Siber Muhbir

Infoblox ve Eclypsium tarafından yayınlanan ortak bir analiz, alan adı sistemindeki (DNS) zayıflıklardan yararlanan güçlü saldırı vektörünün, bir düzineden fazla Rus-nexus siber suçlu aktörü tarafından alan adlarını gizlice ele geçirmek için kullanıldığını ortaya koydu.

Araştırmacılar, "Bir Oturan Ördekler saldırısında, aktör, DNS sağlayıcısında veya kayıt şirketinde gerçek sahibinin hesabına erişmeden, yetkili bir DNS hizmetinde veya web barındırma sağlayıcısında şu anda kayıtlı bir alan adını ele geçirir" dedi.

"Oturan Ördeklerin gerçekleştirilmesi daha kolaydır, başarılı olma olasılığı daha yüksektir ve sarkan CNAME'ler gibi diğer iyi duyurulmuş alan ele geçirme saldırı vektörlerinden daha zordur."

Bir alan adı tehdit aktörü tarafından ele geçirildikten sonra, meşru sahibiyle ilişkili güveni kötüye kullanırken kötü amaçlı yazılım sunmak ve spam yapmak da dahil olmak üzere her türlü kötü niyetli faaliyet için kullanılabilir.

"Zararlı" saldırı tekniğinin detayları ilk olarak 2016 yılında belgelendi, ancak bugüne kadar büyük ölçüde bilinmiyor ve çözülmedi. 2018'den bu yana 35.000'den fazla alan adının ele geçirildiği tahmin ediliyor.

Infoblox'un tehdit istihbaratı başkan yardımcısı Dr. Renee Burton, verdiği demeçte, "Bu bizim için bir gizem" dedi. "Potansiyel müşterilerden, örneğin, aynı zamanda unutulmuş kayıtların ele geçirilmesi olan sarkan CNAME saldırıları hakkında sık sık sorular alıyoruz, ancak Oturan Ördeklerin kaçırılması hakkında hiçbir zaman bir soru almadık."

Söz konusu olan, alan adı kayıt şirketindeki yanlış yapılandırma ve yetkili DNS sağlayıcısındaki yetersiz sahiplik doğrulaması, ad sunucusunun hizmet vermek üzere listelendiği bir alan adı için yetkili olarak yanıt verememesi (yani, yetersiz delegasyon) gerçeğiyle birleştiğinde.

Ayrıca, yetkili DNS sağlayıcısının istismar edilebilir olmasını gerektirir ve saldırganın, etki alanı kayıt şirketindeki geçerli sahibin hesabına erişimi olmasa da, yetki verilmiş yetkili DNS sağlayıcısında etki alanının sahipliğini talep etmesine izin verir.

Böyle bir senaryoda, etki alanı için yetkili DNS hizmetinin süresi dolarsa, tehdit aktörü sağlayıcıda bir hesap oluşturabilir ve etki alanının sahipliğini talep edebilir ve sonuçta kötü amaçlı yazılım dağıtmak için etki alanının arkasındaki markanın kimliğine bürünebilir.

Burton, "Bir alan adının kaydedildiği, devredildiği, ancak sağlayıcıda yapılandırılmadığı durumlar da dahil olmak üzere [Oturan Ördekler'in] birçok varyasyonu var" dedi.

Oturan Ördekler saldırısı, 404 TDS (diğer adıyla Vacant Viper) ve VexTrio Viper gibi birden fazla trafik dağıtım sistemini (TDS) beslemek için kullanılan çalıntı alan adlarıyla yıllar boyunca farklı tehdit aktörleri tarafından silahlandırıldı. Ayrıca, Spammy Bear olarak izlenen bir etkinlik kümesi olan bomba tehdidi aldatmacalarını ve cinsel şantaj dolandırıcılıklarını yaymak için de kullanıldı.

Burton, "Kuruluşlar, sahip oldukları alan adlarını topal olup olmadığını kontrol etmeli ve Oturan Ördeklere karşı koruması olan DNS sağlayıcılarını kullanmalıdır" dedi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.