Domain Hijacking Saldırılarını Nasıl Tespit Edebilirsiniz?

1. Domain Hijacking Saldırısı Nedir?

Domain Hijacking (Alan Adı Hırsızlığı), bir alan adının kontrolünün, bir alan adının kaydının asıl sahibinin izni olmadan değiştirilmesi veya alan adı barındırma ve alan adı kayıt sistemlerindeki ayrıcalıkların kötüye kullanılmasıdır. Genellikle domain hijacking saldırısı, bir alan adı kayıt kuruluşuna yetkisiz erişim, alan adı kayıt kuruluşundaki bir güvenlik açığından yararlanma, sosyal mühendislik yoluyla veya alan adı sahibinin e-posta adresine erişim sağlama ve ardından alan adı kayıt kuruluşunun parolasını sıfırlama yoluyla gerçekleşir.

Domain hijacking saldırıları sonucunda şirketler aşağıdaki zararlarla karşı karşıya kalmaktadırlar :

Mali zararlar: E-ticaret şirketleri gibi iş için web sitelerine güvenilen şirketler, alan adlarının kontrolünü kaybettiklerinde milyonlarca dolar kaybedebilir, etki alanları en değerli varlıklarından biridir. Etki alanı ele geçirme, çevrimiçi işletmelerin karşılaşabileceği en büyük siber güvenlik risklerinden biridir.

Repütasyon: Bilgisayar korsanları ele geçirdikleri bir etki alanının e-posta hesaplarının kontrolünü elde edebilir ve etki alanı adını, kötü amaçlı yazılım yükleme veya sosyal mühendislik saldırıları gibi ek siber saldırıları kolaylaştırmak için kullanabilir.

Kişisel veri ihlali: Bir alan adına erişim elde ederek, korsanlar gerçek web sayfasını, hassas verileri veya PII yakalamak amacıyla tasarlanmış özdeş bir web sayfasıyla (kimlik avı) değiştirebilir. Bu saldırılarda hesap bilgileri, iletişim bilgileri (e-posta adresleri ve telefon numaraları), sosyal medya hesapları, IP adresleri veya kimlik hırsızlığı ile müşteri hesaplarına yetkisiz erişim sağlamada kullanılabilecek diğer kişisel bilgilerin ele geçirilmesi hedeflenir.

2. Son Dönemlerde Yaşanan Domain Hijacking Saldırıları

Perl.Com Domain Hijacking Saldırısına Uğradı

1997 yılından itibari ile Perl programlama dili ile ilgili makalelerin paylaşıldığı Perl.com 27 Ocak 2021 tarihinde Domain Hijacking saldırısına uğradı. Domain’in Eylül 2020’de Network Solutions’a kayıtlı iken çalınarak alan adı bitiş tarihinin birkaç yıl uzatıldığı, 25 Aralık 2020’de Çin’deki bir kayıt kuruluşuna aktarıldığı ve son olarak 27 Ocak 2021’de Key-Systems kayıt kuruluşuna taşınarak DNS adresinin değiştirildiği tespit edildi.

Perl.com alan kaydı değişiklikleri

Kaynak: https://www.perl.com/article/the-hijacking-of-perl-com/

Alan adı hırsızlığından kısa bir süre sonra alan adı, alan adı satışlarının yapıldığı Afternic.com’da 190.000 dolara satışa sunulmuş, fakat kısa süre içerisinde satıştan kaldırılmıştır.

Site HTTPS üzerinden hizmet veremezken, HTTP üzerinden siteye erişmeye çalışanlar ise çeşitli kötü amaçlı yazılım scriptleri, takip cookieleri ve boş bir sayfa ile karşılaştılar.  Perl.com alan adının taşındığı 35.186.238.101 IP adresi incelendiğinde (Google Cloud IP adresi), adresin 2019 yılında Locky fidye yazılımı da dahil olmak üzere kötü amaçlı yazılım dağıtımı için kullanıldığı ve son olarakta komuta kontrol sunucusu (C2)  olarak kullanıldığı  tespit edilmiştir (VirusTotal). Ayrıca, tehdit aktörünün ICANN’in 60 gün kuralından dolayı (kayıt sahibi değiştikten 60 gün sonra alan kayıt firması değişebiliyor) alan adının kaydını farklı firmaya geçirmek için 60 gün beklediği tespit edilmiştir. Bir haftalık çalışmanın ardından Domain asıl sahibi tarafından geri alınarak kullanılmaya başlanmıştır. 

Kaynak : https://www.bleepingcomputer.com/news/security/perlcom-domain-stolen-now-using-ip-address-tied-to-malware/

Lenovo ve Google’ın Web Siteleri DNS saldırıları ile ele geçirildi.

Çin merkezli bilgisayar ve akıllı telefon üreticisi Lenovo’nun ana sayfası ve Google’ın Vietnam sitesi, kısa süreliğine siteyi açan kullanıcıları farklı bir siteye yönlendirdi. Her iki firmada DNS’e yönelik olan domain hijacking saldırısına maruz kalmışlardı. 

Lenovo’nın uğradığı saldırıda, tehdit aktörleri tarafından alan adlarının kaydı Cloudflare’e aktarılarak Digital Ocean adlı Hollanda merkezli firmanın iki IP adresine yönlendirilmişti. Sayfaya ulaşan kullanıcılar yukarıda resmi yayınlanan sitenin arayüzüne ulaştılar. Web sitesinin kaynak kodları incelendiğinde Lizard Squad adlı hacker grubu ile ilişkili olduğu önceden bildirilen Ryan King ve Rory Andrew Godfrey’in isimleri sitede bulundu.

Lenovo Sayfasının Domain Hijacking Saldırısı Sonrası Yönlendirildiği Web Sitesi

Google Vietnam’ın sitesine erişmeye çalışan kullanıcıları kısa süreliğine başka bir web sitesine yönlendirdi. Lenovo gibi Google’ın da Webnic’e kayıtlı google.com.vn alan adı bulunuyordu. 

(https://www.pcworld.com/article/2889392/like-google-in-vietnam-lenovo-tripped-up-by-a-dns-attack.html)

3. Domain Hijacking Saldırıları Nasıl Önlenebilir?

Başarılı alan adı ele geçirme saldırısını önlemek için ICANN, kayıt bilgilerindeki bir değişiklik ile kayıt şirketi transferi arasında 60 günlük bir bekleme süresi uygular. Aktarılan alan adlarının geri alınması tespit etmek zordur ve asıl alan adı sahibinin 60 gün içinde değişiklikleri keşfedeceği ve kayıt kuruluşunu uyaracağı düşünülmektedir.

Domain hijacking saldırılarını tespit edebilmek için, şirketler kendileri ve hizmet aldıkları 3. taraf şirketlere (tedarikçilere) yönelik SOCRadar ASM veya benzeri atak yüzeyi yönetim araçlarından hizmet almaları önerilmektedir. Domain Hijacking saldırılarında erken ihbar almayı sağlayarak, oluşabilecek veri ihlallerini minimize etme hatta elimine etmek mümkündür.

Ayrıca, aşağıdaki adımlar domain hijacking saldırılarını önlemeye yardımcı olmaktadır:

  1. Repütasyonu yüksek bir alan adı sağlayıcısı ile çalışın: Akredite bir kayıt şirketi kullanın ve akredite olmayan (ikinci el) kayıt şirketleri ile çalışmaktan kaçının. Saygın etki alanı kayıt şirketleri, güvenli DNS yönetimine sahip olmanıza ve 7 gün 24 saat teknik desteğe sahip olmanıza olanak tanır.
  2. Domain registrar firmasında kayıtlı alan adlarına yönelik registrar-lock veya Client Transfer Prohibited özelliğini aktifleştirin: Alan adı kilitleme, başka bir kayıt kuruluşuna yetkisiz alan adı aktarımlarını önlemenize olanak tanır.
  3. Domain registrar firmasına üye olurken kullandığınız e-posta ve parola bilgisinin başka sitelerde kullanılmadığından emin olun ve account lock özelliğini aktive edin: Veri ihlalleri, hizmetler arasında paylaşılan ortak şifreleri açığa çıkarabilir. Credential stuffing saldırılarını engellemek için kullanıcı adı parolalarınızı başka sitelerde kullanmayınız. Ayrıca Brute-force saldırılarını önlemek için geçersiz parola denemelerinin miktarını sınırlayan, hesabı kilitleyen ve olağan dışı etkinlik belirlendiğinde sizi e-postayla bilgilendiren bir kayıt şirketi kullanın.
  4. Domain registrar firmasının 2-faktörlü doğrulama kimlik doğrulama mekanizmasını ve ip erişim özelliğini kullanın: İki faktörlü kimlik doğrulamaya olanak sağlayan tüm hesaplarda bu durum etkinleştirilmelidir. Birisi hesaplarınızdan birine erişebilirse, ikinci bir kimlik doğrulama katmanı sizi yetkisiz erişime karşı korumaya yardımcı olabilir.
  5. Alan adına ait detay bilgilerin alınmasını engelleyebileceğiniz WHOIS privacy servisini aktif edin: WHOIS koruması, adres (sokak adresi, şehir, eyalet ve ülke), telefon numarası ve e-posta adresi dahil olmak üzere internette maruz bıraktığınız hassas verilerin adetini azaltır. WHOIS bilgileri, siber suçlulara sosyal mühendislik saldırılarında yardımcı olabilir.
  6. Domain sağlayıcısı ve web hosting için aynı şirketi kullanmayın: Bir saldırganın alan adınıza ve barındırma sağlayıcınızda olabilecek hassas dosyalarınıza erişmesini engellemek için tüm riskleri aynı sepette toplamayın.
  7. Dijital varlık envanterinizi çıkartarak, kullanılmayan alan adlarının DNS kayıtlarını sildirin: Birçok saldırının kör noktada kalan unutulmuş varlıklar üzerinden geldiğini unutmayın.
  8. DNS kayıtlarınızı, WHOIS bilgilerinizi ve web sitesi üzerindeki değişiklikleri aktif olarak izleyen ve değişim durumunu haber veren atak yüzeyi yönetim araçları kullanın: Olası bir domain hijacking saldırısı ile karşılaştığınızda bu durumdan en hızlı kurtulmanın yolu tespit edebilmektedir. Tespit etme mekanizmasını güçlendirin.
  9. Alan adının geçerliliğini yitirme süresini aktif olarak takip eden bir ürün kullanın. Aynı sağlayıcıda kalacaksanız tüm alan adlarınız için otomatik kayıt yenilemeyi etkinleştirin: Domain hijacking saldırılarında ele geçirme dışında kullanılan bir başka yöntem de süresi dolan alan kaydının başka biri tarafından alınmasıdır. 
  10. Üçüncü taraf kaynaklı artan siber saldırılar çerçevesinde, birlikte iş yaptığınız şirketleri takip edin ve domain sağlayıcılarınızı kontrol listenizde ilk sıraya alın.

4. SOCRadar’ı Domain Hijacking Saldırılarını Erken Tespit Amaçlı Nasıl Kullanabilirsiniz?

SOCRadar Unified olarak sunduğu Threat Intelligence hizmeti ile aşağıdaki yöntemlerle domain hijacking saldırılarından korunma sağlamaktadır.

SOCRadar Attackmapper modülü sayesinde internet üzerinde yer alan varlıklarınızı keşfedip takibini sağlayarak domain hijacking saldırılarını engellemeye ve hızlı tespit etmeye olanak sağlar:

  • Kullanılmayan DNS kayıtlarının tespit edilebileceği dijital ayak izinin çıkarılması,
  • Domain’e ait NS (Name Server) kayıt değişikliklerinin takibi,
  • Domain’e ait A kaydı değişikliğinin takibi,
  • Domain’e ait MX kaydı değişikliğinin takibi,
  • Whois bilgilerinin değişimini takip etmesi,
  • Web sitesinin başlık ve içerik bilgilerinin değişiklik takibi

SOCRadar RiskPrime Modülü sayesinde varlıklarınıza ve şirketinize yönelik olarak ortaya çıkan istihbari  bilginin tespit edilmesine olanak sağlar:

  • Şirket Domain’lerinin Dark ve Deep web ortamlarında  otomatik olarak takibi sağlanarak olası durumlarda alarmlar oluşturulması,
  • SOCRadar dark web analistlerinin HUMINT yeteneği sayesinde tehdit aktörüyle iletişim, güncel bilginin doğruluğunun teyidi ve gerekli durumlarda şirket itibarını yükseltme amacıyla paylaşım postu kaldırılması

SOCRadar ThreatFusion Modülü sayesinde güncel siber olaylara yönelik istihbaratın tespit edilmesine olanak sağlar: 

  • Domain hijacking saldırılarına yönelik ülke ve sektör bazlı olarak yapılan tespitler sayesinde, bu saldırılardan etkilenebilecek şirketlere aksiyon almalarını sağlayabilecek tehdit paylaşımı bildirimlerinin iletilmesi
  • Domain hijacking saldırıları konusunda yapılan tehdit paylaşımları sayesinde ( özellikle hosting firmalarına yönelik yaklaşık Türkiye’yi etkileyebilecek 20 paylaşım yapılmıştır) güvenlik personelinin aktif bilgilendirilmesi

SOCRadar Türkiye ekibi tarafından hazırlanmıştır.

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

eighteen − 1 =

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.