Ataques contra o Domain Name System (DNS) em que agentes mal-intencionados exploram vulnerabilidades no protocolo DNS da Internet são muito comuns e caros.

O Domain Name System (Sistema de Nomes de Domínio) está sob constante ataque e parece não haver fim para esses ataques à medida que as ameaças se tornam mais sofisticadas. O DNS é tanto quanto a lista telefônica da Internet, é a parte da infra-estrutura global da Internet que traduz nomes conhecidos em números que os computadores precisam para acessar um site ou enviar e-mail. Embora o DNS tenha sido alvo de ataques projetados para roubar todos os tipos de informações corporativas e privadas, as ameaças que surgiram no ano passado indicam um agravamento da situação.

Confira também:

O trabalho do DNS é traduzir um termo que um usuário pode inserir em um campo de pesquisa (conhecido como nome legível) na sequência apropriada de números (endereço IP) que o dispositivo precisa para acessar um site ou enviar e-mail. Os ataques a esses sistemas insubstituíveis podem ser extremamente maliciosos.

Uma pesquisa da IDC de 2021 com mais de 1.100 organizações na América do Norte, Europa e região da Ásia-Pacífico descobriu que 87% delas sofreram ataques de DNS. O custo médio de cada ataque foi de cerca de US$ 950.000 para todas as regiões e cerca de US$ 1 milhão para organizações norte-americanas.

O que é DNS e como funciona

O relatório também observou que as organizações em todos os setores sofreram uma média de 7,6 ataques no ano passado.

A transição do COVID-19 para o trabalho externo e a resposta das empresas à movimentação de recursos para a nuvem para aumentar sua disponibilidade se tornaram novos alvos para os invasores, de acordo com o relatório.

O estudo também constatou um aumento acentuado no roubo de dados via DNS – 26% das organizações relataram roubar informações confidenciais de clientes, acima dos 16% em 2020.

Apresentamos os tipos mais comuns de ataques DNS.

DNS Boost desencadeia ataques DDOS

Um ataque de amplificação de DNS é uma forma comum de negação de serviço distribuída (DDoS) que usa servidores DNS abertos e disponíveis publicamente para sobrecarregar o sistema de destino com tráfego de resposta DNS.

De acordo com a Cybersecurity and Infrastructure Agency (CISA), que lidera os esforços dos EUA para aumentar a resiliência da infraestrutura física e eletrônica do país, um invasor envia uma solicitação de pesquisa de um servidor DNS aberto para um nome DNS com um endereço de origem definido como o endereço de destino.

Quando o servidor DNS envia uma resposta ao registro DNS, ele é enviado ao destino. A CISA disse que os invasores normalmente enviam uma solicitação para obter o máximo de informações de área possível para maximizar o efeito de polimento. Na maioria dos ataques desse tipo observados pelo US-CERT, as consultas projetadas enviadas pelos invasores são do tipo “qualquer”, que retorna todas as informações de zona DNS conhecidas em uma única consulta.

Como o volume de resposta é muito maior que as solicitações, o invasor pode aumentar o volume de tráfego direcionado aos sistemas de destino. De acordo com a CISA, usando botnets para gerar um grande número de consultas DNS personalizadas, um invasor pode gerar um enorme tráfego de rede sem muito esforço.

Como as respostas são dados legítimos provenientes de servidores importantes, disse a agência, é muito difícil impedir esses tipos de ataques. A forma mais comum desse ataque observada pelo US-CERT são os servidores DNS configurados para permitir a solução de problemas recursiva irrestrita de qualquer cliente na Internet. A CISA observa que os ataques também podem ter como alvo servidores de nomes confiáveis ​​que não fornecem solução de problemas frequente.

Falsificação de DNS/corrupção de cache

Usando a falsificação de DNS, também conhecida como corrupção de cache, os agentes mal-intencionados usam fraquezas nos servidores DNS para sequestrá-los. Ao explorar a corrupção do cache, os invasores injetam dados maliciosos nos sistemas de cache do resolvedor de DNS na tentativa de redirecionar os usuários para sites pertencentes aos invasores. Os invasores podem roubar dados pessoais ou interceptar outras informações.

Quando os invasores obtêm o controle do servidor DNS, eles podem modificar as informações no cache (isso é envenenamento de DNS). O código de corrupção do cache DNS geralmente é encontrado em URLs enviados em e-mails de spam ou phishing. Essas mensagens tentam alertar os usuários sobre um evento que requer atenção imediata, que exige clicar em um URL fornecido pelos invasores.

Os servidores DNS podem acessar os caches de outros servidores DNS, e é assim que o ataque se espalha por toda parte. O principal risco de corromper o DNS é o roubo de dados. Outro grande risco: se o site do seu provedor de segurança da Internet for adulterado, seu computador poderá ficar exposto a ameaças adicionais, como vírus ou cavalos de Troia, porque as atualizações de segurança legítimas não serão executadas.

Túnel DNS

Outra maneira comum de atacar o DNS, e uma das mais antigas, é o tunelamento de DNS. Esses ataques usam o protocolo DNS para transmitir malware e outros dados em um modelo cliente-servidor. Essas cargas úteis podem assumir o controle do servidor DNS e permitir que invasores gerenciem o servidor e seus aplicativos.

Um encapsulamento cria uma conexão furtiva entre o invasor e o alvo – por meio de um resolvedor de DNS – que pode contornar o firewall. Os cibercriminosos podem usar o túnel para atividades maliciosas, como roubo de dados.

O tunelamento DNS em muitos casos depende da conexão de rede externa do sistema comprometido, que permite o acesso ao servidor DNS interno por meio do acesso à rede.

Fast Stream ignora a verificação de segurança

Fast Flux é uma técnica de prevenção de DNS na qual os invasores usam botnets para ocultar suas atividades de phishing e malware de verificadores de segurança usando os endereços IP em constante mudança de hosts comprometidos que atuam como proxies reversos para o servidor principal do bot.

O termo “fluxo rápido” também se refere à combinação de redes ponto a ponto, comando e controle distribuído, balanceamento de carga de rede e encaminhamento de proxy, que são usados ​​para imunizar uma rede de malware contra detecção.

A principal ideia por trás do Fast Flux é ter um grande número de endereços IP associados a um único nome de domínio legítimo, pois os endereços IP são frequentemente trocados pela alteração dos registros de recursos DNS. Os servidores de nomes de domínio certificados de fluxo rápido são hospedados principalmente por um cibercriminoso.

Sequestro/redirecionamento de DNS

O sequestro de DNS (ou redirecionamento de DNS) é a prática de minar a maneira como as consultas de DNS são resolvidas. Os cibercriminosos fazem isso usando malware que substitui a configuração TCP/IP de um sistema para apontar para um servidor DNS não autorizado sob o controle do invasor ou modificando o comportamento de um servidor DNS confiável para torná-lo incompatível com os padrões da Internet. Os maus atores usam esses mods para fins maliciosos, como phishing.

Existem três versões principais de sequestro de DNS:

Os invasores violam a conta do registrador de domínio e modificam o servidor de nomes DNS para um servidor que eles controlam Alterando o registro do endereço IP do domínio para apontar para o endereço do invasor

Os invasores penetram no roteador da empresa e alteram o servidor DNS, que é enviado automaticamente para cada máquina quando os usuários fazem login na rede da empresa.

Como evitar ataques de DNS

As organizações podem adotar várias práticas para ajudar a reduzir o risco de ataques de DNS.

Aqui estão algumas práticas sugeridas:

Implemente um controle de acesso mais forte

As empresas precisam tomar medidas para controlar melhor quem pode acessar a rede. Uma maneira de fazer isso é implementar a autenticação multifator ou de dois fatores como forma de acessar sua conta ou sistema online. Isso exige que os usuários forneçam mais de um tipo de informação, como senha e ID, para acesso.

As empresas devem garantir que a autenticação multifator esteja habilitada em todas as contas de log ou log, para que as senhas não sejam fáceis de adivinhar, armazenadas com segurança e não sejam reutilizadas nos serviços.

A CISA recomenda que as organizações atualizem imediatamente suas senhas para todas as contas em sistemas que provavelmente farão alterações nos registros DNS, incluindo contas no software de servidor DNS gerenciado da organização, sistemas que gerenciam o programa, painéis de gerenciamento de operadores DNS externos e contas de registrador DNS.

Use o princípio da desconfiança

A abordagem da desconfiança em relação à segurança está ganhando força, em parte graças ao maior apoio do governo federal dos EUA, bem como aos modelos de negócios híbridos e remotos que incubaram muitas empresas. A confiança zero pode desempenhar um papel importante na redução das ameaças ao DNS.

A empresa de pesquisa Garner recomenda que os líderes de segurança e risco implementem dois grandes projetos de desconfiança de rede para reduzir o risco. A primeira é a implementação do sistema Zero Trust Network Access (ZTNA), que abstrai e centraliza os mecanismos de acesso para que engenheiros e pessoal de segurança sejam responsáveis ​​por eles.

Concede acesso apropriado com base na identidade dos usuários e seus dispositivos e com base em outros fatores, como hora e data, localização geográfica, padrões históricos de uso e integridade do dispositivo. O resultado, diz o Gartner, é um ambiente mais seguro e resiliente, com maior flexibilidade e monitoramento aprimorado.

Outro projeto é a segmentação de rede baseada em identidade, que o Gartner acredita ser uma maneira eficaz de limitar a capacidade dos invasores de navegar na rede depois de entrar nela.

A empresa disse que a fragmentação baseada em identidade reduz a confiança implícita injustificada, permitindo que as organizações mudem as cargas de trabalho individuais para um modelo de “recusa padrão” em vez de uma “permissão implícita”. Ele usa regras dinâmicas que avaliam a carga de trabalho e a identidade do aplicativo como parte da decisão de permitir ou não o acesso à rede.

Revise e verifique os registros DNS

A CISA recomenda que, para todos os domínios que sua organização possui e gerencia, você revise todos os registros de domínio público com registradores de domínio para verificar se os registros de servidor de nomes (NS) associados estão autorizados aos servidores DNS apropriados. Você deve revisar todos os registros DNS em todos os servidores DNS confiáveis ​​e secundários para verificar se eles foram resolvidos para a finalidade pretendida.

As organizações devem investigar imediatamente quaisquer inconsistências encontradas e tratá-las como um potencial incidente de segurança. Essas ações ajudarão a detectar qualquer hack de DNS ativo.

Fonte: Network World