Zephyrnet Logosu

Üretken Veri Zekası

Siber güvenlik

'Bilgili Deniz Atı' Hackerları Yeni DNS CNAME Hilesi'ni Tanıttı

Plato tarafından yeniden yayınlandı
Plato tarafından yeniden yayınlandı

Tarih:

Görüntüleme: 190

Yeni keşfedilen bir tehdit aktörü, kötü amaçlı etki alanlarının sürekli değişmesini ve yayından kaldırılmaya karşı dirençli kalmasını sağlamak için Etki Alanı Adı Sisteminden (DNS) yararlanan, akıllıca tasarlanmış bir trafik dağıtım sistemi (TDS) aracılığıyla bir yatırım dolandırıcılığı yürütüyor.

"Savvy Seahorse", Meta ve Tesla gibi büyük marka adlarını taklit ediyor ve dokuz dilde Facebook reklamları aracılığıyla kurbanları sahte bir yatırım platformunda hesap oluşturmaya teşvik ediyor. Kurbanlar hesaplarına para yatırdıktan sonra para, Rus devletine ait bir bankada muhtemelen saldırganın kontrolündeki bir hesaba aktarılıyor.

Bu yaygın bir dolandırıcılık türüdür. Federal Ticaret Komisyonu'na (FTC) göreABD'li tüketiciler yalnızca 4.6 yılında yatırım dolandırıcılığı nedeniyle 2023 milyar dolar kaybettiklerini bildirdi. Bu, her türlü dolandırıcılık nedeniyle kaybedildiği bildirilen 10 milyar doların neredeyse yarısına tekabül ediyor ve bu da dolandırıcılığı piyasadaki en karlı tür haline getiriyor.

Yani Savvy Seahorse'u sürüden ayıran şey, hilesinin karakteri değil, onu destekleyen altyapıdır.

Infoblox'un yeni bir raporunda belirtildiği gibi, binlerce çeşitli ve değişken alandan oluşan bir TDS işletiyor. Tüm sistemi bir arada tutan şey, bir DNS'nin sıradan bir özelliği olan Kanonik Ad (CNAME) kaydıdır ve bu kaydı, Theseus'un gemisi gibi, TDS'nin gerçekten hiçbir şeyi değiştirmeden sürekli olarak yeni alan adları oluşturabilmesini ve eski alan adlarını atabilmesini sağlamak için kullanır. kampanyanın kendisi hakkında.

DNS Aracılığıyla Güçlendirilen TDS Saldırıları

Renée Burton şöyle açıklıyor: "Normalde TDS'nin HTTP dünyasında olduğunu düşünürüz; bir bağlantı gelir, cihazınızın parmak izini alırım ve parmak izinize göre sizi bazı kötü amaçlı yazılımlara veya dolandırıcılığa gönderebilirim veya hizmeti reddedebilirim," diye açıklıyor Renée Burton, Infoblox'ta tehdit istihbaratı başkanı.

Aslında son yıllarda tüm siber suç ekosistemleri HTTP tabanlı TDS ağları etrafında gelişmiştir. VexTrio tarafından işletilen. Saldırganların kurbanlardan ele geçirmesine olanak tanıyan tüm meta veriler için HTTP tercih edilir: tarayıcıları, mobil veya masaüstü bilgisayar vb.

"Çoğunlukla TDS'leri göz ardı ediyoruz" diye devam ediyor, "ve dikkat edersek bunu bu dar çerçevede düşünüyoruz. Ancak son iki buçuk yılda bulduğumuz şey, gerçekte DNS'de var olan bütün bir trafik dağıtım sistemi kavramının olduğudur."

Gerçekten de Savvy Seahorse yeni değil - en azından Ağustos 2021'den beri faaliyet gösteriyor - ve tamamen benzersiz de değil - diğer gruplar benzer DNS tabanlı trafik dağıtımı gerçekleştiriyor, ancak şu ana kadar hiçbiri güvenlik literatüründe tanımlanmadı. Peki bu strateji nasıl çalışıyor?

Bilgili Denizatı CNAME'i Nasıl Kötüye Kullanıyor?

Bu durumda her şey CNAME kayıtlarına bağlı.

DNS'de CNAME, birden fazla alan adının aynı temel (kanonik) alan adıyla eşlenmesine olanak tanır. Örneğin, "darkreading.com" temel etki alanı www.darkreading.com, darkreading.xyz, için CNAME kayıtlarına sahip olabilir. ve daha birçok alt alan adı. Bu temel işlev, meşru kuruluşların ve açıkça siber saldırganların sahip olduğu, normalde büyük, hantal ve değişken bir alan adı grubunun düzenlenmesine yardımcı olabilir.

Burton'ın açıkladığı gibi, "Bu CNAME kaydının Savvy Seahorse için özellikle yaptığı şey, operasyonlarını gerçekten hızlı bir şekilde ölçeklendirmelerine ve taşımalarına olanak sağlamasıdır. Yani ne zaman birisi kimlik avı sitelerinden birini kapatsa (ki bu çoğu kişinin başına oldukça sık geliyor) tek yapmaları gereken yeni bir siteye geçmek. Esasen her yerde [aynı içeriğe sahip] aynalar var ve bu aynaların haritası olarak CNAME'i kullanıyorlar."

Aynı şey IP'ler için de geçerlidir; herhangi biri Savvy Seahorse'un barındırma altyapısını kapatmaya çalışırsa, CNAME'lerini anında farklı bir adrese yönlendirebilirler. Bu, alt alan adlarından herhangi birinin ortalama beş ila on gün boyunca reklamını yaparak yalnızca dayanıklı olmasını değil, aynı zamanda kaçamak olmasını da sağlar (muhtemelen bunları açıp kapatmak onlar için çok kolay olduğundan).

CNAME ayrıca tehdit aktörünün başlangıçtan itibaren daha sağlam bir TDS geliştirmesine olanak sağlar.

CNAME Saldıranlar ve Savunanlar İçin Oyunu Nasıl Değiştiriyor?

Saldırganlar, tüm alan adlarını toplu olarak tek bir kayıt şirketi aracılığıyla kaydetme ve hepsini yönetmek için tek bir İnternet servis sağlayıcısı (ISP) kullanma eğilimindedir; böylece aynı anda çok fazla şeyle uğraşmak zorunda kalmazlar. Bunun dezavantajı (onlar için), siber savunucuların ortak kayıt meta verileri aracılığıyla tüm etki alanlarını keşfetmelerini kolaylaştırmasıdır.

Şimdi, 30 alanı barındırmak için en az 21 alan adı kayıt şirketi ve 4,200 İSS'den yararlanan Savvy Seahorse'u düşünün. Kaç tane kayıt şirketi, İSS veya alan adı kullandıkları önemli değil, sonuçta hepsi CNAME aracılığıyla tek bir temel alanla ilişkilendiriliyor: b36cname[.]site.

Ama burada da bir sorun var. Aşil'in topuğu. CNAME, hem Bilgili Denizatı'nın yol gösterici yıldızı, hem de onun tek başarısızlık noktasıdır.

Burton, "Yaklaşık 4,000 kötü alan adı var, ancak yalnızca bir tane kötü CNAME var" diye belirtiyor. O halde Bilgili Denizatı gibi bir gruba karşı savunma yapmak inanılmaz derecede zahmetli veya tamamen kolay bir yol gerektirebilir. "Tek yapmanız gereken [CNAME'in işaret ettiği] tek temel etki alanını engellemek ve tehdit istihbaratı açısından bakıldığında her şeyi tek darbeyle öldürebilirsiniz."

Burton, saldırganların çok sayıda CNAME kullanarak kötü amaçlı ağlar oluşturamayacağını söyleyen bir kural bulunmadığını, ancak "çoğunlukla bir araya geldiklerini" açıklıyor. En büyük sistemlerde bile bunların çok daha küçük bir CNAME kümesi halinde toplandığını görüyoruz."

"Neden?" "Belki de yakalanmadıkları için" diye soruyor.

spot_img

En Son İstihbarat

spot_img

Telif Hakkı @ 2024 Plato Technologies Inc.