DNS

  • Как уебсайт може да се използва като средство за атака

    Забравени лендинг страници (landing pages), които редица компании използват, могат да бъдат използвани като средство за атака. Как? Като се „отвлекат“ DNS записите им. Но да започнем отначало.

    Какво е landing страница? Обикновено, става въпрос за сайтове, създадени с определена еднократна цел: например, за маркетингови кампании и промоции, игри и т.н. След като сайтът изпълни предназначението си – например, след като кампанията или играта приключи, обикновено бива премахнат или забравен. Именно те са най-честите жертви на този вид атака според Зак Едуардс (Zach Edwards), американски специалист по киберсигурност, който пръв повдигна въпроса в Twitter.

    Как работи атаката

    За да се улесни използването на такъв тип уеб сайтове с кратък живот, доставчиците на хостинг услуги предлагат автоматични DNS записи. Например – temp-1234.hostco.example.  Така клиентът има възможност да създаде CNAME запис за своят истински домейн и да насочи потребителите си към временният сайт:

    julyoffer.example.com: alias (CNAME record) -> temp-1234.hostco.example (cache for 5 mins)

    След като микросайтът вече не ви е необходим, вие спирате да плащате абонамента си за него. Облачната компания го рециклира и го предоставя на друг потребител. Но, както се оказва, без непременно да е изтрила надлежно и по правилен начин всички DNS записи от него. Точно такива микросайтове търсят хакерите.

    Произволно търсене?

    За сравнение, ако някога сте ползвали нов предплатен телефонен номер, без съмнение се е случвало да получавате досадни обаждания от непознати. При това, не от приятели на предишния абонат, а от измамници, които имат номера „отнякъде“.

    За разлика от телефонните номера обаче, където самите цифри са по-скоро произволни, поддомейните са тясно свързани с вашата марка – тя обичайно се съдържа в името им и приканва посетителите да й се доверят.

    В случаите, проследявани от Едуардс, изглежда, че мошениците са използвали  закрити поддомейни, съдържащи легитимни DNS записи, за да генерират надеждни URL адреси за кампании, разпространяващи измами и зловреден софтуер.

    Атаките са известни като „отвличане на DNS записи“ (DNS hijacks) – хакерите всъщност не превземат самия сайт или уеб сървър, а просто променят „указателите в интернет“, които насочват към него.

    Всичко тръгва от DNS протокола

    Както вероятно знаете, DNS (Domain Name System) е глобалната база данни, която автоматично превръща име на домейн, към който браузърът се е обърнал, от удобното за потребителя google.com например, в съответния компютърен IP номер (в случая 64.233.191.255), необходим за изпращане и получаване на мрежови пакети в интернет.

    Резултатът от преобразуването се запазва в кешa на DNS-сървъра, така че той да може да продължи да го използва за известно време, без да се налага да търси отново всяко изображение или скрипт, нужни при преглед на съответната уеб страница. Периодът, за който информацията в DNS кеша се счита за актуална, се нарича „време-на-живот“ или TTL (Time-To-Live).

    Повечето доставчици на cloud услуги поддържат своите DNS кеш TTL доста кратки, колкото да помогнат на услугите им да се адаптират по-бързо към промени в натоварването на мрежата.

    Изглежда обаче, че за хакерите това кратко време е достатъчно, за да „отвлекат“ сайта ви, чрез подмяна на DNS записи и пренасочване на потребителите ви, където пожелаят.

    Атаката е трудна за откриване: На практика нищо на вашия сървър не се променя и нито една защитна система, която ползвате, засича признаци на неоторизиран достъп. Просто посетителите изведнъж спират да пристигат на вашия сайт и започват да виждат нечие друго съдържание, а именно – това на хакерите.

    Какво да направите?

    • Ако сте доставчик на хостинг услуги, помислете дали създаването на временни облачни имена да има уникален префикс или суфикс или да не позволявате те да се прехвърлят към друг потребител с месеци или дори години, ако е възможно.
    • Проверявайте вашите DNS записи за излишни такива, които биха могли да бъдат „отвлечени“. Деактивирайте всички микросайтове, веднага щом приключите с тяхното използване.
    • Разберете какви DNS предпазни мерки предлага вашият хостинг доставчик. Също така помислете за включване на опция, наречена „Премахване на DNS запис“.
  • Дано не счупим (DNS) интернет – NXNSAttack

    Група от израелски студенти доказа нова уязвимост, която може да доведе до пълен интернет апокалипсис. Тя засяга DNS – един от протоколите, считани за гръбнака на съвременните мрежи.

    Подходът за атака е наречен NXNSAttack: Recursive DNS Inefficiencies and Vulnerabilities и е насочен към рекурсивни и авторитетни DNS сървъри. Резултатът е DDoS с коефициенти на увеличение над 1600 пъти.

    Засегнати са както ISC BIND (CVE-2020-8616), така и някои от най-големите публични DNS услуги:

    Public DNS recursive resolver (IP)Max # of
    delegations = F/2
    Victim cost
    Cpkt/v
    PAF
    CloudFlare (1.1.1.1)249648x
    Comodo Secure (8.26.56.26)140870435x
    DNS.Watch (84.200.69.80)135972486x
    Dyn (216.146.35.35)50408204x
    FreeDNS (37.235.1.174)5010050x
    Google (8.8.8.8)156030x
    Hurricane (74.82.42.42)509849x
    Level3 (209.244.0.3)135546273x
    Norton ConnectSafe (199.85.126.10)1401138569x
    OpenDNS (208.67.222.222)506432x
    Quad9 (9.9.9.9)100830415x
    SafeDNS (195.46.39.39)135548274x
    Ultra (156.154.71.1)100810405x
    Verisign (64.6.64.6)50404202x

    В зависимост от фактора на увеличение (PAF), жертвата, подложена на NXNSAttack, би получила многократно повече пакети от изпратените от нападателите. Цифрите са наистина впечатляващи, като се има предвид, че досега известни методи за такъв тип DNS увеличителни и отразителни атаки са с доста по-ниски стойности.

    Основните съставки на новата атака са:

    • лекотата, с която може да се притежава или контролира авторитетен DNS сървър;
    • използването на несъществуващи имена на домейни;
    • допълнителна резервираност в DNS структурата, за да се постигне отказоустойчивост и бързо време за реакция.

    Важно е да отбележим, че някои от възможните средства за защита, като например различни ограничители (rate limits), са нож с две остриета, което позволява на атакуващия да доведе до отказ от услугата за легитимни потребители.

    Зловещи ефекти

    От февруари насам откривателите на NXNSAttack са започнали работа със съответните разработчици на DNS софтуер, CDN и DNS доставчици, за да им помогнат да отстранят тази заплаха и да смекчат ефекта от евентуални атаки след публикуване на своето проучване.

    Дори и след месеци усилена колаборация и пачване, най-вероятно са останали кътчета от интернет, които са все още уязвими и могат да бъдат експлоатирани. Това би довело до инциденти, подобни на тези причинени от Mirai botnet, макар и с далеч по-малък на брой зомбирани устройства.

    Уязвимостта се корени в това, как DNS рекурсивни сървъри обслужват Name Server насочващи отговори (NS referral response), без да имат IP лепнат (glue) запис.

    Как работи атаката

    Графично представяне на самата атака:

    И разменените съобщения:

    За да разберем как работи NXNSAttack, трябва да вземем под внимание йерархичната структура на DNS в интернет. Когато браузър се обърне към домейн като google.com, той пита DNS сървър, за да открие IP адреса на този домейн, число като 64.233.191.255.

    Обикновено на тези заявки се отговаря от DNS рекурсивни (резолюционни) сървъри, контролирани от доставчици на интернет и DNS услуги. Но ако тези рекурсивни DNS сървъри не разполагат с точния IP адрес под ръка, те пренасочват заявката към „авторитетен“ сървър, свързан с конкретни домейни, за отговор.

    NXNSAttack злоупотребява с доверената комуникации между тези различни слоеве на DNS йерархията. Атаката има за „реквизит“ не само достъп до колекция от персонални компютри и/или други IoT устройства (ботнет), но и създаване на DNS сървъри за домейн, който бихме нарекли „attacker.com“. (Изследователите твърдят, че всеки може да си купи домейн и да си настрои DNS сървър само за няколко долара).

    След това нападателят изпраща поредица заявки от ботовете за домейна, който контролира. Или по-точно – вълна от заявки за фалшиви поддомейни като 123.attacker.com, 456.attacker.com и т.н., използвайки низове от произволни числа, за да променя постоянно заявките за поддомейни.

    Опитите за посещения на тези недействителни домейни ще задействат обръщения към рекурсивният DNS сървър (примерно този на интернет доставчика), който от своя страна ще изпрати заявката към авторитетен сървър – в случая, DNS сървърът под контрола на атакуващия. Вместо само да предостави IP адрес, този авторитетен сървър ще съобщи на рекурсивният (resolver) DNS сървър, че не знае местоположението на исканите поддомейни, като ще го насочи да поиска друг авторитетен DNS сървър, прехвърляйки заявката към домейна на жертва по избор на нападателя.

    Откривателите на тази уязвимост са установили, че насочването на заявки за един несъществуващ поддомейн (123.attacker.com) към стотици несъществуващи поддомейни, принадлежащи на жертвата (asd.victim.com, 4321.victim.com и тн…), би могло да позволи на хакер да претовари не само DNS сървърите на интернет доставчиците, като ги подмами да изпратят повече заявки, отколкото сървърите биха могли да обработят (потенциално да спрат и всичките им услуги, както се случи при атаката на Mirai срещу Dyn), но също да „свалят“ авторитетните DNS сървъри на жертвата, следователно целия домейн victim.com ще остане offline за света.

    Жертвата вероятно ще открие, че един злонамерен DNS сървър стои зад атаката и ще спре да отговаря на искания от attacker.com. Но Шафир от университета в Тел Авив изтъква, че нападателите могат да използват няколко домейна, за да променят атаката и да затруднят защитата. „Можете да имате десетки подобни домейни и да ги сменяте на всеки няколко минути“, казва Шафир – „Много е лесно.“

    Повече от един вариант

    В друг вариант на NXNSAttack, хакер може дори да насочи своите действия към несъществуващи домейни от най-високо ниво (TLD) като „.fake“, за да атакува така наречените root сървъри, които отговарят за домейни от най-високо ниво – .com и .gov.

    Въпреки че тези сървъри обикновено са проектирани да разполагат с много голяма честотна лента, изследователите казват, че биха могли да използват много фалшиви домейни, използвайки фалшиви поддомейни от първата версия на тяхната атака, потенциално увеличавайки всяка заявка повече от хиляда пъти. Резултатът е можело да бъде катастрофален за целият интернет:

    „Когато се опитате да атакувате един от root сървърите, атаката става много по-разрушителна“, казва Шафир. „Не успяхме да покажем (докажем), че root сървъри могат да бъдат изцяло претоварени, защото са много мощни, но атаката има огромен фактор на усилване (PAF), а това са най-важните активи на световната мрежа. Части от интернет изобщо няма да работят в този най-лош случай.“

    Ако всичко до тук ви се струва познато (deja vu), не сте сгрешили – подобна уязвимост, която би могла да доведе до сравними атаки и резултати, е била тайно отстранена през 2008 година. Препоръчвам да изгледате видеото от статията HACKER HISTORY: HOW DAN KAMINSKY ALMOST BROKE THE INTERNET

    „От моя гледна точка съм просто в екстаз, че подобно сътрудничество, което получих през 2008 г., все още се случва през 2020 г.“, казва Камински. „Интернет не е нещо, което би оцеляло, ако не се правеха цялостни подобрения, всеки път когато някой подпали нещо.“

    В заключение – интернет е много „крехка“ екосистема, като градивните и компоненти (DNS, BGP и други) са били проектирани колкото да работят. За великите умове, създали интернет, не е било възможно да предвидят мащабите и значението на своите творения, следователно не са обърнали достатъчно внимание на въпроса – „Какво ще стане, ако …. ?“

Back to top button
Close