Jak hackeři podvrhují požadavky DNS pomocí otravy vyrovnávací paměti DNS

Podvrhování názvů doménových serverů (DNS) je kybernetický útok, při kterém se počítač domnívá, že přechází na správné webové stránky, ale není tomu tak. Útočníci používají DNS cache poisoning k přebírání internetového provozu a krádeži uživatelských pověření nebo osobních údajů.

DNS cache poisoning a DNS spoofing jsou synonyma a často se používají zaměnitelně. Abychom však byli přesní, můžete je považovat za Jak a Co stejného kybernetického útoku. Hacker chce uživatele přimět k tomu, aby zadali své soukromé údaje na nebezpečné webové stránky. Jak toho dosáhne? Otrávením mezipaměti DNS. Dělají to tak, že podvrhnou nebo nahradí údaje DNS pro určitou webovou stránku tak, aby byla přesměrována na server hackera, a nikoli na legitimní webový server. Odtud je hacker připraven provést phishingový útok, ukrást data nebo dokonce injektovat malware do systému oběti.

Získejte zdarma knihu Pen Testing Active Directory Environments EBook

„Tohle mi opravdu otevřelo oči v oblasti zabezpečení AD tak, jak to defenzivní práce nikdy nedělala.“

Varonis dokáže odhalit útoky DNS cache poisoning sledováním DNS a detekcí abnormálního chování v činnosti vašich uživatelů.

  • Co je DNS Spoofing a Cache Poisoning?
  • Jak funguje útok DNS Cache Poisoning?
  • Jak odhalit DNS Cache Poisoning
  • Jak se chránit před DNS Cache Poisoningem
  • Časté dotazy k DNS Spoofingu

Co je DNS Spoofing a Cache Poisoning?

Než si povíme něco o útoku, musíme si osvěžit, co je to DNS a DNS caching. DNS je celosvětový katalog IP adres a doménových jmen. Představte si ho jako telefonní seznam pro internet. Překládá adresy URL vhodné pro koncového uživatele, například Varonis.com, na adresy IP, například 192.168.1.169, které používají počítače pro připojení k síti.

DNS caching je systém, který tyto adresy ukládá na serverech DNS po celém světě. Aby byly požadavky DNS rychlé, vytvořili původní vývojáři distribuovaný systém DNS. Každý server ukládá seznam záznamů DNS, které zná – tomu se říká mezipaměť. Pokud nejbližší server DNS nezná požadovanou IP adresu, zeptá se dalších serverů DNS, dokud nenajde IP adresu webové stránky, na kterou se snažíte dostat. Server DNS pak tento nový záznam uloží do mezipaměti pro rychlejší odezvu.

Příklady a důsledky otravy mezipaměti DNS

Server DNS nebyl vůbec navržen pro správu moderního internetu. V průběhu let se zlepšila, ale stačil jeden špatně nakonfigurovaný server DNS, který tahal záznamy DNS ze serveru v Číně – a najednou se nikdo nemůže dostat na Facebook. Tento incident ukazuje, jak moc jsme na systému DNS závislí. Jeden člověk špatně nakonfiguruje server a najednou to pocítí stovky milionů lidí.

WikiLeaks se také stalo terčem útočníků, kteří pomocí útoku na otrávení vyrovnávací paměti DNS přebírali provoz na vlastní verzi podobnou WikiLeaks. Jednalo se o záměrný útok, jehož cílem bylo s jistým úspěchem odvést provoz od WikiLeaks.

Útoky typu DNS cache poisoning jsou zákeřné a pro běžné lidi obtížně zachytitelné. DNS je v současné době systém založený především na důvěře, a proto je snadné ho zneužít. Lidé systému DNS bezmezně důvěřují a nikdy ve skutečnosti nekontrolují, zda adresa v prohlížeči odpovídá adrese, kterou očekávali. Útočníci této samolibosti a nepozornosti využívají ke krádeži pověření nebo dalších údajů.

Jak funguje útok DNS Cache Poisoning?“

DNS cache poisoning je situace, kdy váš nejbližší server DNS obsahuje záznam, který vás posílá na nesprávnou adresu – obvykle takovou, kterou ovládá útočník. Zde je několik různých technik, které útočníci používají k otrávení mezipaměti DNS.

Únos místní sítě pomocí ARP Spoofingu

Místní síť může být překvapivě zranitelným cílem. Mnoho správců by si myslelo, že ji mají pod kontrolou, ale ďábel se může skrývat v detailech. Jedním z častých problémů jsou zaměstnanci pracující z domova. Je jejich Wi-Fi zabezpečena? Hackeři mohou slabé heslo Wi-Fi prolomit během několika hodin. Dalším problémem jsou otevřené ethernetové porty vystavené na chodbách a ve veřejných vestibulech. Jen si představte, že se někdo čekající ve vstupní hale připojí k ethernetovému kabelu určenému pro displej ve vstupní hale.

Podívejme se, jak by hacker mohl potenciálně využít přístup k místní síti v jedné z těchto situací.

Nejprve by hacker vytvořil phishingovou stránku, kterou by mohl použít ke shromáždění přihlašovacích údajů uživatele a dalších cenných údajů. Tuto stránku by pak mohl hostovat lokálně v síti nebo vzdáleně na serveru pomocí jediného řádku kódu pythonu.

Odtud by pak hacker mohl začít monitorovat síť pomocí nástrojů, jako je Betterrcap. V této fázi mapuje a zkoumá cílovou síť, ale provoz stále proudí přes směrovač.

Dále by hacker použil ARP spoofing k vnitřní restrukturalizaci sítě. ARP neboli protokol pro rozlišení adres používají zařízení v síti k přiřazení adresy MAC zařízení k adrese IP v síti. Lepší únik odešle zprávy ARP, které všem zařízením v síti sdělí, že počítač hackera je směrovač. To hackerovi umožní zachytit veškerý síťový provoz směřující ke směrovači.

Pokud je veškerý provoz přesměrován přes počítač hackera, může hacker spustit modul Bettercap pro podvržení DNS. Ten vyhledá všechny požadavky na cílovou doménu a pošle oběti zpět falešnou odpověď. Falešný požadavek obsahuje IP adresu počítače hackera a přesměruje jakýkoli požadavek na cílovou webovou stránku na podvodnou stránku hostovanou hackerem.

Hacker nyní může vidět provoz určený pro ostatní zařízení v síti a přesměrovat požadavky na libovolnou webovou stránku. Hacker může vidět vše, co oběť na této stránce provede, včetně shromažďování přihlašovacích údajů nebo servírování škodlivých souborů ke stažení.

Pokud hacker nemůže získat přístup k místnímu síťovému připojení, uchýlí se k jednomu z následujících útoků.

Podvržení odpovědi pomocí útoku Birthday

DNS neověřuje odpovědi na rekurzivní dotazy, takže první odpověď je uložena do mezipaměti. Útočníci se pomocí „narozeninového paradoxu“ snaží předvídat a odeslat podvrženou odpověď zadavateli dotazu. Tento narozeninový útok využívá k odhadu matematiku a teorii pravděpodobnosti. V tomto případě se útočník snaží uhodnout ID transakce vašeho požadavku DNS, takže podvržená odpověď s podvrženým záznamem DNS se k vám dostane dříve než skutečná odpověď.

Narozeninový útok není zaručeně úspěšný, ale nakonec útočník podvrženou odpověď do mezipaměti propašuje. Jakmile se útok podaří, útočník uvidí provoz z podvrženého záznamu DNS, dokud nevyprší doba do konce života (TTL).

Kaminského exploit

Kaminského exploit je variací narozeninového útoku představeného na konferenci BlackHat 2008.

Útočník nejprve odešle cílovému resolveru dotaz DNS na neexistující doménu, například „fake.varonis.com“. Řešitel pak předá dotaz autoritativnímu jmennému serveru, aby získal IP adresu pro falešnou subdoménu. V tomto okamžiku útočník zaplaví resolver obrovským množstvím podvržených odpovědí a doufá, že jedna z těchto podvržených odpovědí odpovídá ID transakce původního dotazu.

Pokud se to podaří, útočník otrávil mezipaměť DNS cílového resolveru podvrženou IP adresou pro – v tomto příkladu – varonis.com. Resolver bude každému, kdo se ho zeptá, nadále sdělovat, že IP adresa pro varonis.com je podvržený dotaz, dokud nevyprší TTL.

Jak odhalit otravu vyrovnávací paměti DNS

Jak tedy odhalit útok na otravu vyrovnávací paměti DNS? Sledujte servery DNS a hledejte indikátory možných útoků. Lidé nemají takový výpočetní výkon, aby dokázali udržet krok s množstvím požadavků DNS, které budete muset sledovat. Použijte analýzu zabezpečení dat pro monitorování DNS, abyste rozeznali normální chování DNS od útoků.

  • Náhlé zvýšení aktivity DNS z jednoho zdroje o jedné doméně indikuje potenciální útok na narozeniny.
  • Zvýšení aktivity DNS z jediného zdroje, který se dotazuje serveru DNS na více doménových jmen bez rekurze, naznačuje pokus o nalezení položky, která by byla použita k otravě.

Kromě monitorování DNS sledujte události služby Active Directory a chování souborového systému kvůli abnormální aktivitě. A ještě lépe použijte analytiku ke korelaci aktivity mezi všemi třemi vektory, abyste přidali cenný kontext do své strategie kybernetické bezpečnosti.

Jak se chránit proti otravě mezipaměti DNS

Kromě monitorování a analýzy můžete na serveru DNS provést změny konfigurace.

  • Omezte rekurzivní dotazy, abyste se ochránili před potenciálními cílenými útoky typu poisoning.
  • Ukládejte pouze data týkající se požadované domény.
  • Omezte odpovědi tak, aby se týkaly pouze požadované domény.
  • Nutit klienty používat protokol HTTPS.

Ujistěte se, že používáte nejnovější verze softwaru BIND a DNS, abyste měli k dispozici nejnovější bezpečnostní opravy.

Pokud je to možné, například u vzdálených zaměstnanců, nechte všechny vzdálené klienty připojit přes VPN, abyste chránili provoz a požadavky DNS před místním slíděním. Kromě toho se ujistěte, že podporujete silné domácí heslo Wi-Fi, abyste dále snížili riziko.

A nakonec používejte šifrované požadavky DNS. Zabezpečení systému doménových jmen (DNSSEC) je protokol DNS, který používá podepsané požadavky DNS, aby se zabránilo jejich falšování. Při použití DNSSEC musí resolver DNS ověřit podpis u autoritativního serveru DNS, což celý proces zpomaluje. To vedlo k tomu, že se DNSSEC zatím příliš nerozšířil.

DNS over HTTPS (DoH) a DNS over TLS (DoT) jsou konkurenční specifikace pro příští verzi DNS, které mají zajistit bezpečnost požadavků DNS bez obětování rychlosti jako DNSSEC. Nejedná se však o dokonalá řešení, protože mohou zpomalit nebo přímo znemožnit lokální monitorování a analýzu DNS. Je také důležité poznamenat, že DoH a DoT mohou obejít jakoukoli rodičovskou kontrolu nebo jiné blokování na úrovni DNS prováděné v síti. To znamená, že Cloudflare, Quad9 a Google mají veřejné servery DNS, které mohou podporovat DoT. Mnoho novějších klientů je schopno tyto novější standardy podporovat, ale ve výchozím nastavení jsou zakázány. Podrobnější informace najdete na blogu společnosti Varonis věnovaném zabezpečení DNS.

Spoofing DNS nahrazuje legitimní IP adresu webové stránky IP adresou počítače hackera. Může být obzvláště záludná, protože je těžké ji odhalit, z pohledu koncového uživatele, který do řádku URL svého prohlížeče vložil zcela normálně vypadající adresu. Není však nemožné ji zastavit. Riziko lze zmírnit monitorovacím softwarem, jako je Varonis, a používáním šifrovacího standardu DNS over TLS.

DNS Spoofing FAQs

Níže najdete odpovědi na některé časté otázky týkající se podvržení DNS.

Q: Jsou DNS Cache Poisoning a DNS Spoofing totéž?

O: Ano, DNS spoofing a caching se vztahují ke stejnému kybernetickému útoku.

Q: Jak funguje DNS Cache Poisoning?

A: DNS cache poisoning funguje tak, že podvede server DNS a uloží falešný záznam DNS. Provoz na podvržený záznam DNS směřuje na server, který si útočníci vyberou, aby ukradli data.

Q: Které bezpečnostní funkce lze použít k ochraně proti otravě vyrovnávací paměti DNS?

A: Majitelé webových stránek mohou zavést monitorování a analýzu podvržených záznamů DNS. To zahrnuje upgrade jejich serverů DNS tak, aby používaly DNSSEC nebo jiný systém šifrování, například DNS přes HTTPS nebo DNS přes TLS. Použití úplného koncového šifrování, jako je HTTPS, kdekoli je to možné, může také zabránit spoofingu. K tomu jsou velmi užitečné služby Cloud Access Security Brokers (CASB).

Koncoví uživatelé mohou resetovat potenciálně podvrženou mezipaměť DNS pravidelným proplachováním mezipaměti DNS prohlížeče nebo po připojení k nezabezpečené nebo sdílené síti. Použití sítě VPN může chránit před podvržením DNS v místní síti. Vyhýbání se podezřelým odkazům pomůže koncovým uživatelům zabránit vystavení mezipaměti prohlížeče riziku.

Q: Jak můžete zkontrolovat útok na otrávení mezipaměti DNS?

A: Jakmile dojde k otrávení mezipaměti DNS, může být obtížné jej odhalit. Lepší taktikou pro ochranu před ohrožením způsobeným otrávením mezipaměti DNS může být monitorování dat a ochrana systémů před malwarem.

Podívejte se do laboratoře kybernetických útoků v reálném čase a zjistěte, jak používáme monitorování DNS k odhalování skutečných kybernetických hrozeb.

Q: Jak funguje komunikace DNS?

A: Když koncový uživatel zadá adresu URL, jako je např.com“ do svého prohlížeče, proběhnou následující kroky:

  1. Prohlížeč nejprve zkontroluje svou místní mezipaměť, aby zjistil, zda již uložil data DNS.
  2. Pokud prohlížeč data nemá, zeptá se dalšího upstream serveru DNS, kterým bude obvykle váš směrovač v jeho místní síti.
  3. Pokud směrovač nemá potřebnou položku DNS ve své mezipaměti, použije upstream poskytovatele DNS, jako je Google, Cloudflare nebo Quad9.
  4. Tento upstream server pak přijme požadavek DNS a zkontroluje svou mezipaměť.
    • 4.1 Za předpokladu, že ještě nemá data DNS v mezipaměti, pak spustí rekurzivní resolver DNS tak, že se nejprve zeptá kořenových serverů DNS s dotazem „Kdo spravuje doménu .com“
    • 4.2 Pak se resolver zeptá serveru domény nejvyšší úrovně na .com s dotazem „Kdo zpracovává Varonis.com“, TDL pak odpoví autoritativním jmenným serverem pro adresu URL.
    • 4.3 Řešitel pak položí dotaz autoritativnímu jmennému serveru s dotazem „Jaká je IP adresa domény Varonis.com?“, autoritativní jmenný server pak odpoví IP adresou pro doménu.

5. Řešitel pak provede reverzní dotaz na autoritativní jmenný server s dotazem „Jaká je IP adresa domény Varonis.com? Data DNS se pak odešlou zpět po řetězci do zařízení koncového uživatele. Po celou dobu cesty každý server DNS ukládá tuto odpověď do mezipaměti pro budoucí použití.

Q: Jak útočníci otravují mezipaměť DNS?

Neexistuje jediný způsob, jak může být mezipaměť DNS otrávena, ale některé z nejčastějších způsobů jsou následující: Oběť klikne na škodlivý odkaz, který pomocí vloženého kódu změní mezipaměť DNS v prohlížeči. Hackeři mohou také unést místní server DNS pomocí útoku man-in-the-middle spoofing. Tento útok využívá podvržení protokolu ARP k přesměrování požadavků DNS na jimi ovládaný server DNS.

Q: Co je to otrávení vyrovnávací paměti DNS?

A: Otrávení vyrovnávací paměti DNS je nahrazení záznamu v databázi DNS škodlivou IP adresou, která koncového uživatele odešle na server ovládaný hackerem.

Q: Jak se provádí podvržení DNS?

Hacker provede útok DNS spoofing tak, že získá přístup a změní mezipaměť DNS nebo přesměruje dotazy DNS na svůj vlastní server DNS.

Q: Co znamená DNS spoofing?

DNS spoofing znamená, že adresa URL, kterou uživatel zadá do svého prohlížeče, jako je varonis.com, ve skutečnosti nechodí na legitimní IP adresu spojenou s touto adresou URL, ale místo toho je přesměrován na škodlivý server ovládaný hackerem.

Q: Proč je DNS spoofing problém?

A: DNS spoofing je problém, protože DNS je ze své podstaty důvěryhodný a často není zabezpečen žádným druhem šifrování. To znamená, že hacker může podvrhnout záznam DNS a použít ho ke krádeži dat, infekci malwarem, phishingu a zabránění aktualizacím.

Q: Jaké hrozby představuje útok DNS Spoofing?

Primární hrozbou, kterou představuje DNS spoofing, je krádež dat pomocí phishingových stránek. Kromě toho existuje hrozba infekce malwarem prostřednictvím hostování legitimně vypadajících souborů ke stažení, které jsou ve skutečnosti infikovány malwarem. A konečně, pokud systém spoléhá na aktualizace z internetu, lze aktualizacím zabránit změnou jejich záznamů DNS tak, aby se nepřekládaly na skutečné webové stránky. To lze jako metodu cenzury aplikovat i na libovolné webové stránky.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.