Palo Alto Networks’teki (Unit 42) tehdit analistleri, ‘alan gölgelemesi’ olgusunun önceden düşünülenden daha yaygın olabileceğini keşfetti ve Nisan ve Haziran 2022 arasında web’i tararken 12.197 vakayı ortaya çıkardı.
Etki alanı gölgeleme, tehdit aktörlerinin kötü amaçlı etkinliklerde kullanmak üzere kendi alt etki alanlarını barındırmak için meşru bir etki alanının DNS’sini tehlikeye attığı ancak zaten var olan meşru DNS girişlerini değiştirmediği bir DNS ele geçirme alt kategorisidir.
Bu alt alanlar daha sonra siber suçluların sunucularında kötü amaçlı sayfalar oluşturmak için kullanılırken, alan sahibinin sitesinin web sayfaları ve DNS kayıtları değişmeden kalır ve sahipler ihlal edildiğinin farkına varmaz.
Bu arada, tehdit aktörleri, güvenlik kontrollerini atlamak için ele geçirilen alanın itibarını kötüye kullanarak C2 (komut ve kontrol) adreslerini, kimlik avı sitelerini ve kötü amaçlı yazılım bırakma noktalarını barındırmakta özgürdür.
Saldırganlar, DNS kayıtlarını, güvenliği ihlal edilen etki alanlarının kullanıcılarını ve sahiplerini hedeflemek için teorik olarak değiştirebilir, ancak genellikle yukarıda açıklanan gizli yolu tercih ederler.
tespit edilmesi zor
Ünite 42, gerçek alan gölgeleme vakalarını tespit etmenin özellikle zor olduğunu ve bu da taktiği failler için çok çekici hale getirdiğini açıklıyor.
Analistler, VirusTotal’ın Palo Alto’nun dedektörlerinin ortaya çıkardığı 12.197 alandan yalnızca 200’ünü kötü amaçlı olarak işaretlediğini belirtiyor.
VirusTotal algılamalarının çoğu (151), güvenliği ihlal edilmiş 16 web sitesinde 649 gölgeli alandan oluşan bir ağ kullanan tek bir kimlik avı kampanyasıyla ilgiliydi.
“Bu sonuçlardan, etki alanı gölgelemenin kuruluş için aktif bir tehdit olduğu ve büyük miktarda DNS günlüklerini analiz edebilen otomatik makine öğrenimi algoritmalarından yararlanmadan tespit edilmesinin zor olduğu sonucuna varıyoruz.” – Ünite 42
Ayrıca, iyi bir üne sahip alanlarda barındırılan kimlik avı sayfaları, bir ziyaretçiye güvenilir görünerek, sayfaya veri gönderme olasılıklarının daha yüksek olmasına neden olur.
Gölgeleme kimlik avı kampanyası
Palo Alto’nun araştırmacıları tarafından keşfedilen kimlik avı kampanyası, 649 alt etki alanı oluşturmak, sahte giriş sayfaları veya kimlik avı sayfalarına yeniden yönlendirme noktaları oluşturmak için 16 etki alanını tehlikeye attı.
Kimlik avı sitelerine yeniden yönlendirilen alt alanlar, kötü niyetli hiçbir şey barındırmadıkları ve iyi niyetli bir üne sahip oldukları için e-posta güvenlik filtrelerini kolayca atlayabilir.
Tehdit aktörleri Microsoft hesabı kimlik bilgilerini hedefler ve URL açıkça Microsoft ile ilgili olmasa da internet güvenlik araçlarından gelen uyarıları tetiklemez.
Bir durumda, alan sahipleri uzlaşmayı fark ettiler, ancak çok sayıda alt alan oluşturulduktan ve altyapıları üzerinde kötü amaçlı operasyonları kolaylaştırmadan önce değil.
Hileli alt etki alanlarından korunma, etki alanı sahiplerinin, kayıt şirketlerinin ve DNS hizmet sağlayıcılarının sorumluluğunda olsa da, kullanıcıların veri gönderirken her zaman dikkatli olmaları akıllıca olacaktır.
Bu, iyi bilinen bir etki alanındaki bir alt etki alanının kötü niyetli olma olasılığını ve kullanıcıların kimlik bilgilerini veya diğer hassas bilgileri göndermeden önce her şeyi iki kez kontrol etme olasılığını içerir.