DNS

Protective DNS (PDNS) е услуга, която анализира DNS заявки и предприема действия за ограничаване на заплахите, като използва съществуващия DNS протокол и неговата архитектура. Тя предотвратява достъпа до злонамерен софтуер, рансъмуер, фишинг сайтове, вируси, злонамерени сайтове и шпионски софтуер, и по този начин прави мрежата по-сигурна.

Как работи PDNS

PDNS използва функционалността Response Policy Zone (RPZ). Тя представлява DNS resolver, който връща отговор на DNS заявки на базата на зададени политики. DNS resolver-а проверява както домейна, така и отговарящият му IP адрес срещу динамична база от данни –  в която се съдържат списъци на зловредни сайтове, налични от различни публично достъпни и частни източници. DNS resolver-a може да блокира или прерутира достъпа до такива сайтове на базата на зададеното действие в политиката. Когато PDNS получи злонамерена или подозрителна DNS заявка, той може да отговори по няколко начина:

• Да ограничи достъпа до заявения домейн, като върне NXDOMAIN отговор – това означава, че няма IP адрес за заявения домейн
• Да пренасочи заявката към алтернативна страница с информация, че първоначално заявеният домейн е блокиран
• Да използва т.нар. „sinkhole“ похват за конкретния домейн, като по този начин ще предотврати или забави изпълнението на последваща кибератака (криптиране на машината или свързването й към CnC сървър). Този подход позволява на специалистите по киберсигурност да разследват инциденти, докато заплахата е все още активна в инфраструктурата.

В помощ на киберсигурността

Основната характеристика на PDNS е възможността категоризира домейни въз основа на threat intelligence. Агенцията по киберсигурност и сигурност на инфраструктурата (CISA) и Националната агенция за сигурност (NSA) на САЩ класифицираха категориите домейни, използвани от PDNS, в следните групи :

• Фишинг: Сайтове, за които се знае, че хостват приложения, които злонамерено събират лична или корпоративна информация, включително идентификационни данни. Фишинг домейните могат да включват на пръв поглед сходни или близки като абревиатура имена на легитимни домейни (например go0com). PDNS може да предпази потребителите от случайно/непредизвикано свързване към потенциално злонамерена страница.
• Разпространение на малуер и свързване към CnC: Сайтове, за които е известно, че обслужват злонамерено съдържание или се използват за командване и управление на зловреден софтуер върху машините на жертвите. Те могат да хостват злонамерени JavaScript® файлове или да събират лична информация за профилиране. PDNS може да блокира и предупреждава за опити за злонамерена връзка.
• Алгоритми за генериране на домейни (DGA): Това са сайтове с динамично генерирани имена на домейни, които зловредният софтуер използва, за да заобиколи статичното блокиране от страна на наличните мерки за сигурност. Някои видове злонамерен софтуер, включително ботнет мрежите, зависят изцяло от комуникацията с инфраструктурата за командване и управление (CnC). Злонамерените лица използват алгоритми за генериране на домейни (DGA), за да заобиколят статичното блокиране – на ниво домейн или IP – чрез динамично генериране на имена на домейни. PDNS предлага защита от зловреден софтуер, използващ DGA, като анализира текстовите атрибути на всеки домейн и маркира тези, които са свързани с известни DGA атрибути.
• Филтриране на определено съдържание: Сайтове, чието съдържание е в разрез с политиките ви за достъп: PDNS може да ограничи достъпа до определени категории като хазарт, онлайн игри, социални мрежи и др.

Как PDNS помага

• Блокира нови домейни в реално време, от момента на тяхното регистриране/създаване
• Ограничава броя на потенциалните домейни, които могат да ви атакуват
• Има възможност да ограничи/спре цялата зловредна изходяща DNS комуникация в случай на инфекция със зловреден код
• Осигурява видимост, в реално време и в исторически план, на целия изходящ DNS трафик, което позволява да анализирате настъпили инциденти

Услугата е подходяща за всички

Можете да използвате услугата, какъвто и потребител да сте – работещи в офиса, отдалечено или у дома. За първите два типа, настройката и конфигурирането на позволените политики и категории се извършва от ИТ администратора. За работещите отдалечено е желателно свързването към PDNS да става чрез имплементирането на DoH – това дава възможност да се възползват от защитните механизми, независимо от къде се свързват с Интернет. Домашните потребители сами ще решат дали да се възползват от филтрирането на определени категории и сайтове или ще разчитат само на защитата от зловредни сайтове.

В заключение

Използването на PDNS ви осигурява още едно ниво на сигурност, като същевременно ви предоставя контрол и видимост върху целият DNS трафик. DNS е един от основните инструменти, използвани от злонамерените лица за комуникация, ексфилтрация на данни и т.н. Затова наличието и използването на DNS защита става неразделна част от съвременната киберсигурност. Допълнителна информация ще откриете ТУК и в следващата таблица:

Все по-често в сферата на информационната сигурност започва да се среща израза “DoH” : DNS-over-HTTPS.

Създаден за сигурност

Какво представлява DoH ? Накратко – по дизайн, DNS протоколът изпраща заявките в чист вид (plaintext). Така, ако злонамерено лице прихване DNS заявката, ще може да прочете нейното съдържание и оттам да предприеме други зловредни действия. Това, разбира се, представлява сериозен риск.

Вместо да изпрати DNS заявката на порт 53, DoH криптира заявките като ги „маскира“ като WEB трафик на порт 443 (HTTPS). По-този начин DNS трафика не се различава от стандартния HTTPS трафик и съответно съдържанието му остава нечетимо за трета страна (ISP доставчик, зловредно лице по средата на комуникацията – MiTM и т.н.).

През Февруари Firefox разреши DoH да бъде включен по подразбиране за потребителите си в САЩ. За повече информация тук.

Не само позитиви

Както всяко нещо, така и DoH има своите предимства и недостатъци. Предимствата са, че предотвратява някои опасни DNS атаки и може да се каже че повишава поверителността (единствено DoH доставчика ще има видимост върху DNS заявките).

Дотук добре, на пръв поглед всичко е наред и не би трябвало да има някакъв проблем. От гледна точка на специалистите по киберсигурност обаче, това представлява сериозна пречка за засичане на зловредна дейност в мрежата. Причината: голяма част от зловредните кодове в наши дни използва именно DNS, за да извършват своите зловредни дейности (обръщане към  CnC сървър, свързване и сваляне на зловредни файлове и т.н.).

Системи за сигурност като IDS на практика стават неизползваеми за следене на DNS трафик, защото за тях това ще бъде стандартен криптиран трафик изпратен на порт 443.

Хакерската групировка от Иран Oilrig е една от първите, които се възползваха от това „предимство“ на DoH, имплементирайки го в своите атаки.

Иноватори

По време на уеб семинар Висенте Диас, анализатор на зловреден софтуер за производителят на антивирусни програми Kaspersky спомена, че използването на DoH за зловредни дейности е започнало през май тази година. Тогава групата OilRig е добавила нов инструмент към своя хакерски арсенал и е започнала да използва нова програма, наречена DNSExfiltrator като част от инструментариума си за проникване в хакнатите мрежи.

Както подсказва името му, инструментът може да прехвърля информация между две точки, използвайки класически DNS заявки, но може да използва и по-новия DoH протокол.

Според Диас, Oilrig, известни също като APT34, използват DNSExfiltrator за събиране на откраднатата информация от вътрешната мрежа и след това я изпращат към управляван от тях сървър.

Причината за използването на DoH като канал за ексфилтрация е именно възможността да изпълняват зловредни действия без да бъдат забелязани от наличните инструменти за сигурност.

OILRIG и DNS като метод на ексфилтрация

Фактът, че Oilrig бяха една от първите APT групи, които внедриха DoH, също не е изненада.

В исторически план групата и преди се е занимавала с DNS-базирани техники за ексфилтрация. Преди да премине към използването на инструмента с отворен код DNSExfiltrator, групата използваше специално написан инструмент поне от 2018 г., наречен DNSpionage. Това се твърди в няколко доклада на Talos, NSFOCUS и Palo Alto Networks.

Отново през май от Kaspersky споменаха, че Oilrig ексфилтрира данни, използвайки DoH, към домейни свързани с COVID-19.

През същия месец Reuters съобщиха за таргетирана фишинг кампания, организирана от неидентифицирани ирански хакери. Тя е била насочена към персонала на фармацевтичния гигант Gilead. Случайно или не, по това време организацията обяви, че започва работа върху варианти за лечение на COVID-19. Не е ясно обаче дали става въпрос за едни и същи инциденти.

Различни доклади свързват повечето ирански APT групи с Ислямският революционен гвардейски корпус или накратко „Пасдаран“, което е най-високото военно образувание на Иран.

Вместо заключение

Ако сте краен потребител, определено използването на DoH би повишило вашата сигурност и поверителност, особено ако го имплементирате не само на ниво приложение (напр. браузър, операционна система и т.н.), а за цялата мрежа. От Cloudflare са изготвили наръчник на тази тема, който може да прочетете тук.

Не по същия начин стоят нещата, ако вие сте човекът, който отговаря за сигурността на цялата инфраструктура, било то в ролята на IT администратор, специалист по мрежова и информационна сигурност и т.н. Помислете добре дали искате да имплементирате DoH във вашата мрежа.

Да, от една страна ще получите „благинките“ описани по-горе, но заслужава ли си цената? А тя не е изобщо малка за преглъщане – видимостта върху DNS заявките на цялата мрежа. Все още наличните инструменти за сигурност не могат да предоставят 100% видимост на DoH заявките, което, като се вземе предвид нарастващата популярност на този протокол, определено ще се промени в бъдеще.

От SANS са написали подробен доклад на тема „Методи за увеличаване на видимостта при използването на DoH” , който много добре описва ситуацията към текущия момент.

Забравени лендинг страници (landing pages), които редица компании използват, могат да бъдат използвани като средство за атака. Как? Като се „отвлекат“ DNS записите им. Но да започнем отначало.

Какво е landing страница? Обикновено, става въпрос за сайтове, създадени с определена еднократна цел: например, за маркетингови кампании и промоции, игри и т.н. След като сайтът изпълни предназначението си – например, след като кампанията или играта приключи, обикновено бива премахнат или забравен. Именно те са най-честите жертви на този вид атака според Зак Едуардс (Zach Edwards), американски специалист по киберсигурност, който пръв повдигна въпроса в Twitter.

Как работи атаката

За да се улесни използването на такъв тип уеб сайтове с кратък живот, доставчиците на хостинг услуги предлагат автоматични DNS записи. Например – temp-1234.hostco.example.  Така клиентът има възможност да създаде CNAME запис за своят истински домейн и да насочи потребителите си към временният сайт:

julyoffer.example.com: alias (CNAME record) -> temp-1234.hostco.example (cache for 5 mins)

След като микросайтът вече не ви е необходим, вие спирате да плащате абонамента си за него. Облачната компания го рециклира и го предоставя на друг потребител. Но, както се оказва, без непременно да е изтрила надлежно и по правилен начин всички DNS записи от него. Точно такива микросайтове търсят хакерите.

Произволно търсене?

За сравнение, ако някога сте ползвали нов предплатен телефонен номер, без съмнение се е случвало да получавате досадни обаждания от непознати. При това, не от приятели на предишния абонат, а от измамници, които имат номера „отнякъде“.

За разлика от телефонните номера обаче, където самите цифри са по-скоро произволни, поддомейните са тясно свързани с вашата марка – тя обичайно се съдържа в името им и приканва посетителите да й се доверят.

В случаите, проследявани от Едуардс, изглежда, че мошениците са използвали  закрити поддомейни, съдържащи легитимни DNS записи, за да генерират надеждни URL адреси за кампании, разпространяващи измами и зловреден софтуер.

Атаките са известни като „отвличане на DNS записи“ (DNS hijacks) – хакерите всъщност не превземат самия сайт или уеб сървър, а просто променят „указателите в интернет“, които насочват към него.

Всичко тръгва от DNS протокола

Както вероятно знаете, DNS (Domain Name System) е глобалната база данни, която автоматично превръща име на домейн, към който браузърът се е обърнал, от удобното за потребителя google.com например, в съответния компютърен IP номер (в случая 64.233.191.255), необходим за изпращане и получаване на мрежови пакети в интернет.

Резултатът от преобразуването се запазва в кешa на DNS-сървъра, така че той да може да продължи да го използва за известно време, без да се налага да търси отново всяко изображение или скрипт, нужни при преглед на съответната уеб страница. Периодът, за който информацията в DNS кеша се счита за актуална, се нарича „време-на-живот“ или TTL (Time-To-Live).

Повечето доставчици на cloud услуги поддържат своите DNS кеш TTL доста кратки, колкото да помогнат на услугите им да се адаптират по-бързо към промени в натоварването на мрежата.

Изглежда обаче, че за хакерите това кратко време е достатъчно, за да „отвлекат“ сайта ви, чрез подмяна на DNS записи и пренасочване на потребителите ви, където пожелаят.

Атаката е трудна за откриване: На практика нищо на вашия сървър не се променя и нито една защитна система, която ползвате, засича признаци на неоторизиран достъп. Просто посетителите изведнъж спират да пристигат на вашия сайт и започват да виждат нечие друго съдържание, а именно – това на хакерите.

Какво да направите?

• Ако сте доставчик на хостинг услуги, помислете дали създаването на временни облачни имена да има уникален префикс или суфикс или да не позволявате те да се прехвърлят към друг потребител с месеци или дори години, ако е възможно.
• Проверявайте вашите DNS записи за излишни такива, които биха могли да бъдат „отвлечени“. Деактивирайте всички микросайтове, веднага щом приключите с тяхното използване.
• Разберете какви DNS предпазни мерки предлага вашият хостинг доставчик. Също така помислете за включване на опция, наречена „Премахване на DNS запис“.

Група от израелски студенти доказа нова уязвимост, която може да доведе до пълен интернет апокалипсис. Тя засяга DNS – един от протоколите, считани за гръбнака на съвременните мрежи.

Подходът за атака е наречен NXNSAttack: Recursive DNS Inefficiencies and Vulnerabilities и е насочен към рекурсивни и авторитетни DNS сървъри. Резултатът е DDoS с коефициенти на увеличение над 1600 пъти.

Засегнати са както ISC BIND (CVE-2020-8616), така и някои от най-големите публични DNS услуги:

Public DNS recursive resolver (IP)	Max # of delegations = F/2	Victim cost Cpkt/v	PAF
CloudFlare (1.1.1.1)	24	96	48x
Comodo Secure (8.26.56.26)	140	870	435x
DNS.Watch (84.200.69.80)	135	972	486x
Dyn (216.146.35.35)	50	408	204x
FreeDNS (37.235.1.174)	50	100	50x
Google (8.8.8.8)	15	60	30x
Hurricane (74.82.42.42)	50	98	49x
Level3 (209.244.0.3)	135	546	273x
Norton ConnectSafe (199.85.126.10)	140	1138	569x
OpenDNS (208.67.222.222)	50	64	32x
Quad9 (9.9.9.9)	100	830	415x
SafeDNS (195.46.39.39)	135	548	274x
Ultra (156.154.71.1)	100	810	405x
Verisign (64.6.64.6)	50	404	202x

В зависимост от фактора на увеличение (PAF), жертвата, подложена на NXNSAttack, би получила многократно повече пакети от изпратените от нападателите. Цифрите са наистина впечатляващи, като се има предвид, че досега известни методи за такъв тип DNS увеличителни и отразителни атаки са с доста по-ниски стойности.

Основните съставки на новата атака са:

• лекотата, с която може да се притежава или контролира авторитетен DNS сървър;
• използването на несъществуващи имена на домейни;
• допълнителна резервираност в DNS структурата, за да се постигне отказоустойчивост и бързо време за реакция.

Важно е да отбележим, че някои от възможните средства за защита, като например различни ограничители (rate limits), са нож с две остриета, което позволява на атакуващия да доведе до отказ от услугата за легитимни потребители.

Зловещи ефекти

От февруари насам откривателите на NXNSAttack са започнали работа със съответните разработчици на DNS софтуер, CDN и DNS доставчици, за да им помогнат да отстранят тази заплаха и да смекчат ефекта от евентуални атаки след публикуване на своето проучване.

Дори и след месеци усилена колаборация и пачване, най-вероятно са останали кътчета от интернет, които са все още уязвими и могат да бъдат експлоатирани. Това би довело до инциденти, подобни на тези причинени от Mirai botnet, макар и с далеч по-малък на брой зомбирани устройства.

Уязвимостта се корени в това, как DNS рекурсивни сървъри обслужват Name Server насочващи отговори (NS referral response), без да имат IP лепнат (glue) запис.

Как работи атаката

Графично представяне на самата атака:

И разменените съобщения:

За да разберем как работи NXNSAttack, трябва да вземем под внимание йерархичната структура на DNS в интернет. Когато браузър се обърне към домейн като google.com, той пита DNS сървър, за да открие IP адреса на този домейн, число като 64.233.191.255.

Обикновено на тези заявки се отговаря от DNS рекурсивни (резолюционни) сървъри, контролирани от доставчици на интернет и DNS услуги. Но ако тези рекурсивни DNS сървъри не разполагат с точния IP адрес под ръка, те пренасочват заявката към „авторитетен“ сървър, свързан с конкретни домейни, за отговор.

NXNSAttack злоупотребява с доверената комуникации между тези различни слоеве на DNS йерархията. Атаката има за „реквизит“ не само достъп до колекция от персонални компютри и/или други IoT устройства (ботнет), но и създаване на DNS сървъри за домейн, който бихме нарекли „attacker.com“. (Изследователите твърдят, че всеки може да си купи домейн и да си настрои DNS сървър само за няколко долара).

След това нападателят изпраща поредица заявки от ботовете за домейна, който контролира. Или по-точно – вълна от заявки за фалшиви поддомейни като 123.attacker.com, 456.attacker.com и т.н., използвайки низове от произволни числа, за да променя постоянно заявките за поддомейни.

Опитите за посещения на тези недействителни домейни ще задействат обръщения към рекурсивният DNS сървър (примерно този на интернет доставчика), който от своя страна ще изпрати заявката към авторитетен сървър – в случая, DNS сървърът под контрола на атакуващия. Вместо само да предостави IP адрес, този авторитетен сървър ще съобщи на рекурсивният (resolver) DNS сървър, че не знае местоположението на исканите поддомейни, като ще го насочи да поиска друг авторитетен DNS сървър, прехвърляйки заявката към домейна на жертва по избор на нападателя.

Откривателите на тази уязвимост са установили, че насочването на заявки за един несъществуващ поддомейн (123.attacker.com) към стотици несъществуващи поддомейни, принадлежащи на жертвата (asd.victim.com, 4321.victim.com и тн…), би могло да позволи на хакер да претовари не само DNS сървърите на интернет доставчиците, като ги подмами да изпратят повече заявки, отколкото сървърите биха могли да обработят (потенциално да спрат и всичките им услуги, както се случи при атаката на Mirai срещу Dyn), но също да „свалят“ авторитетните DNS сървъри на жертвата, следователно целия домейн victim.com ще остане offline за света.

Жертвата вероятно ще открие, че един злонамерен DNS сървър стои зад атаката и ще спре да отговаря на искания от attacker.com. Но Шафир от университета в Тел Авив изтъква, че нападателите могат да използват няколко домейна, за да променят атаката и да затруднят защитата. „Можете да имате десетки подобни домейни и да ги сменяте на всеки няколко минути“, казва Шафир – „Много е лесно.“

Повече от един вариант

В друг вариант на NXNSAttack, хакер може дори да насочи своите действия към несъществуващи домейни от най-високо ниво (TLD) като „.fake“, за да атакува така наречените root сървъри, които отговарят за домейни от най-високо ниво – .com и .gov.

Въпреки че тези сървъри обикновено са проектирани да разполагат с много голяма честотна лента, изследователите казват, че биха могли да използват много фалшиви домейни, използвайки фалшиви поддомейни от първата версия на тяхната атака, потенциално увеличавайки всяка заявка повече от хиляда пъти. Резултатът е можело да бъде катастрофален за целият интернет:

„Когато се опитате да атакувате един от root сървърите, атаката става много по-разрушителна“, казва Шафир. „Не успяхме да покажем (докажем), че root сървъри могат да бъдат изцяло претоварени, защото са много мощни, но атаката има огромен фактор на усилване (PAF), а това са най-важните активи на световната мрежа. Части от интернет изобщо няма да работят в този най-лош случай.“

Ако всичко до тук ви се струва познато (deja vu), не сте сгрешили – подобна уязвимост, която би могла да доведе до сравними атаки и резултати, е била тайно отстранена през 2008 година. Препоръчвам да изгледате видеото от статията HACKER HISTORY: HOW DAN KAMINSKY ALMOST BROKE THE INTERNET

„От моя гледна точка съм просто в екстаз, че подобно сътрудничество, което получих през 2008 г., все още се случва през 2020 г.“, казва Камински. „Интернет не е нещо, което би оцеляло, ако не се правеха цялостни подобрения, всеки път когато някой подпали нещо.“

В заключение – интернет е много „крехка“ екосистема, като градивните и компоненти (DNS, BGP и други) са били проектирани колкото да работят. За великите умове, създали интернет, не е било възможно да предвидят мащабите и значението на своите творения, следователно не са обърнали достатъчно внимание на въпроса – „Какво ще стане, ако …. ?“