Araştırmacılar, Alan Adı Sisteminin (DNS) bir kurumsal ortamda nasıl uygulandığına ilişkin yaygın yanlış yapılandırmaların, hava boşluklu ağları ve korumayı amaçladıkları yüksek değerli varlıkları harici saldırganlardan riske atabileceğini buldu.
Güvenlik şirketi Pentera’dan araştırmacılar, DNS sunucularına bağlanan hava boşluklu ağları kullanan kuruluşların varlıkları istemeden tehdit aktörlerine maruz bırakabileceğini ve bunun da yüksek etkili veri ihlallerine yol açabileceğini ortaya çıkardı. bir blog yazısı 8 Aralık’ta yayınlandı.
Araştırmacılar, saldırganların bu ağlarla İnternet’e bağlı DNS sunucuları aracılığıyla iletişim kurmak için bir komut ve kontrol (C2) kanalı olarak DNS’yi kullanabileceğini ve böylece bir kuruluş ağın başarılı bir şekilde izole edildiğine inansa bile bu ağları ihlal edebileceğini ortaya çıkardı.
Hava boşluklu ağlar, bir iş veya kuruluş BT ortamındaki ortak kullanıcı ağından İnternet erişimi olmaksızın ayrılmıştır. Araştırmacılar, bir kuruluşun “taç mücevherlerini” korumak için bu şekilde tasarlandıklarını, VPN, SSL VPN veya kullanıcıların ağını bir atlama kutusu aracılığıyla birinin bunlara erişmesi için kullandıklarını yazdı.
Ancak, bu ağlar yine de DNS hizmetleri gerektirir. sistemlere ad atamak için kullanılan ağ keşfedilebilirliği için. DNS, ağ yöneticileri tarafından dikkatli bir şekilde yapılandırılmazsa, bu bir güvenlik açığını temsil eder.
Pentera’da siber saldırı araştırmacısı Uriel Gabay, Dark Reading’e “Araştırmamız, DNS yanlış yapılandırmalarının yanlışlıkla hava boşluklu ağların bütünlüğünü nasıl etkileyebileceğini gösteriyor” dedi.
Bunun kuruluş için anlamı, bilgisayar korsanlarının DNS’yi kötüye kullanarak hava boşluklu bir ağa istikrarlı bir iletişim hattına sahip olmaları ve bu sayede, etkinlikleri bir kuruluşun güvenlik protokollerine tamamen meşru görünürken hassas verileri sızdırmalarına olanak sağlamasıdır, diyor Gabay.
Son Derece Yanlış Yapılandırılabilen Bir Protokol Olarak DNS
Gabay, şirketlerin hava boşluklu bir ağ kurarken yaptıkları en yaygın hatanın, ağı yerel DNS sunucularına zincirlediklerinde etkili bir hava boşluğu oluşturduklarına inanmak olduğunu söylüyor. Çoğu durumda, bu sunucular genel DNS sunucularına bağlanabilir, bu da “kasıtsız olarak kendi hava boşluklarını kırdıkları” anlamına gelir.
Araştırmacılar gönderilerinde, saldırganların bir hava boşluğuna girmek için karmaşıklıklarında nasıl gezinebileceğini bilmek için DNS’nin nasıl çalıştığını anlamak önemlidir.
Araştırmacılar, DNS üzerinden bilgi göndermenin, protokolün işlediği bir kayıt (TXT, bir metin kaydı veya NS, bir ad sunucusu kaydı gibi) istenerek ve bilgileri kaydın adının ilk bölümüne koyarak yapılabileceğini açıkladı. DNS üzerinden bilgi alma, bir TXT kaydı istenerek ve o kayıt için bir metin yanıtı alınarak yapılabilir.
Araştırmacılar, DNS protokolünün TCP üzerinde çalışabilmesine rağmen, çoğunlukla yerleşik bir güvenlik mekanizmasına sahip olmayan UDP’ye dayalı olduğunu ve araştırmacıların söylediğine göre bir saldırganın DNS’den yararlanması için devreye giren iki temel faktörden biri. UDP’de veri iletiminin akışı veya sırası üzerinde de kontrol yoktur.
Araştırmacılar, UDP’deki bu hata algılama eksikliği sayesinde, saldırganların bir yükü göndermeden önce sıkıştırabileceğini ve gönderdikten hemen sonra açabileceğini, bunun da base64 gibi başka herhangi bir kodlama türüyle yapılabileceğini açıkladı.
Hava Boşluğunu Kırmak için DNS Kullanma
Bununla birlikte, tehdit aktörlerinin bir hava boşluğunu kırmak için DNS ile başarılı bir şekilde iletişim kurmasında zorluklar var. DNS’in türler üzerinde kısıtlamaları vardır kadar karakter kabul eder, dolayısıyla tüm karakterler gönderilemez; araştırmacılar, yapamayanlara “kötü karakterler” denildiğini söyledi. Ayrıca gönderilebilecek karakterlerin uzunluğunda bir sınır vardır.
Araştırmacılar, DNS’deki veri akışı üzerindeki kontrol eksikliğinin üstesinden gelmek için, tehdit aktörlerinin sunucuya hangi paketin tamponlanması gerektiğini ve son paket olarak neyin beklendiğini bildirebileceğini söyledi. Saldırgan bir önceki paketin başarılı bir şekilde ulaştığını anlayana kadar bir paketin gönderilmemesi gerektiğini söylediler.
Saldırganlar, kötü karakterlerden kaçınmak için, gönderilmeden hemen önce gönderilen verilere base64 uygulamalı, DNS karakter uzunluğu sınırından kaçınmak için verileri tek tek gönderilecek parçalara ayırabileceklerini söylediler.
Araştırmacılar, bir saldırganın, gönderildiği sunucuya erişimi engelleyerek bir DNS isteğini engelleyen bir savunucuyu atlatmak için, her iki tarafın da bildiği ve beklediği değişkenlere dayalı alan adları üretebileceğini açıkladı.
“Yürütülebilir dosya mutlaka zor olmasa da, bir saldırganın veya grubun kök kayıtları satın almaya devam etmesi için altyapıya ihtiyacı olacaktır” dediler.
Saldırganlar ayrıca kötü amaçlı yazılımları, bir tarihe dayalı olarak DNS’de bir etki alanı oluşturacak şekilde yapılandırabilir; bu da, araştırmacıların yeni, bilinen bir kök etki alanı kullanarak DNS üzerinden sürekli olarak yeni istekler göndermelerine olanak tanır. Bu tür bir yapılandırmaya karşı savunma yapmak, “tespit etmek ve önlemek için statik yöntemler veya hatta temel anormallik tespiti kullanan kuruluşlar için zorlayıcı olacaktır” dediler.
Hava Boşluklu Ağlarda DNS Saldırılarını Azaltma
DNS saldırılarının her zamankinden daha sık meydana gelmesiyle — en son verilere göre, kuruluşların %88’i 2022’de bir tür DNS saldırısı bildirdi. IDC Küresel DNS Tehdit Raporu – araştırmacılar, kuruluşların DNS kötüye kullanımını nasıl azaltacaklarını ve buna karşı nasıl savunacaklarını anlamalarının önemli olduğunu söyledi.
Dark Reading’e Gabay, yollardan birinin hava boşluklu ağ için özel bir DNS sunucusu oluşturmak olduğunu söylüyor. Ancak kuruluşlar, bu sunucunun kuruluşta var olabilecek diğer herhangi bir DNS sunucusuna zincirlenmediğinden emin olmak için özen göstermelidir, çünkü bu “eninde sonunda onu İnternet’teki DNS sunucularına zincirleyecektir” diyor.
Gabay, şirketlerin garip DNS etkinliklerini izlemek ve belirlemek için bir IDS/IPS aracı kullanarak ağda anormallik tabanlı algılama oluşturması gerektiğini de söylüyor. Tüm kurumsal ortamların benzersiz olduğu göz önüne alındığında, bu tür bir çözümün de bir kuruluşa özgü olacağını söylüyor.
Ancak, hangi anormal türde DNS davranışının izlenmesi gerektiğine dair bazı yaygın örnekler vardır: Kötü amaçlı alanlara yönelik DNS istekleri; çok kısa sürede büyük miktarda DNS isteği; ve garip saatlerde yapılan DNS istekleri. Gabay, kuruluşların da uygulaması gerektiğini ekliyor. bir SNORT kuralı istenen DNS kayıtlarının uzunluğunu izlemek için.