.jpg)
Başarılı bir bağlantı kısaltma hizmeti, siber saldırganlara ve dolandırıcılara üst düzey .us alan adları sağlayarak, kimlik avı kampanyalarının daha az tespit edilebilir olmasına yardımcı oluyor.
Bu hafta yayınlanan bir raporda Infoblox araştırmacıları, operasyonun arkasındaki tehdit aktörünü “Prolific Puma” olarak adlandırdı. Son 18 ayda, Prolific Puma 75.000’e kadar benzersiz alan adı üretti ve çoğu zaman düzenlemeleri aşarak keyifsiz suçlulara bir URL ile biten URL’ler sağladı. .biz.
Ancak Prolific Puma, müşterilerine kirli bağlantıları için boyama işlerinden çok daha fazlasını sunuyor.
“Kısaltılmış bağlantılar, kötü niyetli kişilere metin mesajları için daha kısa bir bağlantı (böylece SMS’e sığacak şekilde), gizli bir hedef (böylece şüpheli kullanıcıların tıklama olasılığı daha yüksek olur) ve otomatik güvenlik ürünleri tarafından tespit edilmeye karşı direnç (bunların çözülmesi gerekir) sunar. Bağlantılar nereye gidiyor),” diye açıklıyor Infoblox’un tehdit istihbaratı başkanı Renee Burton. Bitly veya TinyURL gibi şirketlerin hizmetlerinin kötü niyetli olarak kötüye kullanılmasını önlemek için çalıştığı durumlarda, bu durumda böyle bir rahatsızlık söz konusu değildir.
Kayıt Memurlarının Bilmenizi İstemediği İki Tuhaf Püf Noktası
Siber suçlular, komuta ve kontrol (C2) operasyonlarını temel alacak alanlara ihtiyaç duyarlar ve analistler, kötü amaçlı yazılıma kodlanmış herhangi bir IP’yi veya etki alanını hızlı bir şekilde tanımlayabildiğinden, uzun süre tespit edilmekten kaçınmak istiyorlarsa çok sayıda alana ihtiyaç duyarlar. Bu nedenle, suçları için çok sayıda potansiyel ev yaratıp bunlar arasında geçiş yapan etki alanı oluşturma algoritmalarını (DGA’lar) kullanıyorlar.
DGA’larla ilgili sorun, oluşturdukları sözde rastgele URL’lerin çoğunluğunun aslında kayıtlı olmaması ve çağrıldığında bir hata mesajı döndürmesidir.
Prolific Puma’nın işleyişinin anahtarı, Infoblox’un “kayıtlı” alan adı oluşturma algoritması veya RGDA olarak adlandırdığı şeydir. Bunlar, tümü uygun şekilde kayıtlı yüz binlerce alan oluşturmak için kayıt şirketleri tarafından sunulan API’lerden yararlanarak siber saldırganlara altyapıları için daha fazla sağlamlık ve hata toleransı sağlar.
Üstelik bunlar herhangi bir alan da değil. Üretken Puma’nın .me, .cc ve sıklıkla .info gibi ortak üst düzey alanları (TLD’ler) kullandığı gözlemlendi. Ancak Mayıs 2023’ten bu yana alan adlarının yarısından fazlasının üzerinde .us etiketi bulunuyor.
Ancak .us TLD’leri Amerikan vatandaşlarına ve kuruluşlarına ayrılmıştır ve hak talebinde bulunan kişilerin durumlarını kanıtlayan belirli kişisel bilgileri kamuya açık bir şekilde açıklamasını gerektirir. Ancak uygulamada kurallar her zaman bu kadar güçlü bir şekilde uygulanmamaktadır.
Prolific Puma öncelikle .us TLD’ler için e-posta, fiziksel adres, telefon numarası ve ad gerektiren kayıt şirketi NameSilo’yu kullanır. NameSilo aslında bu bilgiyi doğrulamadığından formun tamamı sahte bilgilerle doldurulabilir. Dahası, tescil ettirenler, alan adlarının ödemesini yapmak için Bitcoin’i kullanabilir ve bu da sürece daha fazla anonimlik düzeyi katabilir.
Siber Suç Tedarik Zincirini Korumak
Üretken Puma, bu gözetim eksikliğini kötüye kullanarak siber suçlular için günde ortalama 20’den fazla yeni .us TLD alanı kaydettirmiyor. 4 Ekim itibarıyla araştırmacılar, şirketin yeni ve mevcut alan adlarını kişisel kullanıma dönüştürdüğünü, özel kayıt ayarlarını kullanarak .us TLD’nin varsayılan koşullarını ihlal ettiğini ve bunun hiçbir sonuç doğurmadığını gözlemledi.
O halde tedarik zincirinin bu önemli noktasında siber suçlarla mücadelenin alan adı kayıt şirketleriyle başladığı açıktır. Ancak Burton, bunu yapmanın “çok yönlü bir çaba gerektireceğini” söylüyor.
“Kayıt memurları ve sicil memurlarının polisin suistimal etmesindeki zorluk, hem teknik hem de politik zorluklardan kaynaklanmaktadır” diye açıklıyor. “Kayıt şirketleri ve kayıt otoriteleri, şüpheli etki alanlarını ve hizmetlerinin kullanıcılarını tanımlamalarına yardımcı olmak için üçüncü taraf tehdit istihbaratını kullanabilir. Kendi kayıtlarında anormallik tespitine yönelik algoritmaları bağımsız olarak çalıştırabilirler. Ayrıca Kimlik Avını Önleme gibi siber güvenlik savunucu gruplarıyla çalışabilirler. Çalışma Grubu (APWG), politika kararlarını bilgilendirmeye yardımcı olacak ve tüketicilerin güvenliğini sağlarken gizlilik hususlarının da korunmasını sağlayacak.”