- PVSM.RU - https://www.pvsm.ru -

Ситуация: новая волна атак с перехватом DNS-запросов — разбираем базовые методы защиты

Специалисты по ИБ зафиксировали рост числа атак DNS hijacking [1] на сайты частных и правительственных компаний. Рассказываем, кто пострадал и как защититься.

Ситуация: новая волна атак с перехватом DNS-запросов — разбираем базовые методы защиты - 1 [2]
/ Flickr / F Delventhal [3] / CC BY [4] / Фото изменено

Что произошло

Организация FireEye, занимающаяся вопросами ИБ, в прошлом месяце опубликовала [5] отчёт, в котором сообщила о масштабной волне атак на частные компании и правительственные организации. Злоумышленники использовали технику перехвата DNS, или DNS hijacking. Они перекрывали конфигурации TCP/IP на компьютере жертвы и переводили все запросы на подложный DNS-сервер. Это позволило им направить трафик пользователя на собственные веб-серверы и применить их для кражи персональных данных.

По информации FireEye, рост числа подобных атак начал расти в январе 2017 года. Хакеры делают своей целью домены из Европы, Северной Америки, Ближнего Востока и Северной Африки. Пострадали минимум шесть доменов федеральных агентств [6] США и сайты правительств [7] стран Ближнего Востока.

Какие методы используют взломщики

Специалисты FireEye в своем отчете отмечают [8] три схемы подмены DNS, которыми пользуются злоумышленники. Первую из них описывали [9] сотрудники ИБ-подразделения Cisco — Talos. Злоумышленники взламывали системы DNS-провайдеров (пока достоверно неизвестно каким образом), а затем изменяли [8] запись [10] DNS A, связывая настоящий домен с принадлежащим хакерам IP.

В результате жертвы попадали на аналогичный оригинальному по внешнему виду сайт. Чтобы добиться максимального сходства, для поддельного сайта даже изготавливали криптографические сертификаты Let’s Encrypt [11]. При этом запросы с поддельного ресурса перенаправляли на оригинальный. Фальшивая страница возвращала настоящие ответы, и подмену можно было заметить только по более долгой загрузке страниц.

Эту схему атаки применили для взлома сайтов правительства ОАЭ, министерства финансов Ливана, а также авиакомпании Middle East Airlines. Хакеры перехватывали весь трафик и перенаправляли его на IP-адрес 185.20.187.8. По словам специалистов Talos, злоумышленники крали пароли от почтовых ящиков сотрудников организаций и данные для доступа к VPN-сервисам.

Вторая схема злоумышленников связана с изменением в регистре DNS-адресов NS-записи домена. Она отвечает [12] не за одну страницу конкретного домена (например: mail.victim.com), а за все ссылки вида x.victim.com. В остальном метод похож на первый: взломщики создавали копию оригинального сайта и перенаправляли на него пользователей, после чего крали данные.

Третий метод часто использовался в связке с первыми двумя. Посетителей сайта не сразу отправляли на поддельную страницу. Сперва они переходили на дополнительный сервис — DNS Redirector. Он распознавал, откуда пользователь отправляет DNS-запрос. Если посетитель заходил на страницу из сети компании-жертвы, его перенаправляли на поддельную копию сайта. Другим пользователям Redirector возвращал настоящий IP-адрес, и человек попадал на оригинальный ресурс.

Что думают об атаках

Специалисты пока не могут [13] оценить точный ущерб от взломов, так как о новых жертвах хакеров становится известно и после публикации отчета. Поэтому на проблему обратило внимание даже Министерство внутренней безопасности США (DHS). Специалисты организации опубликовали директиву [14], в которой сформировали список обязательных требований для других федеральных агентств. К примеру, DHS требуют от правительственных подразделений обновить пароли от учётных записей администраторов, включить многофакторную аутентификацию в DNS-аккаунтах и провести проверку всех DNS-записей.

Ситуация: новая волна атак с перехватом DNS-запросов — разбираем базовые методы защиты - 2
/ Wikimedia / ANIL KUMAR BOSE [15] / CC BY-SA [16]

Рекомендации из директивы все агентства должны внедрить за десять рабочих дней. Согласно изданию [6] CyberScoop, такой срок достаточно редко встречается в документах Министерства. Это указывает на «экстренный» статус директивы.

Примечательной серию взломов назвали и представители провайдеров DNS-серверов. По словам [17] генерального директора DNS-хостинга NS1 Криса Биверса (Kris Beevers), самый важный вывод из последних атак — организации не используют базовые средства защиты. По своей сути атаки довольно просты, и многие из них можно было предотвратить.

Как защититься

В своем отчёте специалисты FireEye приводят несколько способов защиты, которые помогут организациям предотвратить атаки DNS hijacking:

Подключить многофакторную аутентификацию (MFA). Это одно из требований, которые предьявило Министерство внутренней безопасности США к господразделениям. Многофакторная аутентификация усложняет задачу для злоумышленников по подключению к панели управления с настройками DNS.

К примеру, 2FA смогла бы помешать злоумышленникам подменить сайт Linux.org в начале декабря прошлого года. К счастью, атака ограничилась [18] только вандализмом с переключением на другой сервер в DNS.

«Двухфакторная аутентификация — простая мера безопасности, которая поможет защититься от атак с подменой ответа DNS-сервера, — комментирует начальник отдела развития IaaS-провайдера 1cloud.ru [19] Сергей Белкин. — Облачные провайдеры могут помочь с защитой. В частности, пользователи нашего бесплатного DNS-хостинга [20] могут быстро подключить 2FA с помощью подготовленной инструкции [21]. Дополнительно клиенты могут отследить в своём профиле все изменения в DNS-записях, чтобы убедиться в их достоверности».

Проверить логи сертификатов. ИБ-специалисты советуют администраторам перепроверить сертификаты с помощью инструмента Certificate Transparency [22]. Это IETF стандарт и открытый проект, который хранит [23] информацию обо всех сертификатах, выпущенных для конкретного домена.

Если окажется, что какие-то из них были сфальсифицированы, на сертификат можно пожаловаться и отозвать его. Отслеживать изменения в логах Certificate Transparency помогут специальные инструменты, например SSLMate [24].

Перейти на DNS-over-TLS. Для предотвращения атак с перехватом DNS некоторые компании также используют DNS-over-TLS [25] (DoT). Он шифрует и проверяет запросы пользователя к DNS-серверу и не даёт злоумышленникам подменить данные. Например, недавно поддержку протокола внедрили [26] в Google Public DNS.

Перспективы

Атак с перехватом DNS становится всё больше, причём не всегда хакеров интересуют данные пользователей. Недавно десятки взломанных доменов, в том числе от компаний Mozilla и Yelp, использовали [27] для рассылки мошеннических писем. В этом случае хакеры применяли другую схему атак — они брали контроль над доменами, которые компании перестали использовать, но не удалили из DNS-записей провайдера.

В большинстве случаев во взломах виноваты компании, которые вовремя не озаботились вопросами безопасности. Помочь справиться с этой проблемой могут облачные провайдеры.

Часто DNS-серверы вендоров, в отличие от систем компаний, защищены [28] дополнительным протоколом DNSSEC [29]. Он защищает все DNS-записи цифровой подписью, которую можно создать только с помощью секретного ключа. Произвольные данные в такую систему хакеры внести не могут, поэтому подменить ответ от сервера становится сложнее.

Наши посты из корпоративного блога:

Автор: 1cloud

Источник [33]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/dns-2/308093

Ссылки в тексте:

[1] DNS hijacking: https://ru.wikipedia.org/wiki/DNS_hijacking

[2] Image: https://habr.com/ru/company/1cloud/blog/439426/

[3] F Delventhal: https://www.flickr.com/photos/krossbow/45809414935/

[4] CC BY: https://creativecommons.org/licenses/by/2.0/

[5] опубликовала: https://arstechnica.com/information-technology/2019/01/a-dns-hijacking-wave-is-targeting-companies-at-an-almost-unprecedented-scale/

[6] федеральных агентств: https://www.cyberscoop.com/dhs-dns-directive-government-shutdown/

[7] сайты правительств: https://www.theregister.co.uk/2019/01/10/fireeye_iran_dns_hijacking/

[8] отмечают: https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html

[9] описывали: https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html

[10] запись: https://ru.wikipedia.org/wiki/%D0%A2%D0%B8%D0%BF%D1%8B_%D1%80%D0%B5%D1%81%D1%83%D1%80%D1%81%D0%BD%D1%8B%D1%85_%D0%B7%D0%B0%D0%BF%D0%B8%D1%81%D0%B5%D0%B9_DNS

[11] Let’s Encrypt: https://ru.wikipedia.org/wiki/Let%E2%80%99s_Encrypt

[12] отвечает: https://threatpost.com/unprecedented-dns-hijacking-attacks-linked-to-iran/140737/

[13] не могут: https://www.wired.com/story/iran-dns-hijacking/

[14] директиву: https://cyber.dhs.gov/assets/report/ed-19-01.pdf

[15] ANIL KUMAR BOSE: https://commons.wikimedia.org/wiki/File:Spotted_owlet_safe.jpg

[16] CC BY-SA: https://creativecommons.org/licenses/by-sa/4.0/deed.en

[17] словам: https://searchsecurity.techtarget.com/news/252455758/Iran-implicated-in-DNS-hijacking-campaign-around-the-world

[18] ограничилась: https://www.opennet.ru/opennews/art.shtml?num=49744

[19] IaaS-провайдера 1cloud.ru: https://1cloud.ru/?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=site

[20] DNS-хостинга: https://1cloud.ru/services/dns?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=site

[21] подготовленной инструкции: https://1cloud.ru/news/2-factors-authentification?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=site

[22] Certificate Transparency: https://www.certificate-transparency.org/

[23] хранит: https://securitytrails.com/blog/what-are-certificate-transparency-logs

[24] SSLMate: https://github.com/SSLMate/certspotter

[25] DNS-over-TLS: https://ru.wikipedia.org/wiki/DNS_%D0%BF%D0%BE%D0%B2%D0%B5%D1%80%D1%85_TLS

[26] внедрили: https://security.googleblog.com/2019/01/google-public-dns-now-supports-dns-over.html

[27] использовали: https://arstechnica.com/information-technology/2019/01/godaddy-weakness-let-bomb-threat-scammers-hijack-thousands-of-big-name-domains/

[28] защищены: https://www.networkworld.com/article/3273891/hybrid-cloud/dns-in-the-cloud-why-and-why-not.html

[29] DNSSEC: https://ru.wikipedia.org/wiki/DNSSEC

[30] Резервное копирование файлов: как подстраховаться от потери данных: https://1cloud.ru/blog/rezervnoe-kopirovanie-failov?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=blog

[31] Как 1cloud упрощает жизнь 1С-разработчику. Интервью с клиентом: https://1cloud.ru/blog/intervju-s-klientom-1cloud-1c?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=blog

[32] Где полезны объектные хранилища: https://1cloud.ru/blog/osobennosti-i-polza-obektnyh-hranilish?utm_source=habrahabr&utm_medium=cpm&utm_campaign=dns&utm_content=blog

[33] Источник: https://habr.com/ru/post/439426/?utm_campaign=439426