20:29:54

İnsan Faktörüyle DNS Ele Geçirme

Yıllardır siber güvenlik uzmanları, insanların güvenini ve teknik bilgisizliklerini hedef alan sosyal mühendislik saldırılarının nasıl evrildiğini izliyor. Şimdi ise ClickFix kampanyasının daha gelişmiş bir versiyonu ortaya çıktı. Bu yeni varyant, kullanıcıları kendi DNS ayarlarını manuel olarak değiştirmeye ikna ederek saldırıyı çok daha tehlikeli bir boyuta taşıyor. Kullanıcı farkında olmadan DNS ayarını saldırganın kontrolündeki bir sunucuya yönlendirdiğinde, internet trafiğinin tamamı manipüle edilebilir hâle geliyor. Bu da saldırganlara trafiği yeniden yönlendirme, kimlik bilgilerini ele geçirme ve kötü amaçlı yazılım dağıtma imkânı tanıyor. Üstelik tüm bunlar minimum teknik iz bırakarak gerçekleşebiliyor…

ClickFix yöntemi ilk olarak 2024 yılında dikkat çekmişti. O dönemde saldırılar genellikle sahte hata mesajları veya sahte CAPTCHA ekranları üzerinden yürütülüyordu. Kullanıcıya bir sistem sorunu varmış gibi gösteriliyor, ardından Windows + R tuşlarına basarak “Çalıştır” penceresini açması ve panoya otomatik olarak kopyalanmış kötü amaçlı bir PowerShell komutunu yapıştırması isteniyordu. Kullanıcı komutu kendi eliyle çalıştırdığı için birçok güvenlik sistemi bu eylemi şüpheli olarak algılamıyordu. Saldırının başarısı, insanın saldırı zincirinin bir parçası hâline gelmesine dayanıyordu.

Yeni versiyon ise daha ileri gidiyor. Artık saldırganlar, tek seferlik bir komut çalıştırmak yerine DNS ele geçirme yöntemini kullanıyor. DNS (Alan Adı Sistemi), internetin telefon rehberi gibi çalışır; örneğin bir web sitesinin adını, arka planda kullanılan IP adresine çevirir. Eğer saldırgan bir cihazın DNS ayarlarını kontrol ederse, o cihazın hangi web sitesine nasıl yönlendirileceğini de kontrol edebilir. Kullanıcı bankasının sitesine girdiğini sanırken sahte ama gerçeğinden ayırt edilmesi zor bir kimlik avı sayfasına yönlendirilebilir. Yazılım güncellemesi yaptığını düşünürken zararlı bir dosya indirebilir.

Bu yeni ClickFix varyantında saldırı genellikle bir kimlik avı e-postası, zararlı reklam ya da ele geçirilmiş bir web sitesiyle başlıyor. Kullanıcıya, bağlantı sorununu çözmek ya da kısıtlı içeriğe erişmek için bazı ayarları değiştirmesi gerektiği söyleniyor. Adım adım hazırlanmış, profesyonel görünümlü ekran görüntüleriyle DNS sunucu adresini manuel olarak değiştirmesi isteniyor. Kullanıcı bu değişikliği yaptığında, cihazdaki tüm alan adı çözümlemeleri saldırganın kontrolüne giriyor.

Bu yöntemi özellikle tehlikeli kılan nokta, teknik olarak “meşru” bir ayar değişikliği yapılmasıdır. Geleneksel kötü amaçlı yazılımlar genellikle dosya bırakır, kayıt defterinde değişiklik yapar ya da sistemde iz bırakır. DNS ayarının değiştirilmesi ise işletim sisteminin normal bir yapılandırma işlemidir. Çoğu antivirüs bunu doğrudan tehdit olarak algılamaz. Ayrıca değişiklik yeniden başlatmadan sonra da kalıcıdır. Böylece saldırgan, klasik bir zararlı dosya bırakmadan sistem üzerinde uzun süreli kontrol sağlayabilir.

ClickFix yöntemi kısa sürede birçok farklı tehdit aktörü tarafından benimsenmiştir. Finansal kazanç peşindeki siber suçluların yanı sıra gelişmiş kalıcı tehdit (APT) grupları da bu tekniği kullanmaktadır. Daha önce bilgi çalan zararlı yazılımlar, uzaktan erişim truva atları ve fidye yazılımı öncülleri bu yöntemle dağıtılmıştır. Saldırının cazibesi açıktır: teknik güvenlik katmanlarını doğrudan aşmak yerine kullanıcıyı ikna ederek savunma zincirini içeriden kırar.

Kurumsal ortamlar için durum daha da karmaşıktır. Özellikle uzaktan veya hibrit çalışma düzeninde, bazı kullanıcıların ağ ayarlarını değiştirme yetkisi bulunabilir. DNS sunucularının merkezi olarak zorunlu tutulmadığı yapılarda bu tür manipülasyonlar fark edilmeden gerçekleşebilir. Ağ izleme sistemleri anormal DNS trafiğini tespit edebilir, ancak bunun için aktif izleme ve doğru yapılandırılmış alarm mekanizmaları gerekir. Pek çok kurum, hangi DNS sunucusunun kullanıldığını izlemek yerine yalnızca kötü amaçlı alan adlarını filtrelemeye odaklanmaktadır. Bu görünürlük eksikliği, saldırganların yararlandığı temel boşluktur.

Savunma için çok katmanlı bir yaklaşım gereklidir. Kurumlar DNS ayarlarını Grup İlkesi (GPO) veya mobil cihaz yönetimi (MDM) araçlarıyla merkezi olarak sabitlemeli ve kullanıcıların bu ayarları değiştirmesini sınırlandırmalıdır. Ağ erişim kontrol sistemleri yalnızca onaylı DNS sunucularını kullanan cihazlara izin verecek şekilde yapılandırılabilir. Ayrıca DNS-over-HTTPS (DoH) ve DNS-over-TLS (DoT) gibi şifreli DNS çözümleri ek bir koruma katmanı sağlayabilir.

Teknik önlemler kadar kullanıcı eğitimi de kritik öneme sahiptir. Hiçbir meşru web sitesi, kullanıcıdan DNS ayarını değiştirmesini ya da PowerShell komutları çalıştırmasını istemez. Kullanıcıların bu temel prensibi bilmesi gerekir. Simüle edilmiş oltalama (phishing) tatbikatları, ClickFix benzeri senaryoları içermeli ve çalışanların bu tür tuzaklara karşı refleks geliştirmesi sağlanmalıdır.

Sonuç olarak DNS ele geçirme içeren bu yeni ClickFix varyantı, sosyal mühendisliğin geldiği noktayı gösteriyor. Saldırganlar artık yalnızca zararlı dosya bırakmaya güvenmiyor; bunun yerine sistem yapılandırmalarını hedef alarak daha kalıcı ve daha az iz bırakan kontrol mekanizmaları kuruyor. Bu da güvenlik yaklaşımının yalnızca dosya ve davranış analiziyle sınırlı kalmaması gerektiğini gösteriyor. Yapılandırma bütünlüğünün izlenmesi, DNS ayarlarının düzenli kontrolü ve insan faktörüne odaklanan bilinçlendirme çalışmaları artık savunmanın vazgeçilmez parçaları hâline gelmiştir. Çünkü kullanıcı saldırı zincirinin bir parçası hâline geldiğinde, teknik savunmalar tek başına yeterli değildir.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…