Основные угрозы для DNS-бизнеса
Обновлено: 21.11.2024
Система доменных имен продолжает подвергаться постоянным атакам, и кажется, что этому не будет конца, поскольку угрозы становятся все более изощренными.
DNS, известная как телефонная книга Интернета, является частью глобальной интернет-инфраструктуры, которая переводит знакомые имена и номера, необходимые компьютерам для доступа к веб-сайту или отправки электронной почты. Хотя DNS уже давно является целью злоумышленников, стремящихся украсть всевозможную корпоративную и личную информацию, угрозы последнего года или около того указывают на ухудшение ситуации.
Подробнее о DNS:
По данным IDC, 82 % компаний по всему миру сталкивались с DNS-атаками за последний год. Исследовательская фирма недавно опубликовала свой пятый ежегодный отчет Global DNS Threat Report, который основан на опросе, проведенном IDC от имени поставщика средств защиты DNS EfficientIP среди 904 организаций по всему миру в первой половине 2019 года.
Согласно исследованию IDC, средние затраты, связанные с DNS-атакой, выросли на 49 % по сравнению с прошлым годом. В США средняя стоимость DNS-атаки превышает 1,27 миллиона долларов. Почти половина респондентов (48%) сообщают о потере более 500 000 долларов США в результате атаки на DNS, и почти 10% говорят, что они потеряли более 5 миллионов долларов США при каждом взломе. Кроме того, большинство организаций США заявляют, что на устранение DNS-атаки ушло более одного дня.
«К сожалению, как внутренние, так и облачные приложения были повреждены, при этом время простоя внутренних приложений выросло более чем на 100%, что делает его наиболее распространенным ущербом», — пишет IDC. "DNS-атаки переходят от простого грубого перебора к более изощренным атакам, действующим из внутренней сети. Это заставит организации использовать интеллектуальные инструменты смягчения последствий для борьбы с внутренними угрозами".
Кампания по захвату DNS Sea Turtle
Продолжающаяся кампания по захвату DNS, известная как Sea Turtle, является одним из примеров того, что происходит в сегодняшнем ландшафте угроз DNS.
В этом месяце исследователи безопасности Cisco Talos заявили, что люди, стоящие за кампанией Sea Turtle, были заняты обновлением своих атак с использованием новой инфраструктуры и поиском новых жертв.
В апреле компания Talos опубликовала отчет с подробным описанием Sea Turtle и назвала его «первым известным случаем взлома организации реестра доменных имен в целях кибершпионажа». Талос говорит, что продолжающаяся кампания угроз DNS — это атака, спонсируемая государством, которая использует DNS для сбора учетных данных для получения доступа к конфиденциальным сетям и системам таким образом, который жертвы не могут обнаружить, что демонстрирует уникальные знания о том, как манипулировать DNS.
Получив контроль над DNS жертвы, злоумышленники могут изменить или фальсифицировать любые данные в Интернете и незаконно изменить записи DNS-имен, чтобы направить пользователей на серверы, контролируемые злоумышленниками; пользователи, посещающие эти сайты, никогда не узнают об этом, сообщает Talos.
Похоже, хакеры, стоящие за Sea Turtle, перегруппировались после апрельского отчета Talos и удвоили свои усилия с новой инфраструктурой. Исследователи Talos находят этот шаг необычным: кажется необычайно наглым, и вряд ли его удастся сдержать в будущем», — писал Талос в июле.
Десять лет назад угроза компрометации системы доменных имен (DNS) не была так важна для многих компаний. Тем не менее, в последние годы переход к цифровым технологиям ускорился экспоненциально, что, к сожалению, сопровождалось обратным увеличением масштабов и частоты киберпреступлений, связанных с DNS. То, как компании размещают, управляют и защищают свои DNS, теперь является неотъемлемой частью повышения их общего состояния цифровой безопасности.
Только при наличии правильной стратегии управления доменными именами организации могут защитить критически важные домены, связанные с ними цифровые услуги и интеллектуальную собственность бренда. Это должно быть ключевой частью любого процесса управления корпоративными доменными именами, чтобы организации могли защититься от утечек, избежать неприятных расходов из-за штрафов регулирующих органов и обеспечить репутацию бренда.
Проблемы кибербезопасности, связанные с DNS
После пандемии интернет-пространство претерпело и продолжает претерпевать радикальные изменения. Исследования показывают, что глобальная активность кибератак в первой половине 2021 года увеличилась на 125 процентов по сравнению с тем же периодом прошлого года*. Поскольку атаки становятся все более изощренными, а методы атак часто меняются, как никогда важно, чтобы предприятия защищали себя всеми возможными способами.
Часто когда происходят атаки, это приводит к нарушениям информационной безопасности, которые дорого обходятся компаниям с точки зрения нормативных штрафов и увеличения операционных расходов на соблюдение требований, а также ущерба для репутации бренда.Для большинства компаний стоимость потери ключевых цифровых услуг в течение дня, нескольких часов или даже минут значительна, что влияет на репутацию бренда, увеличивает затраты и приводит к потере доходов. Еще хуже, когда предприятия вынуждены платить по счетам за огромные выкупы. В первой половине 2021 года средний платеж за программы-вымогатели увеличился на 82 % и составил 570 000 долларов США.**
Многие доменные имена по-прежнему размещаются на более простой одноадресной DNS, которая по-прежнему подходит для защитных нерабочих доменов. Однако все, что обслуживает критически важные бизнес-функции, такие как электронная почта, веб-сайты или ключевые операционные или транзакционные процессы, должно быть защищено решением корпоративного уровня, чтобы обеспечить высокую доступность и быстроту реагирования, а также защитить их от векторов атак, включающих объемный отказ. атак на службы, перехвата DNS и отравления кеша DNS.
Размер угрозы теперь вырос до такой степени, что предприятия естественным образом стали больше заботиться о безопасности либо путем самостоятельного выбора, либо путем регулирования, и это находит отражение в ценности и ценности глобального рынка кибербезопасности, который вырос с от всего 3,5 млрд долларов в 2004 году до прогнозируемых 170,4 млрд долларов в 2022 году.*** То, как предприятия размещают, управляют и защищают свои DNS, теперь является неотъемлемой частью улучшения их общего состояния цифровой безопасности. Такой уровень безопасности автоматически повлияет на репутацию бренда — отсутствие надежной кибербезопасности наряду с растущей осведомленностью о киберпреступности означает, что доверие будет в решающей степени поддерживаться за счет того, как они защищают свои DNS.
Успешно управлять своим DNS
Постоянной и растущей угрозе преступной киберактивности для предприятий любого размера необходимо противопоставить надежную защиту доменных имен и связанных с ними служб хостинга DNS. Если вы хотите обеспечить бесперебойное DNS-разрешение ваших доменных имен и связанных с ними цифровых сервисов и защитить их от атак, необходимо предпринять следующие шаги:
Используйте платформу DNS корпоративного уровня
Использование платформы этого типа обеспечит высокую доступность и скорость отклика доменных имен, а также защитит их от атак, в том числе объемных атак типа "отказ в обслуживании", перехвата DNS и отравления кэша DNS. Переход на эту платформу является быстрым и безопасным, если у вас есть поддержка признанного и опытного поставщика.
Проведите аудит своего портфолио доменов
Оценку вашего портфеля доменов можно выполнить с полной прозрачностью, используя платформу DNS корпоративного уровня. Можно определить основные и неосновные доменные имена, а доменные имена, за которые платят, но которые больше не требуются, также могут быть исключены. Это гарантирует, что будут защищены только основные домены, и поэтому защита будет намного эффективнее.
Централизация активов и безопасности
Централизованное управление активами доменных имен и DNS с помощью единого безопасного пользовательского интерфейса и API даст компаниям более четкое представление о рисках и мерах, необходимых для их защиты. Общее улучшение цифровой безопасности также даст возможность оптимизировать портфели, обеспечивая хорошее соответствие между потребностями бизнеса, размером портфеля и охватом.
Вопросы о том, кто покупает домены, кто ими управляет и даже о том, какие регистрации содержит портфель доменных имен, могут быть проще решены посредством такой централизации. Это также может дать возможность идентифицировать регистрацию «жемчужины короны», для которой требуются дополнительные меры безопасности, такие как защита SSL, блокировка реестра и защита торговой марки в Интернете.
Определите пробелы и заполните их
Централизуя портфолио, компании, как правило, выявляют доменные имена, о регистрации и функционировании которых они даже не подозревали, а также связанные с ними пробелы в защите. Эта идентификация позволяет компаниям применять необходимые меры безопасности и устранять любые обнаруженные бреши.
Привлеките все заинтересованные стороны
Домены обычно относятся к разным дисциплинам в компании, но в процесс создания и защиты этих активов должны быть вовлечены юридические лица/интеллектуальная собственность, маркетинг и ИТ, от регистрации для запуска новых продуктов до защиты бренда в Интернете. Благодаря установлению в масштабах всей компании понимания важности управления DNS и скоординированного подхода с ключевыми заинтересованными сторонами никто не остается в неведении, и снижается вероятность того, что его руководство попадет в затруднительное положение, оставив бизнес незащищенным.
Будьте в курсе и контролируйте ситуацию
Узнайте у себя и своих коллег о существующих киберпреступных угрозах. Интернет динамичен и быстро меняется, постоянно появляются новые угрозы. Сотрудничество с признанным поставщиком, информирование и контроль над службами безопасности доменных имен позволит организациям быть на шаг впереди новых угроз.
- Защитите свою организацию с помощью лучших антивирусных решений для бизнеса прямо сейчас
Заключительные слова
Было легко пренебречь управлением DNS в компании, поскольку оно может находиться между несколькими бизнес-подразделениями и владельцами, но его важность нельзя недооценивать. Без обеспечения безопасности доменных имен и превентивных мер злоумышленники, готовые воспользоваться этим, будут иметь дело с дорогостоящими последствиями и неизбежным ущербом для деловой репутации. Организации должны сделать управление DNS своим приоритетом, используя платформу DNS корпоративного уровня и работая с партнером, который может помочь в аудите и защите ресурсов домена предприятия, чтобы защитить свою организацию в долгосрочной перспективе.
Мы сосредоточены на обучении, преобразовании и защите наших клиентов от киберугроз
Сервер доменных имен (DNS) преобразует доменные имена в IP-адреса, позволяя пользователям получать доступ к веб-сайтам. Нацеливание на сервер своих доменных имен и использование уязвимостей, присутствующих в DNS, всегда было целью злоумышленников. DNS-атаки по-разному влияют на каждую отрасль. Опросы показали, что больше всего в финансовом отношении страдают фирмы, предоставляющие финансовые услуги. Обрабатывающей промышленности потребовалось больше всего времени, чтобы смягчить атаку. Отрасль образования, телекоммуникации и СМИ также понесли огромные убытки.
Согласно отчету EfficientIP о глобальных угрозах DNS за 2020 год, 79 % опрошенных организаций пострадали от DNS-атак, общая стоимость которых составила 924 000 долларов США. Более того, согласно отчету, Северная Америка является наиболее пострадавшим от DNS-атак регионом. Он также показывает резкое изменение типа DNS-атаки, начиная с объемной и заканчивая слабым сигналом. Киберпреступники меняют картину угроз, включая скрытность и неадекватную пропускную способность.
Влияние атаки DNS на бизнес
Появление облачных DNS изменило ландшафт DNS. Примечательно, что переход от традиционной DNS к облачной обеспечивает гибкость и повышает производительность DNS. Однако этот переход привел к появлению множества новых векторов атак. Кроме того, с ростом зависимости от облака многие бизнес-приложения размещаются в гибридных облачных средах, что делает их прибыльной мишенью для киберпреступников.
Ниже приведены некоторые распространенные типы DNS-атак:
- Атака нулевого дня: с помощью этой тактики хакеры используют уязвимости системы безопасности, присутствующие в программном обеспечении DNS-сервера или стеке протоколов.
- Распределенный отказ в обслуживании (DDoS). В этой форме атаки хакер использует общедоступные открытые DNS-серверы, чтобы перегрузить целевую систему ответным трафиком DNS. Не в состоянии справиться с интенсивной обработкой, необходимой для такого большого объема трафика, система в конечном итоге перегружается и дает сбой. Согласно исследованию Cisco Visual Networking Index, к 2023 году число DDoS-атак удвоится.
- Атака с отражением DNS. Основной целью этой атаки является исчерпание пропускной способности целевой сети. Используя многочисленные распределенные серверы с открытым преобразователем в Интернете и сочетая это с атакой с усилением, атака с отражением DNS отправляет тысячи запросов, используя исходный адрес жертвы.
- Отравление DNS: атаки с подделкой DNS или отравлением кеша DNS вводят данные в кеш распознавателя DNS. Это приводит к тому, что сервер возвращает неверный IP-адрес для дальнейших запросов и перенаправляет трафик на компьютер злоумышленника.
- Атака Fast-flux DNS. Используя атаку Fast-flux DNS, хакеры постоянно изменяют данные о местоположении, чтобы скрыть свое фактическое местоположение и получить больше времени для взлома системы. Существует несколько вариантов флюса. Например, один поток изменяет только адрес веб-сервера, а двойной поток изменяет как имя, так и адрес веб-сервера и DNS-сервера.
Прямым результатом DNS-атаки является закрытие веб-сайта и невозможность доступа любого посетителя к содержимому. Любой бизнес, прибыль которого зависит от веб-трафика, может столкнуться с финансовыми потерями. Даже если система не отключилась, любая текущая DNS-атака замедлит работу системы и повлияет на производительность из-за большого трафика. Поскольку веб-сайт работает медленно, DNS-атака также влияет на рейтинг веб-сайта в поисковых системах.
Кибератаки — обычное дело для кибератак. DNS-атаки — не исключение. Репутация компании может серьезно пострадать из-за потери ценных данных, а клиенты могут счесть организацию ненадежной и безответственной. Малым и средним предприятиям (МСП) сложно восстановиться и восстановить доверие потребителей после кибератаки.
Рекомендации по предотвращению DNS-атак
Удобство использования было основной целью создания надежной системы DNS, а не безопасность.В результате он становится легкой мишенью для продвинутых механизмов атаки. Злоумышленники используют обмен данными между клиентами и серверами. Кража учетных данных и перенаправление записей DNS — одни из наиболее распространенных стратегий атаки на DNS.
Вот некоторые рекомендации по предотвращению DNS-атак:
- Во-первых, все организации должны контролировать свой DNS-трафик и приватизировать свои DNS-подключения.
- Необходимо добавить защитную фильтрацию DNS и контроль доступа в Интернет. Они блокируют большинство неизвестных вредоносных запросов как с любого сетевого устройства, так и с любой пользовательской системы.
- Внедрение безопасности DNS и надежной защиты конечных точек необходимо для более безопасного использования Интернета.
- Владельцы доменов и службы DNS должны выполнить миграцию с помощью расширений безопасности системы доменных имен (DNSSEC).
- Организациям следует администрировать надежные аналитические данные об интернет-угрозах в рамках защитной службы фильтрации безопасности DNS. Это поможет снизить риски подключения к Интернету для малого и среднего бизнеса.
- Использование внешних устройств безопасности и аналитики угроз позволит получать информацию об угрозах практически в реальном времени и защищать устройства от самых разных векторов атак.
Заключение
DNS-атаки стали одной из самых серьезных угроз для цифровой экосистемы. Осведомленность — это первый шаг в предотвращении любой кибератаки. Зная входящий трафик системы, организации могут распознавать любые атаки DNS и реагировать соответствующим образом.
С развитием технологий меняются и векторы атак. В то время как DNS-атаки становятся изощренными, безопасность DNS также должна повышаться, чтобы эффективно с ними справляться. Организации должны усилить свои меры кибербезопасности и сделать их устойчивыми к новым формам атак.
В опросе, проведенном Vanson Bourne, 66 % респондентов из США сообщили, что их организация подверглась DNS-атаке за последние 12 месяцев. Что еще более тревожно, респонденты указали, что атака привела к потере доступа к Интернету (63 %), увеличению количества жалоб клиентов (42 %) и потере конфиденциальной информации о клиентах (33 %).
За последний год некоторые из наиболее посещаемых в мире сайтов СМИ и социальных сетей были нарушены DNS-атаками, когда хакеры захватили контроль над их сайтами, изменив информацию в базах данных DNS организаций. Недавно оба веб-сайта Lenovo и Google стали жертвами «угона домена». Во время атаки посетители вьетнамского сайта Google перенаправлялись на другой сайт. Посетители сайта Lenovo злонамеренно перенаправлялись на дефейсный сайт, контролируемый известной хакерской группой Lizard Squad.
В этом слайд-шоу технический директор Cloudmark Нил Кук рассказывает о пяти основных угрозах DNS, их потенциальном влиянии на организации и передовых методах выявления и предотвращения таких атак.
Управление основными угрозами DNS
Нажмите, чтобы ознакомиться с основными угрозами DNS и советами по их устранению, составленными техническим директором Cloudmark Нилом Куком.
DDoS-атаки с использованием усиления DNS
Киберпреступники могут запускать распределенные атаки типа "отказ в обслуживании" (DDoS) посредством усиления DNS. DDoS-атаки были наиболее распространенной атакой, о которой сообщили организации, опрошенные Vanson Bourne: 74% заявили, что подвергались такой атаке. Как правило, киберпреступники создают вредоносный домен с очень большими записями ресурсов с целью выполнения атаки с усилением DNS. После создания вредоносного домена запросы переходят к открытым преобразователям DNS с поддельными исходными IP-адресами и ответами, а затем направляются к поддельным IP-адресам целевых серверов, вызывая DDoS-атаку. Объем ответного трафика переполняет цель, нарушая нормальную связь. Такие атаки могут привести к дорогостоящему простою и отрицательно сказаться на критически важных функциях.
Сетевые операторы должны принять меры для предотвращения выхода трафика из их сети с исходными IP-адресами, которые не являются локальными для этой сети. Если собственные резолверы оператора сети настроены на выполнение рекурсивного поиска, они должны ограничить доступ к резолверам запросами, поступающими только из их локальной сети, и иметь возможность идентифицировать флуд или запросы, связанные с усилением DNS.
Ботнеты и сложные постоянные угрозы
Все ботнеты и сложные постоянные угрозы (APT) используют DNS как часть своих механизмов для связи со своей инфраструктурой управления и контроля. При этом могут использоваться сложные методы, такие как алгоритмы генерации доменов или домены fast flux, чтобы скрыть инфраструктуру управления и контроля и сделать ее устойчивой к демонтажу со стороны охранных компаний или правоохранительных органов.
DDoS-атаки с использованием DNS NXDOMAIN Flood
Атака DNS NXDOMAIN Flood, также известная как атака пыток водой, нацелена на DNS-серверы организации. Этот тип атаки включает в себя поток злонамеренно созданных запросов поиска DNS, которые невозможно решить. Промежуточные резолверы также сталкиваются с задержками и тайм-аутами, ожидая, пока авторитетный сервер имен конечной цели ответит на запросы. Эти запросы потребляют ресурсы сети, полосы пропускания и хранилища. Они также могут блокировать сетевые подключения, вызывая тайм-ауты.
Организациям следует отслеживать свои рекурсивные DNS-серверы на предмет аномального поведения, такого как всплески количества запрашиваемых уникальных поддоменов, всплески количества тайм-аутов или задержек ответов от заданного сервера имен.
Захват DNS
При атаках с перехватом DNS киберпреступники могут подрывать DNS-запросы отдельных лиц, направляя их на собственный скомпрометированный DNS-сервер. В таких атаках пользователи могут оказаться перенаправленными на поддельный веб-сайт. Перехват DNS может использоваться для фишинговых целей, таких как перенаправление пользователей на веб-сайт поддельного банка для сбора конфиденциальной личной и финансовой информации. Некоторые интернет-провайдеры используют перехват DNS для показа рекламы или сбора статистики о пользователях.
Чтобы избежать перехвата DNS, измените пароль по умолчанию на своем маршрутизаторе, что затруднит злоумышленникам взлом вашего маршрутизатора с использованием пароля по умолчанию. Кроме того, всегда следует обновлять прошивку, когда обновления доступны.
DNS-туннелирование и эксфилитация данных
Туннелирование DNS использует отсутствие безопасности в организации и мониторинг трафика DNS для обхода дорогостоящих средств контроля безопасности. Хакеры или осведомленные инсайдеры могут использовать инфраструктуру DNS организации, чтобы обойти доступ к сети или элементы управления безопасностью, чтобы создать туннели, которые выходят в Интернет напрямую, без сканирования традиционными решениями безопасности. Туннелирование DNS использует DNS-запросы и ответы для отправки данных, которые иначе нельзя отправить через традиционные сетевые подключения. Туннель состоит из клиента внутри сети с ограниченным доступом и сервера, который действует как авторитетный DNS-сервер, используя согласованное доменное имя в качестве основы для запросов и ответов. Даже если пользователь не является злоумышленником (он может использовать туннель для доступа к веб-сайтам, которые обычно заблокированы), он подвергается воздействию вредоносных программ, фишинга и других угроз, поскольку его трафик не подвергается обычным проверкам безопасности.
Особенно злонамеренное использование туннелирования DNS — это эксфильтрация данных, когда конфиденциальная внутренняя информация отправляется из локальной сети с использованием методов туннелирования DNS. Это может привести к серьезным утечкам данных, которые недавно наблюдались в Target, Home Depot и Anthem.
Лучшая форма защиты от туннелирования DNS и утечки данных через DNS – это постоянный мониторинг трафика DNS, в идеале в режиме реального времени. Туннелирование можно обнаружить с помощью автономных решений, таких как SIEM, но для этого необходимо регистрировать все поисковые запросы DNS, а любой анализ, как правило, выполняется вручную, отнимает много времени и проводится постфактум. Развертывание обнаружения туннелирования в режиме реального времени позволяет мгновенно обнаруживать и устранять угрозу.
Знаете ли вы, что такое DNS-атаки и защищена ли ваша сеть от них?
DNS был создан в первую очередь для того, чтобы правильно и эффективно отвечать на запросы, а не подвергать сомнению их намерения. В результате у DNS есть реальные уязвимости и потенциал для кибератак.
Атака на систему доменных имен (DNS) – это атака, при которой злоумышленник либо пытается скомпрометировать DNS сети, либо использует присущие ей атрибуты для проведения более широкой атаки. Хорошо организованная DNS-атака может поставить организацию на колени.
В этой статье мы рассмотрим четыре основных типа DNS-атак. Далее будут обсуждаться основные шаги, которые вы можете предпринять для предотвращения DNS-атак. И, наконец, вкратце рассказывается, как BlueCat может помочь.
Основные типы атак DNS
Атака DNS нацелена на инфраструктуру DNS.Атаки могут быть адаптированы либо к рекурсивным, либо к авторитетным серверам. Существует четыре основных типа атак с использованием DNS.
DoS-атаки, DDoS-атаки и атаки с усилением DNS
Атаки типа "отказ в обслуживании" (DoS) и распределенные атаки типа "отказ в обслуживании" (DDoS) — это две формы одного и того же. Это то, о чем думает большинство людей, когда думают об атаке DNS. В обоих случаях злоумышленники наводняют интернет-серверы таким количеством запросов, что просто не могут ответить на все, и в результате происходит сбой системы.
DoS-атаки
Простая DoS-атака использует один компьютер и одно подключение к Интернету для переполнения удаленного сервера. Они не очень эффективны для подавления современных высокопроизводительных систем.
DDoS-атаки
При DDoS-атаке несколько компьютеров и интернет-соединений нацелены на сайт.
Часто в результате DDoS-атак зараженные компьютеры добавляются в ботнет, выполняющий вредоносные запросы в фоновом режиме. Злоумышленники могут использовать возможности устройств со всего мира для одновременного запроса целевой сети.
Есть также три подтипа DDoS-атак:
- Протокольные атаки. Эта атака наносит ущерб фактическим ресурсам сервера или другому сетевому оборудованию, например брандмауэрам и балансировщикам нагрузки.
- Атаки на прикладном уровне. Чтобы вывести из строя веб-сервер, злоумышленник отправляет запросы, которые кажутся безобидными, но на самом деле используют уязвимости цели.
- Атаки флуда. Целью флудов является сделать сервер недоступным для реального трафика путем «затопления» ресурсов целевого сервера.
В феврале 2020 года сервис Amazon AWS Shield предотвратил крупнейшую в истории DDoS-атаку (2,3 Тбит/с), которая была проведена с использованием взломанных веб-серверов с протоколом облегченного доступа к каталогам без установления соединения.
Атаки с усилением DNS
Кроме того, атака с усилением DNS — это тип DDoS-атаки, при которой злоумышленники используют общедоступные открытые DNS-серверы, чтобы залить цель ответным DNS-трафиком. Злоумышленник отправляет запрос поиска DNS на открытый DNS-сервер с поддельным исходным адресом, который является адресом цели. Когда DNS-сервер отправляет ответ на запись DNS, вместо этого он отправляется целевому объекту.
Вот короткое видео, в котором директор по стратегии BlueCat Эндрю Верткин описывает, как DDoS-атаки превращают вашу сеть в оружие:
Захват DNS
Существует три типа перехвата DNS:
- Злоумышленники могут скомпрометировать учетную запись регистратора домена и изменить ваш сервер имен DNS на тот, который они контролируют (см. иллюстрацию).
- Злоумышленники могут изменить запись A для IP-адреса вашего домена, чтобы она указывала на их адрес.
- Злоумышленники могут скомпрометировать маршрутизатор организации и изменить DNS-сервер, который автоматически загружается на каждое устройство, когда пользователи входят в вашу сеть.
В 2019 году эксперты по безопасности обнаружили Sea Turtle – спонсируемую государством кампанию по перехвату DNS, в ходе которой были манипулированы и фальсифицированы записи DNS не менее 40 организаций в 13 странах.
DNS-туннелирование
Туннелирование DNS передает информацию через протокол DNS, который обычно разрешает сетевые адреса.
Обычные DNS-запросы содержат только информацию, необходимую для связи между клиентом и сервером. Туннелирование DNS вставляет в этот путь дополнительную строку данных. Он устанавливает форму связи, которая обходит большинство фильтров, брандмауэров и программного обеспечения для перехвата пакетов.
Поэтому его особенно трудно обнаружить и отследить его происхождение.
Туннелирование DNS может установить командование и контроль. Или он может эксфильтровать данные. Информация часто разбивается на более мелкие части, перемещается по DNS и снова собирается на другом конце.
С 2016 года связанная с Ираном группа OilRig использует туннелирование DNS для связи между зараженными хостами и серверами управления и контроля.
Заражение DNS и заражение кеша
Отравление DNS (также известное как спуфинг DNS) и его родственник, отравление кэша DNS, используют бреши в безопасности протокола DNS для перенаправления интернет-трафика на вредоносные веб-сайты. Их иногда называют атаками «человек посередине».
Когда ваш браузер выходит в Интернет, он сначала запрашивает локальный DNS-сервер, чтобы найти IP-адрес для имени веб-сайта. Локальный DNS-сервер запросит адрес у корневых серверов, которым принадлежит этот домен, а затем у уполномоченного сервера имен этого домена.
Отравление DNS происходит, когда злоумышленник вмешивается в этот процесс и предоставляет неправильный ответ.Как только браузер обманом заставит его думать, что он получил правильный ответ на свой запрос, злоумышленник может перенаправить трафик на любой поддельный веб-сайт, который ему захочется.
При отравлении кеша DNS, когда злоумышленник перехватывает и «отвечает» на запрос DNS, преобразователь DNS сохраняет этот ответ в кеше для будущего использования. (Большинство распознавателей DNS являются кеширующими распознавателями.) В этом случае это усугубляет атаку, продолжая предоставлять этот неверный ответ.
Продолжительность хранения этих записей DNS в кэше зависит от времени жизни (TTL). Это параметр DNS-сервера, который указывает кэшу, как долго хранить записи DNS перед обновлением поиска законного сервера.
В ноябре 2020 г. исследователи обнаружили новый способ отравления кеша, который называется SAD DNS (сокращение от Side-channel AttackeD DNS). Этот метод позволяет злоумышленнику использовать побочный канал для внедрения вредоносной записи DNS в кэш DNS.
Как предотвратить, обнаружить и смягчить DNS-атаку
Хотя DNS исторически считалась наивной пешкой, она также может быть активным элементом хорошей стратегии глубокоэшелонированной защиты. Компания Gartner вместе с известными правительственными учреждениями США, такими как АНБ, наконец, недавно признала, что безопасность DNS имеет решающее значение для повышения общей защиты вашей сети.
Сейчас существует концепция защитной DNS, описывающая DNS как критически важную для защиты от сетевых угроз. Однако многие поставщики (например, BlueCat) годами помогают организациям использовать для этого DNS.
Вот несколько основных мер защиты:
Знайте всю архитектуру DNS. Начнем с того, что для обеспечения безопасности сети требуется знание всего DNS-имущества вашего предприятия. Зачастую сетевым командам не хватает полного контроля из-за беспорядка в разрозненных DNS-серверах, бесхозных зонах или теневых ИТ-отделах.
Журнал и мониторинг DNS-запросов и данных ответов. Регистрация и мониторинг исходящих и входящих запросов — это первый шаг к обнаружению аномалий. Кроме того, данные ваших ответов предоставляют контекстную информацию, позволяющую провести более тщательный криминалистический анализ.
Защитите свои рекурсивные DNS-серверы. Защитите рекурсивные серверы от нежелательного доступа и несанкционированного доступа с помощью DNSSEC, контроля доступа и других усовершенствований архитектуры.
Ужесточите доступ администратора к вашему DNS. Включите многофакторную аутентификацию в своей учетной записи регистратора домена и используйте службу блокировки регистратора, чтобы запросить ваше разрешение перед изменением записей DNS.
Отразите DNS-атаки с помощью BlueCat
BlueCat поможет предотвратить DNS-атаки. Платформа BlueCat регистрирует как DNS-запросы, так и ответы вместе. В результате вы получите полное представление об активности DNS в вашей сети.
Вы также можете отправлять свои журналы DNS в средство управления сетевой информацией и событиями безопасности (SIEM) или Splunk и устанавливать оповещения об аномалиях.
Используя данные запросов и ответов, администраторы также могут использовать платформу BlueCat для создания точных правил на основе политик. Кроме того, вы можете прикрепить оповещения политики к вашим зарегистрированным данным запроса. Политики могут включать мониторинг или блокировку доменов с плохой репутацией. Вы также можете интегрировать аналитику безопасности из ленты угроз BlueCat, чтобы блокировать последние угрозы.
Узнайте больше о том, как функции сетевой безопасности BlueCat могут превратить ваш DNS из вектора атаки в линию защиты.
Опубликовано Ребеккой Тейлор
Ребека Тейлор — писатель-фрилансер и редактор, которая более двух десятилетий переводит техническую речь в прозу. Ранее она была журналистом и работала в сфере коммуникаций в качестве подрядчика береговой охраны США в Вашингтоне, округ Колумбия. Ее первая работа в начале 2000-х годов была в небольшом стартапе Пало-Альто под названием VMware. Она имеет дипломы Корнельского университета и Высшей школы журналистики Колумбийского университета.
Читайте также: