Los expertos en seguridad de la información registraron un aumento en el número de ataques de
secuestro de
DNS en sitios web de empresas privadas y gubernamentales. Te contamos quién resultó herido y cómo protegerte.
/ Flickr / F Delventhal / CC BY / Foto modificadaQue paso
La organización de seguridad FireEye
publicó un informe el mes pasado informando una ola masiva de ataques contra empresas privadas y organizaciones gubernamentales. Los atacantes utilizaron la técnica de interceptación de DNS o secuestro de DNS. Superpusieron las configuraciones TCP / IP en la computadora de la víctima y transfirieron todas las solicitudes a un servidor DNS falso. Esto les permitió dirigir el tráfico de usuarios a sus propios servidores web y usarlos para robar datos personales.
Según FireEye, el crecimiento en la cantidad de tales ataques comenzó a crecer en enero de 2017. Los hackers se dirigen a dominios de Europa, América del Norte, Oriente Medio y África del Norte. Al menos seis dominios de
agencias federales de EE. UU. Y
sitios web de gobiernos de países de Medio Oriente se vieron afectados.
¿Qué métodos usan las galletas?
Los expertos de FireEye en su informe
señalan tres esquemas de falsificación de DNS que utilizan los atacantes. El primero de ellos fue
descrito por empleados de la división de seguridad de la información de Cisco: Talos. Los atacantes descifraron los sistemas de los proveedores de DNS (aún no se sabe con certeza cómo) y luego
cambiaron el registro DNS A, vinculando el dominio real con los piratas informáticos IP.
Como resultado, las víctimas terminaron en un sitio similar al original en apariencia. Para lograr la máxima similitud,
los certificados criptográficos
Let's Encrypt incluso se hicieron para un sitio falso. Al mismo tiempo, las solicitudes de un recurso falso se redirigieron al original. La página falsa devolvió respuestas reales, y la suplantación de identidad solo se pudo notar por una carga de página más larga.
Este esquema de ataque se usó para hackear los sitios del gobierno de los EAU, el Ministerio de Finanzas libanés y Middle East Airlines. Los hackers interceptaron todo el tráfico y lo redirigieron a la dirección IP 185.20.187.8. Según Talos, los atacantes robaron contraseñas de los buzones de los empleados de las organizaciones y los datos para acceder a los servicios de VPN.
El segundo esquema de intrusos está asociado con un cambio en el registro de direcciones DNS del registro de dominio NS. Ella no
es responsable de una página de un dominio específico (por ejemplo: mail.victim.com), sino de todos los enlaces del formulario x.victim.com. De lo contrario, el método es similar al primero: los crackers crearon una copia del sitio original y redirigieron a los usuarios al mismo, luego de lo cual robaron datos.
El tercer método se usaba a menudo junto con los dos primeros. Los visitantes del sitio web no fueron enviados de inmediato a una página falsa. Primero, cambiaron a un servicio adicional: DNS Redirector. Reconoció desde dónde el usuario estaba enviando la consulta DNS. Si el visitante visitó la página desde la red de la empresa víctima, fue redirigido a una copia falsa del sitio. Redirector devolvió la dirección IP real a otros usuarios, y la persona llegó al recurso original.
¿Qué piensan sobre los ataques?
Los especialistas aún
no pueden evaluar el daño exacto de la piratería, ya que las nuevas víctimas de piratas informáticos se conocen incluso después de la publicación del informe. Por lo tanto, incluso el Departamento de Seguridad Nacional de los Estados Unidos (DHS) llamó la atención sobre el problema. Los especialistas de la organización publicaron una
directiva en la que compilaron una lista de requisitos obligatorios para otras agencias federales. Por ejemplo, DHS requiere que los departamentos gubernamentales actualicen las contraseñas de las cuentas de administrador, habiliten la autenticación multifactor en las cuentas DNS y verifiquen todos los registros DNS.
/ Wikimedia / ANIL KUMAR BOSE / CC BY-SATodas las agencias deben implementar las recomendaciones de la directiva dentro de los diez días hábiles. Según
la publicación de CyberScoop, dicho término es bastante raro en los documentos del Ministerio. Esto indica el estado de "emergencia" de la directiva.
Los representantes de los proveedores de servidores DNS también llamaron a una serie notable de hacks. Según Kris Beevers, CEO de NS1 DNS Hosting, la conclusión más importante de los ataques recientes es que las organizaciones no usan funciones de seguridad básicas. En esencia, los ataques son bastante simples, y muchos de ellos podrían haberse evitado.
Cómo protegerte
En su informe, los expertos de FireEye proporcionan varios métodos de protección que ayudan a las organizaciones a prevenir ataques de secuestro de DNS:
Habilite la autenticación multifactor (MFA). Este es uno de los requisitos que el Departamento de Seguridad Nacional de los Estados Unidos hizo para los departamentos gubernamentales. La autenticación multifactor complica la tarea de los atacantes de conectarse al panel de control con la configuración de DNS.
Por ejemplo, 2FA podría evitar que los ciberdelincuentes falsifiquen Linux.org a principios de diciembre del año pasado. Afortunadamente, el ataque se
limitó solo al vandalismo con el cambio a otro servidor en DNS.
"La autenticación de dos factores es una medida de seguridad simple que ayudará a proteger contra ataques al suplantar la respuesta del servidor DNS", comentó Sergey Belkin, jefe del departamento de desarrollo del proveedor de IaaS 1cloud.ru . - Los proveedores de la nube pueden ayudar con la protección. En particular, los usuarios de nuestro alojamiento DNS gratuito pueden conectar rápidamente 2FA utilizando las instrucciones preparadas . Además, los clientes pueden rastrear en su perfil todos los cambios en los registros DNS para asegurarse de que sean confiables ".
Verifique los registros de certificados. Los expertos en seguridad de la información aconsejan a los administradores que verifiquen nuevamente los certificados utilizando la herramienta de
Transparencia de certificados . Este es un estándar IETF y un proyecto de código abierto que
almacena información sobre todos los certificados emitidos para un dominio específico.
Si resulta que algunos de ellos fueron falsificados, puede quejarse del certificado y revocarlo. Las herramientas especiales, como
SSLMate , lo ayudarán a realizar un seguimiento de los cambios en los registros de Transparencia de certificados.
Cambie a DNS sobre TLS. Para evitar ataques con interceptación de DNS, algunas compañías también usan
DNS sobre TLS (DoT). Cifra y verifica las solicitudes de los usuarios al servidor DNS y no permite a los atacantes falsificar datos. Por ejemplo, el soporte de protocolo se
implementó recientemente en Google Public DNS.
Perspectivas
Los ataques con interceptación de DNS son cada vez más y los piratas informáticos no siempre están interesados en los datos del usuario. Recientemente, se
utilizaron docenas de dominios pirateados, incluidos los de Mozilla y Yelp, para enviar correos electrónicos fraudulentos. En este caso, los piratas informáticos utilizaron un esquema de ataque diferente: tomaron el control de los dominios que las empresas dejaron de usar, pero no eliminaron de los registros DNS del proveedor.
En la mayoría de los casos, los piratas informáticos tienen la culpa de las empresas que no se ocuparon de los problemas de seguridad a tiempo. Los proveedores de la nube pueden ayudar a hacer frente a este problema.
A menudo, los servidores DNS de los proveedores, a diferencia de los sistemas de la compañía,
están protegidos por el protocolo
DNSSEC opcional. Protege todos los registros DNS con una firma digital, que solo se puede crear con una clave secreta. Los piratas informáticos no pueden ingresar datos arbitrarios en dicho sistema, por lo que se hace más difícil sustituir una respuesta del servidor.
Nuestras publicaciones del blog corporativo: