5 największych ataków DNS. Jak ograniczyć ich skutki?

Ataki na system nazw domen (DNS), w których źli aktorzy wykorzystują luki w protokole internetowym DNS, są niezwykle rozpowszechnione i kosztowne.

System Nazw Domen (Domain Name System) jest nieustannie atakowany i wydaje się, że nie widać końca tych ataków, ponieważ zagrożenia stają się coraz bardziej wyrafinowane. DNS to tyle co o internetowa książka telefoniczna, jest częścią globalnej infrastruktury internetowej, która tłumaczy znane nazwy na numery potrzebne komputerom do wejścia na stronę internetową lub wysłania wiadomości e-mail. Chociaż DNS od dawna jest celem ataków, których celem jest kradzież wszelkiego rodzaju informacji korporacyjnych i prywatnych, zagrożenia, które pojawiły się w ciągu ostatniego roku, wskazują na pogorszenie sytuacji.

Zobacz również:

• WordPress 6.5 trafia na rynek. Oto 5 najważniejszych zmian
• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Zadaniem DNS jest przetłumaczenie terminu, który użytkownik może wpisać w polu wyszukiwania (tzw. nazwy czytelnej dla człowieka), na odpowiedni ciąg liczb (adres IP), który jest potrzebny urządzeniu do uzyskania dostępu do strony internetowej lub wysłania wiadomości e-mail. Ataki na te niezastąpione systemy mogą być bardzo szkodliwe.

Badanie IDC z 2021 r. przeprowadzone wśród ponad 1100 organizacji w Ameryce Północnej, Europie oraz regionie Azji i Pacyfiku wykazało, że 87% z nich doświadczyło ataków na DNS. Średni koszt każdego ataku wynosił około 950 000 USD dla wszystkich regionów i około 1 mln USD dla organizacji w Ameryce Północnej.

Co to jest DNS i jak działa

W raporcie zauważono również, że organizacje we wszystkich branżach doświadczyły średnio 7,6 ataków w ciągu ubiegłego roku.

Jak wynika z raportu, związane z COVID-19 przejście na pracę poza siedzibą firmy oraz reakcja firm na przenoszenie zasobów do chmury w celu zwiększenia ich dostępności stały się nowymi celami dla atakujących.

Badanie wykazało również gwałtowny wzrost kradzieży danych za pośrednictwem DNS - 26% organizacji zgłosiło kradzież poufnych informacji o klientach, w porównaniu z 16% w 2020 roku.

Przedstawiamy najczęstsze rodzaje ataków DNS.

Wzmocnienie DNS wywołuje ataki DDOS

Atak DNS amplifikacji jest popularną formą rozproszonej odmowy usługi (DDoS), która wykorzystuje publicznie dostępne, otwarte serwery DNS do przeciążenia systemu docelowego ruchem odpowiedzi DNS.

Według Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), która kieruje amerykańskimi działaniami mającymi na celu zwiększenie odporności krajowej infrastruktury fizycznej i cybernetycznej, atakujący wysyła do otwartego serwera DNS żądanie odszukania nazwy DNS ze spreparowanym adresem źródłowym, który ma być adresem docelowym.

Kiedy serwer DNS wysyła odpowiedź na rekord DNS, jest ona wysyłana do celu. Atakujący zazwyczaj wysyłają prośbę o jak największą ilość informacji o strefie, aby zmaksymalizować efekt wzmocnienia - twierdzi CISA. W większości ataków tego typu, zaobserwowanych przez US-CERT, spreparowane zapytania wysyłane przez atakujących są typu „ANY”, który zwraca wszystkie znane informacje o strefie DNS w pojedynczym zapytaniu.

Ponieważ rozmiar odpowiedzi jest znacznie większy niż żądania, atakujący może zwiększyć ilość ruchu kierowanego do systemów docelowych. Według CISA, wykorzystując botnet do generowania dużej liczby spreparowanych zapytań DNS, atakujący może bez większego wysiłku generować ogromny ruch w sieci.

A ponieważ odpowiedzi są legalnymi danymi pochodzącymi z ważnych serwerów, niezwykle trudno jest zapobiec tego typu atakom, twierdzi agencja. Najczęstszą formą tego ataku, jaką zaobserwował US-CERT, są serwery DNS skonfigurowane w taki sposób, aby umożliwić nieograniczone rekurencyjne rozwiązywanie problemów dla dowolnego klienta w Internecie. CISA zauważa, że ataki mogą również dotyczyć autorytatywnych serwerów nazw, które nie zapewniają rekurencyjnego rozwiązywania problemów.

DNS spoofing/cache poisoning

W przypadku spoofingu DNS, zwanego również zatruwaniem pamięci podręcznej, źli aktorzy wykorzystują luki w serwerach DNS w celu ich przejęcia. Wykorzystując zatruwanie pamięci podręcznej, napastnicy wstrzykują złośliwe dane do systemów pamięci podręcznej resolwerów DNS, próbując przekierować użytkowników na strony należące do napastników. Napastnicy mogą wtedy wykraść dane osobowe lub przechwycić inne informacje.

Gdy napastnicy przejmują kontrolę nad serwerem DNS, mogą modyfikować informacje w pamięci podręcznej (jest to zatruwanie DNS). Kod zatruwający pamięć podręczną DNS często znajduje się w adresach URL wysyłanych w wiadomościach spamowych lub phishingowych. Wiadomości te próbują ostrzec użytkowników o zdarzeniu wymagającym natychmiastowej uwagi, co wymaga kliknięcia na adres URL podany przez atakujących.

Serwery DNS mogą uzyskiwać dostęp do pamięci podręcznych innych serwerów DNS i właśnie w ten sposób atak rozprzestrzenia się na potencjalnie dużą skalę. Głównym zagrożeniem związanym z zatruwaniem DNS jest kradzież danych. Inne istotne ryzyko: jeżeli witryna dostawcy zabezpieczeń internetowych zostanie sfałszowana, komputer użytkownika może być narażony na dodatkowe zagrożenia, takie jak wirusy czy trojany, ponieważ nie będą przeprowadzane legalne aktualizacje zabezpieczeń.

Tunelowanie DNS

Innym popularnym sposobem ataku na DNS, a zarazem jednym ze starszych, jest tunelowanie DNS. Ataki te wykorzystują protokół DNS do tunelowania złośliwego oprogramowania i innych danych w modelu klient-serwer. Te ładunki danych mogą przejąć kontrolę nad serwerem DNS i pozwolić atakującym na zarządzanie serwerem i jego aplikacjami.

Tunelowanie tworzy ukryte połączenie między atakującym a celem - poprzez resolver DNS - które może ominąć zaporę sieciową. Cyberprzestępcy mogą wykorzystywać tunel do złośliwych działań, takich jak wykradanie danych.

Tunelowanie DNS w wielu przypadkach opiera się na zewnętrznej łączności sieciowej skompromitowanego systemu, która umożliwia dostęp do wewnętrznego serwera DNS z dostępem do sieci.

Szybki strumień omija skanowanie bezpieczeństwa

Fast flux to technika unikania DNS, w której osoby atakujące wykorzystują botnety do ukrywania swoich działań phishingowych i złośliwego oprogramowania przed skanerami bezpieczeństwa, wykorzystując stale zmieniające się adresy IP skompromitowanych hostów działających jako odwrotne proxy do głównego serwera botnetu.

Termin „Fast Flux” odnosi się również do połączenia sieci peer-to-peer, rozproszonego dowodzenia i kontroli, sieciowego równoważenia obciążenia i przekierowywania proxy, które jest wykorzystywane do uodpornienia sieci złośliwego oprogramowania na wykrycie.

Głównym założeniem Fast Flux jest posiadanie dużej liczby adresów IP związanych z jedną, legalną nazwą domeny, gdzie adresy IP są często wymieniane poprzez zmianę rekordów zasobów DNS. Autorytatywne serwery nazw domen o szybkim przepływie są w większości przypadków hostowane przez cyberprzestępcę.

Porwanie/ przekierowanie DNS

Porwanie DNS (lub przekierowanie DNS) to praktyka polegająca na podważaniu sposobu rozwiązywania zapytań DNS. Cyberprzestępcy robią to za pomocą złośliwego oprogramowania, które nadpisuje konfigurację TCP/IP systemu, tak aby wskazywał on na nieuczciwy serwer DNS, który jest pod kontrolą atakującego, lub modyfikując zachowanie zaufanego serwera DNS tak, aby nie było ono zgodne ze standardami internetowymi. Źli aktorzy wykorzystują te modyfikacje do złośliwych celów, takich jak phishing.

Istnieją trzy główne wersje DNS hijacking:

Atakujący naruszają konto rejestratora domen i modyfikują serwer nazw DNS na taki, który kontrolująZmiana rekordu adresu IP domeny, aby wskazywał na adres atakującego

Atakujący naruszają router organizacji i zmieniają serwer DNS, który jest automatycznie wysyłany do każdego urządzenia, gdy użytkownicy logują się do sieci organizacji.

Jak zapobiegać atakom DNS

Organizacje mogą przyjąć szereg praktyk, które pomogą zmniejszyć ryzyko ataków DNS.

Poniżej przedstawiamy kilka sugerowanych praktyk:

Wdrożenie silniejszej kontroli dostępu

Przedsiębiorstwa muszą upewnić się, że podejmują kroki w celu lepszej kontroli tego, kto ma dostęp do sieci. Jednym ze sposobów na to jest wdrożenie uwierzytelniania wieloczynnikowego lub dwuskładnikowego jako sposobu na uzyskanie dostępu do konta lub systemu online. Wymaga to od użytkowników podania więcej niż jednego rodzaju informacji, na przykład hasła i dowodu tożsamości, w celu uzyskania dostępu.

Firmy powinny upewnić się, że uwierzytelnianie wieloczynnikowe jest włączone na wszystkich kontach rejestratora lub rejestru, że hasła nie są łatwe do odgadnięcia i są przechowywane w bezpieczny sposób oraz nie są ponownie wykorzystywane w różnych usługach.

CISA zaleca organizacjom natychmiastową aktualizację haseł dla wszystkich kont w systemach, które mogą dokonywać zmian w rekordach DNS, w tym kont w oprogramowaniu serwerów DNS zarządzanych przez organizację, systemów, które zarządzają tym oprogramowaniem, paneli administracyjnych zewnętrznych operatorów DNS oraz kont rejestratorów DNS.

Stosuj zasadę zero trust

Podejście do bezpieczeństwa oparte na zasadzie „zero zaufania” nabiera rozpędu, częściowo dzięki rosnącemu wsparciu ze strony rządu federalnego USA, a także hybrydowym i zdalnym modelom pracy, które przyjęły się w wielu firmach. Zero zaufania może odegrać ważną rolę w ograniczaniu zagrożeń związanych z DNS.

Firma badawcza Garner zaleca liderom ds. bezpieczeństwa i ryzyka wdrożenie dwóch kluczowych projektów związanych z zerowym zaufaniem do sieci w celu zmniejszenia ryzyka. Pierwszym z nich jest wdrożenie systemu zero trust network access (ZTNA), który abstrahuje i centralizuje mechanizmy dostępu, tak aby inżynierowie i pracownicy zajmujący się bezpieczeństwem byli za nie odpowiedzialni.

Przyznaje on odpowiedni dostęp na podstawie tożsamości użytkowników i ich urządzeń, a także w oparciu o inne czynniki, takie jak czas i data, geolokalizacja, historyczne wzorce użytkowania i stan urządzeń. Gartner twierdzi, że rezultatem jest bezpieczniejsze i bardziej odporne środowisko, o zwiększonej elastyczności i lepszym monitoringu.

Innym projektem jest segmentacja sieci oparta na tożsamości, która według Gartnera jest skutecznym sposobem ograniczania zdolności napastników do poruszania się po sieci, gdy już się do niej dostaną.

Segmentacja oparta na tożsamości redukuje nadmierne ukryte zaufanie, pozwalając organizacjom na przeniesienie poszczególnych obciążeń roboczych do modelu „domyślnej odmowy” zamiast „ukrytego zezwolenia”, twierdzi firma. Wykorzystuje ona dynamiczne reguły, które oceniają tożsamość obciążenia i aplikacji w ramach określania, czy zezwolić na dostęp do sieci.

Przegląd i weryfikacja rekordów DNS

CISA zaleca, aby dla wszystkich domen, które organizacja posiada i którymi zarządza, przejrzeć wszystkie rekordy domen publicznych u rejestratorów domen w celu sprawdzenia, czy powiązane rekordy serwera nazw (NS) są delegowane do odpowiednich serwerów DNS. Należy przejrzeć wszystkie rekordy DNS na wszystkich autorytatywnych i drugorzędnych serwerach DNS, aby zweryfikować, czy rozwiązują się one do zamierzonego celu.

Organizacje powinny natychmiast zbadać wszelkie wykryte rozbieżności i potraktować je jako potencjalny incydent bezpieczeństwa. Działania te pomogą wykryć wszelkie aktywne przypadki przejęcia kontroli nad DNS (DNS hijack).

Źródło: Network World