Etki Alanı Gölgeleme - Siber Suçlar için DNS İhlali

2. 2022. Dezember XNUMX Aralık XNUMX
| Yorum yok
Etki Alanı Gölgeleme - Siber Suçlar için DNS İhlali

Gönderiyi paylaş

Siber suçlular, alan sahiplerine veya kullanıcılara doğrudan saldırmak veya bunları kimlik avı, kötü amaçlı yazılım dağıtımı ve komuta ve kontrol (C2) operasyonları gibi çeşitli hain girişimler için kullanmak amacıyla alan adlarını tehlikeye atar. Etki alanı gölgeleme olarak bilinen özel bir DNS ele geçirme durumu, saldırganların güvenliği ihlal edilmiş etki alanı adları altında gizlice kötü amaçlı alt etki alanları oluşturduğu yerdir. 

Gölge alanlar, güvenliği ihlal edilmiş alanların normal çalışmasını etkilemez ve bu da bunların kurbanlar tarafından tespit edilmesini zorlaştırır. Bu alt alan adının göze çarpmaması, genellikle faillerin güvenliği ihlal edilmiş alan adının iyi itibarını uzun bir süre boyunca kullanmasına olanak tanır.

Siber saldırılar için popüler saldırı yolu

Mevcut tehdit araştırmasına dayalı algılama yaklaşımları, ilgili etki alanları için farklı veri kümelerine bakmadan önce gölgeli etki alanlarını kullanarak kötü amaçlı kampanyaları algılamaya dayalı olarak, emek yoğun ve yavaştır. Bu sorunları çözmek için Palo Alto Networks, daha önce bilinmeyen kampanyalar için gölgeli alanları daha hızlı ve geniş ölçekte keşfetmek üzere otomatikleştirilmiş bir işlem hattı tasarladı ve uyguladı.

Sistem, olası gölgeleme alanlarıyla ilgili özellikleri ayıklamak için terabaytlarca pasif DNS günlüklerini günlük olarak işler. Bu özelliklere dayanarak, Schadow alan adlarını tanımlamak için yüksek hassasiyetli bir makine öğrenimi modeli kullanır. Model, güvenliği ihlal edilmiş düzinelerce alan adı arasından günlük olarak oluşturulan yüzlerce gölge alan adı bulur.

Gölgeli alanları keşfedin

Gölgeli etki alanlarını tespit etmenin ne kadar zor olduğunu göstermek için Palo Alto Networks araştırmacıları, 12.197 Nisan ile 25 Haziran 27 arasında otomatik olarak algıladıkları 2022 gölgeli alandan yalnızca 200 alanın VirusTotal'da satıcılar tarafından kötü amaçlı olarak işaretlendiğini buldu. Örnek olarak, bancobpmavfhxcc.barwonbluff.com[.]au ve carriernhousvz.brisbanegateway[.]com gibi güvenliği ihlal edilmiş 649 alan adı altında 16 gizli alt alan kullanan bir kimlik avı kampanyasının ayrıntılı bir raporu. Failler, sahte oturum açma sayfaları dağıtmak ve oturum açma kimlik bilgilerini toplamak için bu alanın iyi itibarından yararlandı. VT Sağlayıcısının performansı bu özel kampanyada önemli ölçüde daha iyi: 151 gölge etki alanından 649'i tehlikeli olarak sınıflandırıldı, ancak yine de tüm alanların dörtte birinden azı.

Etki alanı gölgeleme nasıl çalışır?

Siber suçlular, alan adlarını C2 sunucularıyla iletişim kurmak, kötü amaçlı yazılım yaymak, dolandırıcılık ve kimlik avı dahil olmak üzere çeşitli yasa dışı amaçlar için kullanır. Dolandırıcılar, bu faaliyetleri desteklemek için alan adları satın alabilir (kötü amaçlı kayıt) veya mevcut alan adlarını tehlikeye atabilir (DNS ele geçirme/tehlikeye atma). Suçluların bir alan adını ele geçirme yolları arasında, alan sahibinin kayıt şirketi veya DNS hizmet sağlayıcısı ile olan kimlik bilgilerini çalmak, kayıt şirketi veya DNS hizmet sağlayıcısını tehlikeye atmak, DNS sunucusunun kendisini tehlikeye atmak veya sarkan Etki Alanlarını kötüye kullanmak yer alır.

Etki alanı gölgeleme, saldırganların fark edilmeden gitmeye çalıştıkları bir DNS ele geçirme alt kategorisidir. İlk olarak, siber suçlular, güvenliği ihlal edilmiş alan adının altına gizlice alt alan adları ekler. İkinci olarak, güvenliği ihlal edilmiş etki alanını kullanan web siteleri, e-posta sunucuları ve diğer hizmetler gibi hizmetlerin normal çalışmasına izin vermek için mevcut kayıtları tutarlar. Suçlular, mevcut hizmetlerin kesintisiz çalışmasını sağlayarak, uzlaşmayı alan sahipleri için görünmez hale getirir ve kötü niyetli girişlerin temizlenmesini olası değildir. Sonuç olarak, etki alanı gölgeleme, saldırganların güvenliği ihlal edilmiş etki alanının itibarını devralan neredeyse sınırsız alt etki alanlarına erişim sağlar.

Saldırganlar, mevcut alan adlarının DNS kayıtlarını değiştirir

Saldırganlar mevcut alan adlarının DNS kayıtlarını değiştirdiklerinde, bu alan adlarının sahiplerini veya kullanıcılarını hedef alırlar. Ancak suçlular, genel kimlik avı kampanyaları veya botnet operasyonları gibi çabaları desteklemek için genellikle altyapılarının bir parçası olarak gölge alan adlarını kullanır. Kimlik avı durumunda, suçlular gölge etki alanlarını kimlik avı e-postasında başlangıç ​​etki alanı olarak, kötü amaçlı bir yönlendirmede (örneğin, kötü niyetli bir trafik dağıtım sisteminde) bir ara düğüm olarak veya kimlik avı web sitesini barındıran bir açılış sayfası olarak kullanabilir. Örneğin, botnet işlemlerinde, C2 iletişimlerini gizlemek için bir gölge etki alanı proxy etki alanı olarak kullanılabilir.

Etki alanı gölgelemesi nasıl tanınır?

Gölge etki alanı tespitine yönelik tehdit avcılığına dayalı yaklaşımlar aşağıdaki gibi sorunlara sahiptir: B. kapsam eksikliği, tespitin gecikmesi ve insan emeğine ihtiyaç duyulması. Bu nedenle Palo Alto Networks, pasif DNS trafik protokollerinden (pDNS) yararlanan bir algılama hattı geliştirdi. Bu özellikler, algılama hattının çekirdeğini oluşturan bir makine öğrenimi sınıflandırıcısını eğitmek için kullanıldı.

Makine öğrenimi sınıflandırıcısı için tasarım yaklaşımı

Özellikler üç gruba ayrılır: potansiyel gölge alanın kendisiyle ilgili olanlar, potansiyel gölge alanın kök alanıyla ilgili olanlar ve potansiyel gölge alanın IP adresleriyle ilgili olanlar.

İlk grup, gölge etki alanının kendisine özgüdür. FQDN düzeyinde bu özelliklerin örnekleri şunlardır:

  • Kök etki alanının (ve ülke/özerk sisteminin) IP adresinden IP adresi sapması.
  • İlk ziyaret tarihi ile kök etki alanına ilk ziyaret tarihi arasındaki fark.
  • Alt alan adının popüler olup olmadığı.

İkinci özellik grubu, gölge alan adayının kök alanını tanımlar. Bunun için örnekler:

  • Popülerin, kök alanın tüm alt alanlarına oranı.
  • Alt alan adlarının ortalama IP ofseti.
  • Alt alan adlarının etkin olduğu ortalama gün sayısı.

Üçüncü özellik grubu, gölge etki alanı aday IP adresleriyle ilgilidir, örneğin:

  • IP üzerindeki tepe etki alanının FQDN'ye oranı.
  • Bu IP'yi kullanan alt alan adlarının ortalama IP ülke uzaklığı.

Sonuç

Siber suçlular, kimlik avı ve botnet operasyonları dahil olmak üzere çeşitli yasa dışı faaliyetler için gölge alanları kullanır. VirusTotal'ın sağlayıcıları bu alanların yüzde ikisinden daha azını kapsadığı için gölge etki alanlarını tespit etmek zordur. Geleneksel tehdit araştırmasına dayalı yaklaşımlar çok yavaş olduğundan ve gölge alanların çoğunu tespit etmekte başarısız olduğundan, pDNS verilerine dayalı otomatik bir tespit sistemi önerilir. Makine öğrenimine dayalı yüksek hassasiyetli bir algılayıcı, terabaytlarca DNS günlüklerini işler ve her gün yüzlerce gölgeli etki alanı keşfeder.

PaloAltoNetworks.com'da daha fazlası

 

Palo Alto Ağları Hakkında

Siber güvenlik çözümlerinde dünya lideri olan Palo Alto Networks, insanların ve işletmelerin çalışma şeklini değiştiren teknolojilerle bulut tabanlı geleceği şekillendiriyor. Misyonumuz, tercih edilen siber güvenlik ortağı olmak ve dijital yaşam biçimimizi korumaktır. Yapay zeka, analitik, otomasyon ve orkestrasyondaki en son atılımlardan yararlanan sürekli yenilikle dünyanın en büyük güvenlik sorunlarını çözmenize yardımcı oluyoruz. Entegre bir platform sunarak ve büyüyen bir iş ortağı ekosistemini güçlendirerek, bulutlar, ağlar ve mobil cihazlar genelinde on binlerce işletmeyi korumada lideriz. Vizyonumuz, her günün bir öncekinden daha güvenli olduğu bir dünyadır.

 

Konuyla ilgili makaleler

BT güvenliği: NIS-2 bunu birinci öncelik haline getiriyor

Alman şirketlerinin yalnızca dörtte birinde yönetim BT güvenliği sorumluluğunu üstleniyor. Özellikle küçük şirketlerde ➡ Devamını oku

Siber saldırılar 104'te yüzde 2023 artacak

Bir siber güvenlik şirketi geçen yılın tehdit ortamını inceledi. Sonuçlar şu konularda önemli bilgiler sağlıyor: ➡ Devamını oku

Mobil casus yazılımlar işletmeler için tehdit oluşturuyor

Giderek daha fazla insan hem günlük yaşamda hem de şirketlerde mobil cihaz kullanıyor. Bu aynı zamanda “mobil ➡ Devamını oku

Kitle kaynaklı güvenlik birçok güvenlik açığını tespit ediyor

Kitle kaynaklı güvenlik geçen yıl önemli ölçüde arttı. Kamu sektöründe önceki yıla göre yüzde 151 daha fazla güvenlik açığı rapor edildi. ➡ Devamını oku

Siber suçlular öğreniyor

Güvenlik araştırmacıları, artan siber tehditlere ilişkin endişe verici bir tablo çizen 2024 Olay Müdahale Raporu'nu yayınladı. Bulgular şunlara dayanmaktadır: ➡ Devamını oku

Dijital Güvenlik: Tüketiciler en çok bankalara güveniyor

Dijital güven araştırması, tüketicilerin en çok güvendiği alanların bankalar, sağlık hizmetleri ve hükümet olduğunu gösterdi. Medya- ➡ Devamını oku

Darknet iş değişimi: Bilgisayar korsanları içerideki hainleri arıyor

Darknet yalnızca yasadışı malların takas edildiği bir yer değil, aynı zamanda bilgisayar korsanlarının yeni suç ortakları aradığı bir yer ➡ Devamını oku

Güneş enerjisi sistemleri – ne kadar güvenli?

Bir çalışma güneş enerjisi sistemlerinin BT güvenliğini inceledi. Sorunlar arasında veri aktarımı sırasında şifreleme eksikliği, standart şifreler ve güvenli olmayan ürün yazılımı güncellemeleri yer alıyor. akım ➡ Devamını oku

  • kontrol listesi
  • Düzeltilmiş düğme adresi ve resim yazısı
  • Seçilen kategori - ortaklar için artı ortak şirket adı 2 olarak.
  • Görüntü yerleşik veya B2B standart küçük resim
  • Açıklama ve alternatif metin olarak yeni resim için başlık
  • Anahtar Kelimeler - Metinden itibaren 4 ila 6, şirket ismi ile başlayarak (Sophos, IT security, attack...)
  • Reklam ayarları: yalnızca ortaklar için her iki kutuyu da işaretleyin -> o zaman kapalıdır
  • Yoast SEO kutusunda sonraki
  •  Meta açıklamasındaki başlığı temizleyin ve kısaltın
  • Odak anahtar kelimesini ayarlayın – başlığa ve giriş metnine dahil edilmelidir
  • Portakalın iyiliğinin kolayca yeşile getirilip getirilemeyeceğine dair birinci sınıf SEO analizini ortaya çıkarın

 

 

Stories
, , , ,