Gli attacchi contro il Domain Name System (DNS) in cui attori malintenzionati sfruttano le vulnerabilità nel protocollo DNS di Internet sono molto comuni e costosi.

Il Domain Name System (Domain Name System) è costantemente sotto attacco e sembra non esserci fine a questi attacchi man mano che le minacce diventano più sofisticate. Il DNS è tanto quanto la rubrica di Internet, è la parte dell’infrastruttura Internet globale che traduce i nomi noti in numeri di cui i computer hanno bisogno per accedere a un sito Web o inviare e-mail. Mentre il DNS è stato a lungo il bersaglio di attacchi volti a rubare tutti i tipi di informazioni aziendali e private, le minacce emerse nell’ultimo anno indicano un peggioramento della situazione.

Controlla anche:

Il compito del DNS è tradurre un termine che un utente può inserire in un campo di ricerca (noto come nome leggibile dall’uomo) nella stringa di numeri appropriata (indirizzo IP) di cui il dispositivo ha bisogno per accedere a un sito Web o inviare e-mail. Gli attacchi a questi sistemi insostituibili possono essere estremamente dannosi.

Un sondaggio IDC del 2021 su oltre 1.100 organizzazioni in Nord America, Europa e nella regione Asia-Pacifico ha rilevato che l’87% di esse ha subito attacchi DNS. Il costo medio di ogni attacco era di circa $ 950.000 per tutte le regioni e di circa $ 1 milione per le organizzazioni nordamericane.

Cos’è il DNS e come funziona

Il rapporto rileva inoltre che le organizzazioni di tutti i settori hanno subito una media di 7,6 attacchi nell’ultimo anno.

Il passaggio del COVID-19 al lavoro fuori sede e la risposta delle aziende allo spostamento delle risorse nel cloud per aumentarne la disponibilità sono diventati nuovi obiettivi per gli aggressori, secondo il rapporto.

Lo studio ha anche rilevato un forte aumento del furto di dati tramite DNS: il 26% delle organizzazioni ha riferito di aver rubato informazioni riservate sui clienti, rispetto al 16% nel 2020.

Presentiamo i tipi più comuni di attacchi DNS.

DNS Boost attiva gli attacchi DDOS

Un attacco di amplificazione DNS è una forma comune di DDoS (Distributed Denial of Service) che utilizza server DNS aperti e pubblicamente disponibili per sovraccaricare il sistema di destinazione con il traffico di risposta DNS.

Secondo la Cybersecurity and Infrastructure Agency (CISA), che guida gli sforzi degli Stati Uniti per aumentare la resilienza dell’infrastruttura fisica ed elettronica del paese, un utente malintenzionato invia una richiesta di ricerca per un server DNS aperto per un nome DNS con un indirizzo di origine impostato come indirizzo di destinazione.

Quando il server DNS invia una risposta al record DNS, viene inviato alla destinazione. La CISA ha affermato che gli aggressori in genere inviano una richiesta per ottenere quante più informazioni possibili sull’area per massimizzare l’effetto lucidante. Nella maggior parte degli attacchi di questo tipo osservati dall’US-CERT, le query progettate inviate dagli aggressori sono di tipo “any”, che restituisce tutte le informazioni sulla zona DNS note in un’unica query.

Poiché il volume di risposta è molto più grande delle richieste, l’autore dell’attacco può aumentare il volume di traffico diretto ai sistemi di destinazione. Secondo CISA, utilizzando le botnet per generare un gran numero di query DNS personalizzate, un utente malintenzionato può generare un enorme traffico di rete senza troppi sforzi.

Poiché le risposte sono dati legittimi provenienti da server importanti, ha affermato l’agenzia, è molto difficile prevenire questo tipo di attacchi. La forma più comune di questo attacco osservata dall’US-CERT sono i server DNS configurati per consentire la risoluzione dei problemi ricorsiva illimitata di qualsiasi client su Internet. CISA rileva che gli attacchi possono anche prendere di mira server dei nomi attendibili che non forniscono frequenti problemi di risoluzione dei problemi.

Spoofing DNS/danneggiamento della cache

Utilizzando lo spoofing DNS, noto anche come danneggiamento della cache, i malintenzionati utilizzano i punti deboli dei server DNS per dirottarli. Sfruttando il danneggiamento della cache, gli aggressori iniettano dati dannosi nei sistemi di cache del resolver DNS nel tentativo di reindirizzare gli utenti ai siti di proprietà degli aggressori. Gli aggressori potrebbero quindi rubare dati personali o intercettare altre informazioni.

Quando gli aggressori ottengono il controllo del server DNS, possono modificare le informazioni nella cache (questo è DNS poisoning). Il codice di danneggiamento della cache DNS si trova spesso negli URL inviati in e-mail di spam o phishing. Questi messaggi tentano di avvisare gli utenti di un evento che richiede un’attenzione immediata, che richiede il clic su un URL fornito dagli aggressori.

I server DNS possono accedere alle cache di altri server DNS ed è così che l’attacco si diffonde in lungo e in largo. Il rischio principale di corrompere il DNS è il furto di dati. Un altro grande rischio: se il sito Web del tuo provider di sicurezza Internet viene manomesso, il tuo computer potrebbe essere esposto a minacce aggiuntive come virus o trojan perché gli aggiornamenti di sicurezza legittimi non verranno eseguiti.

Tunnel DNS

Un altro modo comune per attaccare il DNS, e uno dei più vecchi, è il tunneling DNS. Questi attacchi utilizzano il protocollo DNS per trasmettere malware e altri dati in un modello client-server. Questi payload possono assumere il controllo del server DNS e consentire agli aggressori di gestire il server e le sue applicazioni.

Un tunneling crea una connessione nascosta tra l’attaccante e il bersaglio, tramite un resolver DNS, che può bypassare il firewall. I criminali informatici possono utilizzare il tunnel per attività dannose come il furto di dati.

Il tunneling DNS in molti casi dipende dalla connessione di rete esterna del sistema compromesso, che consente l’accesso al server DNS interno tramite l’accesso alla rete.

Il flusso veloce bypassa il controllo di sicurezza

Fast Flux è una tecnica di evitamento DNS in cui gli aggressori utilizzano le botnet per nascondere le proprie attività di phishing e malware agli scanner di sicurezza utilizzando gli indirizzi IP in continua evoluzione degli host compromessi che fungono da proxy inverso per il server principale del bot.

Il termine “flusso veloce” si riferisce anche alla combinazione di reti peer-to-peer, comando e controllo distribuiti, bilanciamento del carico di rete e inoltro proxy, utilizzati per immunizzare una rete di malware dal rilevamento.

L’idea principale alla base di Fast Flux è quella di avere un numero elevato di indirizzi IP associati a un unico nome di dominio legittimo, poiché gli indirizzi IP vengono spesso scambiati modificando i record di risorse DNS. I server dei nomi di dominio a flusso rapido certificati sono per lo più ospitati da un criminale informatico.

Dirottamento/reindirizzamento DNS

Il dirottamento DNS (o reindirizzamento DNS) è la pratica di minare il modo in cui vengono risolte le query DNS. I criminali informatici lo fanno utilizzando malware che sovrascrive la configurazione TCP/IP di un sistema per puntare a un server DNS canaglia sotto il controllo dell’attaccante o modificando il comportamento di un server DNS affidabile per renderlo incompatibile con gli standard Internet. I malintenzionati usano queste mod per scopi dannosi come il phishing.

Esistono tre versioni principali del dirottamento DNS:

Gli aggressori violano l’account del registrar di domini e modificano il server dei nomi DNS in un server che controllano Modifica del record dell’indirizzo IP del dominio in modo che punti all’indirizzo dell’attaccante

Gli aggressori penetrano nel router aziendale e modificano il server DNS, che viene inviato automaticamente a ciascuna macchina quando gli utenti accedono alla rete aziendale.

Come prevenire gli attacchi DNS

Le organizzazioni possono adottare una serie di pratiche per ridurre il rischio di attacchi DNS.

Ecco alcune pratiche suggerite:

Implementare un controllo degli accessi più forte

Le aziende devono assicurarsi di adottare misure per controllare meglio chi può accedere alla rete. Un modo per farlo è implementare l’autenticazione a più o due fattori come metodo per accedere al tuo account o sistema online. Ciò richiede agli utenti di fornire più di un tipo di informazioni, come password e ID, per l’accesso.

Le aziende dovrebbero garantire che l’autenticazione a più fattori sia abilitata su tutti gli account di registro o di registro, in modo che le password non siano facili da indovinare, archiviate in modo sicuro e non riutilizzate tra i servizi.

CISA raccomanda alle organizzazioni di aggiornare immediatamente le password per tutti gli account sui sistemi che potrebbero apportare modifiche ai record DNS, inclusi gli account nel software del server DNS gestito dall’organizzazione, i sistemi che gestiscono il programma, i pannelli di gestione degli operatori DNS esterni e gli account del registrar DNS.

Usa il principio della sfiducia

L’approccio diffidente alla sicurezza sta guadagnando slancio, grazie in parte al maggiore sostegno da parte del governo federale degli Stati Uniti, nonché ai modelli di business ibridi e remoti che hanno incubato molte aziende. Zero trust può svolgere un ruolo importante nella riduzione delle minacce DNS.

La società di ricerca Garner raccomanda che i leader della sicurezza e del rischio implementino due importanti progetti di sfiducia nella rete per ridurre il rischio. Il primo è l’implementazione del sistema Zero Trust Network Access (ZTNA), che astrae e centralizza i meccanismi di accesso in modo che ingegneri e personale di sicurezza ne siano responsabili.

Concede l’accesso appropriato in base all’identità degli utenti e dei loro dispositivi e in base ad altri fattori come ora e data, posizione geografica, modelli di utilizzo storici e stato del dispositivo. Il risultato, afferma Gartner, è un ambiente più sicuro e resiliente, con maggiore flessibilità e monitoraggio migliorato.

Un altro progetto è la segmentazione della rete basata sull’identità, che secondo Gartner è un modo efficace per limitare la capacità degli aggressori di navigare nella rete una volta entrati.

La società ha affermato che la frammentazione basata sull’identità riduce la fiducia implicita ingiustificata consentendo alle organizzazioni di spostare i carichi di lavoro individuali su un modello di “rifiuto predefinito” piuttosto che su un “permesso implicito”. Utilizza regole dinamiche che valutano il carico di lavoro e l’identità dell’applicazione come parte della decisione se consentire o meno l’accesso alla rete.

Rivedere e verificare i record DNS

CISA consiglia di rivedere tutti i record di dominio pubblico con i registrar di domini per tutti i domini che la tua organizzazione possiede e gestisce per verificare che i record del server dei nomi (NS) associati siano autorizzati ai server DNS appropriati. È necessario esaminare tutti i record DNS su tutti i server DNS attendibili e secondari per verificare che siano stati risolti per lo scopo previsto.

Le organizzazioni devono indagare immediatamente su eventuali incongruenze rilevate e trattarle come un potenziale incidente di sicurezza. Queste azioni aiuteranno a rilevare qualsiasi hack DNS attivo.

Fonte: Network World