PunyDomainCheck – OLTALAMA SAYFASI TESPİT ARACI

12 Aralık 2017, Salı

Oltalama saldırılarında, Punycode ile kodlanmış alan adları saldırganlar tarafından son dönemlerde sıkça kullanılmaktadır. Bu alan adları, geçerli bir web sayfasının alan adındaki karakterlerin benzerleri ile değiştirilmesi sonucunda oluşturulmaktadır. Bağlantı veya adres çubuğunda gerçeğine çok benzer olan alan adına yeterince dikkat edilmediği takdirde oltalama saldırıları başarıya ulaşabilmektedir. Tarayıcılar bu alan adlarını okunabilir şekilde değiştirdiği için kullanıcıların aradaki farkı anlamaları zorlaşmaktadır. PunyDomainCheck, bu yöntemle oluşturulmuş alan adlarını ve bu alan adlarında bulunan web sayfalarında aktif olarak devam eden oltalama saldırılarını tespit etmektedir.

Punycode Kodlama

Alan adları, ASCII tablosuna dahil olan Latin alfabesi karakterleri kullanılarak ifade edilir. Unicode içerisinde bulunan diğer harfler kullanılarak bir alan adı üretilmesi mümkün olmayacağı için Punycode kodlama(Punycode encoding) mekanizması standart olarak oluşturulmuştur. Punycode kodlaması kullanan alan adlarında, ASCII tablosunda yer almayan karakterler, farklı karakter dizilerinin birleşimi ile ifade edilmektedir. Örnek olarak “türkiye.gov.tr”, “ü” Türkçe harfini içerdiği için Punycode ile kodlandığında “xn--trkiye-3ya.gov.tr" değerini vermektedir. Yeni değerdeki tüm karakterler ASCII tablosunda bulunmaktadır. Bu alan adı, birçok internet tarayıcısının adres çubuğunda tekrar “türkiye.gov.tr” olarak dönüştürülmektedir. Bu kodlama yöntemi sayesinde ASCII tablosunda bulunmayan karakterlere sahip alan adları internet ortamında kullanılabilir hale gelmektedir.

Punycode Kodlamanın Oltalama Saldırılarında Kullanımı

Latin alfabesinde bulunan harfler, diğer alfabelerdeki karakterler ile görsel olarak benzerlik gösterebilmektedir. Kurumlar tarafından kullanılan geçerli alan adlarındaki harfler, benzer farklı karakterler ile değiştirildiğinde, ortaya çok sayıda alternatif ve oltama saldırıları için ideal olabilecek alan adları çıkmaktadır. Doğru karakterler seçildiğinde, iki alan adı arasındaki farkı anlamak güçleşmektedir.

PunyDomainCheck – OLTALAMA SAYFASI TESPİT ARACI

Yukarıda bu duruma örnek olarak iki alan adının tarayıcı adres çubuğundaki görünümü gösterilmektedir. Her ne kadar aynı gözükse de, ikinci alan adı Punycode kodlama ile oluşturulmuştur. Alan adında Latin “l” harfi yerine Yunancada bulunan iota harfi kullanılmıştır. Bu iki karakter görünüm olarak neredeyse birebir benzerlik göstermektedir. Bu durumun aksine, oltalama saldırılarında saldırgan tarafından seçilecek karakterlerin daha az benzerlik göstermesi de yeterli olabilmektedir. Örneğin “a” ve “â” harfleri, yakından incelenmediği ve yeterince dikkat edilmediği takdirde karıştırılabilmektedir.

PunyDomainCheck ile Oltalama Saldırılarının Tespit Edilmesi

PunyDomainCheck, gerçeği ile görsel benzerlik gösteren Punycode ile kodlanmış kayıtlı alan adlarını ve bu alan adlarına karşılık gelen web sayfalarının sahte olup olmadığını tespit eden bir araçtır. Araç, kullanıcı tarafından sağlanan alan adına benzerlik gösteren ve oltalama için kullanılabilecek tüm alan adlarının listesini oluşturmaktadır. Daha sonra bu alan adlarının DNS kayıtlarını sorgulamakta ve cevap alınan alan adları, araç tarafından oltama saldırısında kullanılabilecek adaylar olarak değerlendirilmektedir. Alan adına karşılık gelen IP adresine sahip sunucu üzerinde barındırılan web uygulamaları, bir sonraki adımda araç tarafından otomatik olarak tespit edilmektedir. Bulunan web sayfalarının her biri, orijinal kurum sayfası ile karşılaştırılmak üzere işaretlenmektedir. Sahte web sayfaları kullanılarak gerçekleştirilen oltalama saldırılarında, saldırgan tarafından oluşturulan web sayfasının gerçeği ile yüksek benzerlik göstermesi gerekmektedir. Fakat sayfalar arasındaki benzerliğin yalnızca sayfa görsel tasarımında bulunması yeterli değildir. Sayfa üzerindeki metinlerin de benzer olması gerekmektedir. Bu nedenle PunyDomainCheck, orijinal ve şüpheli sayfa arasındaki benzerliği kullanıcı tarafından görülebilir metinleri karşılaştırarak yapmaktadır. Metin karşılaştırması sonucunda eğer şüpheli sayfanın benzerlik yüzdesi belirlenen eşik değerini geçerse, sayfanın oltalama için kullanılabiliyor olduğu çıkarımı yapılmaktadır. Web sayfaları çalışırken resimlere, videolara, Javascript ve CSS dosyaları vb. kaynaklara ihtiyaç duymaktadır. Saldırgan, taklit edeceği bir web sayfasını çeşitli programlar ile kopyalarken, bu kaynakları da kopyalar veya orijinal konumundan sayfalarına dahil etmektedir. Aynı kaynakları kullanan uygulamaların benzer uygulamalar olma olasılığı yüksektir. Bu bilgi ışığında, PunyDomainCheck şüpheli sayfanın sahip olduğu bağlantılar ile orijinal sayfanınkilerin benzerliğini ölçmektedir. Belirli eşik değeri aşılırsa, bu benzerlik de oltalama için bir delil olarak nitelendirilmektedir. PunyDomainCheck çalıştırılarak Akbank, Ziraat ve Yapı Kredi bankalarına yönelik devam etmekte olan oltalama saldırıları keşfedilebilmiştir. Aşağıdaki ekran görüntüsü, “myetherwallet.com” sayfasına yönelik yapılan oltalama saldırılarının araç tarafından tespitini ve sonuç çıktısını göstermektedir.

PunyDomainCheck – OLTALAMA SAYFASI TESPİT ARACI

PunyDomainCheck – OLTALAMA SAYFASI TESPİT ARACI

Araç, HAVELSAN Siber Güvenlik Grup Müdürlüğü personelleri Mustafa Mert Karataş ve Anıl Yüksel tarafından geliştirilmiş ve 1997’den bu yana, ABD, Avrupa ve Asya kıtalarında senede 3 defa düzenlenen dünyanın en büyük siber güvenlik etkinliklerinden biri olan Black Hat Konferansı’nda sunulmuştur.

Arama
Ara
Kategoriler
Havelsan
AÇIKLAB


Eğitimler hakkında detaylı bilgi almak için sitemizi ziyaret ediniz!

3lü logo
HAVELSAN