RSAC 2019: wielka kradzież adresów DNS

Podczas konferencji RSA Conference 2019 organizacja SANS Institute poinformowała o kilku nowych rodzajach ataków, które według niej stwarzają duże zagrożenie. W dzisiejszym poście przyjrzymy się jednemu z nich.

Atak opisany przez instruktora instytutu SANS — Eda Skoudisa — może zostać potencjalnie wykorzystany do przejęcia pełnej kontroli nad firmową infrastrukturą IT — i nie trzeba dysponować skomplikowanymi narzędziami; wystarczy użyć stosunkowo prostej manipulacji na adresach DNS.

Manipulowanie firmową infrastrukturą adresów DNS

Atak przebiega w następujący sposób:

1. Cyberprzestępcy zdobywają pary „nazwa użytkownika / hasło” umożliwiające dostęp do zhakowanych kont, które w samych znanych bazach danych są liczone w setkach milionów, jeśli nie miliardach.
2. Korzystając z tych danych, logują się do serwisów dostawców DNS i organów rejestrujących domeny.
3. Następnie modyfikują rekordy DNS, zamieniając firmową infrastrukturę domen na własną.
4. Po zmodyfikowaniu rekordu MX mogą przechwytywać wiadomości poprzez przekierowywanie całej firmowej poczty na własny serwer.
5. Na koniec rejestrują certyfikaty TLS dla skradzionych domen. Na tym etapie mogą przechwycić pocztę firmową i udowodnić posiadanie domeny, która przeważnie wystarcza do uzyskania certyfikatu.

Następnie atakujący mogą przekierować ruch, który miał trafić na serwery atakowanej firmy, na własne komputery. W efekcie osoby odwiedzające firmowe strony są kierowane na fałszywe zasoby, które dla wszystkich filtrów i systemów zabezpieczających wyglądają wiarygodnie. Scenariusz ten odkryliśmy po raz pierwszy w 2016 roku, gdy badacze w brazylijskim oddziale naszego zespołu GReAT zarejestrowali atak umożliwiający przechwycenie kontroli nad infrastrukturą dużego banku.

W ataku tym szczególnie niebezpieczne jest to, że organizacja będąca ofiarą traci kontakt ze światem zewnętrznym. Atakujący mają kontrolę nie tylko nad pocztą, ale również nad linią telefoniczną (znakomita większość firm korzysta z telefonii IP). To niezmiernie komplikuje zarówno wewnętrzną reakcję na incydent, jak i komunikację z organizacjami zewnętrznymi — dostawcami adresów DNS, organami certyfikującymi, organami ścigania itp. W Brazylii sytuację dodatkowo skomplikował fakt, że incydent wydarzył się w weekend.

Jak zabezpieczyć się przechwyceniem kontroli nad infrastrukturą IT poprzez manipulację DNS

To, co w 2016 roku było innowacją w świecie cyberprzestępstw, kilka lat później stało się powszechną praktyką; do roku 2018 eksperci ds. bezpieczeństwa IT w wielu czołowych firmach rejestrowali ataki tego typu. Zatem nie jest to zagrożenie czysto teoretyczne, lecz konkretny atak, który można użyć do przechwycenia czyjejś infrastruktury IT.

Ed Skoudis uważa, że w celu zapewnienia ochrony przed manipulacją w infrastrukturze nazw domen należy trzymać się następujących zasad:

• Włączyć w narzędziach służących do zarządzania infrastrukturą IT autoryzację dwuetapową.
• Używać zabezpieczenia DNSSEC, stosując nie tylko podpisywanie, ale także weryfikację DNS.
• Śledzić wszystkie zmiany w systemie DNS, które mogą mieć wpływ na firmowe nazwy domen; w tym celu można na przykład użyć narzędzia SecurityTrails, które umożliwia nieodpłatne wysyłanie nawet 50 zapytań w ciągu miesiąca.
• Śledź certyfikaty rezydualne duplikujące Twoje domeny i niezwłocznie żądaj ich odwołania. Więcej informacji na ten temat znajdziesz w poście: Ataki MitM i DoS na domeny przy użyciu certyfikatów rezydualnych.

Z naszej strony możemy dodać jeszcze jedną poradę — dbaj o to, by hasła zapewniały odpowiedni poziom bezpieczeństwa. Powinny być unikatowe i wystarczająco skomplikowane, aby oprzeć się atakowi słownikowemu. Do generowania haseł i bezpiecznego ich przechowywania możesz używać naszego rozwiązania Kaspersky Password Manager, który wchodzi w skład naszego produktu Kaspersky Small Office Security.