- PVSM.RU - https://www.pvsm.ru -
Специалисты по ИБ зафиксировали рост числа атак DNS hijacking [1] на сайты частных и правительственных компаний. Рассказываем, кто пострадал и как защититься.
[2]
/ Flickr / F Delventhal [3] / CC BY [4] / Фото изменено
Организация FireEye, занимающаяся вопросами ИБ, в прошлом месяце опубликовала [5] отчёт, в котором сообщила о масштабной волне атак на частные компании и правительственные организации. Злоумышленники использовали технику перехвата DNS, или DNS hijacking. Они перекрывали конфигурации TCP/IP на компьютере жертвы и переводили все запросы на подложный DNS-сервер. Это позволило им направить трафик пользователя на собственные веб-серверы и применить их для кражи персональных данных.
По информации FireEye, рост числа подобных атак начал расти в январе 2017 года. Хакеры делают своей целью домены из Европы, Северной Америки, Ближнего Востока и Северной Африки. Пострадали минимум шесть доменов федеральных агентств [6] США и сайты правительств [7] стран Ближнего Востока.
Специалисты FireEye в своем отчете отмечают [8] три схемы подмены DNS, которыми пользуются злоумышленники. Первую из них описывали [9] сотрудники ИБ-подразделения Cisco — Talos. Злоумышленники взламывали системы DNS-провайдеров (пока достоверно неизвестно каким образом), а затем изменяли [8] запись [10] DNS A, связывая настоящий домен с принадлежащим хакерам IP.
В результате жертвы попадали на аналогичный оригинальному по внешнему виду сайт. Чтобы добиться максимального сходства, для поддельного сайта даже изготавливали криптографические сертификаты Let’s Encrypt [11]. При этом запросы с поддельного ресурса перенаправляли на оригинальный. Фальшивая страница возвращала настоящие ответы, и подмену можно было заметить только по более долгой загрузке страниц.
Эту схему атаки применили для взлома сайтов правительства ОАЭ, министерства финансов Ливана, а также авиакомпании Middle East Airlines. Хакеры перехватывали весь трафик и перенаправляли его на IP-адрес 185.20.187.8. По словам специалистов Talos, злоумышленники крали пароли от почтовых ящиков сотрудников организаций и данные для доступа к VPN-сервисам.
Вторая схема злоумышленников связана с изменением в регистре DNS-адресов NS-записи домена. Она отвечает [12] не за одну страницу конкретного домена (например: mail.victim.com), а за все ссылки вида x.victim.com. В остальном метод похож на первый: взломщики создавали копию оригинального сайта и перенаправляли на него пользователей, после чего крали данные.
Третий метод часто использовался в связке с первыми двумя. Посетителей сайта не сразу отправляли на поддельную страницу. Сперва они переходили на дополнительный сервис — DNS Redirector. Он распознавал, откуда пользователь отправляет DNS-запрос. Если посетитель заходил на страницу из сети компании-жертвы, его перенаправляли на поддельную копию сайта. Другим пользователям Redirector возвращал настоящий IP-адрес, и человек попадал на оригинальный ресурс.
Специалисты пока не могут [13] оценить точный ущерб от взломов, так как о новых жертвах хакеров становится известно и после публикации отчета. Поэтому на проблему обратило внимание даже Министерство внутренней безопасности США (DHS). Специалисты организации опубликовали директиву [14], в которой сформировали список обязательных требований для других федеральных агентств. К примеру, DHS требуют от правительственных подразделений обновить пароли от учётных записей администраторов, включить многофакторную аутентификацию в DNS-аккаунтах и провести проверку всех DNS-записей.
/ Wikimedia / ANIL KUMAR BOSE [15] / CC BY-SA [16]
Рекомендации из директивы все агентства должны внедрить за десять рабочих дней. Согласно изданию [6] CyberScoop, такой срок достаточно редко встречается в документах Министерства. Это указывает на «экстренный» статус директивы.
Примечательной серию взломов назвали и представители провайдеров DNS-серверов. По словам [17] генерального директора DNS-хостинга NS1 Криса Биверса (Kris Beevers), самый важный вывод из последних атак — организации не используют базовые средства защиты. По своей сути атаки довольно просты, и многие из них можно было предотвратить.
В своем отчёте специалисты FireEye приводят несколько способов защиты, которые помогут организациям предотвратить атаки DNS hijacking:
Подключить многофакторную аутентификацию (MFA). Это одно из требований, которые предьявило Министерство внутренней безопасности США к господразделениям. Многофакторная аутентификация усложняет задачу для злоумышленников по подключению к панели управления с настройками DNS.
К примеру, 2FA смогла бы помешать злоумышленникам подменить сайт Linux.org в начале декабря прошлого года. К счастью, атака ограничилась [18] только вандализмом с переключением на другой сервер в DNS.
«Двухфакторная аутентификация — простая мера безопасности, которая поможет защититься от атак с подменой ответа DNS-сервера, — комментирует начальник отдела развития IaaS-провайдера 1cloud.ru [19] Сергей Белкин. — Облачные провайдеры могут помочь с защитой. В частности, пользователи нашего бесплатного DNS-хостинга [20] могут быстро подключить 2FA с помощью подготовленной инструкции [21]. Дополнительно клиенты могут отследить в своём профиле все изменения в DNS-записях, чтобы убедиться в их достоверности».
Проверить логи сертификатов. ИБ-специалисты советуют администраторам перепроверить сертификаты с помощью инструмента Certificate Transparency [22]. Это IETF стандарт и открытый проект, который хранит [23] информацию обо всех сертификатах, выпущенных для конкретного домена.
Если окажется, что какие-то из них были сфальсифицированы, на сертификат можно пожаловаться и отозвать его. Отслеживать изменения в логах Certificate Transparency помогут специальные инструменты, например SSLMate [24].
Перейти на DNS-over-TLS. Для предотвращения атак с перехватом DNS некоторые компании также используют DNS-over-TLS [25] (DoT). Он шифрует и проверяет запросы пользователя к DNS-серверу и не даёт злоумышленникам подменить данные. Например, недавно поддержку протокола внедрили [26] в Google Public DNS.
Атак с перехватом DNS становится всё больше, причём не всегда хакеров интересуют данные пользователей. Недавно десятки взломанных доменов, в том числе от компаний Mozilla и Yelp, использовали [27] для рассылки мошеннических писем. В этом случае хакеры применяли другую схему атак — они брали контроль над доменами, которые компании перестали использовать, но не удалили из DNS-записей провайдера.
В большинстве случаев во взломах виноваты компании, которые вовремя не озаботились вопросами безопасности. Помочь справиться с этой проблемой могут облачные провайдеры.
Часто DNS-серверы вендоров, в отличие от систем компаний, защищены [28] дополнительным протоколом DNSSEC [29]. Он защищает все DNS-записи цифровой подписью, которую можно создать только с помощью секретного ключа. Произвольные данные в такую систему хакеры внести не могут, поэтому подменить ответ от сервера становится сложнее.
Автор: 1cloud
Источник [33]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/dns-2/308093
Ссылки в тексте:
[1] DNS hijacking: https://ru.wikipedia.org/wiki/DNS_hijacking
[2] Image: https://habr.com/ru/company/1cloud/blog/439426/
[3] F Delventhal: https://www.flickr.com/photos/krossbow/45809414935/
[4] CC BY: https://creativecommons.org/licenses/by/2.0/
[5] опубликовала: https://arstechnica.com/information-technology/2019/01/a-dns-hijacking-wave-is-targeting-companies-at-an-almost-unprecedented-scale/
[6] федеральных агентств: https://www.cyberscoop.com/dhs-dns-directive-government-shutdown/
[7] сайты правительств: https://www.theregister.co.uk/2019/01/10/fireeye_iran_dns_hijacking/
[8] отмечают: https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html
[9] описывали: https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
[10] запись: https://ru.wikipedia.org/wiki/%D0%A2%D0%B8%D0%BF%D1%8B_%D1%80%D0%B5%D1%81%D1%83%D1%80%D1%81%D0%BD%D1%8B%D1%85_%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B5%D0%B9_DNS
[11] Let’s Encrypt: https://ru.wikipedia.org/wiki/Let%E2%80%99s_Encrypt
[12] отвечает: https://threatpost.com/unprecedented-dns-hijacking-attacks-linked-to-iran/140737/
[13] не могут: https://www.wired.com/story/iran-dns-hijacking/
[14] директиву: https://cyber.dhs.gov/assets/report/ed-19-01.pdf
[15] ANIL KUMAR BOSE: https://commons.wikimedia.org/wiki/File:Spotted_owlet_safe.jpg
[16] CC BY-SA: https://creativecommons.org/licenses/by-sa/4.0/deed.en
[17] словам: https://searchsecurity.techtarget.com/news/252455758/Iran-implicated-in-DNS-hijacking-campaign-around-the-world
[18] ограничилась: https://www.opennet.ru/opennews/art.shtml?num=49744
[19] IaaS-провайдера 1cloud.ru: https://1cloud.ru/?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=site
[20] DNS-хостинга: https://1cloud.ru/services/dns?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=site
[21] подготовленной инструкции: https://1cloud.ru/news/2-factors-authentification?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=site
[22] Certificate Transparency: https://www.certificate-transparency.org/
[23] хранит: https://securitytrails.com/blog/what-are-certificate-transparency-logs
[24] SSLMate: https://github.com/SSLMate/certspotter
[25] DNS-over-TLS: https://ru.wikipedia.org/wiki/DNS_%D0%BF%D0%BE%D0%B2%D0%B5%D1%80%D1%85_TLS
[26] внедрили: https://security.googleblog.com/2019/01/google-public-dns-now-supports-dns-over.html
[27] использовали: https://arstechnica.com/information-technology/2019/01/godaddy-weakness-let-bomb-threat-scammers-hijack-thousands-of-big-name-domains/
[28] защищены: https://www.networkworld.com/article/3273891/hybrid-cloud/dns-in-the-cloud-why-and-why-not.html
[29] DNSSEC: https://ru.wikipedia.org/wiki/DNSSEC
[30] Резервное копирование файлов: как подстраховаться от потери данных: https://1cloud.ru/blog/rezervnoe-kopirovanie-failov?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=blog
[31] Как 1cloud упрощает жизнь 1С-разработчику. Интервью с клиентом: https://1cloud.ru/blog/intervju-s-klientom-1cloud-1c?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=blog
[32] Где полезны объектные хранилища: https://1cloud.ru/blog/osobennosti-i-polza-obektnyh-hranilish?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=blog
[33] Источник: https://habr.com/ru/post/439426/?utm_campaign=439426
Нажмите здесь для печати.