Os especialistas em segurança da informação registraram um aumento no número de ataques de
seqüestro de
DNS em sites de empresas privadas e governamentais. Nós dizemos quem foi ferido e como se proteger.
/ Flickr / F Delventhal / CC BY / Foto alteradaO que aconteceu
A organização de segurança FireEye
divulgou um relatório no mês passado, relatando uma onda massiva de ataques a empresas privadas e organizações governamentais. Os invasores usavam a técnica de interceptação de DNS ou seqüestro de DNS. Eles se sobrepuseram às configurações de TCP / IP no computador da vítima e transferiram todas as solicitações para um servidor DNS falso. Isso lhes permitiu direcionar o tráfego do usuário para seus próprios servidores da Web e usá-los para roubar dados pessoais.
Segundo o FireEye, o crescimento no número de ataques desse tipo começou a crescer em janeiro de 2017. Os hackers têm como alvo domínios da Europa, América do Norte, Oriente Médio e Norte da África. Pelo menos seis domínios de
agências federais dos EUA e
sites de governos dos países do Oriente Médio foram afetados.
Quais métodos os crackers usam?
Os especialistas da FireEye em seu relatório
observam três esquemas de falsificação de DNS usados pelos invasores. O primeiro deles foi
descrito por funcionários da divisão de segurança da informação da Cisco - Talos. Os invasores invadiram os sistemas dos provedores de DNS (ainda não se sabe ao certo como) e depois
alteraram o registro
do DNS A, vinculando o domínio real aos hackers de IP.
Como resultado, as vítimas acabaram em um site semelhante ao original na aparência. Para obter a máxima similaridade, certificados criptográficos
Let's Encrypt foram feitos para um site falso. Ao mesmo tempo, as solicitações de um recurso falso foram redirecionadas para o original. A página falsa retornou respostas reais, e a falsificação só pôde ser notada com um carregamento de página mais longo.
Esse esquema de ataque foi usado para invadir os sites do governo dos Emirados Árabes Unidos, do Ministério das Finanças do Líbano e da Middle East Airlines. Os hackers interceptaram todo o tráfego e o redirecionaram para o endereço IP 185.20.187.8. Segundo o Talos, os atacantes roubaram senhas das caixas de correio de funcionários de organizações e dados para acessar serviços VPN.
O segundo esquema de invasores está associado a uma alteração no registro de endereço DNS do registro de domínio NS. Ela
é responsável não por uma página de um domínio específico (por exemplo: mail.victim.com), mas por todos os links no formato x.victim.com. Caso contrário, o método é semelhante ao primeiro: os crackers criaram uma cópia do site original e redirecionaram os usuários para ele, após o qual roubaram dados.
O terceiro método foi frequentemente usado em conjunto com os dois primeiros. Os visitantes do site não foram enviados imediatamente para uma página falsa. Primeiro, eles mudaram para um serviço adicional - o Redirecionador de DNS. Ele reconheceu de onde o usuário estava enviando a consulta DNS. Se o visitante visitou a página da rede da empresa vítima, ele foi redirecionado para uma cópia falsa do site. O redirecionador retornou o endereço IP real para outros usuários e a pessoa acessou o recurso original.
O que eles pensam sobre ataques
Os especialistas ainda
não podem avaliar os danos exatos dos hackers, pois novas vítimas de hackers se tornam conhecidas mesmo após a publicação do relatório. Portanto, até o Departamento de Segurança Interna (DHS) dos EUA chamou a atenção para o problema. Os especialistas da organização publicaram uma
diretiva na qual compilaram uma lista de requisitos obrigatórios para outras agências federais. Por exemplo, o DHS exige que os departamentos governamentais atualizem senhas para contas de administrador, habilitem a autenticação multifator nas contas DNS e verifique todos os registros DNS.
/ Wikimedia / ANIL KUMAR BOSE / CC BY-SATodas as agências devem implementar recomendações da diretiva dentro de dez dias úteis. Segundo
a publicação CyberScoop, esse termo é bastante raro nos documentos do Ministério. Isso indica o status "de emergência" da diretiva.
Uma série notável de hacks também foi convocada por representantes de provedores de servidores DNS. Segundo Kris Beevers, CEO da NS1 DNS Hosting, a conclusão mais importante dos ataques recentes é que as organizações não usam recursos básicos de segurança. No fundo, os ataques são bastante simples e muitos deles poderiam ter sido evitados.
Como se proteger
No relatório, os especialistas da FireEye fornecem vários métodos de proteção que ajudam as organizações a impedir ataques de seqüestro de DNS:
Habilite a autenticação multifator (MFA). Esse é um dos requisitos que o Departamento de Segurança Interna dos EUA fez para os departamentos governamentais. A autenticação multifatorial complica a tarefa de os invasores se conectarem ao painel de controle com as configurações de DNS.
Por exemplo, o 2FA pode impedir que cibercriminosos falsifiquem o Linux.org no início de dezembro do ano passado. Felizmente, o ataque foi
limitado apenas ao vandalismo ao mudar para outro servidor no DNS.
"A autenticação de dois fatores é uma medida de segurança simples que ajudará a proteger contra ataques, falsificando a resposta do servidor DNS", comentou Sergey Belkin, chefe do departamento de desenvolvimento do provedor de IaaS 1cloud.ru . - Os provedores de nuvem podem ajudar na proteção. Em particular, os usuários de nossa hospedagem DNS gratuita podem conectar rapidamente o 2FA usando as instruções preparadas . Além disso, os clientes podem acompanhar em seu perfil todas as alterações nos registros DNS para garantir que sejam confiáveis. ”
Verifique os logs do certificado. Os especialistas em segurança da informação aconselham os administradores a verificar novamente os certificados usando a ferramenta
Transparência do
certificado . Este é um padrão IETF e um projeto de código aberto que
armazena informações sobre todos os certificados emitidos para um domínio específico.
Se alguns deles foram falsificados, você pode reclamar do certificado e revogá-lo. Ferramentas especiais, como
SSLMate , ajudarão a rastrear alterações nos logs de transparência de certificados.
Alterne para DNS sobre TLS. Para evitar ataques com interceptação de DNS, algumas empresas também usam
DNS-sobre-TLS (DoT). Ele criptografa e verifica as solicitações do usuário ao servidor DNS e não permite que invasores falsifiquem dados. Por exemplo, o suporte ao protocolo foi
implementado recentemente no DNS público do Google.
Perspectivas
Os ataques com interceptação de DNS estão se tornando cada vez mais, e os hackers nem sempre estão interessados nos dados do usuário. Recentemente, dezenas de domínios invadidos, incluindo os da Mozilla e Yelp, foram
usados para enviar e-mails fraudulentos. Nesse caso, os hackers usaram um esquema de ataque diferente - eles assumiram o controle de domínios que as empresas pararam de usar, mas não removeram dos registros DNS do provedor.
Na maioria dos casos, os hacks são os culpados pelas empresas que não cuidaram dos problemas de segurança a tempo. Os provedores de nuvem podem ajudar a lidar com esse problema.
Geralmente, os servidores DNS do fornecedor, diferentemente dos sistemas da empresa,
são protegidos pelo protocolo
DNSSEC opcional. Ele protege todos os registros DNS com uma assinatura digital, que só pode ser criada usando uma chave secreta. Os hackers não podem inserir dados arbitrários em um sistema assim, tornando-se mais difícil substituir uma resposta do servidor.
Nossas postagens do blog corporativo: