RSAC 2019: DNS Hırsızlığı

SANS Enstitüsü, 2019 RSAC Konferansı’nda son derece tehlikeli olduğu düşünülen yeni saldırı türleri hakkında bir rapor sundu. Bu makalede bu saldırı türlerinden birini ele alacağız.

SANS öğretim görevlilerinden biri olan Ed Skoudis’in vurguladığı bir saldırı türü, şirket BT altyapısının tamamında kontrolü ele geçirmek için kullanılabilir. Üstelik bu saldırı için karmaşık araçlar gerekmiyor, yalnızca nispeten daha basit sayılabilecek DNS manipülasyonları yeterli.

Kurumsal DNS altyapısını kontrol etme

Saldırı şu şekilde gerçekleştirilebiliyor:

1. Siber suçlular, daha önce başka saldırılarda ele geçirilen hesapların kullanıcı adı/parola çiftlerini (herhangi bir yöntemle) toplar. Yalnızca bizim bildiğimiz veritabanlarında bile şu anda yüz milyonlarca, hatta belki milyarlarca kullanıcı adı/şifre çifti bulunmaktadır.
2. Suçlular, bu oturum açma bilgilerini kullanarak DNS sağlayıcılarının ve etki alanı kayıt şirketlerinin servislerinde oturum açar.
3. Ardından, kurumsal etki alanı altyapılarının yerine kendi altyapılarını koyarak DNS kayıtlarını değiştirirler.
4. Özellikle MX kaydını değiştirip tüm kurumsal e-postaları kendi posta sunucularına yönlendirerek mesajları ele geçirirler.
5. Siber suçlular, çalınan etki alanları için TLS sertifikalarını kaydederler. Bu aşamada saldırganlar, çoktan kurumsal e-postaları ele geçirebilecek ve etki alanına sahip olduklarına dair kanıt sunabilecek seviyeye gelmiştir, çoğu durumda bu kanıt için bir sertifika düzenlenmesi yeterlidir.

Artık saldırganlar, hedef kuruluşun sunucularına gelen trafiği kendi makinelerine yönlendirebilir. Bunun sonucunda şirket web sitesini ziyaret eden kullanıcılar, tüm filtreler ve koruma sistemleri açısından şirketin orijinal sitesi gibi görünen sahte kaynaklara yönlendirilir. Bu saldırı senaryosuyla ilk kez 2016 yılında karşılaştık. Söz konusu vakada, GReAT ekibimizin Brezilya kolundaki araştırmacılarımız saldırganların büyük bir bankanın altyapısını ele geçirmelerine izin veren bir saldırıyı ortaya çıkardı.

Bu saldırının en tehlikeli yanı, saldırganların kurbanı olan kuruluşun dış dünyayla iletişiminin kesilmesidir. Saldırıda e-posta ve genellikle telefon sistemleri de ele geçirilir (şirketlerin çoğu IP telefon santrali kullanır). Bu durum, şirket içinde saldırıya yapılacak müdahaleyi büyük ölçüde güçleştirirken DNS sağlayıcıları, sertifika kuruluşları ve emniyet birimleri gibi dış kuruluşlarla iletişim kurulmasını da zorlaştırır. Bir de Brezilyalı bankada olduğu gibi bunların hepsinin bir hafta sonunda gerçekleştiğini düşünün!

DNS manipülasyonu yoluyla BT altyapısının ele geçirilmesini nasıl önleyebilirsiniz?

2016 yılında siber suç dünyası açısından yepyeni bir inovasyon sayılabilecek vaka, birkaç yıl içinde yaygın bir uygulama haline geldi; 2018 yılına kadar bu saldırının kullanıldığı pek çok vaka lider şirketlerdeki BT güvenliği uzmanlarının kayıtlarına geçti. Dolayısıyla bu yöntem, hayal ürünü bir tehdit değil, BT altyapınızı ele geçirmek için kullanılabilecek çok özel bir saldırı türü.

Ed Skoudis, etki alanı adlarının altyapısını manipüle etmeye yönelik girişimlere karşı korunmak için aşağıdaki önerilerin faydalı olabileceğini düşünüyor:

1. BT altyapı yönetim araçlarında çok faktörlü doğrulama kullanın.
2. Yalnızca DNS imzasını değil, aynı zamanda doğrulamayı da uygulayarak DNSSEC teknolojisini kullanın.
3. Şirketinizin etki alanı adlarını etkileyebilecek tüm DNS değişikliklerini takip edin; bunun için ayda 50 isteğe kadar ücretsiz olarak kullanabileceğiniz SecurityTrails seçeneğini tercih edebilirsiniz.
4. Etki alanlarınızı çoğaltan artık sertifikaları takip edin ve bunları derhal iptal etmek için talep gönderin. Bu işlemi nasıl yapabileceğinizi görmek için şu gönderiye bakın: Artık sertifikaların kullanılması yoluyla etki alanlarına MitM ve DoS saldırıları.

Kaspersky olarak biz de bu önerilere, şu tavsiyeyi ekleyebiliriz: Parolalarınızın güvenliğini sağlayın. Parolalarınız, en azından bir sözlük saldırısına dayanabilecek kadar benzersiz ve karmaşık olmalıdır. Parola oluşturmak ve oluşturduğunuz parolaları güvenli bir şekilde saklamak için Kaspersky Small Office Security çözümümüzün bir parçası olan Kaspersky Password Manager‘ı kullanabilirsiniz.