RSAC 2019: угон всей IT-инфраструктуры компании через манипуляции с DNS

На RSA Conference 2019 представители SANS Institute рассказали о нескольких новых типах атак, которые, по мнению докладчиков, являются наиболее опасными. Об одной из них мы и поговорим в этом посте.

Потенциально атака, о которой рассказал сотрудник SANS Эд Скодис (Ed Skoudis), позволяет полностью угнать IT-инфраструктуру компании — и для этого даже не нужно использовать какие-то сложные инструменты, достаточно сравнительно несложных манипуляций с DNS.

Манипуляция инфраструктурой DNS, связанной с ресурсами компании

Вот как работает данная атака:

• Атакующие тем или иным образом собирают логины и пароли скомпрометированных аккаунтов — а таких на данный момент только в известных базах сотни миллионов, если не миллиарды.
• Используя эти учетные данные, атакующие логинятся к сервисам DNS-провайдеров и регистраторов доменов.
• Далее атакующие редактируют записи DNS, подменяя соответствующую доменам корпорации инфраструктуру собственной.
• В частности, они изменяют запись MX и таким образом перенаправляют всю корпоративную почту на принадлежащий атакующим почтовый сервер — и перехватывают все письма.
• Атакующие регистрируют TLS-сертификаты для украденных доменов. На этом этапе они уже перехватывают корпоративную почту и могут предоставить доказательство владения доменом — в большинстве случаев это все, что требуется для выдачи сертификата.

После этого атакующие могут перенаправлять трафик, идущий на серверы атакуемой корпорации, на свои собственные машины. В результате все посетители веб-страниц попадают на фальшивые ресурсы, которые для всех фильтров и защитных систем выглядят как аутентичные. Впервые мы столкнулись с подобным в 2016 году: наши исследователи из бразильского отделения GReAT обнаружили атаку, позволившую злоумышленникам полностью угнать инфраструктуру крупного банка.

Что особенно опасно, так это то, что в ходе этой атаки организация-жертва лишается в том числе и коммуникаций. Почта угнана, телефоны, скорее всего, тоже, ведь подавляющее большинство компаний использует IP-телефонию. Все это сильно усложняет как внутреннюю координацию реакции на инцидент, так и общение с внешними организациями — DNS-провайдерами, сертификационными центрами, правоохранительными органами и так далее. А представьте, что все это происходит в выходной день, как это и было в случае угона бразильского банка?

Как защититься от угона IT-инфраструктуры через манипуляции с DNS

То, что в 2016 году было инновацией для киберпреступного мира, спустя пару лет стало распространенной практикой: в 2018 году использование подобной техники зафиксировали исследователи из многих ведущих компаний, специализирующихся на IT-безопасности. Так что это не абстрактная «красивая» угроза, а вполне конкретная атака, которую могут использовать для захвата вашей IT-инфраструктуры.

Вот что, по мнению Эда Скодиса, следует делать, чтобы защититься от манипуляций с инфраструктурой доменных имен:

• Используйте многофакторную аутентификацию в инструментах управления вашей IT-инфраструктурой.
• Используйте DNSSEC. При этом важно не забывать применять не только подписание, но и проверку DNS.
• Следите за всеми изменениями DNS, касающимися принадлежащих вашей компании доменов. Для этого можно воспользоваться, например, сервисом SecurityTrails — он позволяет отправлять бесплатно до 50 запросов в месяц.
• Следите за появлением дублирующих сертификатов к принадлежащим вам доменам и максимально быстро отправляйте заявку на их отзыв. Как это сделать, можно почитать в посте «MitM и DOS атаки с использованием дублирующих сертификатов».

От себя можем добавить только один совет — тщательно следите за своими паролями. Они должны быть уникальны и достаточно сложны. Как для генерации таких паролей, так и для их надежного хранения подойдет утилита Kasprsky Password Manager, являющаяся частью решения Kaspersky Small Office Security.