HTTPS üzerinden DNS döneminin başlangıcı işletme güvenliği ve Güvenlik Merkezi çalışanlarını zorlayacak.
Alan adı hizmeti (DNS) saldırılarının yaygınlaşması internetin alt yapısında bir sorun olduğunu anlamamızı sağladı. DNS'nin arkasındaki altyapı, internet kullanıcılarını riske atan güvenlik eksikliklerine sahip.
Alanı Adı Sistemi Güvenlik Uzantıları (DNSSEC) özellikleri ile ilgili onlarca yıllık çalışmalar, DNS'i geniş ağlarda esnek olmakla beraber daha güvenli hale getirmenin yolunu bulmak için de devam ediyor. Ancak DNSSEC kavramı çoğu ülkede önemsenmedi. DNSSEC'in zaman içinde gelişimini bekleyemeyenler TLS (DoT),DNSCrypt, DNSCurve ve en son olarak HTTPS üzerinden DNS (DoH) gibi DNS trafiğini güvence altına almak için yeni yöntemlere yönelmeye başladılar.
Şu anda, DNS üzerinde denetim için bir savaşa tanık oluyoruz, DNS'i güvence altına almak için HTTPS pazarlanıyor. Geleneksel olarak DNS istekleri ve yanıtları düz metin olarak gönderildiğinden, kurumsal ağları denetleyen güvenlik işlem merkezi (SOC) ekipleri sorgulanan etki alanlarını izleyebilir ve kullanıcıların kötü amaçlı etki alanlarına erişmesini engelleyebilir. Düz metin DNS istekleri kesinlikle daha az özeldir ancak DNS düzeyindeki istihbarat her zaman bir ağın güvenliğini denetlemek için kritik bir veri kaynağı olmuştur.
DoH'un tanıtımı ile DNS istekleri HTTPS protokolü aracılığıyla şifrelenir ve böylece ağ savunucularının kapsamından kolayca gizlenir. DoH'un gizlilik ve internet üzerinden kontrolün merkezileştirilmesi gibi diğer yönlerini bir kenara bırakarak, özel ve kamu ağlarının güvenliğini nasıl etkilendiğini tartışalım.
Kurumsal güvenlikte görünürlük kaybı sorunları
SOC ekipleri için DoH'un olumsuz etkisi, ağdaki normal HTTPS trafiği gibi daha kolay bir şekilde taklit edebilen kötü amaçlı yazılım iletişiminin kendisini gizleyebilmesidir. DNS öncüsü Dr. Paul Vixie'nin ESET güvenlik evangelisti Tony Anscombe ile yaptığı röportajda vurguladığı gibi:
Bir ağ operatörü olarak... DNS'de hangisinin bir botnet parçası, hangisinin kötü amaçlı yazılım, hangisinin zehirli bir tedarik zinciri olduğunu ve hangisinin davetsiz bir misafir olduğunu bilmek için kullanıcılarımın ve uygulamalarımın ne yaptığını görmek zorundayım... HTTPS üzerinden DNS gibi bir projeyle ortaya çıkan kişinin 'Evet, ağ operatörünün DNS işlemlerine müdahale etmesini imkânsız kılmak istiyoruz' demesi, bizim işi hiç anlamadığına işaret.
Kötü amaçlı yazılımlar genellikle bir komut ve kontrol (C&C) sunucusuna HTTP ve HTTPS aracılığıyla iletişim kurar — MITRE ATT&CK bilgi tabanı tarafından standart bir uygulama katmanı protokolü tekniği olarak tanımlanır. Örneğin ESET Research, Operation Ghost içinde Dukes (APT29) tarafından istihdam edilen ve daha sonra yeni keşfedilen bir indirici olan PolyglotDuke'ü (kurbanların bilgisayarlarında, Twitter ve Reddit gibi sosyal medya hizmetlerinden C&C URL'leri getirip sonrasında MiniDuke arka kapısını bırakmak için bu C&C sunucularıyla iletişime geçer) gözlemledi.
Bu iletişimin kötü niyetli doğasını gizlemek için Dukes, C&C URL'lerini, özellikle Japonca, Çeroki dili ve Çince karakter setlerini kullanarak kodlamıştır. Bu nedenle ESET bu indiriciyi “PolyglotDuke” olarak adlandırmaktadır.
Kötü amaçlı yazılım iletişimini DoH'ın arkasına gizleyebiliyorsa ne olur? Aslında, Proofpoint araştırmacıları, C&C IP adreslerini almak için Google'ın DoH hizmetini kullanan ve saldırganların HTTPS arkasındaki DNS sorgusunu gizlemesine olanak tanıyan PsiXBot kötü amaçlı yazılımının yeni bir sekstorsiyon modülü güncellemesini buldu. Dukes ve diğer tehdit aktörleri, araç kitlerini DoH'yi kullanmak için genişletebilir; bu da gelecekte C&C iletişimini BT yöneticilerinden gizlemeye yardımcı olacaktır.
DNS şifrelemesi; bazı iyi şeyler getirirken, koruma katmanlarından bazılarını ise devre dışı bırakır. Bu, öncelikle ağ tabanlı güvenlik çözümlerini etkiler ve kaliteli, çok katmanlı bir uç nokta güvenlik çözümüne sahip olmanın önemini vurgular.
Şifreli DNS aracılığıyla kötü amaçlı yazılım iletişimi için görünürlük kazanma
SOC ekiplerinin, Mozilla, Google ve diğerlerinin DoH sağlamak için gerçekleştirdiği en son gelişmelerinden haberdar olmaları tavsiye edilir. Bu şekilde BT yöneticileri, yeni DoH hizmetlerine erişimi engellemek için ağ trafiği denetim cihazlarının yazılımını ve yapılandırmalarını güncelleyebilir. Örneğin Google, yöneticilerin güvenlik duvarı düzeyinde engelleyebileceği belirli kararlı adresler üzerinde DoH sunar .
Ancak bilinen DoH hizmetlerini engellemek veya devre dışı bırakmak, kurumsal ağınızdaki şifrelenmiş DNS isteklerinin kötü amaçlı kullanımlarını algılamaya yönelik ilk adımdır. Daha gelişmiş SOC ekipleri, diğer pek çok olay türünün yanı sıra kötü amaçlı görünümlü DNS sorgu olaylarını tanımlayıp yakalamalarını ve kötü amaçlı C&C sunucularına olan bağlantıları araştırmalarını sağlayan bir uç nokta algılama ve yanıtlama (EDR) aracı kullanmalıdır.
Firefox ve Chrome tarayıcılarından gelen DoH trafiğini izleme açısından SOC personelinin görünürlüğü korumalarının yolu, uç noktalara özel güvenlik sertifikaları yüklemek ve tarayıcı trafiğini proxy üzerinden yönlendirmektir. Bu, DoH'u anlayan, satır içi şifre çözme, inceleme, günlüğe kaydetme vb. için HTTPS denetimi gerçekleştirebilen ve daha fazla analiz için herhangi bir olayı EDR aracına ileten bir ağ trafiği denetimi çözümünün kurulmasını sağlar.
Bazı tarayıcılar sabitlenmiş sertifikaları denetlerken, yerel olarak yüklenmiş bir güvenlik sertifikasının normal denetimleri geçersiz kılıp daha baskın geleceğini unutmayın. Bununla birlikte, bu yazım sırasında ne Firefox ne de Chrome tarayıcıları sabitlenmiş sertifikaları kontrol etmiyor.
DoH ile başa çıkmak için başka seçenekler de vardır. Kuruluşlar, dahili DNS sunucularını kurmaya benzer şekilde tüm istekleri görmesine izin veren dahili DoH sunucularını da kurabilir. Alternatif olarak, Mozilla'nın Firefox tarayıcısı için sunduğu gibi DoH kolayca kapatılabilir.
DoH protokolünün güvenlik sorunlarını ele almak için teknik çözümler çeşitlidir. İleriye bakarsak, herhangi bir SOC ekibinin başarısı için çok önemli olan şey bu yeni protokolün ağ güvenliği üzerindeki basamaklı etkilerini takdir etmenin yanı sıra kötü niyetli aktörlere de yanaştırdığını öğrenmektir. Bu şekilde, işletmeniz için DoH kullanımıyla ilgili uygun bir güvenlik politikası belirlenip ve SOC ekibiniz tarafından uygulanabilir.