Araştırmacılar, Ad Sunucusu Delegasyonunu Kullanarak Hacker Etki Alanı Sunucusuna Erişim Sağladı

Aldatıcı bir anlık bildirim ağına yönelik yakın tarihli bir soruşturma, basit bir DNS hatasının ceza altyapısına nasıl bir pencere açabileceğini gösteriyor. Kampanya, Android kullanıcılarını sahte güvenlik uyarıları, kumar yemleri ve yetişkin teklifleriyle doldurmak için tarayıcı bildirimlerini kötüye kullandı. Rastgele görünen alanlar ve gizli barındırma, tıklama ve reklam parası akışını sürdürürken operatörü gizlemeye çalıştı. Bildirimler gelmeye devam etse de bir alan adı çözümlemeyi bıraktığında sorun ortaya çıktı. Canlı açılış sayfaları yerine, kurbanlar tarayıcı hataları gördü. Rutin bir kesinti gibi görünen şey aslında yanlış yapılandırılmış bir ad sunucusu kurulumuydu ve etki alanını artık geçerli bir arka uca işaret etmeyen kötü bir yetkilendirme durumunda bırakıyordu. Infoblox araştırmacıları bu zayıflığı tespit etti ve dünya çapındaki cihazlar hala evlerini ararken tehdit aktörünün DNS kontrolünün kaymasına izin verdiğini fark etti. Ekip, DNS sağlayıcısında aynı etki alanını meşru bir şekilde talep ederek trafiği, mağdur cihazlara veya saldırganın sunucularına dokunmadan yönettikleri altyapıya yönlendirdi. Bu noktadan itibaren, bilgisayar korsanının ağı tarafından gönderilen her anlık mesaj ve izleme isteği de araştırmacıların sunucusuna ulaşarak operasyona canlı bir bakış açısı oluşturdu. Anlık bildirimler nasıl çalışır (Kaynak – Infoblox)

Takip eden günlerde, dünyanın dört bir yanından binlerce virüslü tarayıcı bağlandı. Her istek, cihaz, dil, cazibe metni ve tıklama davranışı hakkında zengin JSON günlükleri taşıyordu. Toplamda, ekip on milyonlarca kayıt yakalayarak, marka kimliğine bürünmenin agresif kullanımını ve tıklamaları kovalamak için korkutma taktiklerini ortaya çıkardı. Bu ticari push ağından alınan bildirimlerde yer alan yanlış bilgilere bir örnek (Kaynak – Infoblox)

Günlükler, tipik bir kullanıcının genellikle aylarca günde yüzden fazla bildirim alabileceğini gösterdi. Enfeksiyon Mekanizması: Tek Tıklamadan Devam Eden Kontrole

Enfeksiyon yolu, tehlikeli veya gölgeli bir bölgeye yapılan ziyaretle başladı. Kullanıcılara, çerez banner'ları ve captcha istemleriyle karıştırılmış bildirimlere izin vermelerini isteyen bir tarayıcı açılır penceresi gösterildi. İzin verildikten sonra site, aboneliği etkin tutan bir arka plan aracısı gibi davranarak tarayıcıya bir özel hizmet çalışanı yükledi. Bu hizmet çalışanı, saldırganın push sunucusunu düzenli olarak kontrol etti, güncellenmiş komut dosyalarını getirdi ve dolandırıcılık veya reklam şablonlarını çekti. Kullanıcı sekmeyi kapatırsa, çalışan aktif kalır ve bildirimleri tetiklemeye devam eder. Bu şekilde, saldırganlar klasik kötü amaçlı yazılım dosyaları olmadan kalıcı erişim elde ettiler, bunun yerine web standartlarına ve zayıf DNS hijyenine güvendiler. Topal isim sunucusu delegasyonu terk edilmiş alanlarını açığa çıkardığında, savunucular kampanyaları yaymak yerine izlemek için aynı tesisatı kullandılar. Daha Fazla Anında Güncelleme Almak İçin Bizi Google Haberler, LinkedIn ve X'te Takip Edin, CSN'yi Google'da Tercih Edilen Kaynak Olarak Ayarlayın. Post Araştırmacıları, Ad Sunucusu Delegasyonunu Kullanarak Hacker Etki Alanı Sunucusuna Erişim Kazandı ilk olarak Siber Güvenlik Haberlerinde göründü.