DNS tabanlı saldırılardaki son artışla mücadele etmek için DNS Spoofing nedir? Siber tehditlerin nasıl tespit edilip önleneceğini anlamak son derece önemlidir.
DNS sahtekarlığı, DNS ele geçirme, DNS önbellek zehirlenmesi olarak bilinen DNS sahtekarlığı, genellikle bilgisayar korsanlarının web trafiğini sahte web sunucusu kimliğine bürünmelere ve dolandırıcılık için hazırlanmış web sitelerine yönlendirdiği siber saldırıları içerir.
Bilindiği gibi Alan Adı Sistemi (DNS), alan adlarını belirli bir IP adresine çevirmek için kullanılır. DNS önbelleği, diğer etki alanlarına yapılan tüm ziyaretlerin kayıtlarını tutan geçici bir veritabanıdır ve her bilgisayarda en son DNS sorgularını depolayan bir DNS önbelleği bulunur. Son ziyaret ettiğimiz sunucunun IP adresi TTL (Time To Live) zaman aşımına kadar burada saklanır, amaç isteklere çok daha hızlı cevap vermektir.
DNS sunucusu zayıflıklarından yararlanan DNS önbellek zehirlenmesi saldırıları, alan adlarının orijinal IP adresinden farklı bir IP adresine yönlendirilmesine izin veren bir tür siber tehdittir. Çevrimiçi trafiği sahte bir web sitesine yönlendiren bu saldırı biçiminde saldırgan bunu DNS kayıtlarını değiştirerek başarır.
Saldırganlar DNS önbelleğine erişerek gerçek IP adresini sahte bir web sitesinin IP adresiyle değiştirerek, kullanıcıların gerçek web sitesi için kimlik avı yapmak için özel olarak tasarlanmış sahte bir web sitesini ziyaret etmelerini sağlar. Sahte web sitesi tam olarak kullanıcının erişmeye çalıştığı orijinal web sitesine benzediği için DNS sahteciliğini tespit etmek zordur.
DNS Zehirlenmesi Nasıl Çalışır?
Yukarıda bahsettiğimiz gibi Alan Adı Sistemi yani DNS, trafiği doğru yönlendirmek için kullanıcının tarayıcının adres çubuğuna girdiği alan adını doğru IP adresi ile eşleştirir. Bu işlem, gönderenin veya alıcının kim olduklarını doğrulamasını gerektirmeyen Kullanıcı Veri Protokolü’ne (UDP) dayanır. DNS zehirlenmesi, trafiği gayri meşru bir IP adresine yönlendirmek için bu süreçte bu zayıflıklardan yararlanır.
Saldırganlar, yerel olarak kullanıcının bilgisayarına veya doğrudan ad sunucularına sahte girişler eklemeyi başarırsa, kontrolü ele geçirebilir ve trafiği istedikleri zaman yönlendirebilirler. DNS sorguları genellikle şifrelenmeden iletildiğinden, saldırganların kötü niyetli müdahale için birçok seçeneği vardır.
DNS sunucuları, daha güvenli Aktarım Denetimi Protokolü (TCP) yerine Kullanıcı Veri Protokolü (UDP) kullandığından, DNS önbellek zehirlenmesi mümkündür. UDP ile bir bağlantının açık olduğunun, alıcının almaya hazır olduğunun veya gönderenin iddia ettikleri kişi olduğunun garantisi yoktur.
DNS ele geçirme olarak da bilinen DNS sahtekarlığında, siber suçluların yönlendiriciler, bilgisayarlar ve tabletler gibi cihazlara gizlice yüklediği ve bağlantı ayarlarını değiştiren kötü amaçlı yazılımlar, kullanıcıları tespit edilmeden kötü amaçlı web sitelerine yönlendirmek için cihazda barındırılır. Bu tür kötü amaçlı yazılımların yaygın bir örneği, Windows Win32/DNSChanger Truva Atı’dır. EXE yalnızca birkaç kilobayt boyutundadır ve trafiği gizlice yeniden yönlendirmek için sistemin DNS ayarlarını değiştirmek üzere tasarlanmıştır.
Siber suçlulara, kullanıcıların cihazlarına virüs ve kötü amaçlı yazılım yükleme erişimi sağlayan sahte kimlik avı sitelerine yönlendirmeler.
Önbellek kusurlu kod genellikle spam e-postalar yoluyla gönderilen URL’lerde bulunur. Gerçek gibi görünen sahte bir IP adresine yönlendirildiğinizde tehdit sisteminize girer.
DNS Önbellek Zehirlenmesi Neden Tehlikeli?
Çoğu durumda, siber suçlular, sahte web sitelerinden kimlik bilgilerini çalmak veya başka saldırılar için kötü amaçlı yazılım eklemek için DNS sahtekarlığını kullanır.
DNS sunucusuna virüs bulaştığında, diğer DNS sunucularına ve ev yönlendiricilerine yayılmaya başlayacaktır. DNS girişlerini arayan bilgisayar yanlış yanıt alır ve birçok kullanıcının DNS zehirlenmesine kurban gitmesine neden olur.
Bu sorun yalnızca, etkilenen her DNS sunucusunda virüslü DNS önbelleği temizlendiğinde çözülecektir; O zamana kadar hassas bilgilerinizi kaybetme riskiniz var.
DNS zehirlenmesi, bireyler ve kuruluşlar için bir dizi risk oluşturur. En büyük risklerden biri, DNS önbelleğine bulaşmış bir cihazın varsayılan olarak yasadışı web sitesine geri dönmesi ve sorun gidermeyi daha da zorlaştırmasıdır.
Ayrıca, sahte web sitesi gerçek web sitesiyle neredeyse aynı olduğundan, DNS zehirlenmesini tespit etmek kullanıcılar için son derece zor olabilir. Bu durumlarda, kullanıcıların kendilerini ve/veya kurumlarını ciddi bir riske attıklarını fark etmeden hassas bilgileri girmeleri yaygındır.
Dolandırıcılara sosyal güvenlik numaraları ve ödeme bilgileri gibi hassas bilgilere kolay erişim sağlayan DNS zehirlenmesi ile siber suçlular, cihaz güvenliğini sağlamak için güvenlik sağlayıcılarından gelen trafiği kritik yamaları ve güncellemeleri Önler’e yönlendirebilir. Cihazları zamanla daha savunmasız hale getiren bu yöntem, Truva atları ve virüsler gibi birçok saldırıya kapı aralayabilir.
Otoriter hükümetler tarafından DNS saldırılarının kullanımı, bazı şirketler ve hükümetler tarafından interneti sansürlemek için tercih edilen DNS sahtekarlığı gibi teknikler konusunda da tartışmalar var. Ancak bazı durumlarda hükümetler, yasa dışı içeriğe sahip portalları çevrimdışına almak için DNS sahtekarlığını da kullanabilir.
DNS Spoofing Örnekleri
COVID-19 salgını milyonlarca çalışanı uzaktan çalışmaya zorlarken, çalışanlar ev ve halka açık Wi-Fi ağları üzerinden şirket sistemlerine erişmeye çalışıyor; Bu, DNS sorgularının sayısında hızlı bir artışa neden olur. Bu, DNS hedefli siber saldırıların sayısında önemli bir artışa neden oldu. Tünelleme gibi geleneksel yöntemler kullanan bu saldırılardan bazıları, Windows DNS’deki SIGRed güvenlik açığı gibi keşfedilmeden önce on yedi yıl geçerli olan Temmuz 2020’de yeni keşfedilen güvenlik açıklarından da yararlanıyor.
Geçen yıl yeni keşfedilen DNS SAD saldırısıyla yeniden canlanmaya başlayan DNS önbellek zehirlenmesi saldırıları, DANE ve DNSSEC gibi modern savunmalar tarafından büyük ölçüde engellendi. Ancak bu DNS güvenlik yöntemleri herkes tarafından uygulanmadığı için bu tür saldırılar devam etmektedir.