Come gli hackers spoofano le richieste DNS con l’avvelenamento della cache DNS

Lo spoofing dei nomi di dominio (DNS) è un attacco informatico che inganna il vostro computer facendogli credere che sta andando sul sito web corretto, ma non è così. Gli aggressori usano l’avvelenamento della cache DNS per dirottare il traffico internet e rubare le credenziali degli utenti o i dati personali.

Avvelenamento della cache DNS e spoofing DNS sono sinonimi e spesso usati in modo intercambiabile. Ma, per essere precisi si può pensare a loro come il Come e il Cosa dello stesso attacco informatico. L’hacker vuole indurre gli utenti a inserire i loro dati privati in siti web non sicuri. Come lo faranno? Avvelenando la cache DNS. Quello che stanno facendo è lo spoofing o la sostituzione dei dati DNS per un particolare sito web in modo che reindirizzi al server dell’hacker e non al server web legittimo. Da lì l’hacker è pronto per eseguire un attacco di phishing, rubare dati o persino iniettare malware nel sistema della vittima.

Prendi l’EBook gratuito Pen Testing degli ambienti Active Directory

“Questo mi ha davvero aperto gli occhi sulla sicurezza AD in un modo che il lavoro difensivo non ha mai fatto”.

Varonis può rilevare gli attacchi di avvelenamento della cache DNS monitorando il DNS e rilevando comportamenti anomali nell’attività degli utenti.

  • Che cos’è lo spoofing DNS e l’avvelenamento della cache?
  • Come funziona un attacco di avvelenamento della cache DNS?
  • Come rilevare il DNS Cache Poisoning
  • Come proteggersi dal DNS Cache Poisoning
  • DNS Spoofing FAQs

Che cos’è il DNS Spoofing e il Cache Poisoning?

Prima di parlare dell’attacco, abbiamo bisogno di un ripasso su cosa sono il DNS e il DNS caching. DNS è il catalogo mondiale degli indirizzi IP e dei nomi di dominio. Pensatelo come l’elenco telefonico di internet. Traduce URL amichevoli per l’utente finale come Varonis.com all’indirizzo IP come 192.168.1.169 che sono usati dai computer per il networking.

Il DNS caching è il sistema che memorizza questi indirizzi nei server DNS in tutto il mondo. Per mantenere le richieste DNS veloci, gli sviluppatori originali hanno creato un sistema DNS distribuito. Ogni server memorizza una lista di record DNS che conosce – questo si chiama cache. Se il tuo server DNS più vicino non conosce l’indirizzo IP di cui hai bisogno, chiede ad altri server DNS a monte finché non trova l’indirizzo IP del sito web che stai cercando di raggiungere. Il tuo server DNS salva quindi la nuova voce nella tua cache per tempi di risposta più rapidi.

Esempi ed effetti dell’avvelenamento della cache DNS

Il DNS non è stato progettato per gestire l’internet moderno. È migliorato nel corso degli anni, ma un server DNS mal configurato che ha tirato voci DNS da un server in Cina – e tutto ad un tratto, nessuno può arrivare a Facebook. Questo incidente dimostra quanto siamo dipendenti dai DNS. Una persona configura male un server, e improvvisamente centinaia di milioni di persone ne sentono gli effetti.

WikiLeaks è stato anche preso di mira da aggressori che hanno usato un attacco di avvelenamento della cache DNS per dirottare il traffico verso la loro versione WikiLeaks-like. Questo è stato un attacco intenzionale progettato per tenere il traffico lontano da WikiLeaks con un certo successo.

Gli attacchi di avvelenamento della cache DNS sono subdoli e difficili da catturare per la gente comune. Il DNS è attualmente un sistema di fiducia, ed è per questo che è facile da sfruttare. Gli esseri umani si fidano ciecamente del DNS, e non controllano mai veramente se l’indirizzo nel loro browser è l’indirizzo che si aspettavano. Gli attaccanti approfittano di questa compiacenza e disattenzione per rubare credenziali o altro.

Come funziona un attacco di avvelenamento della cache DNS?

L’avvelenamento della cache DNS è quando il vostro server DNS più vicino ha una voce che vi manda all’indirizzo sbagliato – solitamente uno controllato da un attaccante. Ecco alcune tecniche diverse che gli aggressori usano per avvelenare la cache DNS.

Hijacking della rete locale con ARP Spoofing

La rete locale può essere un obiettivo sorprendentemente vulnerabile. Molti amministratori pensano di averla bloccata, ma il diavolo può essere nei dettagli. Un problema comune è quello degli impiegati che lavorano da casa. Il loro Wi-Fi è protetto? Gli hacker possono craccare una password Wi-Fi debole in poche ore. Un altro è quello delle porte ethernet aperte esposte nei corridoi e nelle lobby pubbliche. Immaginate qualcuno che aspetta nell’atrio e si collega al cavo ethernet destinato al display dell’atrio.

Diamo un’occhiata a come un hacker potrebbe potenzialmente utilizzare l’accesso alla rete locale in una di queste situazioni.

In primo luogo, l’hacker creerebbe una pagina di phishing che può utilizzare per raccogliere le credenziali degli utenti e altri dati preziosi. Potrebbero poi ospitare questo sito localmente sulla rete o in remoto su un server con una sola riga di codice python.

Da lì l’hacker potrebbe poi iniziare a monitorare la rete con strumenti come Betterrcap. In questa fase, stanno mappando ed esplorando la rete di destinazione, ma il traffico continua a fluire attraverso il router.

In seguito, l’hacker utilizzerebbe lo spoofing ARP per ristrutturare la rete internamente. ARP, o protocollo di risoluzione degli indirizzi, è utilizzato dai dispositivi su una rete per associare l’indirizzo MAC di un dispositivo con un indirizzo IP sulla rete. Bettercap invierà messaggi ARP dicendo a tutti i dispositivi della rete che il computer dell’hacker è il router. Questo permette all’hacker di intercettare tutto il traffico di rete diretto al router.

Una volta che tutto il traffico viene reindirizzato attraverso il computer dell’hacker, l’hacker può eseguire il modulo di spoofing DNS di Bettercap. Questo cercherà qualsiasi richiesta a un dominio mirato e invierà una risposta falsa alla vittima. La richiesta fasulla contiene l’indirizzo IP del computer dell’hacker, reindirizzando qualsiasi richiesta al sito web di destinazione alla pagina di phishing ospitata dall’hacker.

Ora, l’hacker può vedere il traffico destinato ad altri dispositivi in rete e reindirizzare le richieste per qualsiasi sito web. L’hacker può vedere tutto ciò che la vittima fa su questa pagina, compresa la raccolta delle credenziali di accesso o la fornitura di download dannosi.

Se un hacker non può accedere a una connessione di rete locale, ricorrerà a uno dei seguenti attacchi.

Response Forgery Using the Birthday Attack

DNS non autentica le risposte alle query ricorsive, quindi la prima risposta viene memorizzata nella cache. Gli attaccanti usano il “paradosso del compleanno” per cercare di anticipare e inviare una risposta falsa al richiedente. Questo attacco di compleanno usa la matematica e la teoria delle probabilità per fare un’ipotesi. In questo caso, l’attaccante sta cercando di indovinare l’ID della transazione della vostra richiesta DNS, così la risposta falsificata con la voce DNS falsificata arriva all’utente prima della risposta reale.

Un attacco di compleanno non è un successo garantito, ma alla fine, un attaccante intrufolerà una risposta falsificata in una cache. Una volta che l’attacco ha successo, l’attaccante vedrà il traffico dalla voce DNS falsificata fino alla scadenza del time-to-live (TTL).

L’exploit di Kaminsky

L’exploit di Kaminsky è una variazione dell’attacco di compleanno presentato al BlackHat 2008.

Prima, l’attaccante invia a un resolver di destinazione una query DNS per un dominio inesistente, come “fake.varonis.com”. Il resolver quindi inoltra la query al server dei nomi autoritativo per ottenere l’indirizzo IP del falso sottodominio. A questo punto, l’aggressore inonda il resolver con un numero enorme di risposte false, sperando che una di quelle false corrisponda all’ID della transazione della query originale.

Se ha successo, l’aggressore ha avvelenato la cache DNS del resolver mirato con un indirizzo IP falso per – in questo esempio – varonis.com. Il resolver continuerà a dire a chiunque glielo chieda che l’indirizzo IP di varonis.com è la query falsificata fino al TTL.

Come rilevare l’avvelenamento della cache DNS

Come rilevare un attacco di avvelenamento della cache DNS? Monitorate i vostri server DNS per gli indicatori di possibili attacchi. Gli esseri umani non hanno la potenza di calcolo per tenere il passo con la quantità di richieste DNS che dovrete monitorare. Applicate l’analisi della sicurezza dei dati al vostro monitoraggio DNS per distinguere il normale comportamento DNS dagli attacchi.

  • Un improvviso aumento dell’attività DNS da una singola fonte su un singolo dominio indica un potenziale attacco di nascita.
  • Un aumento dell’attività DNS da una singola fonte che sta interrogando il vostro server DNS per più nomi di dominio senza ricorsione indica un tentativo di trovare una voce da utilizzare per l’avvelenamento.

Oltre a monitorare il DNS, monitorate gli eventi Active Directory e il comportamento del file system per attività anomale. E ancora meglio, utilizzare l’analisi per correlare l’attività tra tutti e tre i vettori per aggiungere un contesto prezioso alla vostra strategia di sicurezza informatica.

Come proteggersi dall’avvelenamento della cache DNS

Oltre al monitoraggio e all’analisi, è possibile apportare modifiche alla configurazione del server DNS.

  • Limitare le query ricorsive per proteggere da potenziali attacchi mirati di avvelenamento.
  • Memorizza solo i dati relativi al dominio richiesto.
  • Riduci le risposte ad essere solo sul dominio richiesto.
  • Forza i client ad usare HTTPS.

Assicuratevi di usare le ultime versioni di BIND e del software DNS, in modo da avere le ultime correzioni di sicurezza.

Se possibile, come per i dipendenti remoti, fate collegare tutti i client remoti tramite una VPN per proteggere il traffico e le richieste DNS dallo snooping locale. Inoltre, assicuratevi di incoraggiare una forte password Wi-Fi domestica per ridurre ulteriormente il rischio.

E infine, utilizzate richieste DNS criptate. Domain Name System Security (DNSSEC) è un protocollo DNS che utilizza richieste DNS firmate per prevenire la falsificazione. Quando si utilizza il DNSSEC, il resolver DNS deve verificare la firma con il server DNS autoritativo, il che rallenta l’intero processo. Questo ha portato il DNSSEC a non essere ancora ampiamente adottato.

DNS su HTTPS (DoH) e DNS su TLS (DoT) sono specifiche concorrenti per la prossima versione di DNS per mantenere le richieste DNS sicure senza sacrificare la velocità come il DNSSEC. Tuttavia, queste non sono soluzioni perfette, in quanto possono rallentare o impedire del tutto il monitoraggio e l’analisi DNS a livello locale. È anche importante notare che DoH e DoT possono bypassare qualsiasi controllo parentale o altro blocco a livello di DNS eseguito sulla rete. Detto questo, Cloudflare, Quad9 e Google hanno tutti server DNS pubblici che possono supportare DoT. Molti client più recenti sono in grado di supportare questi nuovi standard, ma sono disabilitati di default. Potete trovare informazioni più dettagliate sul blog sulla sicurezza DNS di Varonis.

Lo spoofing DNS sostituisce l’indirizzo IP di un sito web legittimo con l’IP del computer di un hacker. Può essere particolarmente complicato a causa di quanto sia difficile da individuare, dalla prospettiva dell’utente finale che ha messo un indirizzo dall’aspetto del tutto normale nella barra URL del suo browser. Tuttavia, non è impossibile da fermare. Il rischio può essere mitigato da software di monitoraggio come Varonis e utilizzando lo standard di crittografia DNS over TLS.

DNS Spoofing FAQs

Poi alcune domande comuni sullo spoofing DNS a cui si risponde qui sotto.

Q: DNS Cache Poisoning e DNS Spoofing sono la stessa cosa?

A: Sì, lo spoofing DNS e il caching si riferiscono allo stesso attacco informatico.

Q: Come funziona l’avvelenamento della cache DNS?

A: L’avvelenamento della cache DNS funziona ingannando il server DNS a salvare una voce DNS falsa. Il traffico verso la voce DNS falsificata va a un server scelto dagli attaccanti per rubare i dati.

Q: Quali caratteristiche di sicurezza possono essere utilizzate per proteggersi dal DNS Cache Poisoning?

A: I proprietari di siti web possono implementare il monitoraggio e l’analisi dello spoofing DNS. Questo include l’aggiornamento dei loro server DNS per utilizzare DNSSEC o un altro sistema di crittografia come DNS su HTTPS o DNS su TLS. L’uso della crittografia completa end-to-end come HTTPS, ove possibile, può anche prevenire lo spoofing. I Cloud Access Security Brokers (CASB) sono estremamente utili per questo.

Gli utenti finali possono resettare una cache DNS potenzialmente spoofata lavando periodicamente la cache DNS del loro browser o dopo essersi uniti a una rete insicura o condivisa. L’utilizzo di una VPN può proteggere dallo spoofing DNS su una rete locale. Evitare i link sospetti aiuterà a prevenire che gli utenti finali espongano a rischio la cache del loro browser.

Q: Come si può verificare un attacco di avvelenamento della cache DNS?

A: Una volta che la cache DNS viene avvelenata, può essere difficile da rilevare. Potrebbe essere una tattica migliore per monitorare i dati e proteggere i sistemi dal malware per proteggersi dalla compromissione causata da una cache DNS avvelenata.

Controlla il Live Cyber Attack Lab per vedere come usiamo il monitoraggio DNS per rilevare minacce reali alla sicurezza informatica.

Q: Come funziona la comunicazione DNS?

A: Quando l’utente finale digita un URL come “Varonis.com” nel proprio browser si verificano i seguenti passaggi:

  1. Il browser controlla innanzitutto la sua cache locale per vedere se ha già memorizzato i dati DNS.
  2. Se il browser non ha i dati allora chiederà al prossimo server DNS a monte, che normalmente sarà il vostro router sulla loro rete locale.
  3. Se il router non ha la voce DNS necessaria nella sua cache allora userà un provider DNS a monte come Google, Cloudflare, o Quad9.
  4. Quel server a monte riceverà la richiesta DNS e controllerà la sua cache.
    • 4.1 Assumendo che non abbia già i dati DNS nella cache, avvierà un resolver DNS ricorsivo interrogando prima i server DNS root chiedendo “Chi sta gestendo .com”
    • 4.2 Poi il resolver interrogherà il server del dominio di primo livello per .com chiedendo “Chi si occupa di Varonis.com” il TDL risponde quindi con un server di nome autoritativo per l’URL.
    • 4.3 Il resolver emette quindi una query al server di nome autoritativo chiedendo “Qual è l’IP di Varonis.com?” il server di nome autoritativo risponde quindi con un indirizzo IP per il dominio.

5. I dati DNS vengono poi inviati lungo la catena fino al dispositivo dell’utente finale. Lungo tutto il percorso, ogni server DNS metterà in cache la risposta per uso futuro.

Q: Come gli attaccanti avvelenano le cache DNS?

Non c’è un solo modo in cui una cache DNS può essere avvelenata, ma alcuni dei modi più comuni sono: Fare in modo che la vittima clicchi su link dannosi che utilizzano codice incorporato per alterare la cache DNS nei loro browser. Inoltre, gli hacker possono dirottare il server DNS locale utilizzando un attacco di spoofing man-in-the-middle. L’attacco utilizza lo spoofing ARP per reindirizzare le richieste DNS a un server DNS controllato da loro.

Q: Cos’è l’avvelenamento della cache DNS?

A: L’avvelenamento della cache DNS è l’atto di sostituire una voce del database DNS con un indirizzo IP dannoso che invia l’utente finale a un server controllato dall’hacker.

Q: Come avviene lo spoofing DNS?

Un hacker esegue un attacco di spoofing DNS ottenendo l’accesso e alterando una cache DNS o reindirizzando le query DNS al proprio server DNS.

Q: Cosa si intende per spoofing DNS?

Lo spoofing DNS significa che l’URL che un utente inserisce nel proprio browser come varonis.com non sta effettivamente andando all’indirizzo IP legittimo associato a quell’URL, ma viene invece reindirizzato a un server maligno controllato da un hacker.

Q: Perché lo spoofing DNS è un problema?

A: Lo spoofing DNS è un problema perché il DNS è intrinsecamente affidabile e spesso non è protetto da alcun tipo di crittografia. Questo significa che un hacker può spoofare una voce DNS e usarla per il furto di dati, l’infezione di malware, il phishing e la prevenzione degli aggiornamenti.

Q: Quali sono le minacce poste da un attacco DNS Spoofing?

La prima minaccia posta dallo spoofing DNS è il furto di dati attraverso l’uso di pagine di phishing. Inoltre, c’è una minaccia di infezione da malware ospitando download dall’aspetto legittimo che sono in realtà infettati da malware. Infine, se il sistema si basa su Internet per gli aggiornamenti, gli aggiornamenti possono essere impediti alterando le loro voci DNS in modo che non si risolvano a un sito web reale. Questo potrebbe anche essere applicato a qualsiasi sito web come metodo di censura.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.