Cherif Sleiman
Infoblox Orta Doğu Bölgesi Genel Müdür
DNS olarak kısaltılan Alan Adı Sistemi (Domain Name System), çözülmesi zor IP-tabanlı her işlemde kullanılan ve düzgün şekilde çalışmazsa ağı durma noktasına getirebilecek olan temel bir internet teknolojisidir. 30 yılı aşkın bir süre önce icat edildiğinden bu yana, DNS sürekli olarak gelişim göstererek bugün internetin çekirdek bileşeni haline geldi. Ne yazık ki bunun sonucunda DNS, bilgisayar korsanları ve kötü amaçlı yazılım kullanan suçlular için en cazip hedeflerden biri oldu.
Cisco’nun 2014 Yıllık Güvenlik Raporuna göre, Cisco’nun tehdit istihbaratı uzmanları tarafından incelenen her bir kurumsal ağ, zafiyete uğratıldı veya amacı dışında kullanıldı. Tüm ağların, kötü amaçlı yazılım barındıran web siteleriyle ilgili DNS aramaları var, bu ağların %96’sında çalınan sunuculara doğru trafik akışı olduğu görüldü ve %92’sinde ise herhangi bir içeriği bulunmayan sitelere doğru trafik olduğu tespit edildi, yani bu durum sitelerin kötü amaçlı yazılım barındırdığının tipik bir göstergesi.
IT altyapısının güvenliğine ilişkin başka bir raporda ise, araştırmaya dahil edilen şirketlerin üçte birinden fazlasının 2013 yılında DNS sunucuları üzerinde Dağıtık Hizmet Aksatma Saldırısı (DDoS) yaşadığını ortaya çıkardı. Bu saldırıları yaşayan şirketlerin oranı geçen sene dörtte birdi. Ancak buna rağmen, şirketlerin dörtte birinden fazlası, şirket bünyesinde DNS güvenliği için hiçbir resmi sorumluluğun üstlenilmediğini bildirdi.
Bu ilgisizlik nedeniyle, DNS bilişim suçluları tarafından yumuşak bir hedef olarak algılanabilir. Bu durum ise bu türden saldırıların giderek daha yaygın hale gelmesinin temel nedenlerinden biri olarak gösteriliyor. Sadece bu iki rapora bakarak bile çok fazla şirketin hala DNS’lerinin güvenliği olduğu gibi yanlış kanıya sahip olduğunu açıkça gösteriyor fakat gerçek şu ki şirketlerin DNS güvenliğine daha fazla önem göstermesi gerekiyor.
DNS altyapısına yönelik tehditlerde artış yaşanıyor
DNS altyapısı çekirdek internet hizmetlerini sağladığı için; DNS sunucusu çöktüğünde, hizmet sapladığı internet alanları da çöker, dolayısıyla büyük ölçekli bir hizmet kesintisi yaşanabilir. Bilişim suçluları, DNS zafiyetlerinin mümkün kıldığı saldırı fırsatlarını fark etmeye başladı; bot master’larla iletişim kurmak ve kötü amaçlı bir aktivite gerçekleştirmek amacıyla DNS’i kaldıraç olarak kullanan farklı formlarda kötü amaçlı yazılım geliştirmek için çok az vakit ayırmaya başladı.
Kötü amaçlı yazılım tehditlerinin hacmi ve gelişmişlik düzeyi artmaya devam ederken, yeni filizlenen BYOD (kendi cihazını getir) kültürü şirket çalışanlarının kullandığı çeşitli akıllı telefonlar ve tabletler aracılığıyla şirkete erişimi daha kolay hale getiriyor. Bu cihazlarda kurulu olan ve güvenlik duvarından geçebilen kötü amaçlı yazılım, eski güvenlik tedbirleriyle tespit edilemeyebilir çünkü bu yazılım kötü amaçlı bir destinasyona veya botnet kontrolörüne bağlanmak için DNS’i yoğun bir şekilde kullanır. Yeni nesil botnetler ve İleri Seviye Tehditler (APT’ler), yazılım bulaşan uç noktalardaki ağları kullanmak ve kontrol etmek, suç eylemini gizlemek veya sofistike ağ saldırıları başlatmak için artık DNS’i daha fazla kullanmaya başladı.
DNS saldırılarının çeşitleri
Hizmet kesintisi
Yukarıda bahsedilen tüm faktörler bir araya geldiğinde, DNS saldırılarını bilişim suçluları için oldukça cazip bir ortam haline getiren kusursuz fırtınayı yaratıyor. Bu saldırılar iki ana kategoride sınıflandırılabilir. Birinci kategorideki saldırılar DNS hizmetlerini kesintiye uğratmayı amaçlayan saldırılardır:
Ön bellek zehirlenmesi: Bu saldırıda, suçlu DNS çözücüsüne aldatıcı DNS yanıtları gönderir, bunun sonucunda bu yanıtlar DNS ön belleğinde ömrü boyunca saklanır. Bilgisayarı zehirlenmiş olan DNS sunucusunun kaynağı haline gelen bir kullanıcı tuzağa düşürülerek özgün olmayan bir sunucudan gelen içerikleri kabul eder ve bilmeden zararlı içerikleri indirebilir.
DNS protokol saldırıları: Suçlu, kötü biçimlendirilmiş DNS sorgularını veya yanıtlarını hedef DNS sunucusuna gönderir ve sunucunun yazılımındaki protokol uygulaması hatalarının (bugs) kullanılmasını sağlar. Kötü biçimlendirilmiş paketler, kod eklentileri, aşırı tampon akışları, hafızanın bozulması, NULL pointer de-reference veya belirli zafiyetlerden yararlanma gibi saldırılar bu saldırılara verilebilecek örnekler arasında yer alıyor. Bu saldırılar hizmet reddi, önbellek zehirlenmesi veya hedef sunucunun zaafa uğramasıyla sonuçlanabilir.
DNS yeniden yönlendirme (MITM) saldırıları: DNS sorguları, genellikle Kullanıcı Veri Paket Protokolü (UDP) üzerinden gerçekleştirilir. Bu protokol, herhangi bir yerde barındırılmayan man-in-the-middle (MITM), yani iki bağlantı noktası arasındaki bağlantıyı gizlice izleyen saldırılara karşı savunmasız olan bir protokoldür. DNS changer, DNS replay veya yasadışı yeniden yönlendirme saldırıları, bu saldırılara verilebilecek örnekler arasında. Bu türden saldırılar öncelikli olarak korsanlık, oltalama, web sitesi silme veya veri çalma gibi amaçlar için gerçekleştiriliyor.
DNS fast fluxing: Fast fluxing, DNS kayıtlarını kısa ömürlü TTL’lerle değiştirerek IP adreslerinin oldukça yüksek sıklıklarla değiştirilmesi ve aralarında geçiş yapılması anlamına geliyor. Domain fluxing ise çoklu tam nitelikli alan adlarının (FQDNs) sürekli değiştirilerek komut denetim (C&C) sunucusunun tek bir IP adresine tahsis edilmesini ifade ediyor. Yaygın olarak Domain Generation Algorithm (DGA) bot’ları olarak adlandırılan ve bot ajanı C&C altyapısının yerini tespit etmeye çalışırken her gün FQDN alan adlarını oluşturmak için dinamik algoritmalar kullanan botların çeşidinde de son zamanlarda artış yaşandı.
DoS ve DDoS saldırıları: DoS ve DDoS saldırılarının boyutu, hızı ve karmaşıklığı son bir kaç yılda önemli ölçüde arttı, son DDoS saldırıları 300Gbps ve 400 Gbps arasında en üst seviyeye ulaştı.
Exploitation: DNS’i iş (exploitation) için bir vektör olarak kullanan ve botnetleri içeren başka bir saldırı türü daha var. Bu saldırılara verilebilecek örnekler arasında şunlar var:
DNS tünelleme: Bu saldırı, adı itibariyle DNS’in gizli bir kanal olarak kullanılarak geleneksel savunma mekanizmaların baypas edilmesi anlamına geliyor. Giden ve gelen veriler, küçük yığınlar halinde kodlanıyor ve sırasıyla DNS sorgularına ve DNS yanıtlarına sıkıştırılıyor. DNS, oldukça güvenilir fakat bir nispeten gizli bir iletişim kanalıdır. İşte DNS tünellemesini kötü amaçlı yazılım operatörleri için cazip bir yöntem haline getiren de DNS’in güvenilir ve gizli özelliği. Diğer iletişim kanalları başarısız olduğunda, mağdur bir ana makineye giren kötü amaçlı yazılım operatörüyle (namı diğer C&C ile) irtibata geçebilir ve çalınan verileri fark edilmeden geçirebilir veya zafiyeti olan ana makinede gerçekleştirilecek komutlarını getirebilir.
Alan oltalama: Bu saldırı, finansal bir kurumun veya seyahat acentesinin alanı gibi yasal alanları, korsanların kontrolündeki bir alana oltalayarak kullanıcı adı, şifre, PIN veya kredi kartı detayları gibi hassas bilgileri yasadışı yolla elde etme girişimidir. Bu hassas bilgiler toplandıktan sonra, asıl saldırı gerçekleştirilebilir.
İleri Seviye Tehditler (APT): APT’ler, izinsiz ağ erişimi kazanan ancak uzun süre boyunca fark edilmeyen bir saldırı türüdür. İsminden de anlaşılacağı üzere, APT’ler ileri seviye kötü amaçlı yazılımdır ve doğası gereği kalıcıdır, belirli bir amacı gerçekleştirmek amacıyla geliştirilmektedir. APT için şu örnekler verilebilir: Conifer A/B/C, Torpig, Kraken veya TDSS/TLD4 yazılımı– tüm bunların hepsi, ilave yazılım paketlerini ve talimatlarını toplamak ve saldırıları gerçekleştirmek amacıyla DNS’i kaldıraç olarak kullanıp uzaktaki bir C&C sunucusu ile gizlice iletişim kuruyor.
Savunma çözümleri
Böylesine çeşitli DNS saldırısı karşısında, hiçbir teknoloji tek başına etkili savunma için yeterli olamaz. Kaldı ki yukarıdaki örnekler bu saldırıların sadece küçük bir kısmını temsil ediyor. Bir şirketin DNS altyapısının ve hizmetlerinin kapsamlı bir şekilde korunması için, Türkiye’de ki şirketlerin, aşağıdaki çözümlerin bazılarını veya tamamını kullanan katmanlı bir savunmayı gerçekleştirecek çok yönlü bir güvenlik stratejisine sahip olması gerekiyor:
DNS güvenlik duvarları: Gerçek zamanlı tehdit istihbaratı, anormallik tespiti ve kötü amaçlara alanlara karşı koruma sağlayan sıralı cihazlar.
DNSSEC: DNS Güvenlik Eklentileri, DNS kayıtlarını dijital olarak imzalayarak bu kayıtların güvenli görülen kaynaklarca zehirlenmesini önlüyor.
DOS/DDOS koruma sistemleri: Bu sistemler, ileri seviye DDoS saldırılarını tespit ederek koruma için gerekli adımları atabiliyor.
Veri Sızıntısı Önleme (DLP) izleme sistemleri: Bu sistemler, diğer protokoller arasında DNS kullanılarak herhangi bir veri sızıntısının gerçekleşip gerçekleşmediğini tespit ediyor.
Özel APT algılayan analiz sistemleri: Diğer davranış tekniklerinin dışında otomatik öğrenmeyi kullanan bu sistemler, C&C sunucuları ile iletişim kurmak için DNS’i kullanan APT kötü amaçlı yazılımları tespit ediyor.
Sonuç
Saldırganlar ve esas amacı siber savaş, endüstriyel casusluk, korsanlık, siyasi kazanç veya protesto, veri hırsızlığı, spam dağıtma olan veya koordineli DDoS saldısı düzenleyerek maksimum aksaklığa neden olmayı amaçlayan kötü amaçlı yazılım yazarları için DNS, mevcut savunma mekanizmalarından kaçarak yukarıda bahsedilen saldırı vektörlerinden birini kullanmanın oldukça cazip yollarından biri haline geliyor.
Görünen o ki pek çok nedenden dolayı işletmeler DNS güvenliğine yüksek öncelik vermeli ancak DNS sunucularının hala ihmal edildiği ve şirketleri bu nedenle saldırılara açık hale getirdiği açıkça anlaşılıyor.
DNS tabanlı saldırıların sıklığı, hacmi ve gelişmişlik düzeyinde son bir kaç yıldır ani artışlar olduğunu gördük. Bu durum, mevcut izinsiz giriş tespit ve önleme sistemlerinin ve yeni nesil güvenlik duvarlarının kendi başına yeterli güvenlik sağlayamayacağını düşündürüyor.
Dolayısıyla, artık işletmelerin mevcut savunma mekanizmalarından kaçmak üzere DNS’i güvenilir şekilde kullanan bu modern tehditlere ve kötü amaçlı yazılımlara karşı mücadele yöntemi olarak sağlam ve çok yönlü bir savunma stratejisini düşünmesi gerekiyor. Korsanlar bir şirketin altyapısına saldırı teşebbüslerin kaçınılmaz olarak devam edece, o nedenle bir saldırı gerçekleştiğinde bu saldırının nasıl yönetileceğini veya daha da iyisi bu saldırılar meydana gelmeden önce nasıl önleneceğini değerlendirmek önemli.
Türkiye’de ki şirketlerin altyapılarının korunmasını sağlaması ve bir sonraki mağdur olmamak için kayıt görevlileri gibi üçüncü taraflarla etkili iletişimi teşvik etmesi gerekiyor.