Her ne kadar yeni olmasa da, Kayıtlı Alan Adı Oluşturma Algoritmaları (RDGA’lar), tehdit aktörleri tarafından güvenlik çözümlerini atlatmak ve kötü amaçlı yazılımları dağıtmak için kullanılan önemli bir siber güvenlik tehdidi haline geldi.
Siber güvenlik, tehdit aktörlerinin güvenlik mekanizmalarını atlatmak ve kötü amaçlı faaliyetlerini yürütmek için sürekli olarak yeni yollar geliştirmesiyle büyüyen bir endişedir. Bir süredir radar altında uçan bu tür gelişmelerden biri de Kayıtlı Alan Adı Oluşturma Algoritmalarının (RDGA’lar) kullanımıdır.
Infoblox’taki siber güvenlik araştırmacıları yakın zamanda yayınladıkları bir raporda, bu hızla büyüyen tekniğe ışık tutarak, bunun tehdit aktörlerinin DNS tehdit ortamını etkilemek için nasıl önemli bir araç haline geldiğini ortaya koydular.
DGA’lardan RDGA’lara: Daha Gizli Bir Evrim
Bilginize, alan adı oluşturma algoritmaları (DGA’lar) yeni bir kavram değildir. Yaklaşık yirmi yıldır, tehdit aktörleri tarafından kötü amaçlı yazılım dağıtmak için kullanılıyorlar. Ancak, DGA’ların RDGA’lara dönüştürülmesi, üstesinden gelinmesi zor bir zorluk teşkil ediyor.
RDGA’lar ile tehdit aktörleri, suç altyapılarında kullanılmak üzere, hepsi bir kerede veya zaman içinde programatik olarak çok sayıda alan adı oluşturur. Temel fark, RDGA’lar ile algoritmanın sıkı bir şekilde korunan bir sır olarak kalması ve tüm alan adlarının kayıtlı olması, bu da bunların tespit edilmesini ve savunulmasını önemli ölçüde zorlaştırmasıdır.
RDGA’ların Birçok Yüzü
RDGA’lar yalnızca kötü amaçlı yazılım dağıtımıyla sınırlı değildir. Kimlik avı, spam, dolandırıcılık ve benzeri çok çeşitli kötü amaçlı faaliyetler için çok yönlü bir araç haline gelmiştir. hatta kumar.
En endişe verici yönlerden biri, bunların trafik dağıtım sistemlerinde (TDS) ve sanal özel ağlarda (VPN) kullanılmasıdır; bu sayede tehdit aktörleri radar altında uçabilir ve şüphe uyandırmadan trafiği kötü amaçlı hedeflere yönlendirebilir.
Vaka Çalışması: Hancitor Malware’in Gizli Sırrı
Infoblox’tan James Barnett şunları yazıyor: teknik rapor RDGA’ların etkinliğinin başlıca bir örneği Hancitor kötü amaçlı yazılımıdır. Yıllarca, bu popüler kötü amaçlı yazılım yükleyicisi, şüphesiz kurbanlara tuzaklı belgeler göndererek kötü amaçlı yazılım spam kampanyaları yürüttü.
Çoğunun farkına varmadığı şey şuydu ki Hancitor (aka Chanitor)) C2 alanlarını oluşturmak için bir RDGA kullandı, bu sayede tespit edilmeden kalabildi ve kampanyalarını kolaylıkla yürütebildi. Desenin tanınması ancak Infoblox’un istatistiksel modellemesi ve DNS uzmanlığı sayesinde oldu ve bu da Hancitor’un alanlarını engellemek için öngörücü analizlerin oluşturulmasına yol açtı.
Revolver Rabbit: Bir RDGA Mastermind
Rapor ayrıca, Revolver Rabbit adlı üretken ancak sınıflandırılmamış bir RDGA aktörünü de ortaya çıkarıyor. Bu aktör, yalnızca .bond TLD’sinde şaşırtıcı bir şekilde 500.000 alan adı kaydetti. RDGA desenleri oldukça değişkendir ve gelişmiş DNS bağlamı olmadan tespiti zorlaştırır.
Revolver Rabbit’in etki alanları hem aktif C2’lere hem de sahte etki alanlarına bağlandı XLoader kötü amaçlı yazılım (diğer adıyla Roaming Mantis ve MoqHao)) örnekleri, RDGA tespiti ve analizine yönelik kritik ihtiyacı vurgulamaktadır.
Bilinmeyen RDGA’ların Yükselen Dalgası
Revolver Rabbit’in keşfi buzdağının sadece görünen kısmı. Infoblox bilinmeyen amaçlara sahip binlerce başka RDGA tespit etti ve sayılar giderek artıyor. Sadece altı ayda, 2 milyondan fazla benzersiz RDGA etki alanı belirlendi ve bu da günde ortalama 11.000’den fazla yeni RDGA etki alanı anlamına geliyor.
Bu hızlı yaygınlaşma, bu tehditlere karşı tek geçerli savunma yönteminin otomatik tespit olması gerekliliğini vurguluyor.
RDGA yüklü bir ortamda Ağların Güvenliğini Sağlama
Bununla birlikte, rapor doğrudan bir uyarıyla sonlanıyor: RDGA’lar kuruluşlar için ciddi bir tehdit oluşturuyor ve güvenlik sektöründeki eksik raporlamaları endişe verici. RDGA’lar milyonlarca yeni etki alanını kaydetmek için kullanıldığından, kuruluşlar otomatik RDGA algılama yeteneklerine sahip güvenlik çözümleri uygulamalıdır.
RDGA’lar genişlemeye ve uyum sağlamaya devam ettikçe, bu tehditlerin bir adım önünde olmak, güvenli bir siber ortamı sürdürmek için önemlidir.
Infoblox’un hazırladığı kapsamlı araştırma raporu, RDGA’ları derinlemesine inceleyerek, kuruluşlarını bu tehditten korumak isteyen siber güvenlik uzmanlarına değerli bilgiler sunuyor.