Ahli keamanan informasi mencatat peningkatan jumlah serangan
pembajakan DNS di situs web perusahaan swasta dan pemerintah. Kami memberi tahu Anda siapa yang terluka dan bagaimana melindungi diri Anda sendiri.
/ Flickr / F Delventhal / CC BY / Foto berubahApa yang terjadi
Organisasi keamanan FireEye
merilis laporan bulan lalu yang melaporkan gelombang besar serangan terhadap perusahaan swasta dan organisasi pemerintah. Penyerang menggunakan teknik intersepsi DNS, atau pembajakan DNS. Mereka tumpang tindih konfigurasi TCP / IP pada komputer korban dan mentransfer semua permintaan ke server DNS palsu. Ini memungkinkan mereka untuk mengarahkan lalu lintas pengguna ke server web mereka sendiri dan menggunakannya untuk mencuri data pribadi.
Menurut FireEye, pertumbuhan jumlah serangan seperti itu mulai tumbuh pada Januari 2017. Peretas menargetkan domain dari Eropa, Amerika Utara, Timur Tengah, dan Afrika Utara. Setidaknya enam domain
agen federal AS dan
situs web pemerintah negara-negara Timur Tengah terpengaruh.
Metode apa yang digunakan cracker?
Ahli FireEye dalam laporan mereka
mencatat tiga skema spoofing DNS yang digunakan oleh penyerang. Yang pertama
dijelaskan oleh karyawan divisi keamanan informasi Cisco - Talos. Penyerang meretas sistem penyedia DNS (masih belum diketahui caranya), dan kemudian
mengubah catatan DNS A, menghubungkan domain asli dengan peretas IP.
Akibatnya, para korban berakhir di sebuah situs yang mirip dengan aslinya dalam penampilan. Untuk mencapai kesamaan maksimum, sertifikat
Enkripsi kriptografis
Let's Encrypt bahkan dibuat untuk situs palsu. Pada saat yang sama, permintaan dari sumber daya palsu dialihkan ke sumber asli. Halaman palsu memberikan jawaban yang sebenarnya, dan spoofing hanya dapat dilihat dengan memuat halaman yang lebih lama.
Skema serangan ini digunakan untuk meretas situs-situs pemerintah UEA, Kementerian Keuangan Lebanon, dan Middle East Airlines. Peretas mencegat semua lalu lintas dan mengarahkannya ke alamat IP 185.20.187.8. Menurut Talos, para penyerang mencuri kata sandi dari kotak surat karyawan organisasi dan data untuk mengakses layanan VPN.
Skema kedua penyusup dikaitkan dengan perubahan dalam register alamat DNS dari catatan domain NS. Dia
bertanggung jawab bukan untuk satu halaman domain tertentu (misalnya: mail.victim.com), tetapi untuk semua tautan dari formulir x.victim.com. Jika tidak, metode ini mirip dengan yang pertama: cracker membuat salinan situs asli dan mengarahkan pengguna ke sana, setelah itu mereka mencuri data.
Metode ketiga sering digunakan bersama dengan dua yang pertama. Pengunjung situs web tidak segera dikirim ke halaman palsu. Pertama, mereka beralih ke layanan tambahan - DNS Redirector. Itu mengenali dari mana pengguna mengirimkan permintaan DNS. Jika pengunjung mengunjungi halaman dari jaringan perusahaan korban, ia dialihkan ke salinan situs palsu. Redirector mengembalikan alamat IP asli ke pengguna lain, dan orang tersebut mendapatkan sumber daya aslinya.
Apa yang mereka pikirkan tentang serangan
Spesialis masih
belum dapat menilai kerusakan yang tepat dari peretasan, karena korban peretas baru diketahui bahkan setelah publikasi laporan. Karena itu, bahkan Departemen Keamanan Dalam Negeri AS (DHS) memperhatikan masalah tersebut. Spesialis organisasi menerbitkan
arahan di mana mereka menyusun daftar persyaratan wajib untuk agen federal lainnya. Misalnya, DHS mengharuskan departemen pemerintah memperbarui kata sandi untuk akun administrator, mengaktifkan otentikasi multi-faktor dalam akun DNS, dan memverifikasi semua catatan DNS.
/ Wikimedia / ANIL KUMAR BOSE / CC BY-SASemua lembaga harus menerapkan rekomendasi dari arahan dalam sepuluh hari kerja. Menurut
publikasi CyberScoop, istilah semacam itu sangat jarang dalam dokumen-dokumen Kementerian. Ini menunjukkan status "darurat" dari direktif.
Serangkaian hack yang patut dicatat juga dipanggil oleh perwakilan penyedia server DNS. Menurut Kris Beevers, NS1 CEO Hosting DNS, kesimpulan paling penting dari serangan baru-baru ini adalah bahwa organisasi tidak menggunakan fitur keamanan dasar. Pada intinya, serangannya cukup sederhana, dan banyak dari mereka bisa dicegah.
Cara melindungi diri sendiri
Dalam laporan mereka, ahli FireEye memberikan beberapa metode perlindungan yang membantu organisasi mencegah serangan pembajakan DNS:
Aktifkan otentikasi multi-faktor (MFA). Ini adalah salah satu persyaratan yang dibuat oleh Departemen Keamanan Dalam Negeri AS untuk departemen pemerintah. Otentikasi multi-faktor mempersulit tugas para penyerang untuk terhubung ke panel kontrol dengan pengaturan DNS.
Sebagai contoh, 2FA dapat mencegah penjahat cyber dari spoofing Linux.org pada awal Desember tahun lalu. Untungnya, serangan itu hanya
terbatas pada vandalisme dengan beralih ke server lain di DNS.
"Otentikasi dua faktor adalah tindakan keamanan sederhana yang akan membantu melindungi terhadap serangan dengan memalsukan respons server DNS," komentar Sergey Belkin, kepala departemen pengembangan penyedia IaaS 1cloud.ru . - Penyedia cloud dapat membantu dengan perlindungan. Khususnya, pengguna hosting DNS gratis kami dapat dengan cepat menghubungkan 2FA menggunakan instruksi yang disiapkan . Selain itu, pelanggan dapat melacak di profil mereka semua perubahan dalam catatan DNS untuk memastikan mereka dapat diandalkan. "
Periksa log sertifikat. Pakar keamanan informasi menyarankan administrator untuk memeriksa ulang sertifikat menggunakan alat
Transparansi Sertifikat . Ini adalah standar IETF dan proyek sumber terbuka yang
menyimpan informasi tentang semua sertifikat yang dikeluarkan untuk domain tertentu.
Jika ternyata beberapa di antaranya dipalsukan, Anda dapat mengeluh tentang sertifikat dan mencabutnya. Alat khusus, seperti
SSLMate , akan membantu Anda melacak perubahan dalam log Transparansi Sertifikat.
Beralih ke DNS-over-TLS. Untuk mencegah serangan dengan intersepsi DNS, beberapa perusahaan juga menggunakan
DNS-over-TLS (DoT). Ini mengenkripsi dan memeriksa permintaan pengguna ke server DNS dan tidak memungkinkan penyerang untuk menipu data. Misalnya, dukungan protokol baru-baru ini
diterapkan di Google Public DNS.
Prospek
Serangan dengan intersepsi DNS menjadi semakin banyak, dan peretas tidak selalu tertarik pada data pengguna. Baru-baru ini, puluhan domain yang diretas, termasuk yang dari Mozilla dan Yelp,
digunakan untuk mengirim email palsu. Dalam kasus ini, peretas menggunakan skema serangan yang berbeda - mereka mengambil kendali atas domain yang dihentikan perusahaan, tetapi tidak menghapus dari catatan DNS penyedia.
Dalam kebanyakan kasus, peretasan harus disalahkan untuk perusahaan yang tidak menangani masalah keamanan tepat waktu. Penyedia cloud dapat membantu mengatasi masalah ini.
Seringkali, server DNS vendor, tidak seperti sistem perusahaan,
dilindungi oleh protokol
DNSSEC opsional. Ini melindungi semua catatan DNS dengan tanda tangan digital, yang hanya dapat dibuat menggunakan kunci rahasia. Peretas tidak dapat memasukkan data sewenang-wenang ke dalam sistem seperti itu, sehingga menjadi lebih sulit untuk mengganti respons dari server.
Posting kami dari blog perusahaan: