CyberFlow Logo CyberFlow BLOG
Dns Pentest

Boşta Kalan Kayıtlar: Siber Güvenlikte Dangling DNS Tehditleri ve Çözümleri

✍️ Ahmet BİRKAN 📂 Dns Pentest

Boşta kalan DNS kayıtları, siber güvenlik için ciddi bir tehdit oluşturur. Öğrenin, nasıl tespit edilir ve nasıl önlenebilir.

Boşta Kalan Kayıtlar: Siber Güvenlikte Dangling DNS Tehditleri ve Çözümleri

Dangling DNS kayıtları, siber güvenlikte risk oluşturur. Bu yazıda, boşta kalan kayıtların tespiti, örnek senaryolar ve önleme yöntemlerini keşfedin.

Giriş ve Konumlandırma

Kavramsal Temel: Dangling DNS Nedir?

Dangling DNS, aslında var olmayan veya artık kullanılmayan bir kaynağa işaret eden DNS kayıtlarını tanımlar. Sistem yöneticileri, bulut kaynaklarını silerken DNS kayıtlarını güncellemeyi unuttuklarında bu tür "asılı" kayıtlar ortaya çıkar. Bu durum, siber güvenlik açısından potansiyel tehditler barındırır. Çünkü dışarıdan bir saldırgan, sahipsiz kalan bir DNS kaydını tespit edip, aynı isimle yeni bir bulut servisi oluşturarak o kayda erişim sağlayabilir. Bu tür bir yaklaşım, özellikle subdomain takeover olarak bilinen en ciddi manipülasyonların temelini oluşturur.

Neden Önemli?

Siber güvenlikte "dangling" DNS kayıtlarının tespit edilmesi, aslında bir organizasyonun genel güvenlik duruşunu yansıtır. Sahipsiz kayıtlar, bir yandan bilgi sızmalarına, diğer yandan ise kötü niyetli faaliyetlere kapı aralayabilir. Örneğin, bir saldırgan, bir subdomain üzerinden ele geçirilen bir hizmete yetkisiz erişim sağlarsa, kimlik avı (phishing) veya içerik değiştirme (content defacement) gibi eylemlerde bulunarak organizasyonun itibarını zedeleyebilir.

Bu nedenle, hem sızma testleri (pentesting) sırasında hem de günlük sistem yönetimi süreçlerinde, dangling DNS kayıtlarına özel bir dikkat gösterilmesi kritik önem taşır. Bilgi güvenliği uzmanları, bu tür açıkları belirlemek ve önlemek için çeşitli teknikler ve araçlar kullanmalıdır.

Siber Güvenlik Bağlamında Değerlendirme

Dangling DNS açıklarının siber güvenlik, pentest ve savunma perspektifinden ele alınması, bu tehditlerin boyutunu anlamak açısından önemlidir. Bir pentest sırasında boşta kalan kayıtların tespit edilmesi, sistemin güvenliğini sağlamak için kritik bir adımdır. Bu tür açıkların belirlenmesi, organizasyonların güvenlik açıklarını minimize etmelerine ve daha sağlam savunma katmanları oluşturmalarına yardımcı olur.

Subdomain takeover gibi senaryolar, saldırganların kontrolündeki bir subdomain üzerinden gerçekleşebilir. Bu tür saldırılar, sonuçları itibarıyla oldukça yıkıcı olabilir. Örneğin, bir organizasyonun kullanmadığı bir subdomaini ele geçiren bir saldırgan, kullanıcı bilgilerini kötüye kullanabilir veya sahte duyurularla organizasyonun güvenilirliğini sarsabilir.

Okuyucuyu Teknik İçeriğe Hazırlama

Bu yazı boyunca, dangling DNS'in ne olduğu, nasıl tespit edileceği ve bu kayıtların zararlı bir şekilde nasıl kullanılabileceği gibi konularda derinlemesine bilgi vereceğiz. Sektörde kullanılan farklı araçlar ve teknikler üzerinde duracağız. İşte geliştireceğimiz bazı önemli başlıklar:

  • Hata Mesajlarını Tanıma: Hangi hata mesajlarının sahipsiz kayıtların varlığını gösterebileceğini inceleyeceğiz.
  • Pasif Keşif ve CNAME Analizi: Subdomainlerin yönlendirme bilgilerini nasıl analiz edebileceğinizi öğreneceksiniz.
  • Tespit Araçları: Subjack gibi araçlar ve diğer otomatik tarama çözümleri üzerinde duracağız.

Tüm bu bilgiler, sistem yöneticilerinin ve güvenlik profesyonellerinin siber güvenlik açıklarını tespit etmelerine ve bu açıkları gidermelerine yardımcı olacaktır. Amacımız, güvenlik yöneticilerine ve sistem yöneticilerine, potansiyel tehditlerle daha etkili bir şekilde başa çıkmaları için gerekli bilgileri sunmaktır. Siber güvenlikte sağlam ve yenilikçi yaklaşımlar benimsemek, günümüzün karmaşık dijital dünyasında kritik bir gereklilik haline gelmiştir.

Teknik Analiz ve Uygulama

Kavramsal Temel: Dangling DNS Nedir?

Dangling DNS, silinmiş veya mevcut olmayan bir kaynağa işaret eden DNS kayıtlarını tanımlar. Bu kayıtlar genellikle sistem yöneticilerinin bulut kaynaklarını sildiği ancak DNS kayıtlarını güncellemeyi unuttuğu durumlarda ortaya çıkar. Sonuç olarak, bu 'asılı' kayıtlar potansiyel bir tehdit oluşturur; zira bir saldırgan bu boş kaydı fark edebilir ve aynı subdomain adıyla yeni bir bulut kaynağı oluşturarak mevcut olmayan kaydı kontrolü altına alabilir.

Hata Mesajlarını Tanıma

Bir subdomainin sahipsiz olup olmadığını tespit etmek için, ilgili bulut hizmetinin yanıtında dönen hata kodlarını analiz etmek önemlidir. Bu tür hata mesajları, subdomainin ne durumda olduğunu anlamak için kritik ipuçları sunar. Örneğin, Amazon S3'te "NoSuchBucket" hatası, belirtilen depolama alanının mevcut olmadığını belirtir. GitHub Pages veya Vercel gibi platformlarda "404 Not Found" hatası, projenin silindiğini ama alan adının hala ilgili servisi gösterdiğini ifade eder.

Nihai Risk: Takeover

Eğer bir subdomain boşta kalmışsa, bunun istismar edilmesi "takeover" olarak adlandırılır. Bu işlem sırasında bir saldırgan, DNS kaydının işaret ettiği boşluğu değerlendirir ve aynı isimle yeni bir kaynak oluşturarak subdomaini ele geçirir. Potansiyel riskler arasında phishing, cookie stealing ve content defacement gibi saldırı çeşitleri yer alabilir. Bu nedenle, her türlü subdomainin durumu göz önünde bulundurulmalı ve gerekli güvenlik önlemleri alınmalıdır.

Pasif Keşif ve CNAME Analizi

Subdomainlerin boşta kalıp kalmadığını belirlemek için etkili bir yöntem, bunların CNAME (Canonical Name) kayıtlarını çözümlemektir. Bunu gerçekleştirmek için dig komutunu kullanabilirsiniz:

dig CNAME sub.target.com

Bu komut, belirtilen subdomainin CNAME kaydını sorgulayarak yönlendirme bilgilerini sağlar. Bu bilgileri kullanarak hangi harici servislere yönlendirildiğini analiz etmek, dangling kayıtları ayıklamanın ilk adımını oluşturur.

Servislerin 'Alınabilirlik' Durumu

Her boşta kalan kayıt için istismar potansiyelinin olup olmadığını belirlemek önemlidir. Herhangi bir subdomain, yalnızca o servis sağlayıcının yeni bir kullanıcı tarafından aynı isimle oluşturulabilir durumda olduğunda alınabilir. Yani, boşta kalan bir kaydın durumu "claimable" olarak adlandırılır.

Tespit Aracı: Subjack

Boşta kalan DNS kayıtlarını tespit etmek için Subjack aracı etkili bir çözümdür. Subjack, subdomain listesinin potansiyel zafiyetlerini tarayarak sahipsiz olup olmadıklarını kontrol eder. Kullanımı oldukça basittir, örneğin:

subjack -w subs.txt -t 100 -v -ssl

Bu komut, subs.txt dosyasındaki subdomainleri kontrol eder ve sahipsiz olanları raporlar. Sonuçları değerlendirerek hangi alanlar üzerinde risk bulunduğunu anlayabilirsiniz.

Otomatik İstismar Kontrolü

Otomatik istismar kontrolü, belirli dönemlerde subdomainlerin durumunu kontrol ederek organizasyonun güvenliğini artırır. Bunun için tarayıcıdan dönen hata mesajlarının ve CNAME çözümlemelerinin sık sık gözden geçirilmesi önerilir. Kullanımda olmayan kayıtların düzenli aralıklarla temizlenmesi, Dangling DNS sorununu en aza indirgeyebilir.

DNS Hijyeni

DNS hijyeni, kullanılmayan kayıtların periyodik olarak temizlenmesi işlemini ifade eder. Bu işlem, güvenlik açıklarını azaltmanın yanı sıra, yanlış yapılandırmaların önüne geçer. Kullanıcıların tüm bulut varlıklarının merkezi bir envanterde tutulması, Shadow IT gibi durumların da azaltılmasına katkı sağlar.

Nmap NSE ile CNAME Keşfi

Nmap aracı, port taraması sırasında dns-brute betiği ile subdomainlerin CNAME kayıtlarını da inceleyebilir. Aşağıdaki komut, belirli bir domainin CNAME yönlendirmelerini kontrol eder:

nmap -p 53 --script dns-brute target.com

Bu komut, target.com için DNS kayıtlarını ve CNAME yönlendirmelerini analiz eder; böylece potansiyel dangling kayıtlar hakkında bilgi sağlar.

Hardening (Sıkılaştırma) ve Önleme

Bir sızma testinde boşta kalan bir kayıt tespit edilirse, bunu istismar etmek yerine derhal bildirmek önemlidir. Bu, etik bir zorunluluktur ve söz konusu riskin açıklanmasını gerektirir. Etkili güvenlik önlemleri arasında "hardening" işlemleri yer alır; bunun yanı sıra, alan adlarının aktif olarak izlenmesi ve kullanılmayanların temizlenmesi önerilir.

Profesyonel Sorumluluk

Siber güvenlik alanında çalışan profesyonellerin, boşta kalan kayıtların tespitinde ve yönetiminde sorumluluk taşımaları şarttır. Herhangi bir zafiyeti göz ardı etmemek ve organizasyonun güvenliğini sağlamak, siber güvenlik uzmanlarının temel görevleri arasında yer alır. DNS hijyeni ve düzenli analizlerle, dangling DNS tehditlerinin üstesinden gelmek mümkündür.

Risk, Yorumlama ve Savunma

Riskin Değerlendirilmesi ve Yorumlanması

Dangling DNS, sistem yöneticileri tarafından silinen bulut kaynaklarına işaret eden ve güncellenmemiş DNS kayıtları olarak tanımlanır. Bu kayıtlar, siber güvenlik açısında göz ardı edilmemesi gereken ciddi bir riski temsil eder. Saldırganlar, bu tür bozuk kayıtları keşfettiklerinde, kullanılmayan subdomainler üzerinden kontrollerini ele geçirerek çeşitli kötü niyetli faaliyetler gerçekleştirebilir. Bu bağlamda, tehditin boyutunu anlamak için aşağıdaki unsurları göz önüne almak önemlidir.

Yanlış Yapılandırma veya Zafiyetin Etkisi

Boşta kalan kayıtlar, yanlış yapılandırmalar sonucunda oluşur ve bu da potansiyel olarak sistemlerin güvenliğini tehdit eder. Örneğin, bir kullanıcı tarafından silinen bir Amazon S3 bucket'ı, artık işlevsel olmayan bir kaynağa işaret eden DNS kaydını bırakabilir. Eğer bir saldırgan, bu DNS kaydının işaret ettiği alanı keşfederse, hedeflenen bu boş alan üzerine yeni bir kaynak oluşturabilir ve kullanılmayan alanı kendi amaçları için istismar edebilir. Sızma testleri sırasında, bu tür durumlar "takeover" riski olarak tanımlanır ve özellikle dikkatle ele alınmalıdır.

NoSuchBucket: Amazon S3 - Belirtilen depolama alanının mevcut olmadığını bildirir.
404 Not Found: GitHub Pages - Silinmiş bir projeye işaret eder.

Sızan Veri ve Topoloji Analizi

Bir sızma testi gerçekleştirirken, kullanıcının erişiminde olan subdomain'ler üzerinde yapılacak bir inceleme, genellikle kritik bilgilere ulaşmak için bir fırsat sunabilir. Saldırganlar, "CNAME" analizleri yaparak hangi hizmetlerin mevcut olduğunu belirleyebilir ve hedefin zafiyetlerini keşfedebilirler. Raporlanan bir subdomain üzerinde yapılan analizler, potansiyel veri kayıplarını ve hangi hizmetlerin gerçekten "sahipsiz" olduğunu ortaya koyar. Burada kullanılan araçların başında Subjack gelir ve bu araç, yalnızca CNAME keşfi yapmakla kalmaz, aynı zamanda subdomainin sahipsiz olup olmadığını da kontrol eder.

Profesyonel Önlemler ve Hardening

Dangling DNS kayıtlarının etkilerini minimize etmek için uygulamanız gereken bazı profesyonel önlemler bulunmaktadır. Bu önlemler arasında:

  1. DNS Hijyeni: Kullanılmayan kayıtların düzenli olarak temizlenmesi, "dangling DNS" tehdidinin önlenmesinde ilk adımdır. Bu süreç, sistem yöneticileri tarafından sıkı bir şekilde takip edilmelidir.

  2. Güvenlik Tarama Araçları Kullanımı: Nmap gibi araçlar, port taraması sırasında DNS kayıtlarını kontrol etmek için kullanılabilir. Özellikle --script dns-brute komutu ile DNS kayıtlarının tespiti sağlanabilir.

    nmap -p 53 --script dns-brute target.com

  3. İyi Altyapı Yönetimi: Bulut kaynaklarının yönetiminde dikkat edilmesi gereken hususlardan biri, her kaynağın oluşturulması ve silinmesi esnasında DNS kayıtlarının mutlaka güncellenmesidir.

  4. CNAME ve Alias Kayıtları Kullanımı: Bulut sağlayıcılarının önerdiği Alias kayıtları yerine doğrudan CNAME kullanımı, riskli durumların önüne geçebilir ve DNS yönetimini kolaylaştırabilir.

Kısa Sonuç Özeti

Dangling DNS kayıtları, siber güvenlik tehditlerinin önemli bir parçasını oluşturan zafiyetlerdir. Bu tür kayıtların yönetiminde eksiklikler, saldırganların hedef alınabilir alanlara erişim sağlamalarına yol açar. Yetersiz yapılandırmalar ve güncellemeler, yalnızca teknik sorunlar yaratmakla kalmaz, aynı zamanda işletmeler için ciddi güvenlik açıkları doğurur. Bu nedenle, proaktif bir yaklaşımla düzenli temizlik, güvenlik taramaları ve etkili altyapı yönetimi uygulamaları kritik bir rol oynamaktadır.