Атаки на систему доменных имен (DNS), в которых злоумышленники используют уязвимости в протоколе DNS Интернета, очень распространены и обходятся дорого.

Система доменных имен (Domain Name System) находится под постоянными атаками, и кажется, что этим атакам нет конца, поскольку угрозы становятся все более изощренными. DNS — это не что иное, как телефонная книга Интернета, это часть глобальной инфраструктуры Интернета, которая переводит известные имена в числа, необходимые компьютерам для доступа к веб-сайту или отправки электронной почты. Хотя DNS уже давно является объектом атак, направленных на кражу всех видов корпоративной и частной информации, угрозы, появившиеся за последний год, свидетельствуют об ухудшении ситуации.

Проверьте также:

Задача DNS заключается в преобразовании термина, который пользователь может ввести в поле поиска (известного как удобочитаемое имя), в соответствующую строку цифр (IP-адрес), которая необходима устройству для доступа к веб-сайту или отправки электронной почты. Атаки на эти незаменимые системы могут быть чрезвычайно злонамеренными.

Опрос IDC 2021 года, в котором приняли участие более 1100 организаций в Северной Америке, Европе и Азиатско-Тихоокеанском регионе, показал, что 87% из них подвергались DNS-атакам. Средняя стоимость каждой атаки составила около 950 000 долларов для всех регионов и около 1 миллиона долларов для организаций в Северной Америке.

Что такое DNS и как он работает

В отчете также отмечается, что за последний год организации во всех отраслях подверглись в среднем 7,6 атакам.

Согласно отчету, переход COVID-19 на удаленную работу и реакция компаний на перемещение ресурсов в облако для повышения их доступности стали новыми целями для злоумышленников.

Исследование также выявило резкий рост краж данных через DNS: 26% организаций сообщили о краже конфиденциальной информации о клиентах по сравнению с 16% в 2020 году.

Мы представляем наиболее распространенные типы DNS-атак.

DNS Boost запускает DDOS-атаки

Атака с усилением DNS — это распространенная форма распределенного отказа в обслуживании (DDoS), при которой используются открытые и общедоступные DNS-серверы для перегрузки целевой системы ответным трафиком DNS.

По данным Агентства кибербезопасности и инфраструктуры (CISA), которое возглавляет усилия США по повышению устойчивости физической и электронной инфраструктуры страны, злоумышленник отправляет запрос на поиск открытого DNS-сервера для DNS-имени с исходным адресом, установленным как исходный. адрес назначения.

Когда DNS-сервер отправляет ответ на DNS-запись, он отправляется получателю. По данным CISA, злоумышленники обычно отправляют запрос, чтобы получить как можно больше информации об области, чтобы максимизировать эффект полировки. В большинстве атак этого типа, наблюдаемых US-CERT, разработанные запросы, отправляемые злоумышленниками, имеют тип «любой», который возвращает всю известную информацию о зоне DNS в одном запросе.

Поскольку объем ответов намного больше запросов, злоумышленник может увеличить объем трафика, направляемого на целевые системы. По данным CISA, используя ботнеты для генерации большого количества специализированных DNS-запросов, злоумышленник может без особых усилий генерировать огромный сетевой трафик.

По словам агентства, поскольку ответы представляют собой законные данные, поступающие с важных серверов, предотвратить атаки такого типа очень сложно. Наиболее распространенной формой этой атаки, наблюдаемой US-CERT, являются DNS-серверы, которые настроены на неограниченное рекурсивное устранение неполадок любого клиента в Интернете. CISA отмечает, что атаки также могут быть нацелены на доверенные серверы имен, которые не обеспечивают частого устранения неполадок.

Спуфинг DNS / повреждение кэша

Используя спуфинг DNS, также известный как повреждение кэша, злоумышленники используют слабые места в DNS-серверах, чтобы захватить их. Используя повреждение кэша, злоумышленники внедряют вредоносные данные в системы кэширования преобразователя DNS, пытаясь перенаправить пользователей на сайты, принадлежащие злоумышленникам. Затем злоумышленники могут украсть личные данные или перехватить другую информацию.

Когда злоумышленники получают контроль над DNS-сервером, они могут изменять информацию в кеше (это отравление DNS). Код повреждения кэша DNS часто встречается в URL-адресах, отправляемых в спаме или фишинговых сообщениях. Эти сообщения пытаются предупредить пользователей о событии, требующем немедленного внимания, которое требует нажатия на URL-адрес, предоставленный злоумышленниками.

DNS-серверы могут получить доступ к кешам других DNS-серверов, и именно так атака распространяется повсюду. Основным риском повреждения DNS является кража данных. Еще один большой риск: если веб-сайт вашего провайдера безопасности в Интернете был взломан, ваш компьютер может быть подвержен дополнительным угрозам, таким как вирусы или трояны, поскольку законные обновления безопасности не будут выполняться.

DNS-туннель

Другим распространенным способом атаки на DNS и одним из самых старых является туннелирование DNS. Эти атаки используют протокол DNS для передачи вредоносных программ и других данных в модели клиент-сервер. Эти полезные нагрузки могут получить контроль над DNS-сервером и позволить злоумышленникам управлять сервером и его приложениями.

Туннелирование создает скрытое соединение между злоумышленником и целью через преобразователь DNS, которое может обойти брандмауэр. Киберпреступники могут использовать туннель для злонамеренных действий, таких как кража данных.

DNS-туннелирование во многих случаях зависит от внешнего сетевого подключения скомпрометированной системы, что позволяет получить доступ к внутреннему DNS-серверу через сетевой доступ.

Fast Stream обходит проверку безопасности

Fast Flux — это метод обхода DNS, при котором злоумышленники используют ботнеты, чтобы скрыть свои фишинговые и вредоносные действия от сканеров безопасности, используя постоянно меняющиеся IP-адреса скомпрометированных хостов, которые действуют как обратные прокси-серверы для основного сервера бота.

Термин «быстрый поток» также относится к комбинации одноранговых сетей, распределенного управления и контроля, балансировки сетевой нагрузки и переадресации прокси-серверов, которые используются для защиты сети от вредоносного ПО.

Основная идея Fast Flux заключается в том, чтобы иметь большое количество IP-адресов, связанных с одним законным доменным именем, поскольку IP-адреса часто обмениваются путем изменения записей ресурсов DNS. Сертифицированные серверы доменных имен с быстрым потоком в основном размещаются у киберпреступников.

Перехват/перенаправление DNS

Перехват DNS (или перенаправление DNS) — это практика подрыва способа разрешения DNS-запросов. Киберпреступники делают это, используя вредоносное ПО, которое перезаписывает конфигурацию TCP/IP системы, чтобы указать на мошеннический DNS-сервер, находящийся под контролем злоумышленника, или изменяя поведение доверенного DNS-сервера, чтобы сделать его несовместимым со стандартами Интернета. Злоумышленники используют эти моды для вредоносных целей, таких как фишинг.

Существует три основных варианта перехвата DNS:

Злоумышленники взламывают учетную запись регистратора домена и изменяют сервер имен DNS на сервер, который они контролируют. Изменение записи IP-адреса домена, чтобы она указывала на адрес злоумышленника.

Злоумышленники проникают в маршрутизатор предприятия и меняют DNS-сервер, который автоматически отправляется на каждую машину, когда пользователи входят в сеть предприятия.

Как предотвратить DNS-атаки

Организации могут применять ряд методов, чтобы снизить риск DNS-атак.

Вот несколько рекомендуемых практик:

Внедрить более строгий контроль доступа

Компании должны убедиться, что они предпринимают шаги для лучшего контроля того, кто может получить доступ к сети. Один из способов сделать это — реализовать многофакторную или двухфакторную аутентификацию в качестве способа доступа к вашей онлайн-учетной записи или системе. Это требует от пользователей предоставления более одного типа информации, например пароля и идентификатора, для доступа.

Компании должны убедиться, что многофакторная проверка подлинности включена для всех журналов или учетных записей журналов, чтобы пароли было нелегко угадать, они надежно хранились и не использовались повторно в разных службах.

CISA рекомендует организациям немедленно обновить свои пароли для всех учетных записей в системах, которые могут внести изменения в записи DNS, включая учетные записи в программном обеспечении управляемого DNS-сервера организации, системы, управляющие программой, панели управления внешних операторов DNS и учетные записи регистратора DNS.

Используйте принцип недоверия

Подход к безопасности с недоверием набирает обороты, отчасти благодаря возросшей поддержке со стороны федерального правительства США, а также гибридным и удаленным бизнес-моделям, которые породили многие компании. Нулевое доверие может сыграть важную роль в снижении угроз DNS.

Исследовательская фирма Garner рекомендует руководителям по безопасности и управлению рисками реализовать два крупных проекта недоверия к сети, чтобы снизить риск. Во-первых, это внедрение системы доступа к сети с нулевым доверием (ZTNA), которая абстрагирует и централизует механизмы доступа, чтобы за них отвечали инженеры и сотрудники службы безопасности.

Предоставляет соответствующий доступ на основе личности пользователей и их устройств, а также на основе других факторов, таких как время и дата, географическое положение, исторические модели использования и состояние устройства. Результатом, по словам Gartner, является более безопасная и отказоустойчивая среда с повышенной гибкостью и улучшенным мониторингом.

Еще одним проектом является сегментация сети на основе идентификации, которая, по мнению Gartner, является эффективным способом ограничить возможности злоумышленников перемещаться по сети после того, как они вошли в нее.

Компания заявила, что фрагментация на основе идентификации снижает необоснованное неявное доверие, позволяя организациям переключать отдельные рабочие нагрузки на модель «отказа по умолчанию», а не на «неявное разрешение». Он использует динамические правила, которые оценивают рабочую нагрузку и идентификатор приложения как часть принятия решения о разрешении доступа к сети.

Просмотрите и проверьте записи DNS

CISA рекомендует, чтобы для всех доменов, которыми владеет и управляет ваша организация, вы просматривали все записи общедоступных доменов у регистраторов доменов, чтобы убедиться, что соответствующие записи серверов имен (NS) авторизованы для соответствующих DNS-серверов. Вы должны просмотреть все записи DNS на всех доверенных и вторичных DNS-серверах, чтобы убедиться, что они разрешены по назначению.

Организации должны немедленно расследовать любые обнаруженные несоответствия и рассматривать их как потенциальный инцидент безопасности. Эти действия помогут обнаружить любой активный взлом DNS.

Источник: Сетевой мир