Cum falsifică hackerii solicitările DNS cu otrăvirea cache-ului DNS

Serverele de nume de domeniu (DNS) Spoofing este un atac cibernetic care vă păcălește computerul să creadă că se îndreaptă către site-ul web corect, dar nu este așa. Atacatorii folosesc otrăvirea cache-ului DNS pentru a deturna traficul de internet și pentru a fura acreditările utilizatorilor sau datele personale.

Otrăvirea cache-ului DNS și DNS spoofing sunt sinonime și adesea folosite interschimbabil. Dar, pentru a fi preciși, vă puteți gândi la ele ca la Cum și Ce al aceluiași atac cibernetic. Hackerul dorește să păcălească utilizatorii să introducă datele lor private pe site-uri web nesigure. Cum vor face acest lucru? Prin otrăvirea cache-ului DNS. Ceea ce fac aceștia este să falsifice sau să înlocuiască datele DNS pentru un anumit site web, astfel încât acesta să fie redirecționat către serverul hackerului și nu către serverul web legitim. De acolo, hackerul este pregătit să efectueze un atac de phishing, să fure date sau chiar să injecteze malware în sistemul victimei.

Obțineți cartea electronică gratuită Pen Testing Active Directory Environments EBook

„Acest lucru mi-a deschis cu adevărat ochii asupra securității AD într-un mod în care munca defensivă nu a făcut-o niciodată.”

Varonis poate detecta atacurile de otrăvire a cache-ului DNS prin monitorizarea DNS și prin detectarea unui comportament anormal în activitatea utilizatorilor dumneavoastră.

  • Ce este DNS Spoofing și Cache Poisoning?
  • Cum funcționează un atac de otrăvire a cache-ului DNS?
  • Cum să detectați DNS Cache Poisoning
  • Cum să vă protejați împotriva DNS Cache Poisoning
  • DNS Spoofing FAQs

Ce este DNS Spoofing și Cache Poisoning?

Înainte de a vorbi despre atac, avem nevoie de o reîmprospătare a ceea ce înseamnă DNS și DNS caching. DNS este catalogul mondial pentru adrese IP și nume de domenii. Gândiți-vă la el ca la o agendă telefonică pentru internet. Acesta traduce URL-urile prietenoase pentru utilizatorul final, cum ar fi Varonis.com, în adrese IP precum 192.168.1.169, care sunt utilizate de calculatoare pentru rețea.

DNS caching este sistemul care stochează aceste adrese în serverele DNS din întreaga lume. Pentru ca solicitările DNS să fie rapide, dezvoltatorii originali au creat un sistem DNS distribuit. Fiecare server stochează o listă de înregistrări DNS pe care le cunoaște – aceasta se numește cache. În cazul în care cel mai apropiat server DNS nu cunoaște adresa IP de care aveți nevoie, acesta întreabă alte servere DNS din amonte până când găsește adresa IP a site-ului web pe care încercați să îl accesați. Serverul dvs. DNS salvează apoi acea nouă intrare în memoria cache pentru timpi de răspuns mai rapizi.

Exemple și efecte ale otrăvirii cache-ului DNS

DNS nu a fost conceput deloc pentru a gestiona internetul modern. S-a îmbunătățit de-a lungul anilor, dar un server DNS configurat greșit care a scos intrări DNS de la un server din China – și dintr-o dată, nimeni nu mai poate ajunge la Facebook. Acest incident demonstrează cât de dependenți suntem de DNS. O persoană configurează greșit un server și, dintr-o dată, sute de milioane de oameni resimt efectele.

WikiLeaks a fost, de asemenea, ținta atacatorilor care au folosit un atac de otrăvire a cache-ului DNS pentru a deturna traficul către propria lor versiune asemănătoare cu WikiLeaks. Acesta a fost un atac intenționat, conceput pentru a ține traficul departe de WikiLeaks, cu un oarecare succes.

Atacurile de otrăvire a cache-ului DNS sunt viclene și greu de prins pentru oamenii obișnuiți. DNS este în prezent un sistem în care încrederea primează, motiv pentru care este ușor de profitat. Oamenii au încredere maximă în DNS și nu verifică niciodată cu adevărat dacă adresa din browserul lor este adresa pe care o așteptau. Atacatorii profită de această mulțumire și neatenție pentru a fura acreditări sau mai mult.

Cum funcționează un atac de otrăvire a cache-ului DNS?

Otrăvirea cache-ului DNS este atunci când cel mai apropiat server DNS are o intrare care vă trimite la o adresă greșită – de obicei una controlată de un atacator. Iată câteva tehnici diferite pe care atacatorii le folosesc pentru a otrăvi cache-ul DNS.

Hijacking the Local Network With ARP Spoofing

Rețeaua locală poate fi o țintă surprinzător de vulnerabilă. Mulți administratori ar crede că au rezolvat acest aspect, dar diavolul poate fi în detalii. O problemă comună este reprezentată de angajații care lucrează de acasă. Este Wi-Fi-ul lor securizat? Hackerii pot sparge o parolă Wi-Fi slabă în doar câteva ore. O altă problemă este reprezentată de porturile ethernet deschise care sunt expuse pe holuri și în holurile publice. Imaginați-vă doar că cineva care așteaptă în hol se conectează la cablul ethernet destinat afișajului din hol.

Să aruncăm o privire la modul în care un hacker ar putea utiliza accesul la rețeaua locală într-una din aceste situații.

În primul rând, hackerul ar crea o pagină de phishing pe care o poate folosi pentru a aduna acreditările utilizatorilor și alte date valoroase. Apoi ar putea găzdui această pagină la nivel local în rețea sau de la distanță pe un server cu o singură linie de cod python.

De acolo, hackerul ar putea apoi începe să monitorizeze rețeaua cu instrumente precum Betterrcap. În acest stadiu, ei cartografiază și explorează rețeaua țintă, dar traficul continuă să treacă prin router.

În continuare, hackerul ar folosi ARP spoofing pentru a restructura rețeaua la nivel intern. ARP, sau protocolul de rezolvare a adreselor, este utilizat de dispozitivele dintr-o rețea pentru a asocia adresa MAC a unui dispozitiv cu o adresă IP din rețea. Bettercap va trimite mesaje ARP pentru a comunica tuturor dispozitivelor din rețea că computerul hackerului este routerul. Acest lucru îi permite hackerului să intercepteze tot traficul de rețea destinat routerului.

După ce tot traficul este redirecționat prin calculatorul hackerului, hackerul poate rula modulul DNS spoofing al Bettercap. Acesta va căuta orice solicitare către un domeniu vizat și va trimite un răspuns fals înapoi către victimă. Cererea falsă conține adresa IP a computerului hackerului, redirecționând orice cerere către site-ul web vizat către pagina de phishing găzduită de hacker.

Acum, hackerul poate vedea traficul destinat altor dispozitive din rețea și poate redirecționa cererile pentru orice site web. Hackerul poate vedea tot ceea ce face victima pe această pagină, inclusiv colectarea credențialelor de autentificare sau servirea de descărcări malițioase.

Dacă un hacker nu poate obține acces la o conexiune de rețea locală, acesta va recurge la unul dintre următoarele atacuri.

Falsificarea răspunsului folosind atacul Birthday

DNS nu autentifică răspunsurile la interogările recursive, astfel încât primul răspuns este stocat în memoria cache. Atacatorii folosesc „paradoxul zilei de naștere” pentru a încerca să anticipeze și să trimită un răspuns falsificat solicitantului. Acest atac cu privire la ziua de naștere folosește matematica și teoria probabilităților pentru a face o presupunere. În acest caz, atacatorul încearcă să ghicească ID-ul de tranzacție al solicitării dvs. DNS, astfel încât răspunsul falsificat cu intrarea DNS falsificată să ajungă la dvs. înaintea răspunsului real.

Un atac de aniversare nu este un succes garantat, dar, în cele din urmă, un atacator va strecura un răspuns falsificat într-o memorie cache. Odată ce atacul reușește, atacatorul va vedea traficul de la intrarea DNS falsificată până când expiră time-to-live (TTL).

Kaminsky’s Exploit

Kaminsky’s exploit este o variantă a atacului aniversar prezentat la BlackHat 2008.

În primul rând, atacatorul trimite unui rezolvator țintă o interogare DNS pentru un domeniu inexistent, cum ar fi „fake.varonis.com”. Apoi, rezolvatorul transmite interogarea către serverul de nume autoritar pentru a obține adresa IP pentru subdomeniul fals. În acest moment, atacatorul inundă rezolvatorul cu un număr uriaș de răspunsuri false, sperând că unul dintre aceste falsuri se potrivește cu ID-ul de tranzacție al interogării originale.

Dacă are succes, atacatorul a otrăvit memoria cache DNS a rezolvatorului vizat cu o adresă IP falsă pentru – în acest exemplu – varonis.com. Rezolvatorul va continua să spună oricui îl întreabă că adresa IP pentru varonis.com este interogarea falsificată până la TTL.

Cum să detectezi otrăvirea cache-ului DNS

Atunci cum detectezi un atac de otrăvire a cache-ului DNS? Monitorizați serverele DNS pentru indicatorii unor posibile atacuri. Oamenii nu au puterea de calcul pentru a ține pasul cu cantitatea de cereri DNS pe care va trebui să le monitorizați. Aplicați analiza de securitate a datelor la monitorizarea DNS pentru a discerne comportamentul normal al DNS de atacuri.

  • O creștere bruscă a activității DNS de la o singură sursă cu privire la un singur domeniu indică un potențial atac de ziua de naștere.
  • O creștere a activității DNS de la o singură sursă care vă interoghează serverul DNS pentru mai multe nume de domenii fără recursivitate indică o încercare de a găsi o intrare pe care să o folosească pentru otrăvire.

În plus față de monitorizarea DNS, monitorizați evenimentele Active Directory și comportamentul sistemului de fișiere pentru activitate anormală. Și chiar mai bine, folosiți analiza pentru a corela activitatea între toți cei trei vectori pentru a adăuga un context valoros strategiei dvs. de securitate cibernetică.

Cum să vă protejați împotriva otrăvirii cache-ului DNS

În afară de monitorizare și analiză, puteți face modificări de configurare pe serverul dvs. DNS.

  • Limitați interogările recursive pentru a vă proteja împotriva atacurilor potențiale de otrăvire direcționată.
  • Stocați numai date legate de domeniul solicitat.
  • Restrângeți răspunsurile să fie numai despre domeniul solicitat.
  • Forțați clienții să utilizeze HTTPS.

Asigurați-vă că folosiți cele mai recente versiuni ale software-ului BIND și DNS, astfel încât să aveți cele mai recente remedieri de securitate.

Dacă este fezabil, cum ar fi în cazul angajaților la distanță, faceți ca toți clienții de la distanță să se conecteze prin intermediul unui VPN pentru a proteja traficul și cererile DNS de snooping-ul local. În plus, asigurați-vă că încurajați o parolă Wi-Fi puternică la domiciliu pentru a reduce și mai mult riscul.

Și, în cele din urmă, utilizați cereri DNS criptate. Domain Name System Security (DNSSEC) este un protocol DNS care utilizează cereri DNS semnate pentru a preveni falsificarea. Atunci când se utilizează DNSSEC, rezolvatorul DNS trebuie să verifice semnătura cu serverul DNS autoritar, ceea ce încetinește întregul proces. Acest lucru a dus la faptul că DNSSEC nu a fost încă adoptat pe scară largă.

DNS over HTTPS (DoH) și DNS over TLS (DoT) sunt specificații concurente pentru următoarea versiune a DNS pentru a menține securitatea cererilor DNS fără a sacrifica viteza, precum DNSSEC. Cu toate acestea, acestea nu sunt soluții perfecte, deoarece pot încetini sau chiar împiedica monitorizarea și analiza DNS care se realizează la nivel local. De asemenea, este important de reținut că DoH și DoT pot ocoli orice control parental sau alte blocări la nivel de DNS efectuate în rețea. Acestea fiind spuse, Cloudflare, Quad9 și Google au toate servere DNS publice care pot suporta DoT. Mulți clienți mai noi sunt capabili să suporte aceste standarde mai noi, dar sunt dezactivați în mod implicit. Puteți afla informații mai detaliate pe blogul de securitate DNS al Varonis.

DNS spoofing înlocuiește adresa IP a unui site web legitim cu adresa IP a computerului unui hacker. Poate fi deosebit de înșelătoare din cauza cât de greu este de depistat, din perspectiva utilizatorului final care a pus o adresă cu aspect complet normal în bara URL a browserului său. Cu toate acestea, nu este imposibil de oprit. Riscul poate fi atenuat prin intermediul unui software de monitorizare precum Varonis și prin utilizarea standardului de criptare DNS over TLS.

DNS Spoofing FAQs

Peste câteva întrebări frecvente despre DNS spoofing la care se răspunde mai jos.

Q: Sunt DNS Cache Poisoning și DNS Spoofing același lucru?

A: Da, DNS spoofing și caching-ul se referă la același atac cibernetic.

Întrebare: Cum funcționează DNS Cache Poisoning?

A: DNS cache poisoning (otrăvirea cache-ului DNS) funcționează prin păcălirea serverului dvs. DNS pentru a salva o intrare DNS falsificată. Traficul către intrarea DNS falsificată se îndreaptă către un server ales de atacatori pentru a fura date.

Întrebare: Ce caracteristici de securitate pot fi utilizate pentru a proteja împotriva otrăvirii cache-ului DNS?

A: Proprietarii de site-uri web pot implementa monitorizarea și analiza falsificării DNS. Aceasta include actualizarea serverelor lor DNS pentru a utiliza DNSSEC sau un alt sistem de criptare, cum ar fi DNS over HTTPS sau DNS over TLS. Utilizarea criptării complete de la un capăt la altul, cum ar fi HTTPS, ori de câte ori este posibil, poate preveni, de asemenea, spoofing-ul. Cloud Access Security Brokers (CASB) sunt extrem de utile în acest sens.

Utilizatorii finali pot reseta un cache DNS potențial spoofat prin golirea periodică a cache-ului DNS al browserului lor sau după ce se alătură unei rețele nesigure sau partajate. Utilizarea unui VPN poate proteja împotriva spoofing-ului DNS într-o rețea locală. Evitarea legăturilor suspecte va ajuta la prevenirea expunerii la risc a cache-ului browserului lor de către utilizatorii finali.

Q: Cum puteți verifica un atac de otrăvire a cache-ului DNS?

A: Odată ce cache-ul DNS este otrăvit, poate fi dificil de detectat. Ar putea fi o tactică mai bună să vă monitorizați datele și să vă protejați sistemele de malware pentru a vă proteja de compromiterea cauzată de un cache DNS otrăvit.

Veziți Live Cyber Attack Lab pentru a vedea cum folosim monitorizarea DNS pentru a detecta amenințările reale la adresa securității cibernetice.

Întrebare: Cum funcționează comunicarea DNS?

A: Atunci când utilizatorul final tastează un URL precum „Varonis.com” în browserul lor, vor avea loc următorii pași:

  1. Navigatorul va verifica mai întâi cache-ul său local pentru a vedea dacă a stocat deja datele DNS.
  2. Dacă browserul nu are datele, atunci va cere următorul server DNS în amonte, care în mod normal va fi routerul din rețeaua lor locală.
  3. Dacă routerul nu are intrarea DNS necesară în cache-ul său, atunci va folosi un furnizor DNS în amonte, cum ar fi Google, Cloudflare sau Quad9.
  4. Servitorul respectiv din amonte va primi apoi cererea DNS și își va verifica memoria cache.
    • 4.1 Presupunând că nu are deja datele DNS în memoria cache, atunci va porni un rezolvator DNS recursiv prin interogarea mai întâi a serverelor rădăcină DNS, întrebând „Who is handling .com”
    • 4.2 Apoi, rezolvatorul va interoga serverul domeniului de nivel superior pentru .com întrebând „Cine se ocupă de Varonis.com” TDL răspunde apoi cu un server de nume autoritar pentru URL.
    • 4.3 Rezolvatorul lansează apoi o interogare către serverul de nume autoritar întrebând „Care este IP-ul pentru Varonis.com?” serverul de nume autoritar răspunde apoi cu o adresă IP pentru domeniu.

5. Datele DNS sunt apoi trimise înapoi în josul lanțului către dispozitivul utilizatorului final. Pe tot parcursul drumului, fiecare server DNS va memora în cache acel răspuns pentru utilizare viitoare.

Întrebare: Cum otrăvesc atacatorii cache-urile DNS?

Nu există un singur mod în care un cache DNS poate fi otrăvit, dar unele dintre cele mai comune moduri sunt: A face ca victima să facă clic pe linkuri malițioase care utilizează coduri încorporate pentru a modifica cache-ul DNS din browserele lor. De asemenea, hackerii pot deturna serverul DNS local prin utilizarea unui atac de tip man-in-the-middle spoofing. Atacul folosește ARP spoofing pentru a redirecționa solicitările DNS către un server DNS controlat de ei.

Întrebare: Ce este otrăvirea cache-ului DNS?

R: Otrăvirea cache-ului DNS este actul de înlocuire a unei intrări în baza de date DNS cu o adresă IP malițioasă care trimite utilizatorul final către un server controlat de hacker.

Întrebare: Cum se face DNS Spoofing?

Un hacker efectuează un atac de DNS spoofing prin accesarea și modificarea unui cache DNS sau prin redirecționarea interogărilor DNS către propriul server DNS.

Întrebare: Ce înseamnă DNS Spoofing?

DNS spoofing înseamnă că URL-ul pe care un utilizator îl introduce în browserul său, cum ar fi varonis.com nu se îndreaptă de fapt către adresa IP legitimă asociată cu acel URL, ci este în schimb redirecționat către un server malițios controlat de un hacker.

Întrebare: De ce este DNS Spoofing o problemă?

R: DNS Spoofing este o problemă deoarece DNS este în mod inerent de încredere și adesea nu este securizat cu niciun fel de criptare. Acest lucru înseamnă că un hacker poate falsifica o intrare DNS și o poate folosi pentru furtul de date, infectarea cu malware, phishing și împiedicarea actualizărilor.

Întrebare: Care sunt amenințările reprezentate de un atac de DNS Spoofing?

Amenințarea principală reprezentată de DNS Spoofing este furtul de date prin utilizarea paginilor de phishing. În plus, există o amenințare de infectare cu malware prin găzduirea unor descărcări cu aspect legitim care sunt de fapt infectate cu malware. În cele din urmă, în cazul în care sistemul se bazează pe internet pentru actualizări, actualizările pot fi împiedicate prin modificarea intrărilor DNS astfel încât acestea să nu se rezolve către un site web real. Acest lucru ar putea fi aplicat, de asemenea, la orice site web ca metodă de cenzură.

.

Lasă un răspuns

Adresa ta de email nu va fi publicată.