Etki Alanı Oluşturma Algoritması (DGA), kötü amaçlı yazılım C&C sunucuları için buluşma noktası görevi gören çok sayıda alan adı oluşturur.
DGA’lar, yeni, rastgele alanlar oluşturarak kötü amaçlı yazılımların güvenlik önlemlerinden kaçmasına yardımcı olur ve kurbanların siber saldırılar sırasında bunları engellemesini veya kaldırmasını zorlaştırır.
Akamai Güvenlik İstihbarat Grubu’ndaki siber güvenlik analistleri yakın zamanda tehdit aktörlerinin C2 iletişimini geliştirmek ve analizi karmaşıklaştırmak için DGA modellerini aktif olarak değiştirdiğini tespit etti.
Akamai’nin Güvenlik İstihbaratı Grubu, botnet tespiti için 100’den fazla DGA ailesini izlemek üzere CacheServe DNS sunucularından gelen DNS sorgu günlüklerini analiz eder.
Güvenlik uzmanları, dinamik olarak tohumlanan DGA’ların beklenenden farklı davrandığını ve alan adlarının planlanandan önce etkinleştirildiğini belirtti.
Tehdit Aktörleri DGA Modellerini Değiştiriyor
Virüs bulaşmış bir cihaz, oluşturulan herhangi bir DGA alanına bağlanarak araştırmacıların C2 iletişimini kesmesini zorlaştırır.
Günlük 500 alan adı üreten DGA’ya sahip bir botnet düşünün. Virüs bulaşmış bir cihaz tüm cihazları sorgular ancak saldırganın yalnızca bir cihaz üzerinde kontrol sahibi olması gerekir.
Çekirdek değişiklikleri yeni alanlar yaratıyor ve bunlar çoğunlukla rastgele görünen ve ucuz TLD’ler olduğundan araştırmacılar için engellemeyi zorlaştırıyor. Bunun yanı sıra ünlü DGA aileleri şunları içerir: –
- Conficker
- Miray
- CryptoLocker
DGA’lardan önce, kötü amaçlı yazılım etki alanları, botnet’ler, suç yazılımları ve fidye yazılımları gibi virüs bulaşmış cihazlarla iletişim için sabit kodlanmış etki alanlarıydı ve bu da onları öngörülebilir hedefler haline getiriyordu.
DGA’lar C2 iletişimini geliştirerek aşağıdakilerin daha da geliştirilmesini teşvik etti: –
- Dağıtılmış hizmet reddi (DDoS) saldırıları
- Kripto madenciliği
- Güvenliği ihlal edilmiş cihazlardan hassas bilgilerin satılması
- Casus yazılım
- Reklam ve e-posta dolandırıcılığı
- Kötü amaçlı yazılımın kendiliğinden yayılması
İki tür tohumlanmış DGA vardır ve aşağıda bunlardan bahsettik: –
- Statik olarak tohumlanmış DGA’lar: Sayılar veya ünlü isimler gibi statik tohumlar değişmeden kalır ve tutarlı alanlar oluşturulur. Tersine mühendislik yapıldıktan veya araştırmacılar tarafından keşfedildikten sonra engellenirler ve kötü niyetli aktörleri yeni alan adları için tohumları değiştirmeye zorlarlar.
- Dinamik olarak tohumlanan DGA’lar: Dinamik DGA’lar zamana dayalı tohumlar kullanır, bu da alan adlarının tahmin edilmesini zorlaştırır. Güvenlik araştırmacıları, tarihe dayalı tohumlar tarafından oluşturulan alanları tahmin ederek proaktif engellemeyi mümkün kılabilir. Ancak, Google Trendler veya döviz kurları gibi öngörülemeyen tohumlar, kaynak koduna erişim olsa bile sorun olmaya devam ediyor.
İncelenen DGA aileleri
Aşağıda siber güvenlik analistleri tarafından keşfedilen ve incelenen DGA ailelerinden bahsettik.
Uzmanlar, kötü niyetli aktörlerin tohumları değiştirmesi nedeniyle dinamik olarak tohumlanan DGA’larda olağandışı davranışlar tespit etti. Pushdo ve Necurs, beklenen tarihlerden (50 güne kadar) çok önce ve sonra kötü amaçlı alanlar oluşturdu.
Kötü niyetli aktörler, tespit edilmekten kaçınmak ve güvenlik ekiplerine meydan okumak için DGA’ları değiştirir. Araştırmacıların bu kötü niyetli taktiklere ve botnet’lere karşı koymak için beklentilerden gerçeği belirlemesi gerekiyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.