Modern ağ güvenliği çözümleri genellikle web trafiği, e-posta içeriği ya da uç nokta davranışlarına odaklanır. Ancak son zamanlarda gözden kaçan, hatta çoğu sistem tarafından neredeyse dokunulmayan bir alan tehdit aktörlerinin ilgisini çekmeye başladı: Domain Name System (DNS).

DNS, internetin rehberidir; her gün milyarlarca kez çalışır ama neredeyse hiç sorgulanmaz. İşte tam da bu “dokunulmazlık” hissi, DNS’i yeni nesil siber saldırılar için verimli bir zemin hâline getiriyor.

Kodlar Arasında Gizlenen Zararlılar

Son analizlerde, bazı saldırgan grupların zararlı yazılımları doğrudan DNS kayıtlarının içine sakladığı gözlemlendi. Örneğin “Joke Screenmate” adlı bir zararlı yazılım, ikili (binary) formattan hexadecimal biçimine çevrilerek yüzlerce küçük parçaya ayrıldı. Bu parçaların her biri, sahte bir alan adının alt alanlarına ait TXT kayıtları içerisine yerleştirildi.

Görünürde masum olan DNS sorguları, ağın içinden bu parçaları tek tek çağırıyor; istemci tarafında birleştirilen bu veri tekrar binary formata çevrilerek çalıştırılıyor. Bu işlem, güvenlik çözümlerine neredeyse görünmeden gerçekleşiyor çünkü çoğu çözüm DNS trafiğini yalnızca “olup olmadığını” denetler, “ne olduğunu” değil.

İşin daha da çarpıcı tarafı, bu tür saldırılar şifreli DNS protokolleri (DoH – DNS over HTTPS, DoT – DNS over TLS) kullanıldığında tespiti neredeyse imkânsız hâle geliyor. Çünkü trafiğin içeriği artık ağ üzerindeki denetim araçlarından gizlenmiş durumda.

DNS Trafiği: Güvenlik Kör Noktası mı, Saldırı Tüneli mi?

DNS, ilk bakışta masumdur. Ancak zincirleme DNS istekleri, sıra dışı alt alan adı yapıları veya aşırıya kaçan TXT kaydı kullanımı; hepsi kötü amaçlı faaliyetlerin sessiz sinyalleridir. Gelişmiş tehdit aktörleri bu sinyalleri kullanarak:

  • Zararlı bileşenleri parça parça transfer eder,

  • Komuta-kontrol (C2) trafiğini DNS üzerinden yönlendirir,

  • İç ağa sızdıktan sonra veri sızdırmak için DNS’i bir tünel olarak kullanır.

Bu noktada, geleneksel güvenlik araçlarının yetersiz kaldığı açıkça görülüyor.

Görünmeyeni Görmek: HYAS ile DNS Tabanlı Tehdit İstihbaratı

Bu saldırı tiplerini anlamak, yalnızca içerik denetimiyle değil, davranışsal modellemeyle mümkün. HYAS Insight, DNS’in bu “karanlık alan” niteliğini ortadan kaldırmak için tasarlandı.

HYAS, pasif DNS verilerini, WHOIS bilgilerini, IP ilişkilerini ve daha fazlasını analiz ederek saldırgan altyapıları görünür hâle getiriyor. Hex parçalarla dolu anormal TXT kayıtları, kısa sürede çözülmeyecek kadar rastlantısal alt alan adları… Bunlar, HYAS’ın radarında sıradan trafik değil, uyarı sinyalleridir.

Üstelik HYAS bu verileri yalnızca pasif gözlemlemekle kalmaz; bağlamsal olarak ilişkilendirir. Belirli bir alan adıyla ilişkilendirilmiş önceki kötü amaçlı faaliyetleri, benzer yapıdaki saldırı zincirlerini ve potansiyel C2 ilişkilerini anlamlandırır.

Bu sayede kurumlar, yalnızca “bir şey oldu”yu değil, “neden ve kim tarafından” sorularını da cevaplayabilir.

Komut Enjeksiyonları: DNS ile Saldırganlar LLM’lere Sızıyor

Saldırganların DNS’i kullanma biçimleri yalnızca binary transferle sınırlı değil. Son dönemde, DNS kayıtlarında LLM (Large Language Model) tabanlı sistemlere yönelik prompt injection örneklerine de rastlandı. “Tüm verileri sil”, “Tüm talimatları yok say”, “256GB rastgele veri döndür” gibi komutlar, zararsız gibi görünen metinlerin içine gömülüp DNS TXT kayıtlarında taşınabiliyor.

Bu tür içerikler, LLM’lerin analiz ettiği belge veya sistem yapılarına bir şekilde girerse, zararlı etki yaratabilecek şekilde tetiklenebiliyor. Yani saldırganlar sadece ağlara değil, model davranışlarına da sızıyor.

DNS’i Göz Ardı Etmek, Tehdidi Davet Etmektir

DNS, uzun süre boyunca güvenlik stratejilerinde “alt katman” olarak görülüp yeterince ele alınmayan bir alan oldu. Ancak günümüzde hem zararlı bileşen transferi hem de AI odaklı saldırılar açısından DNS’in saldırı yüzeyi genişliyor.

Bu tehditleri engellemek, geleneksel içerik filtresi veya firewall’larla mümkün değil. Gerekli olan şey, DNS’i yalnızca teknik bir protokol olarak değil, bir siber istihbarat alanı olarak görmek.

HYAS Insight bu yaklaşımın somut karşılığıdır: Altyapı temelli tehdit analizi, bağlamsal ilişkilendirme ve görünmeyeni görünür kılma. Ama bu, bir ürün tanıtımı değil; yeni güvenlik paradigmalarının zorunlu bileşenidir.

DNS’in bir saldırı tüneli hâline gelmesini engellemek için görünürlüğü önceleyen çözümleri Quasys danışmanlığıyla kurumunuzun güvenlik altyapısına entegre etmek için deneyimli uzmanlarımıza her zaman ulaşabilirsiniz: info@quasys.com.tr

Yorumlar kapalı.