Kötü niyetli kişilerin İnternet’in DNS protokolündeki güvenlik açıklarından yararlandığı Alan Adı Sistemine (DNS) yönelik saldırılar çok yaygın ve maliyetlidir.

Etki Alanı Adı Sistemi (Alan Adı Sistemi) sürekli saldırı altındadır ve tehditler daha karmaşık hale geldikçe bu saldırıların sonu gelmez gibi görünmektedir. DNS, İnternet’in telefon rehberi kadardır, bilinen isimleri bilgisayarların bir web sitesine erişmek veya e-posta göndermek için ihtiyaç duyduğu sayılara çeviren küresel İnternet altyapısının bir parçasıdır. DNS uzun süredir her türlü kurumsal ve özel bilgiyi çalmak için tasarlanmış saldırıların hedefi olsa da, geçtiğimiz yıl içinde ortaya çıkan tehditler durumun kötüleştiğini gösteriyor.

Ayrıca kontrol edin:

DNS’nin görevi, bir kullanıcının bir arama alanına (insan tarafından okunabilen ad olarak bilinir) girebileceği bir terimi, cihazın bir web sitesine erişmesi veya e-posta göndermesi için ihtiyaç duyduğu uygun sayı dizisine (IP adresi) çevirmektir. Bu yeri doldurulamaz sistemlere yapılan saldırılar son derece kötü niyetli olabilir.

Kuzey Amerika, Avrupa ve Asya-Pasifik bölgesindeki 1.100’den fazla kuruluşla yapılan 2021 IDC araştırması, bunların %87’sinin DNS saldırılarına maruz kaldığını tespit etti. Her bir saldırının ortalama maliyeti, tüm bölgeler için yaklaşık 950.000 dolar ve Kuzey Amerika kuruluşları için yaklaşık 1 milyon dolardı.

DNS nedir ve nasıl çalışır?

Raporda ayrıca, tüm sektörlerdeki kuruluşların geçen yıl ortalama 7,6 saldırı yaşadığı belirtildi.

Rapora göre, COVID-19’un saha dışı çalışmaya geçişi ve şirketlerin kullanılabilirliklerini artırmak için kaynakları buluta taşımaya verdiği yanıt, saldırganlar için yeni hedefler haline geldi.

Çalışma ayrıca DNS yoluyla veri hırsızlığında keskin bir artış buldu – kuruluşların %26’sı gizli müşteri bilgilerini çaldığını bildirdi, bu oran 2020’de %16’ydı.

En yaygın DNS saldırı türlerini sunuyoruz.

DNS Boost, DDOS Saldırılarını Tetikler

DNS yükseltme saldırısı, hedef sistemi DNS yanıt trafiğiyle aşırı yüklemek için açık ve herkese açık DNS sunucularını kullanan Dağıtılmış Hizmet Reddi’nin (DDoS) yaygın bir biçimidir.

ABD’nin ülkenin fiziksel ve elektronik altyapısının dayanıklılığını artırma çabalarına öncülük eden Siber Güvenlik ve Altyapı Ajansı’na (CISA) göre, bir saldırgan, kaynak adresi olarak ayarlanmış bir DNS adı için açık bir DNS sunucusuna arama isteği gönderir. varış noktası.

DNS sunucusu, DNS kaydına bir yanıt gönderdiğinde, hedefe gönderilir. CISA, saldırganların genellikle parlatma etkisini en üst düzeye çıkarmak için mümkün olduğunca fazla alan bilgisi almak için bir istek gönderdiğini söyledi. US-CERT tarafından gözlemlenen bu tür saldırıların çoğunda, saldırganlar tarafından gönderilen tasarlanmış sorgular, bilinen tüm DNS bölge bilgilerini tek bir sorguda döndüren “any” türündedir.

Yanıt hacmi isteklerden çok daha büyük olduğu için saldırgan, hedef sistemlere yönlendirilen trafik hacmini artırabilir. CISA’ya göre, çok sayıda uyarlanmış DNS sorgusu oluşturmak için botnet’leri kullanan bir saldırgan, fazla çaba harcamadan büyük ağ trafiği oluşturabilir.

Ajans, yanıtların önemli sunuculardan gelen meşru veriler olduğundan, bu tür saldırıları önlemenin çok zor olduğunu söyledi. US-CERT tarafından gözlemlenen bu saldırının en yaygın biçimi, İnternet’teki herhangi bir istemcide sınırsız yinelemeli sorun gidermeye olanak sağlayacak şekilde yapılandırılmış DNS sunucularıdır. CISA, saldırıların sık sorun giderme sağlamayan güvenilir ad sunucularını da hedefleyebileceğini not eder.

DNS Sahtekarlığı / Önbellek Bozulması

Önbellek bozulması olarak da bilinen DNS sahtekarlığını kullanan kötü niyetli kişiler, onları ele geçirmek için DNS sunucularındaki zayıflıkları kullanır. Saldırganlar, önbellek bozulmasından yararlanarak, kullanıcıları saldırganların sahip olduğu sitelere yönlendirmek amacıyla DNS çözümleyici önbellek sistemlerine kötü amaçlı veriler enjekte eder. Saldırganlar daha sonra kişisel verileri çalabilir veya diğer bilgileri ele geçirebilir.

Saldırganlar DNS sunucusunun kontrolünü ele geçirdiklerinde önbellekteki bilgileri değiştirebilirler (bu DNS zehirlenmesidir). DNS önbelleği bozulma kodu, genellikle spam veya kimlik avı e-postalarında gönderilen URL’lerde bulunur. Bu mesajlar, saldırganlar tarafından sağlanan bir URL’ye tıklamayı gerektiren, hemen ilgilenilmesi gereken bir olay hakkında kullanıcıları uyarmaya çalışır.

DNS sunucuları, diğer DNS sunucularının önbelleklerine erişebilir ve saldırı bu şekilde çok geniş bir alana yayılır. DNS’yi bozmanın ana riski veri hırsızlığıdır. Başka bir büyük risk: İnternet güvenlik sağlayıcınızın web sitesi tahrif edilirse, meşru güvenlik güncellemeleri yapılmayacağından bilgisayarınız virüs veya Truva atı gibi ek tehditlere maruz kalabilir.

DNS Tüneli

DNS’ye saldırmanın bir başka yaygın yolu ve en eskilerinden biri, DNS tünellemedir. Bu saldırılar, bir istemci-sunucu modelinde kötü amaçlı yazılımları ve diğer verileri iletmek için DNS protokolünü kullanır. Bu yükler, DNS sunucusunun kontrolünü ele geçirebilir ve saldırganların sunucuyu ve uygulamalarını yönetmesine izin verebilir.

Tünel oluşturma, saldırgan ile hedef arasında – bir DNS çözümleyici aracılığıyla – güvenlik duvarını atlayabilen gizli bir bağlantı oluşturur. Siber suçlular, veri hırsızlığı gibi kötü niyetli faaliyetler için tüneli kullanabilir.

Çoğu durumda DNS tüneli, güvenliği ihlal edilmiş sistemin dahili DNS sunucusuna ağ erişimi yoluyla erişime izin veren harici ağ bağlantısına bağlıdır.

Hızlı Akış Güvenlik Kontrolünü Atlıyor

Fast Flux, saldırganların, botun ana sunucusuna ters proxy görevi gören güvenliği ihlal edilmiş ana bilgisayarların sürekli değişen IP adreslerini kullanarak kimlik avı ve kötü amaçlı yazılım etkinliklerini güvenlik tarayıcılarından gizlemek için botnet’leri kullandığı bir DNS kaçınma tekniğidir.

“Hızlı akış” terimi aynı zamanda, bir kötü amaçlı yazılım ağını algılamaya karşı bağışıklık kazandırmak için kullanılan eşler arası ağlar, dağıtılmış komut ve kontrol, ağ yük dengeleme ve proxy iletme kombinasyonunu ifade eder.

Fast Flux’un arkasındaki ana fikir, IP adresleri genellikle DNS kaynak kayıtları değiştirilerek değiştirildiğinden, tek bir meşru alan adıyla ilişkilendirilmiş çok sayıda IP adresine sahip olmaktır. Sertifikalı hızlı akış alan adı sunucuları çoğunlukla bir siber suçlu tarafından barındırılır.

DNS ele geçirme/yönlendirme

DNS ele geçirme (veya DNS yeniden yönlendirme), DNS sorgularının çözümlenme biçimini baltalama uygulamasıdır. Siber suçlular bunu, bir sistemin TCP/IP yapılandırmasının üzerine yazarak saldırganın kontrolündeki sahte bir DNS sunucusuna işaret eden kötü amaçlı yazılımları kullanarak veya güvenilir bir DNS sunucusunun davranışını İnternet standartlarıyla uyumsuz hale getirecek şekilde değiştirerek yapar. Kötü oyuncular bu modları kimlik avı gibi kötü amaçlı amaçlar için kullanır.

DNS kaçırmanın üç ana sürümü vardır:

Saldırganlar, etki alanı kayıt şirketinin hesabını ihlal eder ve DNS ad sunucusunu kontrol ettikleri bir sunucuyla değiştirir Etki alanının IP adresi kaydını saldırganın adresini gösterecek şekilde değiştirme

Saldırganlar, kuruluşun yönlendiricisine sızar ve kullanıcılar kuruluşun ağına giriş yaptığında her makineye otomatik olarak gönderilen DNS sunucusunu değiştirir.

DNS saldırıları nasıl önlenir

Kuruluşlar, DNS saldırıları riskini azaltmaya yardımcı olmak için bir dizi uygulamayı benimseyebilir.

İşte önerilen bazı uygulamalar:

Daha güçlü erişim denetimi uygulayın

Şirketler, ağa kimlerin erişebileceğini daha iyi kontrol etmek için adımlar attığından emin olmalıdır. Bunu yapmanın bir yolu, çevrimiçi hesabınıza veya sisteminize erişmenin bir yolu olarak çok faktörlü veya iki faktörlü kimlik doğrulamayı uygulamaktır. Bu, kullanıcıların erişim için parola ve kimlik gibi birden fazla türde bilgi sağlamasını gerektirir.

Şirketler, parolaların tahmin edilmesinin kolay olmaması, güvenli bir şekilde saklanması ve hizmetler arasında yeniden kullanılmaması için tüm günlük veya günlük hesaplarında çok faktörlü kimlik doğrulamanın etkinleştirildiğinden emin olmalıdır.

CISA, kuruluşların yönetilen DNS sunucu yazılımındaki hesaplar, programı yöneten sistemler, harici DNS operatörlerinin yönetim panelleri ve DNS kayıt şirketi hesapları dahil olmak üzere DNS kayıtlarında değişiklik yapma olasılığı olan sistemlerdeki tüm hesaplar için parolalarını derhal güncellemelerini önerir.

Güvensizlik ilkesini kullanın

Kısmen ABD federal hükümetinin artan desteğinin yanı sıra birçok şirketi kuluçkaya yatıran hibrit ve uzaktan iş modelleri sayesinde güvenliğe güvensizlik yaklaşımı ivme kazanıyor. Sıfır güven, DNS tehditlerini azaltmada önemli bir rol oynayabilir.

Araştırma firması Garner, güvenlik ve risk liderlerinin riski azaltmak için iki büyük ağ güvensizlik projesi uygulamasını tavsiye ediyor. Birincisi, erişim mekanizmalarını özetleyen ve merkezileştiren Sıfır Güven Ağ Erişimi (ZTNA) sisteminin uygulanmasıdır, böylece mühendisler ve güvenlik personeli bunlardan sorumludur.

Kullanıcıların ve cihazlarının kimliğine ve saat ve tarih, coğrafi konum, geçmiş kullanım kalıpları ve cihaz sağlığı gibi diğer faktörlere dayalı olarak uygun erişim sağlar. Gartner, sonucun, artan esneklik ve iyileştirilmiş izleme ile daha güvenli ve daha dayanıklı bir ortam olduğunu söylüyor.

Başka bir proje, Gartner’ın saldırganların ağ girdikten sonra gezinme yeteneklerini sınırlamanın etkili bir yolu olduğuna inandığı kimlik tabanlı ağ segmentasyonudur.

Şirket, kimlik tabanlı parçalanmanın, kuruluşların bireysel iş yüklerini “örtük bir izin” yerine “varsayılan reddetme” modeline kaydırmasına izin vererek yersiz örtük güveni azalttığını söyledi. Ağ erişimine izin verilip verilmeyeceğine karar vermenin bir parçası olarak iş yükünü ve uygulama kimliğini değerlendiren dinamik kurallar kullanır.

DNS kayıtlarını inceleyin ve doğrulayın

CISA, kuruluşunuzun sahip olduğu ve yönettiği tüm alan adları için, ilişkili ad sunucusu (NS) kayıtlarının uygun DNS sunucuları için yetkilendirildiğini doğrulamak için alan kayıt kuruluşlarıyla birlikte tüm genel alan kayıtlarını incelemenizi önerir. Tüm güvenilir ve ikincil DNS sunucularındaki tüm DNS kayıtlarını, amaçlarına uygun olarak çözümlendiklerini doğrulamak için gözden geçirmelisiniz.

Kuruluşlar, bulunan tutarsızlıkları derhal araştırmalı ve bunları olası bir güvenlik olayı olarak değerlendirmelidir. Bu eylemler, herhangi bir aktif DNS saldırısının tespit edilmesine yardımcı olacaktır.

Kaynak: Ağ Dünyası