How Hackers Spoof DNS Requests With DNS Cache Poisoning

Domain Name Server (DNS) Spoofing é um ataque cibernético que engana o seu computador a pensar que vai para o site correto, mas não vai. Os atacantes usam envenenamento de cache DNS para seqüestrar o tráfego da Internet e roubar credenciais de usuários ou dados pessoais.

Envenenamento de cache DNS e spoofing DNS são sinônimos e frequentemente usados de forma intercambiável. Mas, para ser mais preciso, você pode pensar neles como o Como e o Que do mesmo ataque cibernético. O hacker quer enganar os utilizadores para que estes introduzam os seus dados privados em sites não seguros. Como eles vão fazer isso? Envenenando o cache DNS. O que eles estão fazendo é falsificar ou substituir os dados DNS de um determinado site para que ele seja redirecionado para o servidor do hacker e não para o servidor web legítimo. De lá o hacker é preparado para realizar um ataque de phishing, roubar dados, ou mesmo injetar malware no sistema da vítima.

Get the Free Pen Testing Active Directory Environments EBook

“Isto realmente abriu meus olhos para a segurança de AD de uma forma que o trabalho defensivo nunca fez”.

>

Varonis pode detectar ataques de envenenamento de cache DNS monitorando DNS e detectando comportamento anormal na atividade do seu usuário.

  • O que é DNS Spoofing e Cache Poisoning?
  • Como funciona um ataque de envenenamento de cache DNS?
  • Como detectar o envenenamento de cache DNS
  • Como proteger contra o envenenamento de cache DNS
  • Perguntas Frequentes sobre o DNS (Spoofing)

O que é o DNS Spoofing e o envenenamento de cache?

Antes de falarmos sobre o ataque, precisamos de uma atualização sobre o que é DNS e cache DNS. O DNS é o catálogo mundial de endereços IP e nomes de domínio. Pense nele como a lista telefónica para a Internet. Ele traduz URLs amigáveis ao usuário final como Varonis.com para o endereço IP como 192.168.1.169 que são usados por computadores para redes.

DNS caching é o sistema que armazena esses endereços em servidores DNS em todo o mundo. Para manter suas solicitações DNS rápidas, os desenvolvedores originais criaram um sistema DNS distribuído. Cada servidor armazena uma lista de registros DNS que conhece – isto é chamado de cache. Se o seu servidor DNS mais próximo não sabe o endereço IP que você precisa, ele pede a outros servidores DNS upstream até encontrar o endereço IP do site que você está tentando acessar. O seu servidor DNS então guarda essa nova entrada no seu cache para tempos de resposta mais rápidos.

Exemplos e Efeitos do Envenenamento do Cache DNS

DNS não foi concebido para gerir a Internet moderna de forma alguma. Melhorou com o passar dos anos, mas um servidor DNS mal configurado que retirou entradas DNS de um servidor na China – e, de repente, ninguém consegue chegar ao Facebook. Este incidente demonstra o quanto somos dependentes do DNS. Uma pessoa configura mal um servidor e, de repente, centenas de milhões de pessoas sentem os efeitos.

WikiLeaks também foi alvo de atacantes que usaram um ataque de envenenamento de cache DNS para desviar o tráfego para a sua própria versão do WikiLeaks. Este foi um ataque intencional concebido para manter o tráfego afastado do WikiLeaks com algum sucesso.

Ataques de envenenamento de cache DNS são furtivos e difíceis de apanhar para as pessoas comuns. O DNS é actualmente um sistema de confiança em primeiro lugar, e é por isso que é fácil de tirar partido dele. Os humanos confiam o DNS a uma falha, e nunca realmente verificam se o endereço no seu navegador é o endereço que esperavam. Os atacantes tiram partido desta complacência e desatenção para roubar credenciais ou mais.

Como funciona um ataque de envenenamento de cache DNS?

Envenenamento de cache DNS é quando o seu servidor DNS mais próximo tem uma entrada que o envia para o endereço errado – normalmente um que um atacante controla. Aqui estão algumas técnicas diferentes que os atacantes usam para envenenar o cache DNS.

Hijacking the Local Network With ARP Spoofing

A rede local pode ser um alvo surpreendentemente vulnerável. Muitos administradores pensariam ter isso bloqueado, mas o diabo pode estar nos detalhes. Um problema comum é o trabalho de funcionários de casa. O Wi-Fi deles está seguro? Hackers podem decifrar uma senha Wi-Fi fraca em apenas algumas horas. Outro é portas de ethernet abertas sendo expostas em corredores e lobbies públicos. Imagine alguém esperando no lobby se conectar ao cabo ethernet destinado à exibição do lobby.

Vejamos como um hacker poderia potencialmente usar o acesso à rede local em uma dessas situações.

Primeiro, o hacker criaria uma página de phishing que eles poderiam usar para reunir credenciais de usuários e outros dados valiosos. Eles poderiam então hospedar este site localmente na rede ou remotamente em um servidor com uma única linha de código python.

A partir daí o hacker poderia então começar a monitorar a rede com ferramentas como Betterrcap. Nesta fase, eles estão mapeando e explorando a rede alvo, mas o tráfego ainda está fluindo através do roteador.

Next, o hacker usaria ARP spoofing para reestruturar a rede internamente. O ARP, ou protocolo de resolução de endereço, é usado por dispositivos em uma rede para associar o endereço MAC de um dispositivo com um endereço IP na rede. Bettercap enviará mensagens ARP dizendo a todos os dispositivos da rede que o computador do hacker é o roteador. Isto permite ao hacker interceptar todo o tráfego da rede destinado ao roteador.

Após todo o tráfego ser redirecionado através do computador do hacker, o hacker pode executar o módulo de spoofing DNS do Bettercap. Isto irá procurar por quaisquer pedidos para um domínio alvo, e enviar uma resposta falsa para a vítima. O pedido falso contém o endereço IP do computador do hacker, redirecionando qualquer pedido para o site alvo para a página de phishing hospedada pelo hacker.

Agora, o hacker pode ver o tráfego destinado a outros dispositivos na rede e redirecionar os pedidos para qualquer site. O hacker pode ver tudo o que a vítima faz nesta página, incluindo a coleta de credenciais de login ou o envio de downloads maliciosos.

Se um hacker não conseguir obter acesso a uma conexão de rede local, ele irá recorrer a um dos seguintes ataques.

Falsificação de resposta usando o ataque de aniversário

DNS não autentica respostas a consultas recursivas, então a primeira resposta é armazenada no cache. Os atacantes usam o “paradoxo do aniversário” para tentar antecipar e enviar uma resposta falsa para o requisitante. Este ataque de aniversário usa matemática e teoria da probabilidade para fazer um palpite. Neste caso, o atacante está tentando adivinhar o ID da transação do seu pedido DNS, então a resposta falsa com a entrada DNS forjada chega até você antes da resposta real.

Um ataque de aniversário não é um sucesso garantido, mas eventualmente, um atacante vai esconder uma resposta forjada em um cache. Quando o ataque tiver sucesso, o atacante verá tráfego da entrada DNS falsa até que o tempo de vida (TTL) expire.

Exploração do Kaminsky

A exploração do Kaminsky é uma variação do ataque de aniversário apresentado no BlackHat 2008.

Primeiro, o atacante envia um resolvedor de alvo uma consulta DNS para um domínio inexistente, como “fake.varonis.com”. O resolvedor então encaminha a consulta para o servidor de nomes autorizado para obter o endereço IP para o sub-domínio falso. Neste ponto, o atacante inunda o resolvedor com um grande número de respostas forjadas, esperando que uma dessas falsificações corresponda ao ID da transação da consulta original.

Se elas forem bem sucedidas, o atacante envenenou o cache DNS do resolvedor alvo com um endereço IP forjado para – neste exemplo – varonis.com. O resolvedor continuará dizendo a qualquer um que lhe perguntar que o endereço IP da varonis.com é a consulta forjada até a TTL.

Como detectar o envenenamento de cache DNS

Então como detectar um ataque de envenenamento de cache DNS? Monitore os seus servidores DNS para obter indicadores de possíveis ataques. Os humanos não têm o poder computacional para acompanhar a quantidade de pedidos DNS que você precisará monitorar. Aplique análise de segurança de dados ao seu monitoramento DNS para discernir o comportamento normal do DNS a partir de ataques.

  • Um aumento súbito na atividade DNS a partir de uma única fonte sobre um único domínio indica um potencial ataque de aniversário.
  • Um aumento na actividade DNS a partir de uma única fonte que está a consultar o seu servidor DNS para vários nomes de domínio sem recorrência indica uma tentativa de encontrar uma entrada para usar para envenenamento.

Além de monitorizar o DNS, monitorize os eventos do Active Directory e o comportamento do sistema de ficheiros para detectar actividade anormal. E ainda melhor, use a análise para correlacionar atividade entre os três vetores para adicionar contexto valioso à sua estratégia de cibersegurança.

Como proteger contra envenenamento de cache DNS

Além da monitorização e análise, você pode fazer alterações de configuração no seu servidor DNS.

  • Limitar consultas recursivas para proteger contra possíveis ataques de envenenamento direcionados.
  • Armazenar apenas dados relacionados ao domínio solicitado.
  • Reduzir respostas a ser apenas sobre o domínio solicitado.
  • Forçar clientes a usar HTTPS.

Certifique-se de estar a utilizar as últimas versões do software BIND e DNS, para ter as últimas correcções de segurança.

Se possível, tal como com empregados remotos, tenha todos os clientes remotos ligados através de uma VPN para proteger o tráfego e pedidos DNS de bisbilhotice local. Além disso, certifique-se de encorajar uma senha Wi-Fi doméstica forte para reduzir ainda mais o risco.

E, por último, use pedidos DNS criptografados. Domain Name System Security (DNSSEC) é um protocolo DNS que utiliza pedidos DNS assinados para prevenir a falsificação. Ao utilizar DNSSEC o resolvedor DNS precisa verificar a assinatura com o servidor DNS autorizado, o que torna todo o processo mais lento. Isto fez com que o DNSSEC ainda não fosse amplamente adotado.

DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT) são especificações concorrentes para a próxima versão do DNS para manter os pedidos DNS seguros sem sacrificar a velocidade como o DNSSEC. No entanto, estas não são soluções perfeitas, pois podem retardar ou impedir que a monitorização e análise do DNS seja feita localmente. Também é importante notar que DoH e DoT podem contornar qualquer controle dos pais ou outro nível de bloqueio de DNS sendo realizado na rede. Dito isto, Cloudflare, Quad9 e Google têm servidores DNS públicos que podem suportar o DoT. Muitos clientes mais novos são capazes de suportar esses novos padrões, mas são desabilitados por padrão. Você pode encontrar informações mais detalhadas no blog de segurança DNS da Varonis.

DNS spoofing substitui um endereço IP legítimo de um website pelo IP de um computador de um hacker. Pode ser particularmente complicado devido ao quão difícil é detectar, do ponto de vista do usuário final eles colocaram um endereço de aparência completamente normal na barra URL do seu navegador. No entanto, não é impossível de parar. O risco pode ser mitigado monitorando softwares como o Varonis e utilizando o DNS sobre o padrão de criptografia TLS.

DNS Spoofing FAQs

Por algumas perguntas comuns sobre spoofing DNS respondidas abaixo.

Q: O DNS Cache Poisoning e DNS Spoofing são a mesma coisa?

A: Sim, spoofing e cache DNS referem-se ao mesmo ataque cibernético.

Q: Como funciona o envenenamento de cache DNS?

A: O envenenamento de cache DNS funciona ao enganar o seu servidor DNS para salvar uma entrada DNS forjada. O tráfego para a entrada de DNS forjado vai para um servidor dos atacantes que escolhem roubar dados.

Q: Que recursos de segurança podem ser usados para proteger contra o envenenamento de cache DNS?

A: Os proprietários de sites podem implementar monitoramento e análise de spoofing DNS. Isso inclui atualizar seus servidores DNS para usar DNSSEC ou outro sistema de criptografia como o DNS sobre HTTPS ou o DNS sobre TLS. O uso de criptografia completa de ponta a ponta, como HTTPS, sempre que possível também pode evitar a falsificação. Os corretores de segurança de acesso à nuvem (CASB) são extremamente úteis para isto.

Os usuários finais podem reinicializar um cache DNS potencialmente falsificado, descarregando o cache DNS do seu navegador periodicamente ou depois de se juntarem a uma rede insegura ou compartilhada. Usando uma VPN pode proteger contra spoofing DNS em uma rede local. Evitar links suspeitos ajudará a evitar que os usuários finais exponham o cache do seu navegador ao risco.

Q: Como você pode verificar um ataque de envenenamento de cache DNS?

A: Uma vez que o cache DNS é envenenado, pode ser difícil de detectar. Pode ser uma tática melhor para monitorar seus dados e proteger seus sistemas contra malware para proteger contra comprometimento causado por um cache DNS envenenado.

Cheque o Live Cyber Attack Lab para ver como usamos o monitoramento DNS para detectar ameaças reais de cibersegurança.

Q: Como funciona a comunicação DNS?

A: Quando o usuário final digita um URL como “Varonis”.com” em seu navegador os seguintes passos ocorrerão:

  1. O navegador primeiro verificará seu cache local para ver se já está armazenado os dados DNS.
  2. Se o navegador não tiver os dados, então ele perguntará ao próximo servidor DNS upstream que normalmente será seu roteador na rede local.
  3. Se o roteador não tiver a entrada DNS necessária em seu cache, então ele usará um provedor DNS upstream como o Google, Cloudflare ou Quad9.
  4. Que o servidor upstream irá então receber o pedido DNS e verificar o cache.

    • 4.1 Assumindo que ainda não tem os dados DNS armazenados em cache, então ele irá iniciar um resolvedor DNS recursivo consultando primeiro os servidores raiz DNS perguntando “Quem está lidando com .com”
    • 4.2 Então o resolvedor irá consultar o servidor de domínio de nível superior para .com perguntando “Quem está lidando com Varonis.com” o TDL então responde com um servidor de nomes autorizado para a URL.
    • 4.3 O resolvedor então emite uma consulta ao servidor de nomes autorizado perguntando “Qual é o IP do Varonis.com?” o servidor de nomes autorizado então responde com um endereço IP para o domínio.

5. Os dados DNS são então enviados de volta para o dispositivo do usuário final. Ao longo do caminho, cada servidor DNS irá fazer cache dessa resposta para uso futuro.

Q: Como os Attackers Poison DNS Caches?

Não há uma única forma de um cache DNS ser envenenado, mas algumas das formas mais comuns são: Fazer a vítima clicar em links maliciosos que usam código embutido para alterar o cache DNS em seus navegadores. Além disso, os hackers podem seqüestrar o servidor DNS local usando um ataque de spoofing man-in-the-middle. O ataque usa ARP spoofing para redirecionar pedidos DNS para um servidor DNS controlado por eles.

Q: O que é envenenamento de cache DNS?

A: O envenenamento de cache DNS é o ato de substituir uma entrada de banco de dados DNS por um endereço IP malicioso que envia o usuário final para um servidor controlado pelo hacker.

Q: Como é feito o envenenamento de cache DNS?

Um hacker executa um ataque de spoofing DNS obtendo acesso e alterando um cache DNS ou redirecionando consultas DNS para seu próprio servidor DNS.

Q: O que significa por spoofing DNS?

DNS spoofing significa que o URL que um usuário digita em seu navegador, como varonis.com não está realmente indo para o endereço IP legítimo associado a essa URL, mas está sendo redirecionado para um servidor malicioso controlado por um hacker.

Q: Porque é que a spoofing DNS é um problema?

A: A spoofing DNS é um problema porque o DNS é inerentemente confiável e muitas vezes não é protegido com qualquer tipo de criptografia. Isso significa que um hacker pode falsificar uma entrada DNS e usá-la para roubo de dados, infecção por malware, phishing e prevenção de atualizações.

Q: Quais são as Ameaças Postas por um Ataque de Falsificação DNS?

A principal ameaça colocada pela falsificação do DNS é o roubo de dados através do uso de páginas de Phishing. Além disso, há uma ameaça de infecção por malware ao hospedar downloads de aparência legítima que estão realmente infectados com malware. Por último, se o sistema depende da Internet para atualizações, as atualizações podem ser evitadas alterando as entradas do DNS para que não sejam resolvidas para um site real. Isto também pode ser aplicado a qualquer website como um método de censura.

Deixe uma resposta

O seu endereço de email não será publicado.