Cholloventas

Globalne zagrożenie porwaniem DNS

Posted on by admin

co to jest globalne zagrożenie porwaniem DNS?

eksperci z największych firm zajmujących się bezpieczeństwem cybernetycznym, w tym Tripwire, FireEye i Mandiant, donieśli o alarmująco dużej fali ataków DNS na całym świecie. Ataki te skierowane są na podmioty rządowe, telekomunikacyjne i internetowe na Bliskim Wschodzie, w Europie, Afryce Północnej i Ameryce Północnej.

naukowcy nie zidentyfikowali publicznie Stron będących celem ataków, ale przyznali, że liczba domen, które zostały naruszone, jest w dziesiątkach. Ataki te, które mają miejsce co najmniej od 2017 roku, są używane w połączeniu z wcześniej skradzionymi poświadczeniami, aby skierować użytkowników do fałszywych stron internetowych zaprojektowanych w celu kradzieży poświadczeń logowania i innych poufnych informacji.

chociaż nikt nie przypisał sobie tych ataków, wielu ekspertów uważa, że ataki pochodzą z Iranu. Kilka adresów IP napastników zostało przypisanych do Iranu. Chociaż możliwe jest, że napastnicy fałszują irańskie adresy IP, aby zrzucić zapach, cele ataku również wydają się wskazywać na Iran. Cele obejmują strony rządowe kilku krajów Bliskiego Wschodu, strony zawierające dane, które nie mają żadnej wartości finansowej, ale byłyby bardzo cenne dla rządu Iranu.

jak działają te ataki DNS?

istnieje kilka różnych strategii ataku, ale przepływ ataków jest następujący:

  1. atakujący tworzy fałszywą witrynę, która wygląda i czuje się dokładnie tak, jak witryna, na którą celuje.
  2. atakujący używa ataku ukierunkowanego (takiego jak spear phishing), aby uzyskać dane logowania do panelu administracyjnego dostawcy DNS* dla witryny docelowej.
  3. atakujący przechodzi następnie do panelu administracyjnego DNS i zmienia rekordy DNS dla witryny, którą atakuje (jest to znane jako przejmowanie DNS), dzięki czemu użytkownicy próbujący uzyskać dostęp do witryny zostaną wysłani do fałszywej witryny.
  4. atakujący fałszuje certyfikat szyfrowania TLS, który przekona przeglądarkę użytkownika, że strona pozorowana jest legalna.
  5. nic nie podejrzewający użytkownicy przechodzą do adresu URL zagrożonej witryny i zostają przekierowani na stronę pozorowaną.
  6. użytkownicy próbują zalogować się na fałszywej stronie, a ich dane logowania są zbierane przez atakującego.

przejęcie DNS

*System nazw domen (DNS) jest jak książka telefoniczna Internetu. Gdy użytkownik wpisze adres URL, np. „google.com” w swojej przeglądarce, jej rekordy w serwerach DNS, które kierują tego użytkownika do serwera origin Google. Jeśli te rekordy DNS są manipulowane, użytkownicy mogą skończyć w miejscu, którego się nie spodziewali.

jak można zapobiec atakom DNS?

poszczególni użytkownicy nie mogą zrobić wiele, aby chronić się przed utratą poświadczeń w tego typu atakach. Jeśli atakujący jest wystarczająco dokładny podczas tworzenia swojej fałszywej witryny, może być bardzo trudno nawet zaawansowanym technicznie użytkownikom dostrzec różnicę.

jednym ze sposobów złagodzenia tych ataków byłoby wzmocnienie uwierzytelniania przez dostawców DNS, podjęcie takich środków, jak wymóg uwierzytelniania dwuskładnikowego, co znacznie utrudniłoby atakującym dostęp do paneli administracyjnych DNS. Przeglądarki mogą również aktualizować swoje reguły bezpieczeństwa, na przykład sprawdzając źródło certyfikatów TLS, aby upewnić się, że pochodzą one ze źródła zgodnego z domeną, na której są używane.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.