDS), kötü amaçlı yazılım yayma kampanyaları, kimlik avı kampanyaları ve birden fazla ülkeyi hedef alan dolandırıcılıklar gibi çeşitli kötü amaçlı faaliyetler için platform görevi görmektedir.
Bu güvenlik açığı ilk olarak 2016 yılında keşfedilmiş ve raporlanmış olmasına rağmen hiçbir zaman düzgün bir şekilde düzeltilmemiş olması, Alan Adı Sistemi (DNS) güvenliğinin siber güvenlik dağıtımları için ne kadar kritik ama sıklıkla ihmal edildiğini göstermektedir.
Bu durumun hafifletilmesi için alan adı sahiplerinin, kayıt şirketlerinin, DNS sağlayıcılarının, düzenleyici kurumların ve siber güvenlik sorunlarıyla ilgilenen daha geniş topluluğun ortak çabaları gerekecektir.
Sınırlı Kaynaklarla Bir Güvenlik Çerçevesi Nasıl Oluşturulur BT Güvenlik Ekibi (PDF) – Ücretsiz Rehber
Öneriler
Aşağıda tüm önerilerimizi belirttik:
- Alan adı kayıt kuruluşunuzdan ayrı bir yetkili DNS sağlayıcısı kullanın.
- Geçersiz ad sunucusu yetkilendirmelerini kontrol edin.
- DNS sağlayıcısının Sitting Ducks saldırılarına karşı önlemlerini doğrulayın.
- Alan adı sorunları için Shadowserver’ın izleme hizmetini kullanın.
- DNS sağlayıcıları için doğrulama amacıyla rastgele isim sunucusu ana bilgisayarları atayın.
- Yeni isim sunucularının öncekilerle uyuşmadığından emin olun.
- Atanmış isim sunucusu ana bilgisayarlarında değişiklikleri engelle.