Sürekli gelişen siber güvenlik ortamında, saldırganların saldırı altyapılarını nasıl kurup sürdürdüklerini anlamak, sağlam savunmalar oluşturmak için çok önemlidir.
Juniper Threat Labs tarafından yakın zamanda yapılan bir çalışma, IP kaybı ve barındırma sağlayıcılarını değiştirme gibi tekniklere ve kötü amaçlı altyapıyı proaktif olarak keşfetmek için pasif DNS’den nasıl yararlanılabileceğine odaklanarak, saldırganların operasyonlarını ayarlamak için kullandıkları karmaşık yöntemlere ışık tutuyor.
Dağıtılmış ağ sensörlerinden toplanan DNS günlüklerinin bir koleksiyonu olan pasif DNS, tehdit avcıları için güçlü bir araç olarak ortaya çıktı. Geleneksel DNS günlüğe kaydetme yöntemlerinin aksine, pasif DNS sensörleri çeşitli ağ yolları boyunca stratejik olarak yerleştirilebilir ve kullanıcı gizliliğinden ödün vermeden veya yüksek depolama maliyetlerine yol açmadan DNS trafiğinin kapsamlı bir görünümünü sunar.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Pasif DNS Üzerinden Tehdit Avlama Süreci
Juniper Threat Labs, proaktif tehdit tespiti için pasif DNS verilerinden yararlanacak karmaşık bir süreç geliştirdi:
- Tohum Altyapısı: Süreç, tehdit istihbaratı akışlarından bilinen kötü amaçlı etki alanlarının ve IP adreslerinin bir listesiyle başlar.
- Tarihsel İlişki Analizi: Pasif DNS verileri, çekirdek altyapıya olan geçmiş bağlantıları tanımlamak için sorgulanır.
- Gürültü Azaltma: İlgisiz alan adlarını ve IP’leri filtrelemek için en iyi site listelerinin kullanımı ve popülerlik tahmini de dahil olmak üzere gelişmiş teknikler kullanılır.
- Doğrulama ve Sıralama: Keşfedilen eserler, açık kaynak zekası kullanılarak doğrulanır ve zamanlamaya ve üçüncü taraf tespitlerine göre sıralanır.
Bu yaklaşımın etkinliği, Mirai kötü amaçlı yazılımının gelişmiş bir versiyonu olan CatDDoS botnet’in izlenmesinde kanıtlandı. Altı aydan uzun bir süre boyunca araştırmacılar, botnet’in sunucu konumlarında ve barındırma sağlayıcılarında sık sık değişiklik yaptığını gözlemledi; bu, “altyapı kaybı” olarak bilinen bir taktikti. Kaynakların sürekli değişmesi, geleneksel izleme yöntemlerini zorlaştırıyor.
Yakın zamanda yaşanan bir vakada Juniper Threat Labs, ortaya çıkan tehditleri kamuya açıklanmadan önce tespit etti. Ekip, Uzaktan Erişim Truva Atlarını (RAT’lar) dağıtmak için Cloudflare tünellerini kötüye kullanan bir kampanyayı ortaya çıkardı. Şubat 2024’te başlayan bu saldırıda, çok aşamalı bir bulaşma sürecini başlatmak için kimlik avı e-postaları kullanıldı ve sonuçta XWorm, AsyncRAT ve VenomRAT dahil olmak üzere çeşitli RAT aileleri kullanıldı.
Juniper Threat Labs, pasif DNS verilerinden yararlanarak, diğer güvenlik firmaları tarafından başlangıçta bildirilenin ötesinde, RAT kampanyasıyla ilgili yedi ek alan adı ve iki IP adresi belirledi.
Bu proaktif yaklaşım, savunucuların saldırganların önünde kalmasını sağlayarak onları sürekli olarak yeni kaynaklar tahsis etmeye zorlar ve operasyonel maliyetlerini artırır.
Juniper Threat Labs’ın pasif DNS verilerini yenilikçi kullanımı, siber güvenlik savunma stratejilerinde önemli bir ilerlemeyi temsil ediyor. Bu yaklaşım, saldırgan altyapısını aktif olarak kullanılmadan önce ortaya çıkararak savunmacılara çok önemli bir zaman avantajı sağlar.
Siber tehditler gelişmeye devam ettikçe, bu tür proaktif avlanma teknikleri, kuruluşları ve bireyleri karmaşık saldırılardan korumada giderek daha hayati bir rol oynayacaktır.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses