DNS Zehirlenmesi (DNS Spoofing) Nedir ve Nasıl Korunmalıyız?

Son zamanlarda artan DNS tabanlı saldırıların yükselişiyle mücadele etmek için DNS Spoofing Nedir? gibi sorularla siber tehditlerin nasıl tespit edileceğini ve nasıl önleneceğini anlamak son derece önemlidir.

DNS sahtekarlığı, DNS hijacking, DNS önbellek zehirlenmesi (DNS cache poisoning) gibi isimlerle karşımıza çıkan DNS spoofing, genel olarak siber korsanların web trafiğini sahte web sunucularına ve kimlik avı için hazırlanmış web sitelerine yönlendirdiği siber saldırıları kapsar.

Bilindiği gibi Alanı Adı Sistemi (DNS), bir alan adını, belirli IP adresine çevirmek için kullanılır. DNS önbelleği diğer alan adlarına yapılan ziyaretlerin tüm kayıtlarını içeren geçici bir veritabanıdır ve her bilgisayarın en son DNS isteklerini depolayan bir DNS önbelleği bulunur. En son ziyaret ettiğimiz sunucunun IP adresi TTL süresi (Time To Live) sona erene kadar burada saklanır, amaç sorgulara çok daha hızlı yanıt verilmesidir.

DNS sunucularındaki zayıflıklardan yararlanan DNS önbellek zehirlenmesi saldırıları, bir alan adının orijinalinden farklı bir IP adresine yönlendirilmesine olanak tanıyan bir siber tehdit türüdür. Çevrimiçi trafiği sahte bir web sitesine yönlendiren bu saldırı biçiminde saldırgan DNS kayıtlarını değiştirerek bunu başarır.

DNS önbelleğine erişim elde eden saldırganlar gerçek IP adresini sahte bir web sitesinin IP adresiyle değiştirerek kullanıcıların gerçek web sitesi yerine dolandırıcılık için özel hazırlanmış sahte web sitesine ulaşmasını sağlar. Sahte web sitesi, kullanıcının erişmeye çalıştığı orijinal web sitesiyle tamamen aynı göründüğünden DNS sahtekarlığını tespit etmek çok zordur.

DNS önbellek zehirlenmesi saldırılarının amaçları arasında virüslü dosya indirmeleri için kullanıcıları kandırmak, ortadaki adam saldırıları (MITM) ile trafiği izlemek, kimlik avı saldırıları ile banka hesap bilgileri gibi hassas verileri toplamak sayılabilir.

DNS Önbelleğine erişim elde eden saldırganlar gerçek IP adresini sahte bir sitenin IP adresiyle değiştirerek kullanıcıların dolandırıcılık için özel hazırlanmış sahte web sitesine ulaşmasını sağlar. 

Üstte de belirttiğimiz gibi Alan adı sistemi yani DNS, trafiği doğru bir şekilde yönlendirmek için kullanıcıların tarayıcının adres çubuğuna girdiği alan adını uygun IP adresine eşler. Süreç, göndericilerin veya alıcıların kim olduklarını doğrulamalarını gerektirmeyen Kullanıcı Veri Birimi Protokolü (UDP) üzerine inşa edilmiştir. DNS zehirlenmesi, trafiği meşru olmayan bir IP adresine yönlendirmek için süreçteki bu zayıflıklardan yararlanır.

Saldırganlar, yerel olarak bir kullanıcının bilgisayarına veya doğrudan bir ad sunucusuna yanlış girişler eklemeyi başarırsa, trafiği istedikleri zaman kontrol edebilir ve yeniden yönlendirebilirler. DNS sorguları genellikle şifrelenmeden aktarıldığından, saldırganların kötü niyetli müdahale için birçok seçeneği vardır.

DNS sunucuları, daha güvenli olan İletim Kontrol Protokolü (TCP) yerine Kullanıcı Datagram Protokolü (UDP) kullandığından, DNS önbelleğini zehirlemek mümkün olmaktadır. UDP ile bir bağlantının açık olduğunun, alıcının almaya hazır olduğunun veya gönderenin söylediği kişi olduğunun garantisi yoktur.

DNS hijacking olarak da bilinen DNS spoofing tekniğinde siber suçluların yönlendiriciler, PC’ler ve tabletler gibi cihazlara gizlice yükledikleri kötü amaçlı yazılımlar kullanıcıları fark etmeden zararlı web sitelerine yönlendirmek için cihazlarda depolanan ağ bağlantısı ayarlarını değiştirir. Bu tür kötü amaçlı yazılımların popüler bir örneği Windows Trojan Win32/DNSChanger’dır. Yürütülebilir EXE dosyasının boyutu yalnızca birkaç kilobayttır ve trafiği gizlice yeniden yönlendirmek için sistemin DNS ayarlarını değiştirecek şekilde tasarlanmıştır.

Dolandırıcılık amaçlı sahte web sitelerine yönlendirme, siber suçluların kullanıcıların cihazlarına virüs ve kötü amaçlı yazılım yüklenmek için erişim elde etmesine olanak tanır.

Önbellek zehirleme kodları genellikle spam e-postalar aracılığıyla gönderilen URL’lerde bulunur. Gerçek gibi görünen sahte bir IP adresine yönlendirildiğinizde tehdit, sistemlerinize enjekte edilir.

DNS Önbellek Zehirlenmesi Neden Tehlikelidir ?

Çoğu durumda, siber suçlular, sahte web sitelerinde oturum açma kimlik bilgilerini çalmak veya başka saldırılar için kötü amaçlı yazılım eklemek için DNS sahtekarlığını kullanır.

DNS sunucusu zehirlendiğinde, diğer DNS sunucularına ve ev yönlendiricilerine yayılmaya başlayacaktır. DNS girişlerini arayan bilgisayarlar, daha fazla kullanıcının DNS zehirlenmesinin kurbanı olmasına neden olarak yanlış yanıt alır.

Bu sorun yalnızca, etkilenen her DNS sunucusunda zehirlenen DNS önbelleği temizlendiğinde çözülecektir; o zamana kadar hassas bilgilerinizi kaybetme riskiyle karşı karşıya kalırsınız.

DNS zehirlenmesi, hem bireyler hem de kuruluşlar için çeşitli riskler oluşturur. En büyük risklerden biri, DNS önbellek zehirlenmesine kurban giden cihaz varsayılan olarak gayri meşru siteye geri döneceği için, sorunu çözmenin zorlaşmasıdır.

Ayrıca, sahte web sitesi gerçek siteyle neredeyse aynı olduğundan, DNS zehirlenmesini tespit etmek kullanıcılar için son derece zor olabilir. Bu durumlarda, kullanıcılar kendilerini ve/veya kuruluşlarını ciddi risklere maruz bıraktıklarının farkına varmadan, hassas bilgileri normal şekilde gireceklerdir.

Dolandırıcılara sosyal güvenlik numaraları ve ödeme bilgileri gibi hassas bilgilere erişmeleri için kolay bir yol sunan DNS zehirlenmesi ile siber suçlular, cihazların güvenliğini sağlayan önemli yamaların ve güncellemelerin alınmasını engellemek amacıyla güvenlik sağlayıcılarından gelen trafiği yeniden yönlendirebilir. Cihazları zamanla daha savunmasız hale getiren bu yöntem, truva atları ve virüsler gibi çok sayıda saldırıya kapı açabilir.

Ayrıca DNS saldırılarının otoriter yönetimler tarafından tartışmalı kullanımları da söz konusudur, bazı şirketler ve hükümetler tarafından interneti sansürlemek için DNS spoofing gibi tekniklerin tercih edildiği bilinmektedir. Ancak bazı durumlarda, DNS sahtekarlığı, hükümetler tarafından yasa dışı içeriğe sahip portalları çevrimdışına almak için de kullanılabilmektedir.

DNS Spoofing Örnekleri ?

COVID-19 salgını milyonlarca çalışanı uzaktan çalışmak zorunda bıraktığında çalışanların kurumsal sistemlere ev ve genel WiFi ağları üzerinden erişmeye çalışması; DNS sorgularının hacminde hızlı bir artışa neden olmuştur. Bu da DNS’i hedefleyen siber saldırıların sayısında belirgin artışa yol açmıştır. Bir kısmının “tünel açma” gibi geleneksel yöntemleri kullandığı bu saldırıların bir kısmı da Temmuz 2020’de keşfedilmeden önce on yedi yıl yürürlükte olan Windows DNS’deki SIGRed güvenlik açığı gibi yeni keşfedilen güvenlik açıklarından yararlanmıştır.

Geçtiğimiz yıl yeni keşfedilen SAD DNS saldırısı ile canlanmaya başlayan DNS önbellek zehirlenmesi saldırıları, DANE ve DNSSEC gibi modern savunma önlemleri tarafından büyük ölçüde durdurulmuştur. Ancak bu DNS güvenlik yöntemleri herkes tarafından uygulanmadığı için bu tür saldırılar halen devam etmektedir.

Son yıllarda meydana gelen diğer önemli DNS zehirlenmesi saldırıları arasında AWS ve Malaysia Airlines’a yapılan saldırıları sayabiliriz:

• 2018’de Amazon Web Services’e (AWS) yapılan bir DNS spoofing saldırısı, 17 milyon dolar değerinde Ethereum çalınmasına yol açmıştır. Hırsızlar, MyEtherWallet hesaplarına giriş yapmaya çalışanlardan gelen trafiği, giriş bilgilerini ele geçirmek için sahte bir web sitesine yönlendirmiş ve bu bilgileri, kullanıcıların hesaplarına erişmek ve paralarını çalmak için kullanmıştır.
• 2015 yılında, Lizard Squad olarak bilinen bir korsan grubu, Malaysia Airlines’a DNS zehirlenmesi saldırısı düzenlemiştir. Sitenin ziyaretçilerini oturum açmaya teşvik eden sahte bir web sitesine yönlendiren saldırı, iki uçuşun kaybedildiği zorlu bir yılı geride bırakan havayolu şirketinde ciddi kayba yol açmıştır.

DNS Önbellek Zehirlenmesinden Korunma Yolları Nelerdir ?

DNS zehirlenmesi saldırıları tespit edilmesi ve çözümü zor olabileceği için çok tehlikelidir. DNS servis sağlayıcısı veya web sitesi sahipleri, tehditleri yönetmek için çeşitli araçlar ve protokoller kullanarak kullanıcıları korumak adına adımlar atmalıdır. Bu tip saldırılardan korumanın bilinen en iyi yollarını şu şekilde sıralayabiliriz:

1) DNSSEC’i tanıtmak, DNS zehirlenmesi saldırılarına karşı korunmak için alabileceğiniz en değerli önlemlerden biridir. DNSSEC, mevcut internet protokollerinde standart olmayan DNS verilerini doğrulamayı mümkün kılmak için ortak anahtar şifrelemesine güvenir. Spesifik olarak, bir isteğe yanıt veren herhangi bir DNS’in kök alan adını doğrulamak ve bunu yapmaya yetkili olduğundan emin olmak için sertifika tabanlı kimlik doğrulamasını kullanır. Ayrıca, yanıtın içeriğine güvenilip güvenilmeyeceğini ve bu içeriklerin aktarım sırasında değiştirilip değiştirilmediğini değerlendirir.

2) Bir diğer önemli adım, DNS istek ve yanıtlarında yer alan verileri her zaman şifrelemektir. Bu, verilere müdahale edebilecek siber suçlulara karşı ek bir koruma katmanı sunar. Örneğin, bir saldırgan şifrelenmiş verileri ele geçirmeyi başarsa bile, gelecekteki yanıtlarda kullanmak üzere çoğaltmak için ihtiyaç duyduğu bilgileri almak için okuyamaz.

3) Kuruluşlar, DNS’e ek bir koruma katmanı sağlayan yapılandırmalar için adımlar da atabilir. DNS sunucularını, diğer DNS sunucularıyla olan ilişkilere büyük ölçüde güvenmeyecek şekilde yapılandırabilirler. Bu, bilgisayar korsanlarının kendi DNS sunucuları aracılığıyla bağlantı kurmasını zorlaştırır. Ek olarak kuruluşlar, DNS sunucularını yalnızca belirli hizmetlerin çalışmasına izin verecek şekilde daha sınırlı veri kümelerini depolayacak şekilde yapılandırabilirler.

4) Sistem güncellemeleri genellikle yeni güvenlik protokolleri ve tanımlanmış güvenlik açıklarına yönelik düzeltmeler içerdiğinden DNS’in en son sürümünü kullanmak da son derece önemlidir.

5) DNS zehirlenmesi saldırısının gerçekleşmesi durumunda güçlü algılama protokollerinin olması sonucu değiştirebilir. En iyi algılama protokolleri, düzenli izleme kullanır. En büyük uyarı işaretlerinden biri tek bir alan adı hakkında tek bir kaynaktan DNS etkinliğinde artış olması ve tek bir kaynaktan birden fazla alan adı hakkında DNS etkinliğinde artış olmasıdır. Bunlar, DNS zehirlenmesi için bir giriş noktası bulma girişimlerinin göstergesidir.

6) Potansiyel risklerin farkına varmak için siber güvenlik eğitimleri önerilir. Fark etmesi çok zor olsa çalışanların siber tehditler konusunda eğitilmesi kuruluşların itibar ve finans kaybı yaşama ihtimallerini zayıflatır.

SİMET BİLİŞİM TEKNOLOJİLERİ A.Ş.

SSHTDM - Tarafından hazırlanmıştır.