RSAC 2019: Saldırganlar neden alan paravanlamaya ihtiyaç duyar

Virüslü bir makine ile kumanda sunucusu arasındaki iletişimleri kılıfına uydurmak için alan paravanlamanın nasıl kullanıldığına ilişkin RSAC 2019’dan bir hikaye.

Alan paravanlama -kişinin kendisini üçüncü-parti alanın arkasında saklamak için kullanılan bir teknik- Telegram Rusya İnternet düzenleyici Roskomnadzor tarafından engellenmekten sakınmak için bu yöntemi kullandıktan sonra ilgi çekmeye başladı. Bu kez, SANS Enstitüsü konuşmacıları RSA 2019 konferansında konuya değindiler. Saldırganlar için bu yöntem, virüslü bir bilgisayarın kontrolünü ele geçirmek ve çalınan verileri çıkarmak gibi doğrudan bir saldırı rotası değil. Hazırlamış olduğu rapora daha önce değindiğimiz Ed Skoudis bunu, “bulutların arasında kaybolmanın” yolunu arayan tipik bir siber suçlunun eylem planı olarak tanımlıyor.

En karmaşık APT saldırıları, kumanda sunucusuyla gerçekleştirilen bilgi değişimi sırasında fark edilir. Bir firma ağındaki bilgisayarla dışarıdan bilinmeyen bir makine arasında gerçekleşen ani değişimler uyandırma alarmlarıdır ve IS ekibinin yanıt vermesini mutlaka tetikler – siber suçluların bu iletişimleri gizlemek için bu kadar çalışmalarının sebebi de tam olarak budur. Bunun için farklı içerik teslim ağlarının (CDNs) kullanılması gittikçe yaygın hale gelmektedir.

Skoudis’in tanımladığı algoritma şöyle görünüyor:

  1. Firma ağı içinde kötü amaçlı yazılım bulaşmış bir bilgisayar var.
  2. Bu makine, güvenilir bir CDN’deki temiz ve güvenilir bir web sayfasına DNS sorgusu gönderir.
  3. Aynı CDN’nin istemcisi de olan saldırgan kendi web sayfasını orada tutar.
  4. Virüslü bilgisayar güvenilir web sayfasıyla şifreli bir TLS bağlantısı kurar.
  5. Kötü amaçlı yazılım bu bağlantının içerisinde, saldırganın aynı CDN üzerinde bulunan
  6. Web sunucusunu adresleyen bir HTTP 1.1 sorgusu oluşturur.
  7. Web sayfası sorguyu kötü amaçlı yazılım sunucularına iletir.
    İletişim kanalı kurulmuştur.

Bunların tamamı firmanın ağından sorumlu olan IS uzmanına bilinen bir CDN’deki güvenilir bir web sayfasıyla şifreli bir kanal üzerinden gerçekleştirilen bir iletişim gibi görünür, çünkü firmanın istemcisi olduğu CDN’e güvenilir ağın bir parçası olarak davranır. Bu büyük bir hatadır.

Skoudis’e göre bunlar son derece tehlikeli bir akımın semptomlarıdır. Alan paravanlama nahoş ama baş edilebilir bir şeydir. Tehlikeli kısım ise, suçluların çoktan bulut teknolojilerine girişmeye cesaret etmeleridir. Teoride CDN’lerden oluşan bir zincir yaratabilirler ve faaliyetlerini bulut hizmetlerinin arkasına güvenli bir şekilde saklayabilirler ve böylece de “bağlantılarını aklayabilirler.” Bir CDN’in bir diğerini güvenlik sebebiyle engelleme ihtimali sıfıra yakındır; bu durumun işlerine zarar verme ihtimali ise neredeyse yüzde yüzdür.

Bu tür hilelerle baş etmek için Skoudis TLS dinleme tekniklerinin kullanılmasını öneriyor. Ancak fark edilmesi gereken en önemli şey bunun gerçekleşebilecek olması ve tehlike modellemesi yapılırken bu bulut saldırı rotasını dikkate almaktır.

Kaspersky Lab uzmanlarının da benzer zararlı hileler ile deneyimleri vardır. Threat Management and Defence çözümümüz böylesi iletişim kanallarını tespit edebilmekte ve olası zararlı faaliyetleri etiketlemektedir.

İpuçları