Cholloventas

Den Globale DNS-Kapringstrusselen

Posted on by admin

Hva er den globale DNS-kapringstrusselen?

Eksperter hos store cybersecurity-firmaer, Inkludert Tripwire, FireEye og Mandiant, har rapportert om en alarmerende stor bølge AV DNS-kapringsangrep som skjer over hele verden. Disse angrepene er rettet mot myndigheter, telekom og internett-enheter over Hele Midtøsten, Europa, Nord-Afrika og Nord-Amerika.

Forskere har ikke offentlig identifisert nettstedene som er målrettet, men har erkjent at antall domener som har blitt kompromittert er i dusinvis. Disse angrepene, som har skjedd siden minst 2017, blir brukt sammen med tidligere stjålet legitimasjon for å lede brukere til falske nettsteder designet for å stjele påloggingsinformasjon og annen sensitiv informasjon.

selv om ingen har tatt æren for disse angrepene, mange eksperter mener angrepene kommer Fra Iran. FLERE AV angripernes IP-adresser har blitt sporet tilbake Til Iran. Selv om det er mulig at angriperne spoofer Iranske Ip-Er for å kaste av duften, synes målene for angrepet også å peke På Iran. Målene inkluderer offentlige steder i Flere Land I Midtøsten, nettsteder som inneholder data som ikke har noen økonomisk verdi, men som vil være svært verdifulle for Irans regjering.

hvordan FUNGERER DISSE DNS-kapringsangrepene?

det er noen forskjellige angrepsstrategier som utføres, men strømmen av angrepene er som følger:

  1. angriperen lager et dummy-nettsted som ser ut og føles akkurat som nettstedet de målretter mot.
  2. angriperen bruker et målrettet angrep (for eksempel spear phishing) for å få påloggingsinformasjon til Administrasjonspanelet TIL DNS* – leverandøren for målområdet.
  3. angriperen går deretter inn I DNS-administrasjonspanelet og endrer DNS-postene for nettstedet de målretter mot (DETTE kalles DNS-Kapring), slik at brukere som prøver å få tilgang til nettstedet, i stedet blir sendt til dummy-nettstedet.
  4. angriperen smir et tls-krypteringssertifikat som vil overbevise en brukers nettleser om at dummy-nettstedet er legitimt.
  5. Intetanende brukere går til NETTADRESSEN til det kompromitterte nettstedet og blir omdirigert til dummy-nettstedet.
  6. brukerne forsøker deretter å logge inn på dummy-siden, og påloggingsinformasjonen blir høstet av angriperen.

DNS-Kapring

* Domenenavnsystemet (DNS) er som telefonboken På Internett. Når en bruker skriver INN EN URL, som ‘google.com – inn i nettleseren deres, sine poster I DNS-servere som leder den brukeren til Googles origin-server. HVIS DISSE DNS-postene er manipulert, kan brukerne ende opp et sted de ikke hadde forventet.

hvordan kan DNS-kapringsangrep forhindres?

Individuelle brukere kan ikke gjøre mye for å beskytte seg mot å miste legitimasjon i disse typer angrep. Hvis angriperen er grundig nok når du oppretter deres dummy nettsted, kan det være svært vanskelig for selv svært tekniske brukere å se forskjellen.

En måte å redusere disse angrepene på, ville VÆRE FOR DNS-leverandører å bøte opp autentiseringen, og ta tiltak som krever 2-faktorautentisering, noe som ville gjøre det dramatisk vanskeligere for angripere å få tilgang TIL DNS-administrasjonspaneler. Nettlesere kan også oppdatere sine sikkerhetsregler, for eksempel granske kilden TIL tls-sertifikater for å sikre at de kommer fra en kilde som er i samsvar med domenet de blir brukt på.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.