DNS TXT Kayıtları: Domain Güvenliğinin En Göz Ardı Edilen Açığı

DNS'i düşündüğümüzde aklımıza hep teknik altyapı gelir. Bir domain adını IP adresine çeviren, sessiz sedasız çalışan bir sistem. İşte bu bakış açısı çok büyük bir hata. Çünkü DNS, çok daha tehlikeli kullanılabilir.

Son zamanlarda ortaya konan bir kanıt, güvenlik ekiplerinin uykusunu kaçırması gereken şeylerden birini gösterdi: DNS TXT kayıtları, tam anlamıyla bir uygulama dağıtım sistemi olarak kullanılabiliyor. Sadece şifreler depolamaktan veya veri sızmaktan bahsetmiyoruz burada. Tüm yazılım uygulamalarını, çalışma zamanı bağımlılıklarıyla birlikte, DNS sorguları üzerinden göndermekten bahsediyoruz. Ve tüm bu işlem, geleneksel dosya tabanlı savunmaları tamamen atlıyor.

TXT Kayıtlarının Neden Tehlikeli Olduğu

DNS TXT kayıtları, başlangıçta tamamen meşru amaçlarla oluşturulmuştu. SPF, DKIM ve DMARC gibi email doğrulama protokolleri için tasarlanmıştı. Basit metin alanlarıydı ve çok az doğrulama mekanizması vardı. Protokol sizi sınırlamıyordu; buraya ne istiyorsanız yazabiliyordunuz.

İşte TXT kayıtlarını berbat eden sebepler:

Her yerde bulunma: Her domain'in TXT kaydı vardır. Her kayıt firması bunu destekler. DNS kadar yaygındırlar.

Depolama kapasitesi: Tek bir DNS bölgesinde binlerce TXT kaydı tutabilirsiniz. Her biri 2.000 karaktere kadar içerik barındırabilir.

Dünya çapında önbelleğe alma: Herkese açık DNS dünyanın dört bir yanında dağıtılmış durumdadır. İnternet sağlayıcılarınız bunu önbelleğe alır. Şirketiniz önbelleğe alır. CDN'ler önbelleğe alır.

İz bırakmama: Güvenlik ekibiniz ne zaman TXT kayıtlarının geçmiş içeriğini kaydetti? Asla. Kimse bunu yapmıyor.

Kimseyi sormadan erişim: İnternet bağlantısı olan herkes bunları sorgulayabilir. Kimlik doğrulama yok. Kayıt tutma zorunluluğu yok.

Sonuç? Saldırganların rüya gibi bulacağı bir sistem ortaya çıkıyor: ücretsiz, dünya çapında dağıtılmış, ön belleklemiş, iz bırakmayan ve tamamen yasal DNS trafiği gibi görünen bir dosya dağıtım sistemi.

Zararlı Kod Paylaşmaktan Tam Uygulamalara

Bu saldırı yönteminin evrimi korkunç. Başında güvenlik araştırmacıları, zararlı bytecode'u (shellcode) TXT kayıtlarına gömmüş, Base64 ile kodlamış ve çalışma zamanında devreye almışlardı. Çalışıyordu, kurması kolaydı ve kimse geçmiş DNS sorgularının içeriğini kontrol etmediği için yakalanması neredeyse imkansızdı.

Ama neden burada duralım ki?

Eğer zararlı bir yükü TXT kaydına kaydedebiliyorsanız, dosya da kaydedebilirsiniz. Dosya kaydedebiliyorsanız, birden fazla dosya kaydedebilirsiniz. Birden fazla dosya kaydedebiliyorsanız, bütün bir uygulama arşivini kaydedebilirsiniz.

Güvenlik camiasında şu anda konuşulan kanıt, bunu mantıklı sonucuna (ve saçmalığına) getirmiş: 1.966 DNS TXT kaydından tam bir DOOM oyun motorunu yüklemek, tamamını bellekte derlemek ve bunu hiç disk'e yazmadan çalıştırmak. Bunu başarmışlar. Tekrar söyleyelim: domain'inizin DNS kayıtları teorik olarak Office365, kripto para madenci yazılımı ya da ters shell gönderebilir. Hepsi dosya sistemi izleri bırakmadan.

Saldırı Tam Olarak Nasıl İşliyor?

Teknik açıdan bakıldığında oldukça basit:

Kodlama: Uygulama dosyasını alıyorsunuz (DOOM örneğinde WAD dosyası). Agresif şekilde sıkıştırıyorsunuz. Base64 ile kodluyorsunuz.

Parçalara bölme: Kodlanmış yükü 2.000 karakterlik parçalara ayırıyorsunuz. Her parça, domain'inizin DNS bölgesinde ayrı bir TXT kaydı haline geliyor.

İndeks: Zararlı yazılıma kaç parça olduğunu ve hangi sırayla bir araya gelineceğini söyleyen bir kayıt oluşturuyorsunuz.

Gönderme: Zararlı yazılım DNS'ten parçaları sırasıyla sorguluyorsunuz. Her sorgu bir parça döndürüyor. Zararlı kod her şeyi bellekte bir araya getiriyor.

Çalıştırma: Derlenmiş uygulamayı diskе hiç yazmadan bellekten yüklüyorsunuz. .NET programları söz konusuysa, reflection kullanarak ham bytecode'u doğrudan işlem alanına yüklüyorsunuz.

Saldırganın açısından en güzel kısım şu: bu tamamen normal DNS trafiği gibi görünüyor. Güvenlik merkezi her gün binlerce DNS sorgusu göreceği için, bunların arasına birkaç yüz daha eklenen sorgu, iğneyi iğne yığınında bulmaya benziyor.

Mevcut Savunmalarınız Neden Başarısız Oluyor?

Çoğu güvenlik izlemesi şunlara odaklanıyor:

• Dosya tabanlı algılama: YARA kuralları, hash eşleştirmesi, davranış imzaları—hepsi dosyaların diske yazılmasına bağlıdır. Bellekte çalışan kod bütün bu savunmaları atlıyor.
• Ağ imzaları: DNS sorguları normal görünüyor. Çoğu modern sistemde şifrelenmiş durumdalar (DoH/DoT). Yük parçalanmış ve yasal metin verisi gibi görünüyor.
• Domain itibarı: Saldırgan şüpheli bir domain kullanmak zorunda değil. Kendi domain'ini, müşteri domain'ini ya da sahip olduğu herhangi bir domain'i kullanabilir.
• DNS günlükleri: Çoğu kuruluş DNS sorgu günlüklerini 24-48 saatten daha uzun tutmuyor. Bir sorun fark ettiğinizde, geçmiş veriler silinmiş olur.

Koruma Için Ne Yapmalısınız?

1. TXT Kayıtlarınızı Denetleyin: DNS bölgenizdeki her TXT kaydını gözden geçirin. Neler olduğunu kayıt edin. Beklenmeyen eklemeleri alarmla belirtin.

2. DNS İzlemesi Uygulayın: Sadece DNS sorgularını kaydetmeyin, analiz edin. Belirtilere bakın: aynı alt domain'e tekrarlanan sorgular, olağandışı sorgu hacimleri, sorgu cevaplarında Base64 benzeri örüntüler.

3. DNS Filtreleme Kullanın: Henüz yapmadıysanız, ağ geçidinizde veya cihaz düzeyinde DNS güvenliği uygulayın. Pek çok modern DNS filtreleme çözümü anormal sorgu örüntülerini algılayabilir.

4. Kayıt Firması Hesabınızı Kilitleyin: Güçlü kimlik doğrulama kullanın (MFA). DNS kayıtlarını değiştirme yetkisini sınırlandırın. Tüm değişiklikleri kayıt edin. Saldırgan DNS bölgenizi değiştirebilirse, bunu da yapabilir demektir.

5. DNSSEC Gerçekleştirin: Bu saldırıyı durdurmaz ama DNS sahteciliğini engeller.

6. CDN Günlüklerini Takip Edin: CloudFlare gibi bir CDN kullanıyorsanız, anormal DNS değişiklikleri için günlüğü açın ve alarm ayarlayın.

Daha Geniş Resim: DNS, Altyapı Olup Güvenlik Değil

Bu kanıt, temel bir gerçeği ortaya koymaktadır: DNS, güvenlik için değil, güvenilirlik için tasarlanmıştı. Antikası ayakkabı kadar eski. Basit olduğu için bu kadar iyi çalışıyor. Ama işte bu basitlik, istismar ediliyor.

Tehdit varsayımsal değil. Ulus devlet aktörleri ve ileri tehdit grupları muhtemelen zaten DNS dağıtım sistemlerini silahlandırmışlardır. DOOM örneği bir uyarı çanı: yapması kolay, işe yarıyor ve iz bırakmıyor.

Sonuç

Savunanlar için bunun anlamı nedir?

DNS'i bir saldırı yüzeyi olarak görün. Sadece altyapı değil, bir dağıtım mekanizması.

DNS'te sıfır güven modeli gerçekleştirin. İç DNS'in güvenli olduğunu varsaymayın. İnternet trafiğiyle aynı dikkatle izleyin.

DNS güvenlik araçlarına yatırım yapın. DNS güvenlik duvarları, anomali algılama ve DNS'e özgü tehdit zekası artık isteğe bağlı değil.

Ekibinizi eğitin. Güvenlik merkezi, DNS'in silahlandırılabileceğini bilmek zorunda. Güvenlik mimarları, bunu tehdit modelinin kritik bir parçası olarak görmeli.

Domain'inizin TXT kayıtları sıkıcı görünebilir ama aslında karmaşık saldırılara açılan bir kapı olabilir. Lütfen bu kayıtları yakından takip edin.

Altyapınızda şüpheli DNS aktivitesi fark ettiniz mi? Kuruluşunuz DNS güvenliğini nasıl izliyor? Yorum yazın.