Zagrożenia DNS - jakie są i jak ich unikać?

Zagrożenia dla DNS to przejmowanie (hijacking), tunneling, phishing, zatruwanie oraz ataki DDoS. Jak można zabezpieczyć się przed ich przykrymi skutkami?


DNS, czyli Domain Name System, nazywa się "książką telefoniczną internetu". Jest to element globalnej infrastruktury, który tłumaczy wprowadzane informacje na język cyfrowy, dzięki czemu możesz otwierać strony oraz wysyłać maile. Choć niemal od samego początku był celem ataków, w ostatnich latach mocno zwiększyła się ich liczba, co sprawia, że odpowiednie zabezpieczenia są tak ważne. Jak podaje raport IDC, w ubiegłym roku ataków na DNS doświadczyło 82% firm, a w pierwszej połowie 2019 odnotowano 904 ataki. Koszty związane z tymi incydentami wzrosły (w porównaniu z 2018) o 49% i wynosiły przeciętnie 1,27 miliona dolarów. 48% firm zadeklarowało, że na skutek ataków utraciło ponad 500 tys. dolarów, a 10% - ponad 5 milionów. Skąd takie kwoty? Otóż na skutek ataków dochodzi do uszkodzeń i zakłócenia działania zarówno aplikacji chmurowych, jak i znajdujących w wewnętrznej sieci. Konieczność naprawy infrastruktury wiąże się również z koniecznością wyłączenia świadczonych online usług.

Sea Turtle - kampania przejmowania DNS

Sea Turtle to nazwa kampanii, którą cyberprzestępcy przeprowadzili w lipcu. Jej celem było przejmowanie domen, a gdy się powiodło, włamywacze modyfikowali zapisy w systemie DNS tak, aby przekierowywały użytkowników na złośliwe serwery, przeznaczone do kradzieży danych poprzez phishing. Kampania została wykryta przez badaczy z Cisco, a jej celem były organizacje i firmy ulokowane na Bliskim Wschodzie, w USA, a także Grecji i kilku innych krajach w Europie. Użytkownicy nie mieli szansy zorientowania się, że coś jest nie tak, ponieważ przekierowanie odbywało się na serwerach DNS. W celu ataku użyto nowatorskiej techniki, w której przejęty serwer wysyłał - w odpowiedzi na żądanie DNS - fałszywe rekordy domeny. Dzięki temu Cisco ocenia, że ataki były ściśle ukierunkowane na ccTLD - country code top-level domain (ccTLD) . Jest to krajowa domena najwyższego poziomu – dwuliterowa domena najwyższego poziomu zarezerwowana dla państwa lub terytorium zależnego. Większość z nich odpowiada kodom krajów ze standardu ISO 3166-1. Umożliwia to ataki na serwery należące do władz.

DNSzpiedzy ulepszają swoje narzędzia

Jednym z najnowszych zagrożeń są kampanie, określone jako DNSpionage, czy DNSzpiegostwo. W takim ataku wykorzystuje się dwie złośliwe strony internetowe w celu przeprowadzenia ataków poprzez dokumenty Microsoft Office zawierające makra. Szkodnik umożliwia komunikację z atakującym poprzez HTTP oraz DNS. Umożliwia to na ominięcie technologii związanych z wykrywaniem szpiegostwa. DNSzpiegostwo uderzyło w domeny władz krajów Bliskiego Wschodu, w tym Zjednoczonych Emiratów Arabskich. Ten sposób ataku jest również nowością, przed którą należy jak najszybciej wprowadzić zabezpieczenia. Niestety, większość firm i organizacji myśli, że ich DNS jest stabilne i nie przywiązują do niego większej wagi, co tylko ułatwia zadanie szpiegom. A jeśli haker wie, że serwer jest przejęty, może np. zabrać z niego wszystkie zapisane tam hasła.

Ryzyko przejęcia DNS dla Internetu Rzeczy

ICANN (instytucja odpowiedzialna za przyznawanie nazw domen internetowych, ustalanie ich struktury oraz za ogólny nadzór nad działaniem serwerów DNS na całym świecie) wskazuje na ryzyko związane z przejmowaniem DNS w kontekście internetu rzeczy. Udany atak może posłużyć do wymuszenia zwiększonego obciążenia wszystkich współpracujących urządzeń, np. poprzez nakazanie im w tym samym momencie aktualizacji oprogramowania lub sprawdzania dostępnych sieci. Z perspektywy pojedynczego urządzenia może być to potraktowane jako błąd w oprogramowaniu, jednak w całej sieci internetu rzeczy jest to wyraźny atak na strukturę DNS. Takie incydenty miały już miejsce - na szczęście tylko w małej skali, jednak udowodniły, że może to dotknąć również większej liczby urządzeń. Sytuacja jest o tyle groźna, że coraz więcej producentów sprzętów internetu rzeczy wyposaża je w kontrolery korzystające z DNS.

ICANN przewiduje również pojawienie się botnetów złożonych z urządzeń elektronicznych. Łatwiej je przejąć, niż serwery czy komputery, a po przejęciu można korzystać z nich np. do przeprowadzania ataków DDoS. Pierwszym w historii botnetem tego typu był Mirai, w którym znajdowało od 400-600 tysięcy urządzeń! A im bardziej internet rzeczy będzie się upowszechniać, tym większe pole do popisu dla włamywaczy.

DNSSEC - to istotne

Celem ataków DNS są przede wszystkim firmy i korporacje, ponieważ mają duże ilości danych użytkowników w swoich bazach. Dlatego ważne jest, aby stosować w nich DNSSEC - jest to rozszerzenie systemu DNS mające na celu zwiększenie jego bezpieczeństwa. DNSSEC zapewnia uwierzytelnianie źródeł danych (serwerów DNS) za pomocą kryptografii asymetrycznej oraz podpisów cyfrowych. Zaletą jest łatwa implementacja do istniejącej struktury oraz elastyczność przystosowania. DNSSEC dodaje warstwę ochronną, która ma zagwarantować, że użytkownik łączy się ze stroną przypisaną do konkretnej domeny. Choć chroni to krytyczną część infrastruktury, jednak nie rozwiązuje wszystkich problemów związanych z bezpieczeństwem. DNSSEC jest w użyciu od ok. 2010 roku, jednak korzysta z niej mniej niż 20% serwerów DNS na świecie. Przyczyna tego stanu rzeczy jest prosta - to dodatkowa, opcjonalna funkcja, a nie standard.

Tradycyjne zagrożenia DNS

Choc cyberprzestępcy wciąż opracowują nowe metody ataków, klasyczne są cały czas praktykowane. 47% ataków na DNS odbywało się za pomocą phishingu, 39% przy użyciu bazowanego na DBS malware, chętnie stosowano również ataki typu DDOS i lock-up domain. Często odnotowuje się także zatruwanie DNS (technika phishingu polegająca na wykonaniu przez atakującego przesłania do serwera DNS fałszywej informacji kojarzącej nazwę domeny z adresem IP. Serwer DNS zapamiętuje ją na pewien czas - do kilku godzin - i zwraca klientom zapamiętany adres IP, czego skutkiem jest przeniesienie na fałszywą stronę) oraz tunelowanie DNS.

Zespół badaczy Palo Alto Unit 42 opisał jeden z najpopularniejszych sposobów tunelowania: OilRig. Specjalnie zaprojektowany trojan używa tunelowania do kradzieży danych i przesyłania ich na kontrolowany przez hakera serwer. Jego aktywność odnotowuje się od maja 2016 roku po dziś dzień. Od swojego debiutu został wzbogacony o narzędzia umożliwiające używanie różnych protokołów tunelowania.

Jak chronić się przed atakami na DNS?

Aby zwiększyć poziom ochrony przeciwko atakom DNS, zalecane jest wprowadzenie uwierzytelniania dwuskładnikowego - tym bardziej, że jest ono łatwe w implementacji. Należy również zadbać o aktualizację mechanizmów ochronny każdej strony, z którą mają kontakt internauci. Inne praktyczne działania ochronne to:

  • aktualizacja haseł do kont DNS
  • weryfikacja rekordów DNS w celu upewnienia się, że nie przekierowują na inne witryny
  • sprawdzić publiczne rekordy DNS w tym samym celu
  • sprawdzić certyfikaty mechanizmów szyfrujących, aby sprawdzić, czy nie ma sfałszowanych
  • sprawdzić, czy nie ma logów certyfikatów, które nie były wymagane - ich obecność może świadczyć o szpiegowaniu

Inne zalecane kroki to:

  • wspomniane wprowadzenie uwierzytelniania dwuskładnikowego dla wszystkich kont oraz upewnienie się, że wszystkie są skomplikowane i trudne do odgadnięcia/złamania.
  • regularne wykonywanie kopii zapasowych ważnych stref DNS, co pozwoli na łatwe ich przywrócenie w razie włamania i ataku
  • zaimplementowanie behawioralnego wykrywania zagrożeń w czasie rzeczywistym
  • korzystanie z narzędzi monitorujących DNS, które potrafią wykryć ataki typu DGA i zero-day
  • zintegrowanie DNS z IP Address Management (IPAM)
  • jak najszybsze aplikowanie łatek bezpieczeństwa
  • regularne sprawdzanie logów dostępu
  • regularne sprawdzanie integralności rekordów DNS i historii ich zmian
  • pamiętanie, aby nie przechowywać haseł w zwykłych plikach tekstowych

Warto również dodać, że wielu producentów oprogramowania antywirusowego, jak np. Bitdefender, posiada specjalistyczne oprogramowanie, ułatwiające kontrolę nad DNS i wykrywaniem potencjalnych ataków oraz prób włamania. Warto przemyśleć o dodaniu tych rozwiązań do swojej infrastruktury.