RSAC 2019: угон всей IT-инфраструктуры компании через манипуляции с DNS

На RSAC 2019 представитель SANS Institute рассказал о том, как манипуляции с DNS позволяют угнать IT-инфраструктуру компании.

На RSA Conference 2019 представители SANS Institute рассказали о нескольких новых типах атак, которые, по мнению докладчиков, являются наиболее опасными. Об одной из них мы и поговорим в этом посте.

Потенциально атака, о которой рассказал сотрудник SANS Эд Скодис (Ed Skoudis), позволяет полностью угнать IT-инфраструктуру компании — и для этого даже не нужно использовать какие-то сложные инструменты, достаточно сравнительно несложных манипуляций с DNS.

Манипуляция инфраструктурой DNS, связанной с ресурсами компании

Вот как работает данная атака:

  • Атакующие тем или иным образом собирают логины и пароли скомпрометированных аккаунтов — а таких на данный момент только в известных базах сотни миллионов, если не миллиарды.
  • Используя эти учетные данные, атакующие логинятся к сервисам DNS-провайдеров и регистраторов доменов.
  • Далее атакующие редактируют записи DNS, подменяя соответствующую доменам корпорации инфраструктуру собственной.
  • В частности, они изменяют запись MX и таким образом перенаправляют всю корпоративную почту на принадлежащий атакующим почтовый сервер — и перехватывают все письма.
  • Атакующие регистрируют TLS-сертификаты для украденных доменов. На этом этапе они уже перехватывают корпоративную почту и могут предоставить доказательство владения доменом — в большинстве случаев это все, что требуется для выдачи сертификата.

После этого атакующие могут перенаправлять трафик, идущий на серверы атакуемой корпорации, на свои собственные машины. В результате все посетители веб-страниц попадают на фальшивые ресурсы, которые для всех фильтров и защитных систем выглядят как аутентичные. Впервые мы столкнулись с подобным в 2016 году: наши исследователи из бразильского отделения GReAT обнаружили атаку, позволившую злоумышленникам полностью угнать инфраструктуру крупного банка.

Что особенно опасно, так это то, что в ходе этой атаки организация-жертва лишается в том числе и коммуникаций. Почта угнана, телефоны, скорее всего, тоже, ведь подавляющее большинство компаний использует IP-телефонию. Все это сильно усложняет как внутреннюю координацию реакции на инцидент, так и общение с внешними организациями — DNS-провайдерами, сертификационными центрами, правоохранительными органами и так далее. А представьте, что все это происходит в выходной день, как это и было в случае угона бразильского банка?

Как защититься от угона IT-инфраструктуры через манипуляции с DNS

То, что в 2016 году было инновацией для киберпреступного мира, спустя пару лет стало распространенной практикой: в 2018 году использование подобной техники зафиксировали исследователи из многих ведущих компаний, специализирующихся на IT-безопасности. Так что это не абстрактная «красивая» угроза, а вполне конкретная атака, которую могут использовать для захвата вашей IT-инфраструктуры.

Вот что, по мнению Эда Скодиса, следует делать, чтобы защититься от манипуляций с инфраструктурой доменных имен:

  • Используйте многофакторную аутентификацию в инструментах управления вашей IT-инфраструктурой.
  • Используйте DNSSEC. При этом важно не забывать применять не только подписание, но и проверку DNS.
  • Следите за всеми изменениями DNS, касающимися принадлежащих вашей компании доменов. Для этого можно воспользоваться, например, сервисом SecurityTrails — он позволяет отправлять бесплатно до 50 запросов в месяц.
  • Следите за появлением дублирующих сертификатов к принадлежащим вам доменам и максимально быстро отправляйте заявку на их отзыв. Как это сделать, можно почитать в посте «MitM и DOS атаки с использованием дублирующих сертификатов».

От себя можем добавить только один совет — тщательно следите за своими паролями. Они должны быть уникальны и достаточно сложны. Как для генерации таких паролей, так и для их надежного хранения подойдет утилита Kasprsky Password Manager, являющаяся частью решения Kaspersky Small Office Security.

Советы

Как защитить умный дом

Чтобы умный дом принес вам больше пользы, чем вреда, его нужно правильно настроить и полноценно защитить. Разберем защиту умного дома в деталях.