Palo Alto Networks'teki (Ünite 42) tehdit analistleri, 'etki alanı gölgeleme' olgusunun daha önce düşünülenden daha yaygın olabileceğini ve Nisan ve Haziran 2022 arasında web'i tararken 12.197 vakayı ortaya çıkardığını keşfetti.
Etki alanı gölgelemesi, tehdit aktörlerinin kötü niyetli etkinliklerde kullanmak için kendi alt alanlarını barındırmak için meşru bir alanın DNS'sini tehlikeye attığı, ancak halihazırda var olan meşru DNS girişlerini değiştirmediği bir DNS kaçırma alt kategorisidir.
Bu alt alanlar daha sonra siber suçlu sunucularında kötü amaçlı sayfalar oluşturmak için kullanılırken, etki alanı sahibinin web sayfaları ve DNS kayıtları değişmeden kalır ve sahipleri ihlal edildiklerini fark etmez.
Bu arada, tehdit aktörleri C2 (komut ve kontrol) adreslerini, kimlik avı sitelerini ve kötü amaçlı yazılımları düşürme noktalarını barındırarak, güvenlik kontrollerini atlamak için kaçırılan alanın iyi itibarını kötüye kullanabilir.
Saldırganlar, DNS kayıtlarını, tehlikeye atılan alanların kullanıcılarını ve sahiplerini hedeflemek için teorik olarak değiştirebilir, ancak genellikle yukarıda açıklanan gizli yolu almayı tercih ederler.
Ünite 42, gerçek alan gölgeleme vakalarının tespit edilmesinin özellikle zorlayıcı olduğunu açıklar, bu da taktiği failler için çok çekici hale getirir.
Analistler, Virustotal'ın 12.197 alandan Palo Alto'nun dedektörlerinden kötü niyetli olarak sadece 200 alanı işaretlediğini belirtiyor.
Virustotal tespitlerin çoğu (151), 16 güvenliği ihlal edilmiş web sitesinde 649 gölgeli alandan oluşan bir ağ kullanılarak tek bir kimlik avı kampanyasıyla ilişkiliydi.
“Bu sonuçlardan, etki alanı gölgelemesinin işletme için aktif bir tehdit olduğu sonucuna varıyoruz ve büyük miktarda DNS günlüklerini analiz edebilen otomatik makine öğrenme algoritmalarından yararlanmadan tespit etmek zor.” - Ünite 42
Ayrıca, iyi bir üne sahip alanlarda barındırılan kimlik avı sayfaları, bir ziyaretçiye güvenilir görünecek ve bu da sayfada veri gönderme olasılıklarının daha yüksek olacaktır.
Palo Alto’nun araştırmacıları tarafından keşfedilen kimlik avı kampanyası, 649 alt alan yaratmak için 16 alandan ödün verdiler, sahte giriş sayfalarına veya kimlik avı sayfalarına yönlendirme noktalarına ev sahipliği yaptı.
Kimlik avı sitelerine yönlendiren alt alanlar, kötü niyetli bir şey barındırmadıkları ve iyi huylu bir üne sahip olmadıkları için e -posta güvenlik filtrelerini kolayca atlayabilir.
Tehdit aktörleri Microsoft hesap kimlik bilgilerini hedefler ve URL açıkça Microsoft ile ilgili olmasa da, İnternet güvenlik araçlarından gelen uyarıları tetiklemez.
Bir durumda, etki alanı sahipleri uzlaşmayı fark ettiler, ancak çok sayıda alt alan yaratılmadan ve altyapılarında kötü amaçlı işlemleri kolaylaştırmadan önce değil.
Rogue alt alanlarından korunma, etki alanı sahiplerinin, kayıt memurlarının ve DNS servis sağlayıcılarının sorumluluğunda olsa da, kullanıcıların veri gönderirken her zaman dikkatli olmaları ihtiyatlı olacaktır.
Bu, iyi bilinen bir etki alanındaki bir alt alan boşluğunun kötü niyetli olabileceği ve kullanıcıların kimlik bilgileri veya diğer hassas bilgiler göndermeden önce her şeyi iki kez kontrol etme olasılığını içerir.
Kimlik avı için OAuth uygulamaları aracılığıyla hacklenen Microsoft Exchange sunucuları
Bilgisayar korsanları Github hesaplarını sahte Circleci bildirimlerini kullanarak çalıyor
LinkedIn Akıllı Bağlantılar Kaçan E -posta Yeşhası Saldırılarında İstismar
Bilgisayar korsanları, tarayıcıdaki yeni tarayıcı saldırılarında buhar hesaplarını çalıyor
Microsoft 365 kimlik avı saldırıları ABD govt ajanslarını taklit ediyor
Kaynak: Bleeping Computer