Subdomain Takeover Saldırılarının Tespiti ve Engellenmesi

1. Subdomain Takeover Saldırısı Nedir?

Subdomain takeover (alt alan adı devralma), yetkisiz bir şekilde bir subdomain adının ele geçirilerek kontrolünün alınmasıdır. En sık karşılaşılan yöntem ise DNS kayıtlarında CNAME kaydının yapıldığı subdomaine ilişkin kaynak tarafından içeriğin sağlanmamasından oluşur.

Kaynak tarafından bu içeriğin sağlanmamasının sebebi, domainin süresinin dolması (kaynağın artık olmaması) veya kaynak tarafından sayfanın hiç yayımlanmamış hale gelmiş olmasıdır. Saldırgan, subdomainin kontrolünü ele geçirerek istediği şekilde yönetebilir. Daha anlaşılabilir olması için şu şekilde de anlatabiliriz: Bir subdomain, elektrik prizi gibidir. Kendi cihazınız (ana makineniz) takılıysa, her şey yolunda demektir. Ancak, cihazınızı prizden çıkarırsanız (veya henüz takmadıysanız), birileri farklı bir tane takabilir. Prizin başka biri tarafından kullanılmasını önlemek için devre kesici veya sigorta kutusundaki (DNS) gücü kesmeniz gerekir.  

Subdomain Takeover ile saldırgan domaini ele geçirirse potansiyel olarak ana domainden ayarlanan tanımlama bilgilerini okuyabilir, spam e-postlar gönderebilir, siteler arası komut dosyası çalıştırabilir (cross-site scripting) veya içerik güvenlik politikalarını atlatarak korunan bilgileri (oturum açmalar dahil) yakalayabilir veya kullanıcılara kötü amaçlı içerik gönderebilir. 

2. Subomain Takeover Saldırısı Nasıl Meydana Geliyor? 

Gerçekleştirilen en yaygın saldırı örneğinde;

Subdomain (örneğin, sub.maindomain.com) başka bir domain’e (anothermaindomain.com) bir CNAME kaydı kullanır (örneğin sub.maindomain.com CNAME anothermaindomain.com ). 

Aynı anda, anothermaindomain.com’un süresi dolar ve herkes tarafından kayıt için kullanılabilir. 

CNAME kaydı maindomain.com DNS zone’dan silinmediğinden, anothermaindomain.com’u kaydeden herkes, DNS kaydı bulunana kadar sub.maindomain.com üzerinde tam denetime sahiptir. 

Subdomain Takeover saldırısının neticesinde saldırganlar, maindomain kimlik avı e-postaları gönderebilir, siteler arası komut dosyası çalıştırma (XSS) gerçekleştirebilir veya ana domain ile ilişkili markanın itibarına zarar verebilir. 

Subdomain Takeover, CNAME kayıtlarıyla sınırlı değildir. NS, MX ve A kayıtlarından da etkilenir.  

NS Subdomain Takeover: Kaynak olarak kullanılan maindomain yedekleme ve yük dengelemesi için birden fazla NS kaydı kullanılır. Name Server, DNS çözümlemesinden önce rastgele seçilir. Örneğin, subdomain.sourcedomain.com maindomain’in iki NS kaydı olduğunu varsayalım : nsrecord1.takeover.com ve nsrecord2.takeover.com. Saldırgan nsrecord1.takeover.com adresini kontrolü altına alırsa, subdomain.sourcedomain.com’a ilişkin sorgular sonucunda istenmeyen adreslere yönlendirilebilir. Sorguda bulunan kullanıcılara ransomware bulaştırma ya da zararlı kod çalıştırma gibi işlemler gerçekleştirebilir. 

MX Subdomain Takeover: NS ve CNAME subdomain takeover ile karşılaştırıldığında, MX subdomain takeover saldırısı en düşük etkiye sahiptir. MX kayıtları yalnızca e-posta almak için kullanıldığından, MX kaydında alan adı üzerinde kontrol sahibi olmak, yalnızca bir saldırganın kaynak alan adına yönelik e-postaları almasına izin verir. Etkisi, CNAME veya NS alt etki alanı devralma kadar önemli olmasa da, MX alt etki alanı devralma, hedefli kimlik avı saldırılarında kullanılabilir.  

Subdomain Takeover Saldırısı Neden Önem Kazandı? 

Bulut hizmetleri son yıllarda artan bir ivmeyle popülerlik kazanmış durumdadır. Popülerlik kazanmasındaki ana noktalardan birisi kullanıcıları altyapı hazırlamaktan kurtarmaktır. Kuruluşlar, şirket içi kurulumdan bulut depolamaya, bulutta e-ticarete ve hizmet olarak platform kullanma gibi alternatiflere geçiş yapmaktadırlar. 

Kullanıcı yeni bir bulut hizmeti oluşturduktan sonra, bulut sağlayıcı çoğu durumda oluşturulan kaynağa erişmek için kullanılan benzersiz bir alan adı oluşturur. TLD kayıt şirketi aracılığıyla bir alan adını kaydettirmek, çok sayıda bulut hizmeti müşterisi nedeniyle çok uygun olmadığından, bulut sağlayıcıları alt alan adlarını kullanmayı tercih eder. Benzersiz bulut kaynağını tanımlayan alt etki alanı, genellikle firmname.cloudprovider.com biçiminde gelir; burada cloudprovider.com, belirli bir bulut sağlayıcısına ait bir temel etki alanıdır. 

Bir kuruluş tarafından kaydedilen bulut hizmetinin genel olması amaçlanıyorsa (örneğin, e-ticaret mağazası), belirli kuruluş, etki alanının bir parçası olarak sunulmasını isteyebilir. Bunun arkasındaki ana neden marka bilinci oluşturmadır. Tüketici açısında shop.organization.com , organization.ecommerceprovider.com’dan daha iyi bir izlenim uyandırmaktadır. Bu durumda, kuruluşun iki seçeneği vardır: 

  • HTTP 301/302 yönlendirmesi  
  • CNAME kaydı  

CNAME kayıt yöntemi kullanılırsa alt alan devralma olasılığı devreye girer. Bulut sağlayıcısı, kurallı bir alan adının temel etki alanına sahip olsa da,  alt etki alanı devralması hala mümkündür. 

3. Son Dönemlerde Yaşanan Subdomain Takeover Saldırıları 

Subdomian takeover saldırıları sıkça karşılaşılan siber saldırılardan olmasına karşın her birinin aynı şekilde etkili olduğu söylenemez. 

400 Milyon Kullanıcıyı Etkileyen Microsoft Hesabı Devralma Güvenlik Açığı Tespit Edildi

Kaynak: https://www.safetydetectives.com/blog/microsoft-outlook/

2019 yılında bir güvenlik araştırmacısının istismar ettiği güvenlik açığı ile kullanıcıların, kullanıcı adı ve parolalarının açığa çıkabileceği öğrenildi. 400 milyon kullanıcıyı etkileme potansiyeline sahip güvenlik açığı ile saldırgan kimlik doğrulama işlemini başlatan Outlook.com veya Sway.com olsa bile login.live.com, https://success.office.com sitesinin geçerli bir yönlendirme URL’si olmasına izin verip, oturum açma tokenlarını bu etki alanına gönderebiliyordu. Bu durumda success.office.com subdomaininin kontrolünü elde eden birisi, kullanıcın adını/şifresini bilmeden oturum açmak için bu bilgiyi kullanılabilir hale geliyordu.

Pro_Mast3r adlı Iraklı hacker grubu Donald Trump için yapılan yardım kampanyası sitesini hackledi

Amerika başkanlık seçimlerinde Donald Trump için yapılan yardım kampanyası web sitesinin, yine subdomain takeover saldırısıyla “Pro_Mast3r” tarafından ele geçirilmesi; bu açıklığa neden olan yapılandırma eksikliğinin gözden kaçırılması nedeniyle nasıl bir sonuç doğuracağına örnektir. Aşağıdaki resimde yönetimi ele geçirilen secure2.donaldjtrump.com subdomainin ekran görüntüsünü bulabilirsiniz.

Kaynak: https://securityaffairs.co/wordpress/56466/hacking/trump-website-hacked.html 

4. Subdomain Takeover Saldırısı Nasıl Önlenir?

Subdomain Takeover saldırılarını önlemek için;

  • Departmanlar arasında iletişim ve koordinasyon gerektiren hizmet alımının bırakılması, değiştirilmesi gibi durumlarda gerekli altyapı kontrolleri için IT biriminin bilgilendirilmeli,
  • Subdomain kaydının oluşturulması ve silinmesinde işlemler mümkün olduğunca birbirine yakın olmalıdır. Subdomain’I aktif hale getirirken ve pasifize ederken sıralı işlemler listesi oluşturulmalı,
  • Subdomain’i aktif hale getirirken en son DNS kayıtlarını oluşturun,
  • Subdomain’I pasifize ederken önce DNS kayıtlarını kaldırın,
  • Kuruluşunuzun tüm alan adlarının ve barındırma sağlayıcılarının bir envanterini oluşturun ve hiçbir şeyin asılı kalmamasını sağlamak için işler değiştikçe güncelleyin. 

Subdomain ele geçirildi! Ne yapmalıyım? 

Subdomainin ele geçirildiği fark edilirse, mümkünse ilk adım, subdomain için DNS girişini kaldırmak yani “gücü kesme” yapılmalıdır. Sitenizde birden fazla sanallaştırma katmanı varsa (örneğin ek bir CDN ), her bir katmanı ayrıca incelemeniz gerekmektedir. 

5. Subdomain Takeover Nasıl Tespit Edilir? 

Her geçen gün şirketlerin artan dijital varlıkları ile birlikte DNS izleme kontrolü daha da zorlaşmaktadır. Subdomain takeover saldırılarının önlenmesi için öncelikle dijital ayak izinin (footprint) DNS kayıtları düzgün bir şekilde izlenmeli ve analiz edilmelidir. Eski DNS girişlerinin (CNAME kayıtları) bırakılmadığını manuel olarak kontrol etmekten kaçınmalıdır. Dijital envanterinizi tutan SOCRadar gibi çözümlerle birlikte eski CNAME kayıtlarının tespit edilmesi otomatikleştirilmeli ve DNS zone dosyası güncel tutulmalıdır. 

6. SOCRadar Kullanarak Subdomain Takeover Saldırılarının Tespiti ve Engellenmesi 

SOCRadar Unified olarak sunduğu Extendend Threat Intelligence servisi ile Subdomain Takeover saldırılarından korunma veya bu saldırıların tespitini sağlamaktadır. 

SOCRadar Attack Surface Management modülü sayesinde İnternet üzerinde yer alan assetlerinizi keşfederek & takip ederek subdomain takeover saldırılarını engellemeye ve hızlı tespit etmeye olanak sağlar:

  • İnternete açık dijital varlık envanterinin çıkarılması,  
  • MX, CNAME, A ve NS kayıtlarınızın kontrolü 
  • Subdomain takeover’a açık bulunan domainlerinizin tespiti 
  • Web sitelerinizin başlık (Title) değişikliklerinin kontrolü 

SOCRadar, Digital Risk Protection Modülü sayesinde assetlerinize ve şirketinize yönelik ortaya çıkan istihbarati bilginin tespit edilmesine olanak sağlar: 

Olası bir subdomain takeover saldırısına maruz kalma durumunda, tehdit aktörü subdomaini malicious aktivitelerde kullanırsa IP adresi kara listelere düşecektir. Bu durum kötü repütasyon oluşturacağı için SOCRadar bu durumu size bildirim olarak iletecektir. 

 

SOCRadar Türkiye ekibi tarafından hazırlanmıştır.

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

5 × 3 =

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.