سجل خبراء أمن المعلومات زيادة في عدد هجمات
اختطاف DNS على مواقع الشركات الخاصة والحكومية. نخبرك بالذين أصيبوا وكيفية حماية نفسك.
/ Flickr / F Delventhal / CC BY / تغيرت الصورةماذا حدث
أصدرت منظمة الأمن FireEye تقريرا الشهر الماضي الإبلاغ عن موجة هائلة من الهجمات على الشركات الخاصة والمؤسسات الحكومية. استخدم المهاجمون تقنية اعتراض DNS ، أو اختطاف DNS. تراكبوا تكوينات TCP / IP على جهاز الكمبيوتر الضحية ونقل جميع الطلبات إلى خادم DNS وهمية. سمح لهم ذلك بتوجيه حركة مرور المستخدم إلى خوادم الويب الخاصة بهم واستخدامها لسرقة البيانات الشخصية.
وفقًا لـ FireEye ، بدأ نمو عدد هذه الهجمات في النمو في يناير 2017. ويستهدف قراصنة المجالات من أوروبا وأمريكا الشمالية والشرق الأوسط وشمال أفريقيا. تأثرت ستة مجالات على الأقل من
الوكالات الفيدرالية الأمريكية
ومواقع الويب الخاصة بحكومات دول الشرق الأوسط.
ما هي الأساليب التي تستخدم المفرقعات؟
يلاحظ خبراء FireEye في تقريرهم ثلاثة مخططات خداع DNS التي يستخدمها المهاجمون. تم
وصف أولها من
قبل موظفي قسم أمن معلومات Cisco - Talos. قام المهاجمون بتكسير أنظمة مزودي DNS (لم يُعرف بعد كيفية معينة) ، ثم
غيروا سجل DNS A ، وربطوا المجال الحقيقي بقراصنة IP.
ونتيجة لذلك ، انتهى الأمر بالضحايا في موقع مشابه لموقعه الأصلي. لتحقيق أقصى قدر من التشابه ، تم إعداد شهادات التشفير
Let Let's Encrypt لمواقع وهمية. في الوقت نفسه ، تمت إعادة توجيه الطلبات من مورد مزيف إلى الأصل. عرضت الصفحة المزيفة إجابات حقيقية ، ولا يمكن ملاحظة الخداع إلا من خلال تحميل صفحة أطول.
تم استخدام مخطط الهجوم هذا لاختراق مواقع حكومة الإمارات العربية المتحدة ووزارة المالية اللبنانية وشركة طيران الشرق الأوسط. اعترض المتسللين كل حركة المرور وأعادوا توجيهها إلى عنوان IP 185.20.187.8. وفقًا لتالوس ، قام المهاجمون بسرقة كلمات المرور من صناديق بريد موظفي المؤسسات والبيانات للوصول إلى خدمات VPN.
يرتبط المخطط الثاني للمتسللين بتغيير في سجل عنوان DNS لسجل مجال NS. إنها
ليست مسؤولة عن صفحة واحدة من مجال معين (على سبيل المثال: mail.victim.com) ، ولكن عن جميع روابط النموذج x.victim.com. بخلاف ذلك ، تشبه الطريقة الأولى: إنشاء المفرقعات نسخة من الموقع الأصلي وإعادة توجيه المستخدمين إليها ، وبعد ذلك سرقوا البيانات.
وغالبا ما تستخدم الطريقة الثالثة بالتزامن مع الأولين. لم يتم إرسال زوار الموقع على الفور إلى صفحة مزيفة. أولاً ، تحولوا إلى خدمة إضافية - معيد توجيه DNS. تم التعرف على المكان الذي كان المستخدم يرسل فيه استعلام DNS من. إذا زار الزائر الصفحة من شبكة الشركة الضحية ، فتم إعادة توجيهه إلى نسخة مزيفة من الموقع. أعاد معيد التوجيه عنوان IP الحقيقي للمستخدمين الآخرين ، وحصل الشخص على المورد الأصلي.
ما رأيك في الهجمات
لا يزال المتخصصون
غير قادرين على تقييم الضرر الدقيق الناجم عن القرصنة ، حيث يصبح ضحايا القرصنة الجدد معروفين حتى بعد نشر التقرير. لذلك ، لفتت وزارة الأمن الداخلي الأمريكية (DHS) الانتباه إلى المشكلة. نشر اختصاصيو المنظمة
توجيهًا جمعوا فيه قائمة بالمتطلبات الإلزامية للوكالات الفيدرالية الأخرى. على سبيل المثال ، تطلب وزارة الأمن الوطني من الدوائر الحكومية تحديث كلمات المرور لحسابات المسؤول ، وتمكين المصادقة متعددة العوامل في حسابات DNS ، والتحقق من جميع سجلات DNS.
/ ويكيميديا / ANIL KUMAR BOSE / CC BY-SAيجب على جميع الوكالات تنفيذ توصيات من التوجيه في غضون عشرة أيام عمل. وفقًا لمنشور CyberScoop ، فإن هذا المصطلح نادر جدًا في وثائق الوزارة. هذا يشير إلى حالة "الطوارئ" من التوجيه.
تم استدعاء سلسلة جديرة بالملاحظة من المتطفلين من قبل ممثلي مقدمي خادم DNS. وفقًا لكريس بيفيرز ، الرئيس التنفيذي لشركة NS1 DNS Hosting ، فإن الاستنتاج الأكثر أهمية من الهجمات الأخيرة هو أن المنظمات لا تستخدم ميزات الأمان الأساسية. الهجمات في جوهرها بسيطة للغاية ، وكان يمكن منع الكثير منها.
كيف تحمي نفسك
يقدم خبراء FireEye في تقريرهم العديد من طرق الحماية التي تساعد المؤسسات على منع هجمات اختطاف DNS:
تمكين المصادقة متعددة العوامل (MFA). هذا أحد المتطلبات التي وضعتها وزارة الأمن الداخلي الأمريكية للدوائر الحكومية. تعمل المصادقة متعددة العوامل على تعقيد مهمة المهاجمين للاتصال بلوحة التحكم باستخدام إعدادات DNS.
على سبيل المثال ، يمكن أن تمنع 2FA مجرمي الإنترنت من خداع Linux.org في أوائل ديسمبر من العام الماضي. لحسن الحظ ،
اقتصر الهجوم فقط على التخريب مع التبديل إلى خادم آخر في DNS.
علق سيرجي بلكين ، رئيس قسم تطوير مزود IaaS 1cloud.ru ، قائلاً: "المصادقة ثنائية العوامل هي إجراء أمني بسيط سيساعد على الحماية من الهجمات من خلال خداع استجابة خادم DNS". - يمكن لموفري السحابة المساعدة في الحماية. على وجه الخصوص ، يمكن لمستخدمي استضافة DNS المجانية الاتصال بسرعة 2FA باستخدام الإرشادات المعدة . بالإضافة إلى ذلك ، يمكن للعملاء تتبع جميع التغييرات في سجلات نظام أسماء النطاقات في ملفهم الشخصي للتأكد من موثوقيتها. "
تحقق من سجلات الشهادة. ينصح خبراء أمن المعلومات المسؤولين بالتحقق من الشهادات باستخدام أداة
شفافية الشهادة . هذا معيار IETF ومشروع مفتوح المصدر
يقوم بتخزين المعلومات حول جميع الشهادات الصادرة لنطاق معين.
إذا اتضح أن بعضهم قد تم تزويره ، يمكنك الشكوى من الشهادة وإلغاءها.
ستساعدك الأدوات الخاصة ، مثل
SSLMate ، على تعقب التغييرات في سجلات شفافية الشهادة.
قم بالتبديل إلى DNS-over-TLS. لمنع الهجمات باستخدام اعتراض DNS ، تستخدم بعض الشركات أيضًا
DNS-over-TLS (DoT). يقوم بتشفير وفحص طلبات المستخدم إلى خادم DNS ولا يسمح للمهاجمين بانتحال البيانات. على سبيل المثال ، تم
تنفيذ دعم البروتوكول مؤخرًا في Google Public DNS.
آفاق
أصبحت الهجمات مع اعتراض DNS أكثر فأكثر ، ولا يهتم المتسللون دائمًا ببيانات المستخدم. في الآونة الأخيرة ، تم استخدام العشرات من المجالات التي تم اختراقها ، بما في ذلك تلك الموجودة في Mozilla و Yelp ، لإرسال رسائل البريد الإلكتروني الاحتيالية. في هذه الحالة ، استخدم المتسللين خطة هجوم مختلفة - سيطروا على المجالات التي توقفت الشركات عن استخدامها ، لكنهم لم يزيلوها من سجلات DNS الخاصة بالمزود.
في معظم الحالات ، يتحمل المتسللون مسؤولية الشركات التي لم تهتم بمشكلات الأمان في الوقت المحدد. يمكن لموفري السحابة المساعدة في التعامل مع هذه المشكلة.
غالبًا ما تكون خوادم DNS الخاصة بالمورد ، على عكس أنظمة الشركة ،
محمية بموجب بروتوكول
DNSSEC الاختياري. إنه يحمي جميع سجلات DNS بتوقيع رقمي ، والذي لا يمكن إنشاؤه إلا باستخدام مفتاح سري. لا يمكن للمتسللين إدخال بيانات عشوائية في مثل هذا النظام ، لذلك يصبح من الصعب استبدال استجابة من الخادم.
منشوراتنا من مدونة الشركات: