Miten hakkerit väärentävät DNS-pyyntöjä DNS-välimuistin myrkyttämisellä
Domain Name Server (DNS) Spoofing on verkkohyökkäys, joka huijaa tietokonettasi luulemaan, että se on menossa oikealle verkkosivulle, mutta se ei ole. Hyökkääjät käyttävät DNS-välimuistin myrkytystä kaapatakseen internet-liikennettä ja varastamaan käyttäjän tunnistetietoja tai henkilökohtaisia tietoja.
DNS-välimuistin myrkytys ja DNS-huijaus ovat synonyymejä, ja niitä käytetään usein vaihdettavina. Tarkemmin sanottuna niitä voi kuitenkin pitää saman verkkohyökkäyksen Miten- ja Mitä-tyyppeinä. Hakkeri haluaa huijata käyttäjiä syöttämään yksityisiä tietojaan vaarallisille verkkosivustoille. Miten he tekevät tämän? Myrkyttämällä DNS-välimuistin. He väärentävät tai korvaavat tietyn verkkosivuston DNS-tiedot niin, että ne ohjautuvat hakkerin palvelimelle eivätkä lailliselle verkkopalvelimelle. Sieltä käsin hakkeri on valmis suorittamaan phishing-hyökkäyksen, varastamaan tietoja tai jopa syöttämään haittaohjelmia uhrin järjestelmään.”
Get the Free Pen Testing Active Directory Environments EBook
Varonis voi havaita DNS-välimuistin myrkytyshyökkäykset tarkkailemalla DNS:ää ja havaitsemalla epänormaalia käyttäytymistä käyttäjien toiminnassa.
- Mitä on DNS-spoofing ja välimuistin myrkytys?
- Miten DNS-välimuistin myrkytyshyökkäys toimii?
- How To Detect DNS Cache Poisoning
- How To Protect Against DNS Cache Poisoning
- DNS Spoofing FAQs
Mitä on DNS Spoofing ja Cache Poisoning?
Ennen kuin puhumme hyökkäyksestä, tarvitsemme virkistystä siitä, mitä on DNS-verkkosivusto (DNS-käyttäjätieto) ja DNS-tietosäilytys (DNS caching). DNS on IP-osoitteiden ja verkkotunnusten maailmanlaajuinen luettelo. Ajattele sitä internetin puhelinluettelona. Se kääntää loppukäyttäjäystävälliset URL-osoitteet, kuten Varonis.com, IP-osoitteiksi, kuten 192.168.1.169, joita tietokoneet käyttävät verkossa.
DNS-välimuistitallennus on järjestelmä, joka tallentaa nämä osoitteet DNS-palvelimiin ympäri maailmaa. Pitääkseen DNS-pyynnöt nopeina alkuperäiset kehittäjät loivat hajautetun DNS-järjestelmän. Jokainen palvelin tallentaa luettelon tuntemistaan DNS-tietueista – tätä kutsutaan välimuistiksi. Jos lähin DNS-palvelin ei tiedä tarvitsemaasi IP-osoitetta, se kysyy sitä muilta DNS-palvelimilta, kunnes se löytää haluamasi verkkosivuston IP-osoitteen. DNS-palvelimesi tallentaa sitten uuden merkinnän välimuistiin nopeuttaakseen vasteaikoja.
Esimerkkejä ja vaikutuksia DNS-välimuistin myrkyttämisestä
DNS:ää ei ole suunniteltu lainkaan nykyaikaisen internetin hallintaan. Se on parantunut vuosien varrella, mutta yksi väärin konfiguroitu DNS-palvelin, joka veti DNS-merkintöjä Kiinassa sijaitsevalta palvelimelta – ja yhtäkkiä kukaan ei pääse Facebookiin. Tämä tapaus osoittaa, miten riippuvaisia olemme DNS:stä. Yksi henkilö konfiguroi palvelimen väärin, ja yhtäkkiä sadat miljoonat ihmiset tuntevat vaikutukset.
WikiLeaks joutui myös hyökkääjien kohteeksi, jotka käyttivät DNS-välimuistin myrkytyshyökkäystä kaapatakseen liikennettä omaan WikiLeaksin kaltaiseen versioonsa. Tämä oli tarkoituksellinen hyökkäys, jonka tarkoituksena oli pitää liikenne poissa WikiLeaksista, ja siinä onnistuttiin jossain määrin.
DNS-välimuistin myrkytyshyökkäykset ovat ovelia ja tavallisten ihmisten on vaikea saada niistä kiinni. DNS on tällä hetkellä trust first -järjestelmä, minkä vuoksi sitä on helppo käyttää hyväksi. Ihmiset luottavat DNS:ään täysin, eivätkä koskaan tarkista, onko selaimessa näkyvä osoite se, jota he odottavat. Hyökkääjät käyttävät tätä omahyväisyyttä ja tarkkaamattomuutta hyväkseen ja varastavat tunnistetietoja tai enemmänkin.
Miten DNS-välimuistin myrkytyshyökkäys toimii?
DNS-välimuistin myrkytyksestä on kyse silloin, kun lähimmällä DNS-palvelimellasi on merkintä, joka lähettää sinut väärään osoitteeseen – tavallisesti sellaiseen, joka on hyökkääjän hallinnassa. Tässä on muutamia erilaisia tekniikoita, joita hyökkääjät käyttävät DNS-välimuistin myrkyttämiseen.
Lähiverkon kaappaus ARP-spoofingilla
Lähiverkko voi olla yllättävän haavoittuva kohde. Monet ylläpitäjät luulevat hallitsevansa tämän, mutta piru voi piillä yksityiskohdissa. Yksi yleinen ongelma ovat kotoa käsin työskentelevät työntekijät. Onko heidän Wi-Fi-yhteytensä suojattu? Hakkerit voivat murtaa heikon Wi-Fi-salasanan muutamassa tunnissa. Toinen ongelma on käytävillä ja julkisissa auloissa olevat avoimet ethernet-portit. Kuvittele, että joku odottaa aulassa ja kytkee aulanäytölle tarkoitetun ethernet-kaapelin.
Katsotaanpa, miten hakkeri voisi mahdollisesti käyttää pääsyä lähiverkkoon jossakin näistä tilanteista.
Ensiksi hakkeri loisi phishing-sivun, jota hän voisi käyttää kerätäkseen käyttäjän tunnistetiedot ja muut arvokkaat tiedot. Hän voisi sitten isännöidä tätä sivua paikallisesti verkossa tai etänä palvelimella yhdellä rivillä python-koodia.
Sen jälkeen hakkeri voisi alkaa seurata verkkoa Betterrcapin kaltaisilla työkaluilla. Tässä vaiheessa he kartoittavat ja tutkivat kohdeverkkoa, mutta liikenne kulkee edelleen reitittimen kautta.
Jatkossa hakkeri käyttäisi ARP-spoofingia verkon sisäiseen uudelleenjärjestelyyn. ARP:tä eli osoitteenmääritysprotokollaa käyttävät verkon laitteet liittääkseen laitteen MAC-osoitteen verkon IP-osoitteeseen. Bettercap lähettää ARP-viestejä, jotka kertovat kaikille verkon laitteille, että hakkerin tietokone on reititin. Näin hakkeri voi siepata kaiken reitittimeen suuntautuvan verkkoliikenteen.
Kun kaikki liikenne on uudelleenreititetty hakkerin tietokoneen kautta, hakkeri voi käyttää Bettercapin DNS-huijausmoduulia. Tämä etsii kaikki pyynnöt kohteena olevalle verkkotunnukselle ja lähettää väärennetyn vastauksen takaisin uhrille. Väärennetty pyyntö sisältää hakkerin tietokoneen IP-osoitteen, mikä ohjaa kaikki kohdesivustolle osoitetut pyynnöt hakkerin isännöimälle phishing-sivulle.
Nyt hakkeri näkee verkon muille laitteille tarkoitetun liikenteen ja voi ohjata minkä tahansa verkkosivuston pyynnöt uudelleen. Hakkeri voi nähdä kaiken, mitä uhri tekee tällä sivulla, mukaan lukien kirjautumistietojen keräämisen tai haitallisten latausten tarjoamisen.
Jos hakkeri ei pääse käsiksi lähiverkkoyhteyteen, hän turvautuu johonkin seuraavista hyökkäyksistä.
Vastauksen väärentäminen syntymäpäivähyökkäyksen avulla
DNS ei tunnista vastauksia rekursiivisiin kyselyihin, joten ensimmäinen vastaus tallennetaan välimuistiin. Hyökkääjät käyttävät ”syntymäpäiväparadoksia” yrittäessään ennakoida ja lähettää väärennetyn vastauksen pyynnön esittäjälle. Tämä syntymäpäivähyökkäys käyttää matematiikkaa ja todennäköisyysteoriaa arvauksen tekemiseen. Tässä tapauksessa hyökkääjä yrittää arvata DNS-pyyntösi tapahtumatunnuksen, joten väärennetty vastaus väärennetyllä DNS-merkinnällä pääsee perille ennen oikeaa vastausta.
Syntymäpäivähyökkäys ei ole takuuvarma menestys, mutta lopulta hyökkääjä vie väärennetyn vastauksen välimuistiin. Kun hyökkäys onnistuu, hyökkääjä näkee liikennettä väärennetystä DNS-merkinnästä, kunnes elinaika (TTL, time-to-live) umpeutuu.
Kaminsky’s Exploit
Kaminsky’s exploit on muunnelma BlackHat 2008 -tapahtumassa esitellystä syntymäpäivähyökkäyksestä.
Aluksi hyökkääjä lähettää kohderesolverille DNS-kyselyn olematonta verkkotunnusta varten, kuten ”fake.varonis.com”. Tämän jälkeen resolveri välittää kyselyn arvovaltaiselle nimipalvelimelle saadakseen väärän aladomainin IP-osoitteen. Tässä vaiheessa hyökkääjä tulvii resolverille valtavan määrän väärennettyjä vastauksia toivoen, että yksi näistä väärennöksistä vastaa alkuperäisen kyselyn tapahtumatunnusta.
Jos se onnistuu, hyökkääjä on myrkyttänyt kohteena olevan resolverin DNS-välimuistin väärennetyllä IP-osoitteella, joka on – tässä esimerkissä – varonis.com. Resolveri kertoo edelleen kaikille sitä kysyville, että varonis.com:n IP-osoite on väärennetty kysely TTL:ään asti.
How To Detect DNS Cache Poisoning
Miten siis havaitaan DNS-välimuistimyrkytyksen hyökkäys? Tarkkaile DNS-palvelimiasi mahdollisten hyökkäysten indikaattoreiden varalta. Ihmisillä ei ole laskentatehoa pysyä mukana siinä määrässä DNS-pyyntöjä, jota sinun on valvottava. Sovella tietoturva-analytiikkaa DNS-seurantaasi, jotta voit erottaa normaalin DNS-käyttäytymisen hyökkäyksistä.
- Yksittäisestä lähteestä peräisin olevan DNS-aktiivisuuden äkillinen lisääntyminen yhdestä verkkotunnuksesta viittaa mahdolliseen syntymäpäivähyökkäykseen.
- Yksittäisestä lähteestä peräisin olevan DNS-toiminnan lisääntyminen, joka kysyy DNS-palvelimelta useita verkkotunnuksia ilman rekursiota, viittaa yritykseen löytää merkintä, jota voidaan käyttää myrkytykseen.
DNS-valvonnan lisäksi tarkkaile Active Directory -tapahtumia ja tiedostojärjestelmän käyttäytymistä epänormaalin toiminnan varalta. Ja mikä vielä parempaa, käytä analytiikkaa korreloimaan toimintaa kaikkien kolmen vektorin välillä, jotta voit lisätä arvokasta kontekstia kyberturvallisuusstrategiaasi.
Miten suojautua DNS-välimuistimyrkytykseltä
Valvonnan ja analytiikan lisäksi voit tehdä DNS-palvelimen konfiguraatiomuutoksia.
- Rekursiivisten kyselyiden rajoittaminen suojaa mahdollisilta kohdennetuilta myrkytyshyökkäyksiltä.
- Tallenna vain pyydettyyn verkkotunnukseen liittyviä tietoja.
- Rajoita vastaukset koskemaan vain pyydettyä verkkotunnusta.
- Pakota asiakkaat käyttämään HTTPS:ää.
Varmista, että käytät BIND- ja DNS-ohjelmiston uusimpia versioita, jotta käytössäsi on viimeisimmät tietoturvakorjaukset.
Jos se on mahdollista, esimerkiksi etätyöntekijöiden kanssa, pyydä kaikkia etäasiakkaita muodostamaan yhteys VPN:n kautta, jotta voit suojata liikennettä ja DNS-pyyntöjä paikalliselta nuuskimiselta. Varmista lisäksi, että kannustat vahvaa kodin Wi-Fi-salasanaa riskien vähentämiseksi entisestään.
Ja lopuksi, käytä salattuja DNS-pyyntöjä. Domain Name System Security (DNSSEC) on DNS-protokolla, joka käyttää allekirjoitettuja DNS-pyyntöjä väärentämisen estämiseksi. DNSSECiä käytettäessä DNS-resolverin on tarkistettava allekirjoitus auktoritatiiviselta DNS-palvelimelta, mikä hidastaa koko prosessia. Tämä on johtanut siihen, että DNSSEC ei ole vielä laajalti käytössä.
DNS over HTTPS (DoH) ja DNS over TLS (DoT) ovat DNS:n seuraavan version kilpailevia määrittelyjä, joiden tarkoituksena on pitää DNS-pyynnöt turvattuina ilman, että DNSSEC:n kaltainen nopeus kärsii. Nämä eivät kuitenkaan ole täydellisiä ratkaisuja, sillä ne voivat hidastaa tai suorastaan estää DNS-seurannan ja -analyysin suorittamisen paikallisesti. On myös tärkeää huomata, että DoH ja DoT voivat ohittaa vanhempien valvonnan tai muun DNS-tason eston verkossa. Tästä huolimatta Cloudflare, Quad9 ja Google tarjoavat julkisia DNS-palvelimia, jotka voivat tukea DoT:tä. Monet uudemmat asiakkaat pystyvät tukemaan näitä uudempia standardeja, mutta ne on oletusarvoisesti poistettu käytöstä. Yksityiskohtaisempia tietoja löydät Varoniksen DNS-turvallisuusblogista.
DNS-spoofing korvaa laillisen verkkosivuston IP-osoitteen hakkerin tietokoneen IP-osoitteella. Se voi olla erityisen hankalaa, koska sitä on vaikea havaita, sillä loppukäyttäjän näkökulmasta hän on laittanut selaimensa URL-palkkiin täysin normaalin näköisen osoitteen. Sitä ei kuitenkaan ole mahdotonta estää. Riskiä voidaan vähentää Varoniksen kaltaisilla valvontaohjelmistoilla ja käyttämällä DNS over TLS -salausstandardia.
DNS Spoofing FAQs
Katsokaa alla olevia vastauksia joihinkin yleisimpiin DNS-spoofingia koskeviin kysymyksiin.
K: Ovatko DNS-välimuistitilojen myrkytys ja DNS-spoofing sama asia?
V: Kyllä, DNS-välimuistiväärennökset ja välimuistiväärennökset viittaavat samaan verkkohyökkäykseen.
K: Miten DNS-välimuistiväärennös toimii?
V: DNS-välimuistiväärennös toimii huijaamalla DNS-palvelinta tallentamaan väärennetyn DNS-merkinnän. Väärennettyyn DNS-merkintään kohdistuva liikenne siirtyy hyökkääjän valitsemalle palvelimelle tietojen varastamiseksi.
K: Millä tietoturvaominaisuuksilla voidaan suojautua DNS-välimuistimyrkytykseltä?
A: Verkkosivuston omistajat voivat ottaa käyttöön DNS-väärennösten seurannan ja analytiikan. Tähän kuuluu DNS-palvelimien päivittäminen käyttämään DNSSECiä tai muuta salausjärjestelmää, kuten DNS over HTTPS tai DNS over TLS. Täydellisen päästä päähän -salauksen, kuten HTTPS:n, käyttö aina kun se on mahdollista, voi myös estää väärentämisen. Cloud Access Security Brokers (CASB) on tässä erittäin hyödyllinen.
Loppukäyttäjät voivat nollata mahdollisesti väärennetyn DNS-välimuistin tyhjentämällä selaimensa DNS-välimuistin määräajoin tai liityttyään turvattomaan tai jaettuun verkkoon. VPN:n käyttäminen voi suojata DNS-väärennöksiltä paikallisverkossa. Epäilyttävien linkkien välttäminen auttaa estämään loppukäyttäjiä altistamasta selaimensa välimuistia riskille.
K: Miten voit tarkistaa DNS-välimuistin myrkytyshyökkäyksen?
A: Kun DNS-välimuisti on myrkytetty, sitä voi olla vaikea havaita. Saattaa olla parempi taktiikka valvoa tietojasi ja suojata järjestelmiäsi haittaohjelmilta suojautuaksesi myrkytetyn DNS-välimuistin aiheuttamalta vaarantumiselta.
Katso Live Cyber Attack Lab -laboratoriosta, miten käytämme DNS-seurantaa todellisten kyberturvallisuusuhkien havaitsemiseen.
Q: Miten DNS-viestintä toimii?
A: Kun loppukäyttäjä kirjoittaa URL-osoitteen, kuten ”Varonis.com” selaimeensa, seuraavat vaiheet tapahtuvat:
- Selain tarkistaa ensin paikallisen välimuistinsa nähdäkseen, onko se jo tallentanut DNS-tiedot.
- Jos selaimella ei ole tietoja, se kysyy seuraavalta ylävirran DNS-palvelimelta, joka on yleensä reitittimesi lähiverkossaan.
- Jos reitittimellä ei ole tarvittavaa DNS-merkintää välimuistissaan, se käyttää ylävirran DNS-palveluntarjoajaa, kuten Googlea, Cloudflarea tai Quad9:ää.
- Tämä upstream-palvelin vastaanottaa sitten DNS-pyynnön ja tarkistaa välimuistinsa.
-
- 4.1 Jos oletetaan, että sillä ei ole jo DNS-tietoja välimuistissa, se käynnistää rekursiivisen DNS-resolverin kyselemällä ensin DNS-juuripalvelimilta kysymällä: ”Kuka huolehtii .com:sta?”
- 4.2 Tämän jälkeen resolveri kysyy ylimmän tason verkkotunnuspalvelimelta .com kysyen ”Kuka käsittelee Varonis.com:ia?” TDL vastaa sitten URL-osoitteen auktoritatiivisen nimipalvelimen kanssa.
- 4.3 Tämän jälkeen resolveri tekee kyselyn auktoritatiiviselle nimipalvelimelle kysyen ”Mikä on Varonis.com:n IP-osoite?” Auktoritatiivinen nimipalvelin vastaa sitten verkkotunnuksen IP-osoitteen kanssa.
5. DNS-tiedot lähetetään sitten takaisin ketjua pitkin loppukäyttäjän laitteelle. Koko matkan ajan jokainen DNS-palvelin tallentaa kyseisen vastauksen välimuistiin tulevaa käyttöä varten.
K: Miten hyökkääjät myrkyttävät DNS-välimuistit?
Ei ole yhtä ainoaa tapaa, jolla DNS-välimuisti voidaan myrkyttää, mutta joitakin yleisimpiä tapoja ovat: Uhri napsauttaa haitallisia linkkejä, joissa käytetään upotettua koodia, joka muuttaa selaimen DNS-välimuistia. Hakkerit voivat myös kaapata paikallisen DNS-palvelimen käyttämällä man-in-the-middle-hyökkäystä. Hyökkäyksessä käytetään ARP-väärennöksiä DNS-pyyntöjen ohjaamiseksi heidän hallitsemalleen DNS-palvelimelle.
K: Mitä on DNS-välimuistin myrkytys?
V: DNS-välimuistin myrkytys tarkoittaa DNS-tietokantamerkinnän korvaamista haitallisella IP-osoitteella, joka lähettää loppukäyttäjän hakkerin hallitsemalle palvelimelle.
K: Miten DNS-väärennöksiä tehdään?
Hakkeri suorittaa DNS-spoofing-hyökkäyksen saamalla pääsyn DNS-välimuistiin ja muuttamalla sitä tai ohjaamalla DNS-kyselyt omalle DNS-palvelimelleen.
K: Mitä tarkoitetaan DNS-spoofingilla?
DNS-spoofing tarkoittaa, että URL-osoite (URL-osoite), jonka käyttäjä syöttää selaimeensa, kuten varonis.com ei todellisuudessa mene kyseiseen URL-osoitteeseen liittyvään lailliseen IP-osoitteeseen, vaan se ohjataan hakkerin hallitsemalle pahantahtoiselle palvelimelle.
K: Miksi DNS-spoofing on ongelma?
A: DNS-spoofing on ongelma, koska DNS on luonnostaan luotettava eikä sitä useinkaan ole suojattu millään salauksella. Tämä tarkoittaa, että hakkeri voi väärentää DNS-merkinnän ja käyttää sitä tietojen varastamiseen, haittaohjelmien tartuttamiseen, phishingiin ja päivitysten estämiseen.
K: Mitä uhkia DNS-spoofing-hyökkäys aiheuttaa?
DNS-spoofingin pääasiallinen uhka on tietojen varastaminen phishing-sivujen avulla. Lisäksi uhkana on haittaohjelmatartunta isännöimällä lailliselta näyttäviä latauksia, jotka itse asiassa sisältävät haittaohjelmia. Lopuksi, jos järjestelmä on riippuvainen internetin päivityksistä, päivitykset voidaan estää muuttamalla niiden DNS-merkintöjä niin, että ne eivät ratkaise todelliseen verkkosivustoon. Tätä voidaan soveltaa myös mihin tahansa verkkosivustoon sensuurimenetelmänä.