Siber suçlular, alan sahiplerine veya kullanıcılara doğrudan saldırmak veya bunları kimlik avı, kötü amaçlı yazılım dağıtımı ve komuta ve kontrol (C2) operasyonları gibi çeşitli hain girişimler için kullanmak amacıyla alan adlarını tehlikeye atar. Etki alanı gölgeleme olarak bilinen özel bir DNS ele geçirme durumu, saldırganların güvenliği ihlal edilmiş etki alanı adları altında gizlice kötü amaçlı alt etki alanları oluşturduğu yerdir.
Gölge alanlar, güvenliği ihlal edilmiş alanların normal çalışmasını etkilemez ve bu da bunların kurbanlar tarafından tespit edilmesini zorlaştırır. Bu alt alan adının göze çarpmaması, genellikle faillerin güvenliği ihlal edilmiş alan adının iyi itibarını uzun bir süre boyunca kullanmasına olanak tanır.
Siber saldırılar için popüler saldırı yolu
Mevcut tehdit araştırmasına dayalı algılama yaklaşımları, ilgili etki alanları için farklı veri kümelerine bakmadan önce gölgeli etki alanlarını kullanarak kötü amaçlı kampanyaları algılamaya dayalı olarak, emek yoğun ve yavaştır. Bu sorunları çözmek için Palo Alto Networks, daha önce bilinmeyen kampanyalar için gölgeli alanları daha hızlı ve geniş ölçekte keşfetmek üzere otomatikleştirilmiş bir işlem hattı tasarladı ve uyguladı.
Sistem, olası gölgeleme alanlarıyla ilgili özellikleri ayıklamak için terabaytlarca pasif DNS günlüklerini günlük olarak işler. Bu özelliklere dayanarak, Schadow alan adlarını tanımlamak için yüksek hassasiyetli bir makine öğrenimi modeli kullanır. Model, güvenliği ihlal edilmiş düzinelerce alan adı arasından günlük olarak oluşturulan yüzlerce gölge alan adı bulur.
Gölgeli alanları keşfedin
Gölgeli etki alanlarını tespit etmenin ne kadar zor olduğunu göstermek için Palo Alto Networks araştırmacıları, 12.197 Nisan ile 25 Haziran 27 arasında otomatik olarak algıladıkları 2022 gölgeli alandan yalnızca 200 alanın VirusTotal'da satıcılar tarafından kötü amaçlı olarak işaretlendiğini buldu. Örnek olarak, bancobpmavfhxcc.barwonbluff.com[.]au ve carriernhousvz.brisbanegateway[.]com gibi güvenliği ihlal edilmiş 649 alan adı altında 16 gizli alt alan kullanan bir kimlik avı kampanyasının ayrıntılı bir raporu. Failler, sahte oturum açma sayfaları dağıtmak ve oturum açma kimlik bilgilerini toplamak için bu alanın iyi itibarından yararlandı. VT Sağlayıcısının performansı bu özel kampanyada önemli ölçüde daha iyi: 151 gölge etki alanından 649'i tehlikeli olarak sınıflandırıldı, ancak yine de tüm alanların dörtte birinden azı.
Etki alanı gölgeleme nasıl çalışır?
Siber suçlular, alan adlarını C2 sunucularıyla iletişim kurmak, kötü amaçlı yazılım yaymak, dolandırıcılık ve kimlik avı dahil olmak üzere çeşitli yasa dışı amaçlar için kullanır. Dolandırıcılar, bu faaliyetleri desteklemek için alan adları satın alabilir (kötü amaçlı kayıt) veya mevcut alan adlarını tehlikeye atabilir (DNS ele geçirme/tehlikeye atma). Suçluların bir alan adını ele geçirme yolları arasında, alan sahibinin kayıt şirketi veya DNS hizmet sağlayıcısı ile olan kimlik bilgilerini çalmak, kayıt şirketi veya DNS hizmet sağlayıcısını tehlikeye atmak, DNS sunucusunun kendisini tehlikeye atmak veya sarkan Etki Alanlarını kötüye kullanmak yer alır.
Etki alanı gölgeleme, saldırganların fark edilmeden gitmeye çalıştıkları bir DNS ele geçirme alt kategorisidir. İlk olarak, siber suçlular, güvenliği ihlal edilmiş alan adının altına gizlice alt alan adları ekler. İkinci olarak, güvenliği ihlal edilmiş etki alanını kullanan web siteleri, e-posta sunucuları ve diğer hizmetler gibi hizmetlerin normal çalışmasına izin vermek için mevcut kayıtları tutarlar. Suçlular, mevcut hizmetlerin kesintisiz çalışmasını sağlayarak, uzlaşmayı alan sahipleri için görünmez hale getirir ve kötü niyetli girişlerin temizlenmesini olası değildir. Sonuç olarak, etki alanı gölgeleme, saldırganların güvenliği ihlal edilmiş etki alanının itibarını devralan neredeyse sınırsız alt etki alanlarına erişim sağlar.
Saldırganlar, mevcut alan adlarının DNS kayıtlarını değiştirir
Saldırganlar mevcut alan adlarının DNS kayıtlarını değiştirdiklerinde, bu alan adlarının sahiplerini veya kullanıcılarını hedef alırlar. Ancak suçlular, genel kimlik avı kampanyaları veya botnet operasyonları gibi çabaları desteklemek için genellikle altyapılarının bir parçası olarak gölge alan adlarını kullanır. Kimlik avı durumunda, suçlular gölge etki alanlarını kimlik avı e-postasında başlangıç etki alanı olarak, kötü amaçlı bir yönlendirmede (örneğin, kötü niyetli bir trafik dağıtım sisteminde) bir ara düğüm olarak veya kimlik avı web sitesini barındıran bir açılış sayfası olarak kullanabilir. Örneğin, botnet işlemlerinde, C2 iletişimlerini gizlemek için bir gölge etki alanı proxy etki alanı olarak kullanılabilir.
Etki alanı gölgelemesi nasıl tanınır?
Gölge etki alanı tespitine yönelik tehdit avcılığına dayalı yaklaşımlar aşağıdaki gibi sorunlara sahiptir: B. kapsam eksikliği, tespitin gecikmesi ve insan emeğine ihtiyaç duyulması. Bu nedenle Palo Alto Networks, pasif DNS trafik protokollerinden (pDNS) yararlanan bir algılama hattı geliştirdi. Bu özellikler, algılama hattının çekirdeğini oluşturan bir makine öğrenimi sınıflandırıcısını eğitmek için kullanıldı.
Makine öğrenimi sınıflandırıcısı için tasarım yaklaşımı
Özellikler üç gruba ayrılır: potansiyel gölge alanın kendisiyle ilgili olanlar, potansiyel gölge alanın kök alanıyla ilgili olanlar ve potansiyel gölge alanın IP adresleriyle ilgili olanlar.
İlk grup, gölge etki alanının kendisine özgüdür. FQDN düzeyinde bu özelliklerin örnekleri şunlardır:
- Kök etki alanının (ve ülke/özerk sisteminin) IP adresinden IP adresi sapması.
- İlk ziyaret tarihi ile kök etki alanına ilk ziyaret tarihi arasındaki fark.
- Alt alan adının popüler olup olmadığı.
İkinci özellik grubu, gölge alan adayının kök alanını tanımlar. Bunun için örnekler:
- Popülerin, kök alanın tüm alt alanlarına oranı.
- Alt alan adlarının ortalama IP ofseti.
- Alt alan adlarının etkin olduğu ortalama gün sayısı.
Üçüncü özellik grubu, gölge etki alanı aday IP adresleriyle ilgilidir, örneğin:
- IP üzerindeki tepe etki alanının FQDN'ye oranı.
- Bu IP'yi kullanan alt alan adlarının ortalama IP ülke uzaklığı.
Sonuç
Siber suçlular, kimlik avı ve botnet operasyonları dahil olmak üzere çeşitli yasa dışı faaliyetler için gölge alanları kullanır. VirusTotal'ın sağlayıcıları bu alanların yüzde ikisinden daha azını kapsadığı için gölge etki alanlarını tespit etmek zordur. Geleneksel tehdit araştırmasına dayalı yaklaşımlar çok yavaş olduğundan ve gölge alanların çoğunu tespit etmekte başarısız olduğundan, pDNS verilerine dayalı otomatik bir tespit sistemi önerilir. Makine öğrenimine dayalı yüksek hassasiyetli bir algılayıcı, terabaytlarca DNS günlüklerini işler ve her gün yüzlerce gölgeli etki alanı keşfeder.
PaloAltoNetworks.com'da daha fazlası
Palo Alto Ağları Hakkında Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.
Konuyla ilgili makaleler
- kontrol listesi
- Düzeltilmiş düğme adresi ve resim yazısı
- Seçilen kategori - ortaklar için artı ortak şirket adı 2 olarak.
- Görüntü yerleşik veya B2B standart küçük resim
- Açıklama ve alternatif metin olarak yeni resim için başlık
- Anahtar Kelimeler - Metinden itibaren 4 ila 6, şirket ismi ile başlayarak (Sophos, IT security, attack...)
- Reklam ayarları: yalnızca ortaklar için her iki kutuyu da işaretleyin -> o zaman kapalıdır
- Yoast SEO kutusunda sonraki
- Meta açıklamasındaki başlığı temizleyin ve kısaltın
- Odak anahtar kelimesini ayarlayın – başlığa ve giriş metnine dahil edilmelidir
- Portakalın iyiliğinin kolayca yeşile getirilip getirilemeyeceğine dair birinci sınıf SEO analizini ortaya çıkarın