A falsificação de DNS (Domain Name Server) é um ataque cibernético no qual um invasor direciona o tráfego da vítima para um site malicioso (em vez de um endereço IP legítimo). Os invasores usam o envenenamento do cache DNS para interceptar o tráfego da Internet e roubar credenciais ou informações confidenciais. Envenenamento de cache de DNS e spoofing de DNS são conceitos idênticos, freqüentemente usados como sinônimos. O hacker quer induzir os usuários a inserir informações pessoais em um site inseguro. Como ele pode conseguir isso? Envenenando o cache DNS. Para fazer isso, o hacker falsifica ou substitui os dados DNS de um site específico e, em seguida, redireciona a vítima para o servidor do invasor em vez do servidor legítimo. Assim, o hacker atinge seu objetivo, porque amplas oportunidades se abrem diante dele: ele pode realizar um ataque de phishing , roubar dados ou até mesmo injetar malware no sistema da vítima.
O que é falsificação de DNS e envenenamento de cache?
Antes de começarmos a falar sobre envenenamento de cache de DNS, vamos primeiro dar uma olhada no que são DNS e cache de DNS. DNS é o diretório mundial de endereços IP e nomes de domínio. Podemos dizer que se trata de uma espécie de lista telefônica da Internet. O DNS traduz endereços amigáveis como varonis.com em endereços IP como 92.168.1.169, que são usados por computadores para trabalhar na rede. O cache DNS é um sistema para armazenar endereços em servidores DNS em todo o mundo. Para acelerar o processamento de suas consultas DNS, os desenvolvedores criaram um sistema DNS distribuído. Cada servidor mantém uma lista de registros DNS que conhece, chamada de cache. Se o servidor DNS mais próximo de você não tiver o endereço IP desejado, ele consulta os servidores DNS upstream até que o endereço do site que você está tentando acessar seja encontrado.O servidor DNS então armazena essa nova entrada em seu cache para obter uma resposta mais rápida da próxima vez.
Exemplos e consequências de envenenamento de cache DNS
O conceito de DNS não é adaptado às especificidades da Internet moderna. Obviamente, o DNS evoluiu com o tempo, mas agora ainda é suficiente ter um servidor DNS mal configurado para fazer milhões de usuários sentirem o impacto. Exemplo - ataque ao WikiLeaksquando os invasores usaram o envenenamento do cache DNS para interceptar o tráfego, redirecionando-o para seu próprio clone do site. O objetivo desse ataque era desviar o tráfego do WikiLeaks e obteve algum sucesso. O envenenamento do cache DNS não é fácil de ser detectado por usuários comuns. Atualmente, o DNS baseia-se na confiança e esse é seu ponto fraco. As pessoas confiam demais no DNS e nunca verificam se o endereço no navegador corresponde ao que realmente desejam. Os invasores usam esse descuido e desatenção para roubar credenciais e outras informações importantes.
Como funciona o envenenamento de cache DNS?
Envenenar o cache DNS significa que o servidor DNS mais próximo de você contém um registro que o envia para o endereço errado, que geralmente é controlado por um invasor. Existem várias técnicas que os invasores usam para envenenar o cache DNS.
Interceptando o tráfego de LAN usando ARP Spoofing
Você ficará surpreso com o quão vulnerável uma rede local pode ser. Muitos administradores podem ter certeza de que bloquearam todos os acessos possíveis, mas, como você sabe, o diabo está nos detalhes.
Um dos problemas comuns são os funcionários que trabalham remotamente . Como você pode ter certeza de que sua rede Wi-Fi está protegida? Os hackers podem quebrar uma senha fraca de Wi-Fi em questão de horas.
Outro problema são as portas Ethernet abertasacessível a todos nos corredores, lobbies e outros locais públicos. Imagine: um visitante pode conectar um cabo Ethernet ao seu dispositivo para a exibição do lobby. Como um hacker pode usar o acesso à sua rede local obtido de uma das maneiras acima? Primeiro, ele será capaz de criar uma página de phishing para coletar credenciais e outras informações valiosas. Então, ele pode hospedar este site em uma rede local ou em um servidor remoto e, para isso, ele só precisa de uma linha de código Python. O hacker pode então começar a espionar a rede usando ferramentas especiais como Betterrcap. Nesse ponto, o hacker examina a rede e faz o reconhecimento, mas o tráfego ainda está passando pelo roteador.Um invasor pode então adulterar o Protocolo de Resolução de Endereço (ARP) para alterar a estrutura da rede a partir de dentro. O ARP é usado por dispositivos de rede para associar o endereço MAC de um dispositivo a um endereço IP em uma rede. A Bettercap enviará mensagens, forçando todos os dispositivos da rede a pensar no computador do hacker como um roteador. Com esse truque, um hacker será capaz de interceptar todo o tráfego de rede que passa pelo roteador. Depois que o tráfego é redirecionado, um invasor pode iniciar o módulo Bettercap para falsificar o DNS. Este módulo irá procurar por quaisquer solicitações ao domínio de destino e enviar respostas falsas à vítima. A falsa resposta contém o endereço IP do computador do invasor, redirecionando todas as solicitações ao site de destino para uma página de phishing criada pelo invasor. O hacker agora vê o tráfego destinado a outros dispositivos na rede,coleta credenciais inseridas e injeta downloads maliciosos.
Se o hacker não conseguir acessar a rede local, ele recorrerá a um dos seguintes ataques.
Forjando respostas com um ataque de aniversário
O DNS não autentica respostas a consultas recursivas, portanto, a primeira resposta é armazenada em cache. Os invasores usam o chamado paradoxo do aniversário para tentar prever e enviar uma resposta falsa ao solicitante. O ataque de aniversário usa matemática e teoria da probabilidade para prever . Nesse caso, o invasor tenta adivinhar a ID da transação de sua solicitação de DNS e, se for bem-sucedido, o falso registro de DNS chega a você antes de uma resposta legítima. O ataque de aniversário não tem garantia de sucesso, mas no final um invasor será capaz de armazenar em cache uma resposta falsa. Depois que o ataque for bem-sucedido, o hacker será capaz de ver o tráfego do registro DNS falso até o fim do ciclo de vida (TTL) do registro DNS....
é uma variação do ataque de aniversário. Dan Kaminsky, que descobriu essa vulnerabilidade, a apresentou pela primeira vez na conferência BlackHat em 2008. A essência da exploração é que o hacker primeiro envia uma solicitação de resolvedor de DNS para um domínio inexistente, por exemplo fake.varonis.com. Depois de receber tal solicitação, o resolvedor de DNS o redireciona para um servidor de nomes autorizado para obter o endereço IP do subdomínio falso. Nesse ponto, o invasor sobrecarrega o resolvedor de DNS com um grande número de respostas falsas, na esperança de que uma dessas respostas falsas corresponda ao ID de transação da solicitação original. Se for bem-sucedido, o hacker falsifica o endereço IP no cache do servidor DNS, por exemplo, como em nosso exemplo com varonis.com. O resolvedor continuará a responder a todos os solicitantes que o endereço IP falso do varonis.com é real,até que o registro DNS expire.
DNS?
Como detectar se o cache DNS está envenenado? Para fazer isso, você precisa monitorar seus servidores DNS em busca de indicadores de um possível ataque. No entanto, ninguém tem o poder de computação para lidar com esses volumes de solicitações de DNS. A melhor solução é aplicar análises de segurança de dados ao monitoramento de DNS. Isso distinguirá o comportamento normal do DNS de ataques maliciosos.
• Um aumento repentino na atividade DNS de uma fonte contra um domínio indica um possível ataque de aniversário.
• Um aumento na atividade DNS de uma única fonte, que consulta seu servidor DNS em busca de vários nomes de domínio sem recursão, indica uma tentativa de escolher um registro para envenenamento subsequente.
Além de O monitoramento de DNS também deve monitorar eventos do Active Directory e o comportamento do sistema de arquivos para detectar atividades anormais a tempo. Melhor ainda, use análises para encontrar a relação entre os três vetores. Isso fornecerá informações contextuais valiosas para fortalecer sua estratégia de segurança cibernética.
Métodos de proteção contra envenenamento de cache DNS
Além de monitorar e analisar, você pode fazer alterações nas configurações do servidor DNS:
- Limite as consultas recursivas para proteger contra possível envenenamento de cache direcionado.
- armazenar apenas dados relacionados ao domínio solicitado;
- limitar as respostas apenas àquelas relacionadas ao domínio solicitado;
- requer que os clientes usem o protocolo HTTPS.
Certifique-se de estar usando o software BIND e DNS mais recente e, portanto, tenha todas as correções de vulnerabilidade mais recentes. Se possível, por exemplo, no caso de trabalhadores remotos, faça com que todos os computadores remotos estejam conectados por meio de uma VPN. Isso protegerá o tráfego e as solicitações de DNS de serem espionados localmente. Além disso, incentive os funcionários a criarem senhas fortes para redes Wi-Fi para reduzir os riscos também.
Por fim, use consultas DNS criptografadas. Módulos de segurança do serviço de nomes de domínio (DNSSEC)É um protocolo DNS que usa consultas DNS assinadas para evitar spoofing. Ao usar o DNSSEC, o resolvedor de DNS precisa verificar a assinatura com um servidor DNS autorizado, o que retarda todo o processo. Como resultado, o DNSSEC ainda não obteve ampla aceitação.
DNS sobre HTTPS (DoH) e DNS sobre TLS (DoT)são especificações concorrentes para a próxima versão do DNS e, ao contrário do DNSSEC, são projetados para proteger as consultas DNS sem sacrificar a velocidade. No entanto, essas soluções não são ideais, pois podem desacelerar ou tornar completamente impossível monitorar e analisar o DNS localmente. É importante observar que DoH e DoT podem ignorar os controles dos pais e outros bloqueios de nível DNS definidos na rede. Independentemente disso, Cloudflare, Quad9 e Google têm servidores DNS públicos com suporte DoT. Muitos novos clientes suportam esses padrões modernos, embora o suporte esteja desabilitado por padrão. Você pode encontrar mais detalhes sobre isso em nossa postagem sobre segurança de DNS .
A falsificação de DNS substitui o endereço IP legítimo do site pelo endereço IP do computador do hacker. É muito difícil detectar a substituição, porque do ponto de vista do usuário final, ele insere um endereço de site absolutamente normal no navegador. Apesar disso, esse tipo de ataque pode ser interrompido. Os riscos podem ser mitigados usando o monitoramento de DNS, por exemplo da Varonis , bem como o padrão de criptografia DNS sobre TLS (DoT).
Envenenamento de cache: perguntas frequentes
Confira as perguntas e respostas comuns sobre spoofing de DNS.
Envenenamento de cache de DNS e falsificação de cache de DNS (falsificação) são a mesma coisa?
Sim, o mesmo tipo de ataque cibernético é chamado de envenenamento de cache e falsificação de cache.
Como funciona o envenenamento de cache DNS?
O envenenamento de cache engana seu servidor DNS para que ele armazene um registro DNS falso. Depois disso, o tráfego é redirecionado para o servidor escolhido pelo hacker, de onde os dados são roubados.
Que medidas de segurança podem ser aplicadas para proteger contra envenenamento de cache DNS?
Os proprietários de sites podem realizar monitoramento e análises para detectar falsificação de DNS. Você também pode atualizar seus servidores DNS para usar Módulos de Segurança do Sistema de Nomes de Domínio (DNSSEC) ou outro sistema de criptografia, como DNS sobre HTTPS ou DNS sobre TLS. O uso generalizado de criptografia completa de ponta a ponta, como HTTPS, também pode impedir o spoofing de DNS. Os Cloud Access Security Brokers (CASB) são extremamente úteis para esses fins. Os usuários finais podem liberar um cache DNS potencialmente falsificado, liberando periodicamente o cache DNS de seu navegador ou após se conectar a uma rede pública ou insegura. Usar uma VPN pode proteger contra spoofing de DNS na rede local. Evite links suspeitos. Isso ajudará a evitar o risco de contaminar o cache do navegador.
Como você pode verificar se foi atingido por um ataque de envenenamento de cache?
Uma vez que o cache DNS foi envenenado, é difícil detectá-lo. Uma tática muito melhor é monitorar seus dados e proteger seu sistema de malware para se proteger de vazamentos de dados devido ao envenenamento do cache DNS. Visite nosso laboratório de ataque cibernético interativo para ver como usamos o monitoramento de DNS para detectar ameaças de segurança cibernética do mundo real.
Como funciona a comunicação DNS?
Quando um usuário final insere um URL como Varonis.com em seu navegador, acontece o seguinte:
- O navegador primeiro verificará seu cache local para dados DNS já armazenados.
- Se esses dados estiverem ausentes, ele consultará o servidor DNS upstream, que geralmente é o seu roteador na rede local.
- DNS, , DNS, Google, Cloudflare Quad9.
- DNS- .
4.1. , DNS-, DNS « .com».
4.2. .com, « Varonis.com», URL.
4.3. « IP- Varonis.com», IP- . - Os dados DNS são então enviados de volta pela cadeia até chegarem ao dispositivo do usuário final. Ao longo de toda a rota, cada um dos servidores DNS gravará a resposta recebida em seu próprio cache para uso posterior.
Como os invasores envenenam o cache DNS?
Existem muitas maneiras de envenenar o cache, e estas são as mais comuns: forçar a vítima a clicar em um link malicioso que usa código embutido para alterar o cache DNS no navegador do usuário; Hackear um servidor DNS local usando um “ataque de intermediário”. O "ataque de intermediário" mencionado anteriormente usa spoofing do protocolo de resolução de endereços (ARP) para redirecionar as solicitações de DNS para um servidor DNS controlado pelo invasor.
O que é envenenamento de cache DNS?
O envenenamento do cache DNS é o ato de substituir uma entrada no banco de dados DNS por um endereço IP que leva a um servidor malicioso controlado por um invasor.
Como o spoofing de DNS é executado?
Um hacker executa um ataque de falsificação de DNS obtendo acesso e alterando o cache DNS ou redirecionando consultas DNS para seu próprio servidor DNS.
O que é falsificação de DNS?
A falsificação de DNS significa que a URL que o usuário insere em um navegador, como varonis.com, não leva de fato ao endereço IP oficial correto associado a essa URL. Em vez disso, o usuário é redirecionado para um servidor malicioso controlado pelo hacker.
Por que o spoofing de DNS é perigoso?
A falsificação de DNS é perigosa porque, por sua própria natureza, acredita-se que o Sistema de Nomes de Domínio (DNS) seja confiável, portanto, muitas vezes não é protegido por nenhum tipo de criptografia. Isso leva ao fato de que os hackers podem falsificar registros no cache DNS para roubar ainda mais dados, injetando malware, phishing e bloqueio de atualizações.
A principal ameaça representada por um ataque de falsificação de DNS é o roubo de dados por meio de páginas de phishing. Além disso, existe o risco de malware ser introduzido sob o disfarce de arquivos para download que parecem reais. Além disso, se o sistema for atualizado pela Internet, um invasor pode bloquear a atualização alterando os registros DNS para que eles não levem ao site desejado.