6 Soruda Yaşanan Domain Hijacking Saldırısı: Gerçekte Neler oldu?

1-Saldırı Ne zaman gerçekleştirildi?

Saldırı 19 Mart 2021 Cuma günü mesai saati bitiş saati olan 18:00’da gerçekleştirildi. Saldırganın özellikle mesai saati bitimini tercih ettiğini düşünüyorum.

2-Nasıl bir saldırı gerçekleştirildi?

Saldırı, "domain hijacking" olarak adlandırılan çok eski bir yöntem ile yapıldı. Bu yöntemde hedef firmaların alan adını aldığı registrar firmaya yönelik bir saldırı söz konusudur. Alan adı yönetim paneline giriş yapılarak burada DNS kayıtları farklı yerlere yönlendirilir ve site hacklenmiş gibi gösterilir. Sitenin orjinalinde, sunucuda herhangi bir değişiklik olmamasına rağmen DNS istekleri saldırganların istediği IP adresine yönlendirildiği icin ziyaretçiler index atılmış (mesaj bırakılmış) sayfayı görmektedirler. 

3-Saldırının etkisi ne oldu, neler olabilirdi?

Saldırının etkisi yaklaşık 4 saat civarında sürdü. Bu esnada bir çok kullanıcı ilgili sitelere ulaşamadı ve verilen hizmetlerden faydalanamadı. 

Saldırı esnasında ilgili firmalara ait herhangi bir veri kaybı veya ifşası yaşanmadı.

Daha gelişmiş bir saldırı yöntemi ile neler yapılabilirdi?

• Mail kaydı (MX) yönlendirilerek firmaya ait  çalışanlara gelen-giden e-postalar okunabilirdi.
• Sahte sayfa yapılıp ana sayfaya kredi kartı bilgisi veya diğer bilgilerini giren ziyaretçilerin ve kullanıcıların verileri toplanabilirdi.
• İlgili firmaya ait sosyal medya hesapları e-posta resetleme yöntemiyle ele geçirilebilirdi.

4-Saldırganlar kimlerdi ve hangi yöntemle bu saldırı gerçekleştirildi?

Saldırgan, Türkiye’deki forumlarda sık karşılaşılan profillerden biridir. SOCRadar® ThreatHose üzerinden elde edilen verilerle Aralık ayında benzer forum sayfalarında hacklendiği(domain yonetim paneline erişim ) iddia edilen  domain firmasına ait bazı config dosyalarının paylaşıldığı ve nasıl brute-force ile hesap bilgileri elde edileceğine dair yazışmalar geçmektedir. [Ek-1] Buradan anlaşılmaktadır ki aslında bu olay 2-3 aylık bir süreyi kapsayan saldırıların son aşamasıdır.

5-SOCRadar® Nasıl Tespit Etti?

Hizmet verdiğimiz müşteriler için aktif olarak kullandığımız SOCRadar Siber İstihbarat Platformu, 18:04 de bu olayı tespit ederek ilgili firmalara e-posta, telefon ve anlık mesajlaşma kanallarını kullanarak bildirim yapmıştır. 

SOCRadar'ın bu ve benzeri saldırıları aşağıdaki yöntemlerle çok hızlı bir şekilde tespit edebilmektedir;

• Domaine ait NS (Name Server) kaydı değişikliklerinin takibi
• Domaine ait A kaydı değişikliğinin takibi
• Whois bilgilerinin değişikliğinin takibi
• Web sitesi içerik ve başlık bilgilerinin değişiklik takibi
• Deep Web ortamlarının otomatik takip edilmesi ve firma domainlerine yönelik alarmlar

6-Benzeri saldırılardan firmalar kendilerinin etkilenip etkilenmediğini nasıl anlayabilirler, nasıl önlem alabilirler?

1. Domain registrar firmasında alan adlarınıza yönelik registrar-lock özelliğinin aktif olduğundan emin olunuz
2. Kullandığınız registrar firmanın 2-factor auth desteği olduğundan emin olunuz, yoksa böyle bir özelliği, bu özelliği barındıran firmaları tercih ediniz.
3. Benzeri saldırılardan erkenden haberdar olma adına SOCRadar veya benzeri siber istihbarat ve atak yüzeyi yönetim araçlarından faydalanınız. 

[Ek-1]

Tehdit aktörleri, bu tarz paylaşılan config dosyalarını yardımcı programlara entegre ederek ellerinde bulunan kullanıcı adı ve parolalar ile otomatik olarak giriş denemesi yapmaktadırlar.

Aralık 2020 tarihinde paylaşılan Atakdomain Config Dosyası 

16-17 Şubat 2021 tarihlerinde forumlarda paylaşılan Atakdomain müşteri bilgileri