Худший ДНС-атак и способы их смягчения

Worst DNS attacks and how to mitigate them

Макс Бендера

(СС0)

Система доменных имен остается под постоянной атакой, и там, кажется, конца этому не видно нет, как угрозы становятся все более изощренными.

ДНС, известный как телефонный справочник в сети, является частью глобальной инфраструктуры интернета, который преобразовывает знакомые имена и числа компьютеров нужно получить доступ к веб-сайт или отправить по электронной почте. А ДНС уже давно мишенью злоумышленников, пытающихся похитить все виды корпоративной и личной информации, угрозы в прошлом году или так указывают на ухудшение ситуации.

Компания компания IDC сообщает, что 82% компаний по всему миру столкнулись с ДНС-атак за прошлый год. Исследовательская компания недавно опубликовала свое пятое ежегодное глобальной ДНС опасный доклад, основанный на исследовании компании IDC, проведенного по поручению EfficientIP поставщика безопасности ДНС из 904 организаций по всему миру в первой половине 2019 года.

Новый Наш игровой сайт жив! Сайт сайт GameStar обложки игр, игровых гаджетов и снаряжения. Подпишитесь на нашу рассылку и мы пришлем наших лучших материалов прямо на ваш почтовый ящик. Узнайте больше здесь.

По данным исследовательской компании IDС, в среднем расходы, связанные с ДНС-атак выросла на 49% по сравнению с предыдущим годом. В США, средняя стоимость в DNS-атак достигает более 1,27 миллионов долларов. Почти половина респондентов (48%) сообщают, что потери больше чем 500 000 $на ДНС-атаки, а почти 10% сказали, что они потеряли на каждое нарушение более чем на 5 млн. долл. Кроме того, большинство организаций США сказать, что это заняло больше одного дня, чтобы разрешить ДНС-атаки.

“Тревожно, как в доме, так и облачные приложения были повреждены, с ростом более 100% для простоя приложений, что делает его сейчас наиболее распространенным ущербом,” МЦД писал. «ДНС-атаки отходят от чисто грубой силы для более изощренных атак, действуя из внутренней сети. Это вынуждает использовать интеллектуальные инструменты по смягчению последствий, чтобы справиться с внутренними угрозами».

Морская черепаха кампании угон ДНС

Постоянный перехват DNS в кампании, известной как морская черепаха является одним из примеров того, что происходящее сегодня в ДНС угроз.

В этом месяце, исследователи в области безопасности компании Cisco Талос сказал, что люди за кампанию морских черепах были заняты перестройкой своих атак с новой инфраструктурой и иду за новыми жертвами.

В апреле, Талос выпустил доклад о морской черепахи и называя это “первый известный случай название организации реестра домена, который был взломан для операций кибершпионажа”. Талос говорит о продолжающейся кампании опасный ДНС-это спонсируемые государством атаки, что для злоупотребления сбора данных в DNS, чтобы получить доступ к конфиденциальным сетей и систем таким образом, что жертвы не в состоянии обнаружить, который отображает уникальные знания о том, как управлять ДНС.

Получив контроль над ДНС потерпевших, злоумышленники могут изменять или искажать какие-либо сведения в интернете и незаконно изменить имя в DNS-записей пользователям актера-контролируемых серверов; пользователи посещают эти сайты никогда не знаешь, Талос отчета.

Хакеры за морских черепах появляются на перегруппировались после апрельского отчета от Талоса и удваивают свои усилия с новой инфраструктурой – ход Талос исследователи находят необычное: “в то время как многие актеры замедлится, как только они будут обнаружены, эта группа, похоже, будет на редкость наглой, и вряд ли откажутся идти вперед,” Талос писал в июле.

“Кроме того, мы открыли новый угон техники ДНС, которые мы оцениваем с умеренной степенью уверенности, подключен к актерам за морских черепах. Эта новая методика схожа в том, что актеры опасный компромисс записи сервера имен и отвечают на ДНС-запросы с поддельными записями,” Талос заявил.

“Этот новый метод наблюдалась только в нескольких крупных целевых операций. Мы также определили новую волну жертв, в том числе топ-уровня с кодами стран доменов (ссtld) реестра, который управляет записей для каждого домена ДНС [что] использует именно этому коду страны; что доступ был использован, чтобы потом компромисс дополнительных государственных структур. К сожалению, если не будут внесены существенные изменения, чтобы лучше защитить ДНС, эти виды атак, которые будут по-прежнему распространены” Талос писал.

DNSpionage атаки модернизирует свои инструменты

Еще одной новой угрозой для ДНС приходит в виде кампании нападения DNSpionage.

DNSpionage изначально использовали два веб-вредоносных сайтов, содержащих объявления о вакансиях на компромисс целей через документы, созданные в Майкрософт офис с внедренными макросами. Вредоносная программа поддерживает протоколы HTTP и ДНС в связи с нападавшими. Злоумышленники продолжают разрабатывать новые методы нападения.

“Постоянное развитие проблемы актерского DNSpionage вредоносных программ показывает, что злоумышленник продолжает искать новые пути, чтобы избежать обнаружения. Служба DNS-туннелирование-это популярный метод для эксфильтрации некоторых актеров, и недавние примеры DNSpionage показывают, что мы должны убедиться, что в следят так же пристально ДНС, как нормальные организации прокси-сервера веб-журналы или,” Талос писал. “ДНС-это, по сути, телефонной книгой интернета, и когда он подделан, то становится трудно определить, является ли то, что они видят Онлайн является законным.”

Кампания DNSpionage целенаправленных различных предприятий на Ближнем Востоке, а также Объединенные Арабские Эмираты англ.

“Одна из самых больших проблем с ДНС-атак или отсутствием защиты от них самоуспокоенности”, — сказал Крейг Уильямс, опасный интеллект разъяснительную работу менеджер по Талос. С Думаю, что ДНС-это стабильный и, что они не должны беспокоиться об этом. “Но то, что мы наблюдаем с атак, таких как DNSpionage и морских черепах являются своего рода противоположность, поскольку злоумышленники выяснили, как использовать его в своих интересах – как использовать его, чтобы нанести ущерб учетные данные таким образом, в случае морских черепах, что жертва даже не знает, как это произошло. И это реальная потенциальная проблема”.

Если вы знаете, например, имя вашего сервера была нарушена, то вы можете заставить всех изменить свои пароли. Но если вместо этого они идут после того, как регистратор и очки регистратора назвать плохим парнем, вы никогда не знал, что это случилось, потому что ничего твоего умилился – вот почему эти новые угрозы настолько отвратительной, сказал Уильямс.

“После того, как злоумышленники начинают использовать его публично, успешно, другие плохие парни собираются посмотреть на это и сказать, ‘Эй, почему бы мне не использовать это, чтобы собрать кучу учетные данные от сайтов, которые меня интересуют”, — сказал Уильямс.

Предупреждения безопасности ДНС расти

Британского Национального Центра кибербезопасности (НКСК) вынесено предупреждение в этом месяце о текущих ДНС-атак, в частности на перехват DNS-сервера. Он привел ряд рисков, связанных с ростом в ДНС угон, включая:

Создание вредоносных ДНС-записей. Вредоносный ДНС-записи могут использоваться, например, чтобы создать фишинговый сайт, который присутствует в домен организации. Эта сумма может быть использована для фишинга сотрудников или клиентов.

Получение протокола SSL-сертификатов. Домен-проверку протокола SSL-сертификаты выдаются на основе создания ДНС-записи; таким образом, злоумышленник может получить действительные протокол SSL-сертификаты для домена, который может быть использован для создания фишинг-сайт предназначен, чтобы выглядеть как подлинный сайт, например.

Прозрачное проксирование. Одним из серьезных занятых риска в последнее время сопряжена прозрачного проксирования трафика с целью перехвата данных. Злоумышленник изменяет организации необходимые записи доменной зоны (например, “А” или “циклической” записи) в момент трафик на свой собственный айпи-адрес, который является инфраструктуры, которыми они управляют.

“Организация может потерять полный контроль над своим доменом и часто нападавшие изменить данные владельца домена, что делает его труднее восстанавливаться”, в ННКЦ писал.

Этих новых угроз, а также других опасностей, заставили правительство США выдать предупреждение в начале этого года о ДНС нападений на федеральные агентства.

Министерство внутренней безопасности, кибербезопасности и безопасности инфраструктуры (чиза) рассказали все федеральные учреждения болт вниз свои ДНС в лице ряда глобальных хакерских кампаний.

В своей чрезвычайной директиве чиза отметил, что он следил за серии инцидентов, направленных против инфраструктуры ДНС. Чиза писал, что это “известно о нескольких исполнительной власти по доменам, которые были затронуты кампания фальсификации и уведомил агентств, которые поддерживают их”.

Чиса пишет, что злоумышленникам удалось перехватить и перенаправить веб-и почтового трафика, и может другие сетевые сервисы. Агентство заявило, что атаки начинаются с компрометацией учетных данных пользователя для учетной записи, которая может внести изменения в записи ДНС. Затем злоумышленник изменяет ДНС-записи, такие как адрес электронной почты или имя сервера записи, заменив законный адреса служб адрес управления злоумышленника.

Эти действия позволяют атакующему прямого пользовательского трафика на собственной инфраструктуры для работы или осмотра перед передачей его законным службе, они должны выбрать. Это создает риск, который сохраняется за период перенаправление трафика, чиза и заявил.

“Потому что злоумышленник может установить рекорд значения ДНС, они могут также иметь действующие сертификаты шифрования для доменных имен организации. Это позволяет перенаправить трафик расшифрован, выставляя любой пользователь представил данных. Поскольку сертификат действителен для домена, пользователи не получают никаких предупреждений об ошибке” чиза заявил.

Встать на подножку с помощью DNSSEC

“Предприятия, которые являются потенциальными целями – в частности те, которые захватывают и не подвергайте пользователей и корпоративных данных за счет их применения – следует прислушаться этих советов по СНБ и должно оказать давление на своих ДНС-регистратора и поставщиков, чтобы сделать технологию DNSSEC и другие доменные рекомендации по обеспечению безопасности, легко реализовать и стандартизированы”, — сказал Крис Биверс, соучредитель и генеральный директор ДСН безопасности поставщика серверах серверах ns1. “Они могут легко внедрить технологию DNSSEC подписания и другого домена рекомендации по обеспечению безопасности с использованием технологий на рынке сегодня. По крайней мере, они должны работать со своими поставщиками и команды безопасности с целью контроля их реализации”.

Технология технология DNSSEC была в новостях в начале этого года, когда в ответ на увеличение ДНС-атак, интернет-корпорация по присвоению имен и номеров в интернете (ICANN) призывает к активизации усилий сообщества, чтобы установить более сильные техники безопасности ДНС.

В частности, корпорация хочет полного развертывания расширений безопасности системы доменных имен (DNSSEC) в в всех беззалоговые доменных имен. Технология технология DNSSEC добавляет слой безопасности на ДНС. Полное развертывание технологии DNSSEC гарантирует, что конечные пользователи подключаются к веб-сайт или другая служба, соответствующий определенному доменному имени, сказал ИКАНН. “Хотя это не решит всех проблем безопасности сети, она действительно защищает важную его часть – поиск каталога – дополняя другие технологии, такие как протокол SSL (протокол HTTPS:), которая защищает «беседу», и обеспечить платформу для еще-к-быть-развитых улучшения безопасности, что” у ICANN не заявил.

Технологии Технология DNSSEC не были вокруг начиная с 2010 г., но не широко распространенным, с менее чем от ДНС мировых регистраторов развернув 20% его, по данным регионального интернет-реестра адресов для Азиатско-Тихоокеанского региона (APNIC) с с.

Внедрение технологии DNSSEC не была отстающей, поскольку она рассматривалась как факультативный и может потребоваться компромисс между безопасностью и функциональностью, сказал Биверс НС1 по.

Традиционные угрозы ДНС

При угоне ДНС может быть метод передней линии атаки, другие более традиционные угрозы по-прежнему существуют.

Исследование компании IDC/EfficientIP нашли наиболее популярных угрозах ДНС изменились по сравнению с прошлым годом. Фишинг (47%) сейчас более популярны, чем в прошлом году любимый, на основе ДНС вредоносных программ (39%), далее следуют ддос-атак (30%), ложноположительные срабатывания (26%), и блокировкой домена атак (26%).

Эксперты говорят, что отравление кэша DNS-сервера, либо ДНС-спуфинг, тоже еще довольно часто. Используя отравления кэша, злоумышленникам внедрить вредоносный данных в системах кэш сопоставителя DNS и в попытке перенаправить пользователей на сайты злоумышленника. Затем они могут украсть личную информацию или другие данные.

Служба DNS-туннелирование, которое использует службу DNS, чтобы представить скрытый канал связи, который затем может обойти брандмауэр, еще одна опасная атака.

Блок 42 исследователи в области безопасности Пало Альто подробно один из самых известных в DNS-туннелирование атаки: буровой вышке.

Вышки поставлены трояны, которые на DNS-туннелирование используют в для управления контроля и атак, используемых для кражи данных как минимум с мая 2016 года. С тех пор группа опасный представил новые инструменты, используя различные протоколы туннелирования в свой набор инструмента, по данным блога блок 42 о Вышке.

“Группа буровых неоднократно используется в DNS-туннелирование в качестве канала для обмена данными между серверами С2 и многие из их инструментов”, блок 42 заявил.

«Один существенный недостаток использования службы DNS-туннелирование большого количества ДНС-запросов выдается для передачи данных туда и обратно между инструментом и С2 сервер, который может выделяться на тех, кто наблюдает за работой ДНС на своих сетях», блок 42 исследователи отметили.

ДНС-атаки;

Есть ряд вещей, которые предприятия могут сделать, чтобы сохранить большинство из этих нападений на залив, говорят эксперты.

Самое большое, что пользователи могут сделать, это реализовать двухфакторную аутентификацию, Талос’, — сказал Уильямс. «Это можно легко реализовать, и все понимают, что это такое и уже никого не удивляет. Компании должны также любые патч сайты, которые находятся в публичном доступе – мы хорошо за-ну, будем надеяться, что они не найдут нас мир – это не сработает.»

Есть десятки других предложено безопасности ДНС лучшей практики. Мы собрали некоторые здесь, начиная с тех, от национальной безопасности, кибербезопасности и безопасности инфраструктуры (чиза).

Лучшие практики безопасности ДНС-чиза включать следующие советы: