Kötü amaçlı yazılımların çoğunun Amerikan domainlerinden ve ABD internet sağlayıcılarından gelmesi şaşırtıcı bir durum değil. Ancak, yakın tarihte yayınlanan Q4 Infoblox DNS Tehdit Endeksi’ne göre kötü amaçlı yazılımların çoğunun altyapısı, saldırganlar başka yerlerde yaşasa bile ABD veya Almanya’da yer alıyor.
Bu bulgulara biraz temkinli yaklaşmak gerekiyor çünkü Infoblox’ın esas işi korumalı DNS hizmetleri. Yine de sonuçlara biraz daha yakından bakmakta fayda var.
Siber suçlular kötü amaçlı faaliyetleri için DNS hizmetlerinden faydalanıyorlar. Fidye yazılımlar yazmak, oltalama ve DOS saldırıları yapmak ve domain gölgeleme gibi başka aktivitelerde bulunmak için geçerli domainleri çalabiliyor veya gerçek domainlere benzeyen (googel.com gibi) yeni domainler oluşturabiliyorlar.
Infoblox yaptığı araştırma için internet sağlayıcılarından, hükümet birimlerinden ve ağ operatörlerinden veri toplayarak kötü amaçlı DNS aktivitelerini kategorize etmiş. Bu bilgiye göre kötü amaçlı yazılım içeren domainlerin %72’si ABD’de, %20’si Almanya’da bulunmakta.
Raporda ABD’deki hosting altyapısına girip kötü amaçlı yazılım yerleştirmenin bir hayli kolay olduğu söyleniyor ve “Bir domainin ABD veya Almanya’da host edilmesi o domainin güvenli olduğu anlamına gelmiyor,” ifadesine yer veriliyor.
Raporda ele alınan sorunlardan biri ise internet sağlayıcılarının yasal mercilerden gelen temizleme taleplerine cevap vermede yavaş kalmaları.
Infoblox geçmişte DNS tehditleri endeksinde sürekli tekrar eden ani artışlar gözlemlemiş. Teorilerine göre siber suçlular bilgi toplamak ve yeni saldırılar hazırlamak için daha sakin zamanları tercih ediyor. Ne var ki endeks 2015’in son çeyreğinde sürekli artarak rekor seviyeye yaklaşmış.
Raporda “Bu durum gelişmiş ve eşzamanlı saldırılar döneminin başladığını ve endeksi daha önce hiç görülmemiş noktalara getirebileceğini gösteriyor,” deniyor.
Tehdit endeksindeki bu artışın diğer muhtemel sebeplerinden biri de Angler gibi exploit kitlerinin sayısındaki artış ve son zamanlarda iyice popülerleşen RIG isimli eski bir kitin artık daha fazla kullanılıyor olması. Bu kitler yeni kurbanları hedef almayı ve yeni teknikler uygulayarak daha az becerili saldırganlar üzerinden kötü amaçlı yazılımları yaymayı daha da kolaylaştırıyor.
Infoblox raporunda “Bu durum exploit kitleri yenilendikçe geçmiş yıllarda görülen tehditlerin önümüzdeki yıllar içerisinde yeni biçimlerde geri gelebileceğini gösteriyor,” ifadesiyle kullanıcıları uyarıyor. Raporda “Exploit kitleri ve diğer kötü amaçlı yazılımlar bir ülkede geliştirilip başka bir ülkede satılabiliyor ve üçüncü bir ülkeden dördüncü bir ülkedeki sistemlere saldırmak için kullanılabiliyor,” ifadelerine yer verilmiş.
Rapordan çıkarılacak ders bu exploit kitleriyle çok fazla şey yapılabileceği. Güvenlik uzmanları mutlaka domainlerini ve DNS sunucularını iyi bir şekilde korumalı ve herhangi bir istismar olup olmadığını sürekli takip etmeli. Gelişmiş tehditleri büyük bir sorun haline gelmeden tespit edebilen çözümlere yatırım yapmakta da fayda var.