Experten für Informationssicherheit verzeichneten einen Anstieg der Anzahl von
DNS-Hijacking- Angriffen auf Websites privater und staatlicher Unternehmen. Wir sagen Ihnen, wer verletzt wurde und wie Sie sich schützen können.
/ Flickr / F Delventhal / CC BY / Foto geändertWas ist passiert
Die FireEye-Sicherheitsorganisation
veröffentlichte letzten Monat
einen Bericht über eine massive Welle von Angriffen auf private Unternehmen und Regierungsorganisationen. Angreifer verwendeten die DNS-Interception-Technik oder das DNS-Hijacking. Sie überlappten die TCP / IP-Konfigurationen auf dem Computer des Opfers und übertrugen alle Anforderungen an einen gefälschten DNS-Server. Dies ermöglichte es ihnen, den Benutzerverkehr auf ihre eigenen Webserver zu leiten und sie zum Stehlen persönlicher Daten zu verwenden.
Laut FireEye begann die Zunahme solcher Angriffe im Januar 2017 zuzunehmen. Hacker zielen auf Domains aus Europa, Nordamerika, dem Nahen Osten und Nordafrika ab. Betroffen waren mindestens sechs Domänen von US-
Bundesbehörden und
Websites von Regierungen der Länder des Nahen Ostens.
Welche Methoden verwenden Cracker?
FireEye-Experten stellen in ihrem Bericht drei DNS-Spoofing-Schemata fest, die von Angreifern verwendet werden. Der erste von ihnen wurde
von Mitarbeitern der Cisco-Abteilung für Informationssicherheit - Talos - beschrieben. Angreifer haben die Systeme von DNS-Anbietern geknackt (es ist noch nicht bekannt, wie), und dann
den DNS-A-
Eintrag geändert , wodurch die reale Domain mit den IP-Hackern verknüpft wurde.
Infolgedessen landeten die Opfer an einem Ort, der im Aussehen dem Original ähnelte. Um maximale Ähnlichkeit zu erreichen, wurden kryptografische Zertifikate von
Let's Encrypt sogar für eine gefälschte Site erstellt. Gleichzeitig wurden Anfragen von einer gefälschten Ressource an das Original weitergeleitet. Die gefälschte Seite gab echte Antworten zurück, und das Spoofing konnte nur durch ein längeres Laden der Seite bemerkt werden.
Dieses Angriffsschema wurde verwendet, um die Standorte der Regierung der Vereinigten Arabischen Emirate, des libanesischen Finanzministeriums und von Middle East Airlines zu hacken. Hacker haben den gesamten Datenverkehr abgefangen und an die IP-Adresse 185.20.187.8 umgeleitet. Laut Talos haben die Angreifer Passwörter aus den Postfächern von Mitarbeitern von Organisationen und Daten gestohlen, um auf VPN-Dienste zuzugreifen.
Das zweite Eindringlingsschema ist mit einer Änderung des DNS-Adressregisters des NS-Domäneneintrags verbunden. Sie
ist nicht für eine Seite einer bestimmten Domain (zum Beispiel: mail.victim.com) verantwortlich, sondern für alle Links des Formulars x.victim.com. Ansonsten ähnelt die Methode der ersten: Cracker haben eine Kopie der ursprünglichen Site erstellt und Benutzer darauf umgeleitet, wonach sie Daten gestohlen haben.
Die dritte Methode wurde oft in Verbindung mit den ersten beiden angewendet. Website-Besucher wurden nicht sofort auf eine gefälschte Seite weitergeleitet. Zunächst wechselten sie zu einem zusätzlichen Dienst - DNS Redirector. Es wurde erkannt, von wo der Benutzer die DNS-Abfrage gesendet hat. Wenn der Besucher die Seite aus dem Netzwerk der Opferfirma besuchte, wurde er zu einer gefälschten Kopie der Website weitergeleitet. Redirector gab die echte IP-Adresse an andere Benutzer zurück, und die Person gelangte zur ursprünglichen Ressource.
Was denken sie über Angriffe?
Spezialisten
können den genauen Schaden durch Hacking immer noch
nicht einschätzen, da neue Hackeropfer auch nach Veröffentlichung des Berichts bekannt werden. Daher machte auch das US-Heimatschutzministerium (DHS) auf das Problem aufmerksam. Die Spezialisten der Organisation veröffentlichten eine
Richtlinie, in der sie eine Liste der verbindlichen Anforderungen für andere Bundesbehörden zusammenstellten. Beispielsweise verlangt das DHS von Regierungsabteilungen, Kennwörter für Administratorkonten zu aktualisieren, die Multi-Faktor-Authentifizierung in DNS-Konten zu aktivieren und alle DNS-Einträge zu überprüfen.
/ Wikimedia / ANIL KUMAR BOSE / CC BY-SAAlle Agenturen sollten Empfehlungen aus der Richtlinie innerhalb von zehn Arbeitstagen umsetzen. Laut
der CyberScoop-
Veröffentlichung ist ein solcher Begriff in den Dokumenten des Ministeriums ziemlich selten. Dies zeigt den "Notfall" -Status der Richtlinie an.
Eine bemerkenswerte Reihe von Hacks wurde auch von Vertretern von DNS-Serveranbietern aufgerufen. Laut Kris Beevers, CEO von NS1 DNS Hosting, ist die wichtigste Schlussfolgerung aus den jüngsten Angriffen, dass Unternehmen keine grundlegenden Sicherheitsfunktionen verwenden. Angriffe sind im Kern recht einfach und viele von ihnen hätten verhindert werden können.
Wie Sie sich schützen können
In ihrem Bericht bieten FireEye-Experten verschiedene Schutzmethoden an, mit denen Unternehmen DNS-Hijacking-Angriffe verhindern können:
Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA). Dies ist eine der Anforderungen, die das US-Heimatschutzministerium an Regierungsabteilungen gestellt hat. Die Multi-Faktor-Authentifizierung erschwert es Angreifern, mit DNS-Einstellungen eine Verbindung zum Control Panel herzustellen.
Zum Beispiel könnte 2FA verhindern, dass Cyberkriminelle Anfang Dezember letzten Jahres Linux.org fälschen. Glücklicherweise
beschränkte sich der Angriff nur auf Vandalismus beim Wechsel zu einem anderen Server in DNS.
"Die Zwei-Faktor-Authentifizierung ist eine einfache Sicherheitsmaßnahme, die zum Schutz vor Angriffen beiträgt, indem die Antwort des DNS-Servers gefälscht wird", kommentierte Sergey Belkin, Leiter der Entwicklungsabteilung des IaaS-Anbieters 1cloud.ru . - Cloud-Anbieter können beim Schutz helfen. Insbesondere Benutzer unseres kostenlosen DNS-Hostings können 2FA mithilfe der vorbereiteten Anweisungen schnell verbinden. Darüber hinaus können Kunden in ihrem Profil alle Änderungen an DNS-Einträgen verfolgen, um sicherzustellen, dass sie zuverlässig sind. “
Überprüfen Sie die Zertifikatsprotokolle. Experten für Informationssicherheit empfehlen Administratoren, Zertifikate mit dem
Zertifikatstransparenz- Tool zu überprüfen. Dies ist ein IETF-Standard und ein Open Source-Projekt,
in dem Informationen zu allen für eine bestimmte Domäne ausgestellten Zertifikaten gespeichert werden.
Wenn sich herausstellt, dass einige von ihnen gefälscht wurden, können Sie sich über das Zertifikat beschweren und es widerrufen. Spezielle Tools wie
SSLMate helfen Ihnen dabei, Änderungen in Zertifikatstransparenzprotokollen zu verfolgen.
Wechseln Sie zu DNS-over-TLS. Um Angriffe mit DNS-Interception zu verhindern, verwenden einige Unternehmen auch
DNS-over-TLS (DoT). Es verschlüsselt und prüft Benutzeranforderungen an den DNS-Server und erlaubt Angreifern nicht, Daten zu fälschen. Beispielsweise wurde kürzlich
die Protokollunterstützung in Google Public DNS
implementiert .
Perspektiven
Angriffe mit DNS-Interception werden immer häufiger und Hacker sind nicht immer an Benutzerdaten interessiert. Kürzlich wurden Dutzende von gehackten Domains, einschließlich derer von Mozilla und Yelp, zum Versenden betrügerischer E-Mails verwendet. In diesem Fall verwendeten Hacker ein anderes Angriffsschema: Sie übernahmen die Kontrolle über Domänen, die Unternehmen nicht mehr verwendeten, aber nicht aus den DNS-Einträgen des Anbieters entfernten.
In den meisten Fällen sind Hacks für Unternehmen verantwortlich, die sich nicht rechtzeitig um Sicherheitsprobleme gekümmert haben. Cloud-Anbieter können bei der Bewältigung dieses Problems helfen.
Im Gegensatz zu Unternehmenssystemen werden DNS-Server von Anbietern häufig
durch das optionale
DNSSEC- Protokoll
geschützt . Es schützt alle DNS-Einträge mit einer digitalen Signatur, die nur mit einem geheimen Schlüssel erstellt werden kann. Hacker können keine beliebigen Daten in ein solches System eingeben, daher wird es schwieriger, eine Antwort vom Server zu ersetzen.
Unsere Beiträge aus dem Unternehmensblog: