How Hackers Spoof DNS Requests With DNS Cache Poisoning

Domain Name Server (DNS) Spoofing is a cyber attack that tricks your computer into assuming it’s going to the right website, but it’s not. A támadók a DNS-cache mérgezéssel eltérítik az internetes forgalmat, és ellopják a felhasználói hitelesítő adatokat vagy személyes adatokat.

A DNS-cache mérgezés és a DNS-spoofing szinonimák, és gyakran felváltva használják őket. De hogy pontosak legyünk, úgy is gondolhatunk rájuk, mint ugyanannak a kibertámadásnak a hogyanjára és mivoltára. A hacker arra akarja rávenni a felhasználókat, hogy privát adataikat nem biztonságos weboldalakra írják be. Hogyan fogják ezt megtenni? A DNS gyorsítótár megmérgezésével. Azt csinálják, hogy meghamisítják vagy kicserélik egy adott weboldal DNS-adatait, hogy az a hacker szerverére irányítson át, ne pedig a legitim webszerverre. Innen a hacker felkészül az adathalász-támadásra, adatlopásra vagy akár rosszindulatú programok bejuttatására az áldozat rendszerébe.”

Get the Free Pen Testing Active Directory Environments EBook

“Ez tényleg olyan módon nyitotta fel a szemem az AD biztonságára, ahogy a védekező munka soha nem tette.”

A Varonis a DNS cache poisoning támadásokat a DNS megfigyelésével és a felhasználók tevékenységében mutatkozó rendellenes viselkedés észlelésével képes felderíteni.

  • Mi a DNS Spoofing és a Cache Poisoning?
  • Hogyan működik a DNS Cache Poisoning támadás?
  • Hogyan ismerhető fel a DNS Cache Poisoning
  • Hogyan védekezhetünk a DNS Cache Poisoning ellen
  • DNS Spoofing GYIK

Mi a DNS Spoofing és Cache Poisoning?

Mielőtt a támadásról beszélnénk, fel kell frissítenünk, hogy mi is a DNS és a DNS caching. A DNS az IP-címek és tartománynevek világméretű katalógusa. Gondoljunk rá úgy, mint az internet telefonkönyvére. A végfelhasználóbarát URL-címeket, mint például a Varonis.com, lefordítja olyan IP-címekre, mint a 192.168.1.169, amelyeket a számítógépek hálózatba kapcsoláshoz használnak.

A DNS-caching az a rendszer, amely ezeket a címeket a DNS-kiszolgálókon tárolja szerte a világon. A DNS-kérések gyorsasága érdekében az eredeti fejlesztők egy elosztott DNS-rendszert hoztak létre. Minden egyes kiszolgáló tárolja az általa ismert DNS-rekordok listáját – ezt nevezzük gyorsítótárnak. Ha a legközelebbi DNS-kiszolgáló nem ismeri a keresett IP-címet, akkor más feljebb lévő DNS-kiszolgálókat kérdez meg, amíg meg nem találja a keresett weboldal IP-címét. A DNS-kiszolgáló ezután elmenti az új bejegyzést a gyorsabb válaszidő érdekében a gyorsítótárba.

Példák és hatások a DNS-cache mérgezésére

A DNS-t egyáltalán nem a modern internet kezelésére tervezték. Az évek során egyre jobb lett, de egy rosszul konfigurált DNS-kiszolgáló, amely egy kínai szerverről húzott DNS-bejegyzéseket – és hirtelen senki sem tud eljutni a Facebookra. Ez az incidens jól mutatja, mennyire függünk a DNS-től. Egyetlen személy rosszul konfigurál egy szervert, és hirtelen emberek százmilliói érzik a hatását.

A WikiLeaks is a támadók célpontja volt, akik DNS-cache-mérgezési támadást használtak arra, hogy eltérítsék a forgalmat a saját WikiLeaks-szerű verziójukra. Ez egy szándékos támadás volt, amelynek célja az volt, hogy a forgalmat távol tartsák a WikiLeaks-től, némi sikerrel.

A DNS-cache-mérgezéses támadások alattomosak és az átlagemberek számára nehezen foghatók el. A DNS jelenleg egy trust first rendszer, ezért könnyű kihasználni. Az emberek maximálisan megbíznak a DNS-ben, és soha nem ellenőrzik, hogy a böngészőjükben megjelenő cím valóban az-e, amire számítottak. A támadók ezt az önelégültséget és figyelmetlenséget kihasználva lopják el a hitelesítő adatokat vagy még többet.

Hogyan működik a DNS-cache-mérgezéses támadás?

A DNS-cache-mérgezés az, amikor a legközelebbi DNS-kiszolgálónak van egy olyan bejegyzése, amely rossz címre küld – általában egy támadó által ellenőrzött címre. Íme néhány különböző technika, amelyet a támadók a DNS-cache megmérgezésére használnak.

Hijacking the Local Network With ARP Spoofing

A helyi hálózat meglepően sebezhető célpont lehet. Sok rendszergazda azt gondolná, hogy ezt már lezárták, de az ördög a részletekben rejlik. Az egyik gyakori probléma az otthonról dolgozó alkalmazottak. Biztonságos az ő Wi-Fi-jük? A hackerek néhány óra alatt feltörhetnek egy gyenge Wi-Fi jelszót. Egy másik probléma, hogy a folyosókon és a nyilvános előcsarnokokban nyílt ethernet-portok vannak kitéve. Képzeljük csak el, hogy valaki az előcsarnokban várakozva csatlakozik az előcsarnok kijelzőjének szánt ethernet-kábelhez.

Nézzük meg, hogyan használhatná fel egy hacker potenciálisan a helyi hálózathoz való hozzáférést az említett helyzetek egyikében.

Először is, a hacker létrehozna egy adathalászoldalt, amellyel felhasználói hitelesítő adatokat és más értékes adatokat gyűjthet. Ezt az oldalt aztán helyileg a hálózaton vagy távolról egy szerveren egyetlen sor python kóddal hosztolhatná.

Ezután a hacker elkezdhetné a hálózat megfigyelését olyan eszközökkel, mint a Betterrcap. Ebben a szakaszban feltérképezik és feltárják a célhálózatot, de a forgalom még mindig az útválasztón keresztül áramlik.

A következő lépésben a hacker ARP spoofingot használna a hálózat belső átszervezésére. Az ARP-t, vagyis a címfeloldó protokollt a hálózaton lévő eszközök arra használják, hogy egy eszköz MAC-címét a hálózaton lévő IP-címhez társítsák. A Bettercap ARP-üzeneteket küld ki, amelyekben a hálózaton lévő összes eszköznek azt mondja, hogy a hacker számítógépe az útválasztó. Ez lehetővé teszi a hacker számára, hogy a router felé irányuló összes hálózati forgalmat elfogja.

Mihelyt az összes forgalom a hacker számítógépén keresztül kerül átirányításra, a hacker futtathatja a Bettercap DNS-spoofing modulját. Ez megkeresi a célzott tartományhoz érkező kéréseket, és hamis választ küld vissza az áldozatnak. A hamis kérés tartalmazza a hacker számítógépének IP-címét, így a célzott webhelyre irányuló minden kérést a hacker által üzemeltetett adathalász oldalra irányít át.

A hacker most már láthatja a hálózat más eszközeinek szánt forgalmat, és átirányíthatja a kéréseket bármely webhelyre. A hacker bármit láthat, amit az áldozat ezen az oldalon tesz, beleértve a bejelentkezési adatok gyűjtését vagy rosszindulatú letöltések kiszolgálását.

Ha a hacker nem tud hozzáférni a helyi hálózati kapcsolathoz, a következő támadások egyikéhez folyamodik.

Válaszhamisítás a születésnapi támadással

A DNS nem hitelesíti a rekurzív lekérdezésekre adott válaszokat, ezért az első választ a gyorsítótárban tárolja. A támadók a “születésnapi paradoxont” arra használják, hogy megpróbálják megelőzni és hamisított választ küldeni a kérdezőnek. Ez a születésnapi támadás matematikát és valószínűségelméletet használ a találgatáshoz. Ebben az esetben a támadó megpróbálja kitalálni a DNS-kérés tranzakcióazonosítóját, így a hamis DNS-bejegyzést tartalmazó hamisított válasz előbb jut el Önhöz, mint a valódi válasz.

A születésnapi támadás nem garantáltan sikeres, de végül a támadó becsempészi a hamisított választ a gyorsítótárba. Ha a támadás sikerrel jár, a támadó a hamisított DNS-bejegyzésből származó forgalmat látja, amíg az élettartam (TTL) le nem jár.

Kaminsky kihasználása

Kaminsky kihasználása a BlackHat 2008-on bemutatott születésnapi támadás egy változata.

A támadó először egy nem létező tartományra, például “fake.varonis.com” DNS-lekérdezést küld a célfeloldónak. A reszolver ezután továbbítja a lekérdezést a mérvadó névkiszolgálónak, hogy megkapja a hamis aldomain IP-címét. Ekkor a támadó rengeteg hamisított válasszal árasztja el a feloldót, remélve, hogy a hamisítványok egyike megegyezik az eredeti lekérdezés tranzakcióazonosítójával.

Ha sikerrel jár, a támadó megmérgezte a célzott feloldó DNS-cache-jét a – jelen példában – varonis.com hamisított IP-címével. A reszolver továbbra is azt fogja mondani bárkinek, aki megkérdezi, hogy a varonis.com IP-címe a hamisított lekérdezés, egészen a TTL lejártáig.

Hogyan lehet felismerni a DNS gyorsítótár-mérgezést

Hogyan lehet tehát felismerni a DNS gyorsítótár-mérgezéssel kapcsolatos támadást? Figyelje a DNS-kiszolgálóit a lehetséges támadások jelzéseire. Az embereknek nincs meg a számítási teljesítményük ahhoz, hogy lépést tartsanak a DNS-kérelmek mennyiségével, amelyeket figyelnie kell. Alkalmazzon adatbiztonsági elemzést a DNS-felügyeletre, hogy megkülönböztesse a normális DNS-viselkedést a támadásoktól.

  • Az egyetlen forrásból származó DNS-aktivitás hirtelen megnövekedése egyetlen tartományról potenciális születésnapi támadásra utal.
  • A DNS-aktivitás növekedése egyetlen forrásból, amely rekurzió nélkül több tartománynévre vonatkozóan kérdezi le a DNS-kiszolgálót, arra utal, hogy megpróbálnak találni egy bejegyzést, amelyet mérgezésre használhatnak.

A DNS figyelése mellett figyelje az Active Directory eseményeit és a fájlrendszer viselkedését rendellenes tevékenységre. És ami még jobb, használja az analitikát a mindhárom vektor közötti tevékenység korrelálására, hogy értékes kontextust adjon kiberbiztonsági stratégiájához.

Hogyan védekezhet a DNS-cache-mérgezés ellen

A megfigyelésen és az analitikán túlmenően konfigurációs módosításokat is végezhet DNS-kiszolgálóján.

  • A rekurzív lekérdezések korlátozása a potenciális célzott mérgezési támadások elleni védelem érdekében.
  • Kizárólag a kért tartományhoz kapcsolódó adatokat tárolhat.
  • A válaszok korlátozása arra, hogy csak a kért tartományra vonatkozzanak.
  • Kényszerítse az ügyfeleket a HTTPS használatára.

Győződjön meg róla, hogy a BIND és a DNS-szoftver legújabb verzióit használja, így a legújabb biztonsági javítások is rendelkezésre állnak.

Ha megvalósítható, például távoli alkalmazottak esetében, minden távoli ügyfél VPN-en keresztül csatlakozzon, hogy megvédje a forgalmat és a DNS-kérelmeket a helyi szimatolástól. Emellett a kockázat további csökkentése érdekében ösztönözze az erős otthoni Wi-Fi jelszó használatát.

Végül pedig használjon titkosított DNS-kérelmeket. A Domain Name System Security (DNSSEC) egy olyan DNS-protokoll, amely aláírt DNS-kérelmeket használ a hamisítás megakadályozására. A DNSSEC használatakor a DNS-feloldónak ellenőriznie kell az aláírást a hiteles DNS-kiszolgálóval, ami lelassítja az egész folyamatot. Ez vezetett ahhoz, hogy a DNSSEC még nem terjedt el széles körben.

A DNS over HTTPS (DoH) és a DNS over TLS (DoT) a DNS következő verziójának egymással versengő specifikációi, amelyek a DNS-kérelmek biztonságban tartását szolgálják a sebesség feláldozása nélkül, mint a DNSSEC. Ezek azonban nem tökéletes megoldások, mivel lelassíthatják vagy egyenesen megakadályozhatják a DNS-felügyelet és -elemzés helyi végrehajtását. Azt is fontos megjegyezni, hogy a DoH és a DoT megkerülheti a szülői felügyeletet vagy a hálózaton végrehajtott egyéb DNS-szintű blokkolást. Ennek ellenére a Cloudflare, a Quad9 és a Google mind rendelkezik olyan nyilvános DNS-kiszolgálókkal, amelyek támogatják a DoT-t. Sok újabb kliens képes támogatni ezeket az újabb szabványokat, de alapértelmezés szerint le vannak tiltva. Részletesebb információkat a Varonis DNS-biztonsági blogján talál.

A DNS-spoofing egy legitim weboldal IP-címét egy hacker számítógépének IP-címével helyettesíti. Ez azért lehet különösen trükkös, mert nehéz észrevenni, a végfelhasználó szemszögéből nézve egy teljesen normálisnak tűnő címet tettek a böngészőjük URL-sávjába. Azonban nem lehetetlen megállítani. A kockázat csökkenthető az olyan felügyeleti szoftverekkel, mint a Varonis, és a DNS over TLS titkosítási szabvány alkalmazásával.

DNS Spoofing FAQs

A DNS-spoofinggal kapcsolatos néhány gyakori kérdésre az alábbiakban kapunk választ.

K: A DNS Cache Poisoning és a DNS Spoofing ugyanaz a dolog?

A: Igen, a DNS-poofing és a gyorsítótár-mérgezés ugyanazt a kibertámadást jelenti.

K: Hogyan működik a DNS-cache-mérgezés?

A: A DNS-cache-mérgezés úgy működik, hogy a DNS-kiszolgálót egy hamisított DNS-bejegyzés mentésére csábítja. A hamisított DNS-bejegyzésre irányuló forgalom a támadó által kiválasztott szerverre megy, hogy adatokat lopjon el.

K: Milyen biztonsági funkciókkal védekezhetünk a DNS-cache-mérgezés ellen?

A: A webhelytulajdonosok DNS-spoofing-figyelést és -elemzést alkalmazhatnak. Ez magában foglalja a DNS-kiszolgálóik korszerűsítését a DNSSEC vagy más titkosítási rendszer, például a DNS over HTTPS vagy a DNS over TLS használatára. A teljes végponttól végpontig terjedő titkosítás, például a HTTPS használata, ahol csak lehetséges, szintén megakadályozhatja a hamisítást. A Cloud Access Security Brokers (CASB) rendkívül hasznosak erre a célra.

A végfelhasználók visszaállíthatják a potenciálisan hamisított DNS-cache-t a böngészőjük DNS-cache-jének időszakos kiürítésével vagy egy nem biztonságos vagy megosztott hálózathoz való csatlakozás után. A VPN használata védelmet nyújthat a DNS hamisítás ellen a helyi hálózaton. A gyanús linkek elkerülése segít megelőzni, hogy a végfelhasználók veszélynek tegyék ki böngészőjük gyorsítótárát.

K: Hogyan ellenőrizhető a DNS-cache megmérgezése elleni támadás?

A: Ha egyszer a DNS-cache megmérgeződik, azt nehéz lehet észlelni. Jobb taktika lehet az adatok figyelése és a rendszerek védelme a rosszindulatú programoktól, hogy megvédje magát a mérgezett DNS-cache által okozott veszélyeztetéstől.

Nézze meg az Élő Kibertámadás Laboratóriumot, hogy megtudja, hogyan használjuk a DNS-figyelést a valódi kiberbiztonsági fenyegetések észlelésére.

K: Hogyan működik a DNS-kommunikáció?

A: Amikor a végfelhasználó beír egy URL-t, például “Varonis.com”-ot a böngészőjébe, a következő lépések történnek:

  1. A böngésző először ellenőrzi a helyi gyorsítótárát, hogy megnézze, tárolta-e már a DNS-adatokat.
  2. Ha a böngésző nem rendelkezik az adatokkal, akkor a következő upstream DNS-kiszolgálót fogja megkérdezni, ami általában a helyi hálózatán lévő router lesz.
  3. Ha a router nem rendelkezik a szükséges DNS-bejegyzéssel a gyorsítótárában, akkor egy upstream DNS-szolgáltatót fog használni, mint például a Google, a Cloudflare vagy a Quad9.
  4. Ez az upstream kiszolgáló fogadja a DNS-kérést, és ellenőrzi a gyorsítótárát.
    • 4.1 Feltételezve, hogy nem rendelkezik már a DNS-adatokkal a gyorsítótárban, akkor elindít egy rekurzív DNS-feloldót, először lekérdezi a DNS-gyökérkiszolgálókat, megkérdezve: “Ki kezeli a .com-ot”
    • 4.2 Ezután a feloldó lekérdezi a felső szintű tartománykiszolgálót a .com címet, megkérdezve: “Ki kezeli a Varonis.com-ot?” A TDL ezután az URL-re vonatkozó tekintélyes névszerverrel válaszol.
    • 4.3 A reszolver ezután lekérdezi a tekintélyes névszerverre a következő kérdést: “Mi a Varonis.com IP címe?” A tekintélyes névszerver ezután a tartomány IP-címével válaszol.

5. A reszolver a következő kérdést teszi fel: “Mi a Varonis.com IP címe?”. A DNS-adatok ezután visszakerülnek a láncban a végfelhasználó eszközére. Az út során minden egyes DNS-kiszolgáló gyorsítótárba helyezi a választ a későbbi felhasználás érdekében.

K: Hogyan mérgezik a támadók a DNS-cache-eket?

Nincs egyetlen módja annak, hogy a DNS-cache-t megmérgezzék, de a leggyakoribb módok a következők: Az áldozat rosszindulatú linkekre kattint, amelyek beágyazott kódot használnak a DNS-cache megváltoztatására a böngészőjükben. A hackerek a helyi DNS-kiszolgálót is eltéríthetik man-in-the-middle spoofing támadással. A támadás ARP hamisítással irányítja át a DNS-kérelmeket egy általuk ellenőrzött DNS-kiszolgálóra.

K: Mi az a DNS cache pooisoning?

A: A DNS cache poisoning a DNS adatbázis bejegyzésének rosszindulatú IP-címmel való helyettesítése, amely a végfelhasználót a hacker által ellenőrzött kiszolgálóra küldi.

K: Hogyan történik a DNS spoofing?

A hacker úgy hajt végre DNS-spoofing támadást, hogy hozzáférést szerez és megváltoztatja a DNS-cache-t, vagy átirányítja a DNS-lekérdezéseket a saját DNS-kiszolgálójára.

K: Mit jelent a DNS-spoofing?

A DNS-spoofing azt jelenti, hogy a felhasználó által a böngészőjébe beírt URL-t, például a varonis.com címet használja, valójában nem az adott URL-hez tartozó legitim IP-címre megy, hanem egy hacker által irányított rosszindulatú szerverre irányítják át.

K: Miért jelent problémát a DNS-spoofing?

A: A DNS-spoofing azért jelent problémát, mert a DNS eleve bizalomgerjesztő, és gyakran semmilyen titkosítással nem biztosított. Ez azt jelenti, hogy egy hacker meghamisíthatja a DNS-bejegyzést, és felhasználhatja azt adatlopásra, rosszindulatú szoftverekkel való fertőzésre, adathalászatra és a frissítések megakadályozására.

K: Milyen veszélyeket jelent egy DNS-hamisító támadás?

A DNS-hamisítás által jelentett elsődleges veszély az adatlopás az adathalász oldalak használata révén. Emellett a rosszindulatú szoftverek fertőzésének veszélye is fennáll azáltal, hogy olyan törvényesnek tűnő letöltéseket hosztolnak, amelyek valójában rosszindulatú szoftverekkel fertőzöttek. Végül, ha a rendszer az internetre támaszkodik a frissítések tekintetében, a frissítések megakadályozhatók a DNS-bejegyzések módosításával, hogy azok ne egy tényleges weboldalra oldódjanak fel. Ez bármely weboldalra is alkalmazható a cenzúra módszereként.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.