DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri

1. @BGASecurity
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri
&
Çözüm Önerileri

2. @BGASecurity
Musab YARDIM
Senior Security Solutions Engineer
https://musabyardim.com
LinkedIN: musabyardim
Twitter: musabyardim
Hakkımda

3. @BGASecurity
Ajanda
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri ve Çözüm Önerileri
Volumetric DoS attacks
Exploits
DNS Firewall
Protocol abuse

4. @BGASecurity
DNS Neden Önemli?
Ø İnternetin en tepel yapı taşlarından biridir. İnternetin omurgası denebilir.
Ø DNS tarafında yaşanılan aksaklıklar tüm hizmetleri etkileyebilir. (Web, Mail vs.)
Ø Günümüzde yaygın kullanılan bazı saldırılar için DNS tarafında da alınması gereken
önlemler bulunuyor.
Ø Önlem alınmadığı takdirde manipülasyona oldukça müsait bir protokoldür. Bundan dolayı
çeşitli atak vektörlerinin gerek tespiti gerek engellenmesi için DNS Güvenliği önemlidir.

5. @BGASecurity
Volumetric DoS attacks

6. @BGASecurity
Volumetric DoS attacks
• DNS Flood Attack
• DNS Amplification (DDoS)
• Bogus Domain Attack

7. @BGASecurity
DNS Flood Attack
Ø DNS sunucularını durdurmayı, hizmet kesintisi oluşturmayı hedefleyen atak türüdür.
Ø Genellikle spoof IP adresleri kullanılarak gerçekleştirilir.
Ø Normal trafikten ayırt edilmesi zor olabilir.
Ø Tespiti noktasında dns trafiğinin gerçek zamanlı
izlenmesi fayda sağlar.
Ø Yüksek hacimli trafiği karşılayabilen ve yüksek oranda
dağıtık yapıda konumlandırılmış dns sistemi kullanılabilir.

8. @BGASecurity
DNS Amplification (DDoS)
Ø Amaç dns flood’da olduğu gibi hizmet kesinti oluşturmaktır.
Ø Bu saldırı tipinde yapılan dns isteğine gelen yanıtın boyutunun büyük olması ile hedefe
kat kat (50x) arttırılmış bir trafik gönderilebilmektedir.
Ø Normal trafikten ayırt edilmesi zor olabilir.
Ø Paketler UDP olduğu için source ip verify yok.
Ø Tespiti ve engellenmesi konusunda ise ISP tarafında
“DDOS blackhole routing” çözümler arasındadır.
Ø Davranışsal analizler ile engellenebilir. (DFAS yöntemi)

9. @BGASecurity
DNS Amplification Attack
Ø İnternet üzerinde ki açık olan birçok DNS Resolve sunucusu kullanılarak yapılır.
2021
2018

10. @BGASecurity
Bogus Domain Attack
Ø Olmayan alan adları sorularak sunucunun daha fazla yorulması, kaynak tüketmesi
hedeflenmektedir.
Ø Diğer atak türleri ile kombin edilerek kullanılır.
Ø Amaç diğer saldırılarda olduğu gibi hizmet kesintisi oluşturmaktır.
Ø Tespiti ve engellenmesi için DNS trafiği analiz edilerek NXDOMAIN, NXRRset, veya
SRVFAIL sorgularını çok fazla yapan kaynak IP adresleri geçici süreliğine engellenebilir.
Ø Hizmet kesintisini en aza indirmek için “cache refresh” yapıldığından emin olunmalıdır.

11. @BGASecurity
Exploits

12. @BGASecurity
Exploits
• DNS-based Exploits
• Zero-Day Vulnerability
• Protocol Anomalies
• DNS Rebinding

13. @BGASecurity
DNS-based Exploits
Ø DNS servisinde, protokolde veya ilgili işletim sisteminde bulunan hata veya kusurların
istirmar edilmesi ile yapılan saldırılar.
Ø Tespiti ve önlenmesi konusunda;
Ø IPS/IDS sistemlerinin aktif olarak kullanılması
Ø Düzenli zafiyet taramalarının yapılması (hem servise hemde işletim sistemine yönelik)
Ø Güncellemelerin takibi ve zamanında yapılması
Ø …

14. @BGASecurity
Zero-Day Vulnerability
Ø Zero-day ataklar için doğrudan alınabilecek bir çözüm bulunmamaktadır.
Ø Bu tür ataklardan en az etki ile sıyrılabilmek için envanteriniz de yer alan sistemler için
yayınlanan güncel güvenlik haberlerini takip etmek faydalı olacaktır.

15. @BGASecurity
Protocol Anomalies
Ø Hizmeti durdurmayı hedefleyen hatalı yapılandırılmış DNS sorgularına dayalı saldırı
yöntemi
Ø Burada saldırgan belirli bir bilinen saldırı metodu uygulamaktan ziyade hedefe gönderdiği
paket içerikleri ile oynayarak servis yanıt vermesini engelleyici, crash olmasını sağlamaya
yönelik istekler yollayabilir.
Ø Burada yapılan aktiviteler için belirli bir patern olmadığı için tepsiti konusunda
davranışsal analiz yapılarak ortaya çıkartılabilir.

16. @BGASecurity
DNS Rebinding
Ø Malicious web sayfaları üzerinden bulaştırılan zararlı JavaScript ‘ler ile kurbanın
bulunduğu yerel ağdaki diğer cihazların (özellike Webcam, IOT devices gibi) keşfi
hedeflenmektedir.
Ø Bu keşif sonrası ilgili cihazlara uzaktan erişim sağlanmaya çalışılır.
Ø Erişim sağlanabilen bu cihazlar saldırganın botnet ağına dahil olur ve saldırgan tarafından
ihtiyaç duyulduğu anda saldırganın amacına yönelik hizmet edebilir.

17. @BGASecurity
Protocol Abuse

18. @BGASecurity
Protocol Abuse
• DNS Tunneling
• DNS over TLS (DOT)
• DNS over HTTPS (DOH)
• DNS Cache Poisoning
• DNS Hijacking
• Data Exfiltration
• Domain Squatting

19. @BGASecurity
DNS Tunneling
Ø DNS trafiği içerisinden farklı protokollere ait veri taşımak için kullanılır.
Ø DNS tunnel içerisinden TCP, SSH, HTTP gibi erişimler sağlanabilir.
Ø Engellenmesi veya tespiti için IPS/IDS, DNS Firewall, NGFW gibi çözümler kullanılabilir.
Fakat bu çözümlerde genellikle imza bazlı kontrol gerçekleştirdiği için bypass edilebilirler.

20. @BGASecurity
DNS over TLS (DOT)
Ø DNS over TLS (DOT), temel olarak DNS sorgularının güvenli olarak yapılabilmesini sağlar.
HTTP ‘nin TLS ile HTTPS olması gibi diyebiliriz.
Ø Yani UDP protokolü üzerinden yapılan DNS sorgularına TLS ile şifreleme ekler.
Ø Böylece DNS isteklerinin saldırganlar tarafından araya girilerek değiştirilmesinin önüne
geçilmiş olunur.
Ø Yaygın olarak kullanımı ise DNS over HTTPS (DOT) olarak işletim sistemleri ve tarayıcılar
üzerinde ön tanımlı olarak gelmeye/kullanılmaya başlamıştır.
Ø DOT için ayrılmış dedike bir port bulunduğundan (tcp/853) kullanımının tespiti ve
engellenmesi kolay olabilir.
Unencrypted Encrypted

21. @BGASecurity
DNS over TLS (DOT)
Unencrypted DNS Traffic
Encrypted DNS Traffic

22. @BGASecurity
DNS over HTTPS (DOH)
Ø DNS over HTTPS (DOH), DOT’un bir alternatifidir. DNSSEC ile karıştırılmamalıdır.
Ø DOH ile dns sorguları şifrelenir ve dns sorguları UDP yerine HTTPS protokolü ile yapılır.
Ø Kullanım amacı DOT da olduğu gibi saldırganların dns trafiğini manipüle etmesinin önüne
geçmektir.
Ø Güncel web tarayıcıları ve işletim sistemleri artık DOH ‘u ön tanımlı olarak desteklemektedir.

23. @BGASecurity
DNS over HTTPS (DOH) - Tespit
Ø DOH tespiti için TLS inspection yapılabilir.
Ø Son kullanıcı DNS eventleri analiz edilerek tespit edilebilir. (SIEM, IDS, EDR gibi kaynaklarla)
Ø DNS Firewall / DNS Visibility gibi ürünler veya SIEM üzeride ki analizler ile tespit edilebilir.

24. @BGASecurity
DNS over HTTPS (DOH) - Engelleme
Ø DOH ’un engellenmesi için Application Control/Whitelisting uygulamaları kullanılabilir.
Ø DNS Firewall ürünleri engelleyebilir.
Ø Manuel (RPZ vs. ile) engelleme yapmak mümkündür fakat başa çıkılması zordur.
Ø Bypass için hosts dosyasına kayıt girilebilir. Bundan dolayı hosts dosyasında değişiklik
yapılması kısıtlanmalı ve değişiklikler (File Auditing, FIM vb. ile) takip edilmelidir.

25. @BGASecurity
DNS over HTTPS (DOH) - Engelleme

26. @BGASecurity
DNS Cache Poisoning
Ø DNS sunucuların hızlı yanıt için ön belleklerinde tuttukları verilerin manipüle edilerek
yapıldığı saldırı yöntemidir.
Ø Saldırgan DNS sunucuna öncelikle abc.com ‘u sorar. DNS sunucusu abc.com için önce ön
belleğinde var mı yok mu diye bakar.
Ø Ön belleğinde yoksa forwarder dnslere abc.com’u sorar.
Ø Bu esnada saldırgan abc.com için sahte response paketleri üreterek DNS sunucusuna yollar.
Ø DNS sunucusu ön belleği böylece zehirlenmiş olup daha sonra kendisine sorulan abc.com
dns sorguları için ön belleğinde bulunan saldırganın abc.com için ürettiği IP adresi döner.

27. @BGASecurity
DNS Cache Poisoning - 1
DNS Uncached Response
DNS Cached Response

28. @BGASecurity
DNS Cache Poisoning - 2

29. @BGASecurity
DNS Hijacking
Ø DNS sorgularının farklı dns sunucularına yönlendirilerek verilecek olan yanıtın istenildiği
gibi değiştirilmesi ile yapılan saldırı türüdür.
Örn. Facebook.com için sahte bir facebook sayfası içeren 12.34.56.78 IP adresinin
döndürülmesi gibi.
Ø Farklı şekillerde yapılabildiği için tespiti ve engellenmesi konusu da geniştir.
Ø Genellike Pharming ve Phishing amaçlı kullanılır.

30. @BGASecurity
DNS Hijacking - 1
Ø Endpoint üzerinde tanımlı DNS adreslerinde değişiklik yapılabilir.
Ø Sisteme bulaşan zararlı bir uygulama tarafından yapılabilir.
Ø Engellenmesi için;
Ø Endpointler üzerinde DNS değişikliğinin kısıtlanması
Ø Endpoint sistemlerin zararlı uygulamalardan korunması için gerekli bileşenlerin
bulunması (AV, EPP vs.) ve güncel olduğunun kontrolü
Ø DNS sorgularının sadece local DNS suncuuları üzerinden yapılmasına izin verilmesi

31. @BGASecurity
DNS Hijacking - 2
Ø Son kullanıcılara DNS dağıtımı yapan sistemlerin ele geçirilmesi ile yapılabilir.
Ø Engellenmesi için;
Ø DNS adreslerini dağıtan sistemlere erişimlerin kontrolü
Ø Yapılacak olan bü tür yönetimsel aktivitelerin loglanması, SIEM ile alarma dönüştürülmesi
Ø Bu sistemlerin updatelerinin düzenli yapılması
Ø Düzenli zafiyet taramalarının yapılması
Ø …

32. @BGASecurity
DNS Hijacking - 3
Ø Yerel DNS Sunucusu ele geçirilerek yapılabilir.
Ø Ele geçirilen sistemde ki DNS kayıtları değiştirilerek yapılan isteklere istenilen yanıtın
dönülmesi sağlanabilir.
Ø Engellenmesi için;
Ø Yerel DNS sunucularına erişimlerin kontrolü
Ø Bu DNS sunucuları üzerinde yapılan DNS kayıtlarıyla ilgili aktivitelerin incelenmesi
(SIEM üzerinde bununla ilgili alarm mekanizması olmalı.)
Ø Bu sistemlerin güncellemelerinin düzenli yapılması
Ø Düzenli zafiyet taramalarının yapılması
Ø …

33. @BGASecurity
DNS Hijacking - 4
Ø Saldırgan endpoint ile DNS sunucu arasına sızılarak (mitm) DNS trafiğini manipüle ederek
dns kayıtlarını değiştirebilir.
Ø Engellenmesi için;
Ø Man in the middle (mitm) saldırılarının engellenebilmesi için L2 seviyesinde
önlemler alınması gerekir.
Ø Kimlik doğrulama çözümlerinin kullanılması
Ø DNSSEC kullanımı

34. @BGASecurity
Data Exfiltration
Ø Saldırganlar ele geçirdikleri sistemler üzerinden DNS sorguları ile veri sızıntısı yapabilirler.
Ø Bu yöntem ile farkedilmeden veri sızdırmak biraz zahmetli olsa da sabırlı bir saldırgan için
yakalanmama adına biçilmez bir kaftandır diyebiliriz.

35. @BGASecurity
Data Exfiltration
Ø Tespiti ve engellemesi için DNS trafik analizi yapılması şarttır.
Ø İyi yapılandırılmış ve kategorizasyonu başarılı olan DNS Firewall ürünleri engelleyebilir.
Ø Netflow analitik araçları ile tespit edilebilir. (%100 çözüm değildir.)
Ø DNS logları içerisinde özellikle subdomain kayıtları, TXT kayıtları gibi sorgular belirli
paternlere göre analiz edilerek veri sızıntı tespiti yapılabilir.
Ø DNS kaydının sorgulanması kısmında zararlı uygulamanın kullanacağı araçların (dig,
nslookup, curl, wget) takip edilmesi.

36. @BGASecurity
Data Exfiltration

37. @BGASecurity
Domain Squatting
Ø Yazım hatalarından, yanlış anlaşılmalardan kaynaklı doğabilecek DNS sorguları tahmin
edilerek yapılan aslında herşeyin yasal olduğu bir saldırı türüdür.
Ø Facebook.com ’a benzer faceebook.com gibi benzer domainler alınarak yapılır.
Ø Yazım hatası yapan kurban faceebook.com adresine erişim sağladıktan sonra benzer bir
login sayfasına kullanıcı bilgilerini yazabilir.
Ø Bununla ilgili önlem olarak yanlışa müsait olan domainler firma tarafından register
edilebilir.
Ø İstihbarat servisleri üzerinden alınan veriler ile en azından kendi kullanıcılarınızın bu tür
domainlere erişimini engelleyebilirsiniz.
Ø DNS Firewall çözümleri de bu konuda fayda sağlayan çözümler arasındadır.

38. @BGASecurity
DNS Firewall

39. @BGASecurity
Roksit DNS Firewall – Secure DNS
Ø DNS kullanan rararlı yazılımlara karşı koruma
Ø Ransomware, Malware, Phishing, Botnet aktivitelerine karşı koruma
Ø DNS Tunneling engelleme
Ø DNS over HTTPS engelleme
Ø DNS sorgularına kategorize eder ve uygulanan filtrelere göre saldırganların yapmayı
hedeflediği aktiviteleri DNS seviyesinde engeller.

40. @BGASecurity
Roksit DNS Firewall
Roksit Secure DNS Çalışma Yapısı

41. @BGASecurity
Roksit DNS Firewall – DNS & Threat Visibility
Ø Yoğun DNS loglarının anlık olarak incelenip sorguların sınıflandırılması.
Ø Roksit tehdit istihbarat servisi ile bütünleşik çalışma
Ø Zararlı sorgu yapan kullanıcı/enfekte cihaz tespiti
Ø Kural tabanlı SIEM entegrasyonu
Ø SIEM EPS ihtiyacı azaltarak maliyet avantajı (1:1000 oranında)
Ø Aktif sistemleri etkilemeyen, ajansız, sıfır kesinti

42. @BGASecurity
Roksit DNS Firewall – DNS & Threat Visibility

43. @BGASecurity
Roksit DNS Firewall – Threat Hunter
Ø Zararlı domain > Secure DNS
Ø Enfekte kullanıcı > DNS and Threat Visibilty
Ø Trafiği oluşturan uygulama, process,dll > Threat Hunter
Ø Aktif threat tespiti
Ø Ajansız Çözüm
Ø DNS tabanlı ve imza olmadan
Ø Next Generation Firewall/IPS entegrasyonu

44. @BGASecurity
Roksit DNS Firewall – Threat Hunter

45. @BGASecurity
Solarwinds IOCs ve DNS Firewall Faydası

46. @BGASecurity
Özet
Ø DNS, yeteri kadar önlem alınmadığı zaman saldırganlar için birçok farklı yöntem ile istismara
açık bir protokoldür.
Ø DNS trafiği ve DNS sorguları bize saldırı tespiti ve engellenmesi konusunda fayda sağlar.
Ø Bu bağlamda DNS trafiği ve DNS sorgularının analiz edilmesi büyük önem taşır.
Ø Güncel saldırı yöntemlerine bakıldığında DNS Güvenliği kurumlar için lüks olmaktan çıkmış ve
ihtiyaç haline gelmiştir.

47. @BGASecurity
-Teşekkürler-
bgasecurity.com | @bgasecurity