sábado, 23 de fevereiro de 2019

CAMPANHA DE INVASÃO EM INFRAESTRUTURA DE DNS

A National Cybersecurity and Communications Integration Center (NCCIC), parte da Cybersecurity and Infrastructure Security Agency (CISA), tem conhecimento de uma articulação com o proposito de invasão, a nível global, em infraestrutura que utilizam o serviço de DNS (Domain Name Server). Utilizando-se de credencias comprometidas, um atacante, pode modificar a localização para o qual os recursos de nome de domínio de uma organização resolvem. Isso permite que o invasor redirecione o tráfego de usuários para uma infraestrutura controlada por eles e assim obtêm certificados de criptografia válidos para os nomes de domínio de uma organização, permitindo ataques do tipo man-in-the-middle.

 Abaixo é possível ver a lista de alguns domínios maliciosos bem como os IPs para download:

 IOCs (.csv)
IOCs (.stix)

 Estes arquivos foram atualizados em 13 de Fevereiro de 2019, abaixo, alguns IPs que podem ser removidos da lista de endereços suspeitos:

 107.161.23.204
192.161.187.200
209.141.38.71

 Detalhes da Técnica Utilizada
  1. Usando as técnicas a seguir, os invasores redirecionaram e interceptaram o tráfego da Web e de e-mails e puderam encaminhá-los para outros serviços de rede.
  2. O invasor começa comprometendo as credenciais do usuário ou obtendo-as por meios alternativos de uma conta que pode fazer alterações nos registros do DNS 
  3. Em seguida, o invasor altera registros DNS, como registros de Endereço (A), Mail Exchanger (MX) ou Name Server (NS), substituindo o endereço legítimo de um serviço por um endereço que o invasor controla. Isso permite que eles direcionem o tráfego do usuário para sua própria infraestrutura para manipulação ou inspeção antes de passá-lo para o serviço legítimo, caso escolham. Isso cria um risco que persiste além do período de redirecionamento de tráfego.

Como o invasor pode definir valores de registro DNS, ele também pode obter certificados de criptografia válidos para os nomes de domínio de uma organização. Isso permite que o tráfego redirecionado seja descriptografado, expondo qualquer dado enviado pelo usuário. Como o certificado é válido para o domínio, os usuários finais não recebem avisos de erro.

Recomendações parra Mitigação do Ataque

 O NCCIC recomenda as seguintes melhores práticas para ajudar a manter segura sua rede contra esse tipo de ameaça:

  • Atualize as senhas de todas as contas que podem alterar os registros DNS das organizações.
  • Implementar autenticação de multiplos fatores em contas de registros de domínio ou em outros sistemas usados para modificar registros DNS.
  • Audite os registros DNS públicos para verificar se eles estão resolvendo o local pretendido.
  • Procure por certificados de criptografia relacionados a domínios e revogue todos os certificados solicitados de forma fraudulenta.

Referências
------------------

 Cisco Talos blog: DNSpionage Campaign Targets Middle East
CERT-OPMD blog: [DNSPIONAGE] – Focus on internal actions
FireEye blog: Global DNS Hijacking Campaign: DNS Record Manipulation at Scale
Crowdstrike blog: Widespread DNS Hijacking Activity Targets Multiple Sectors

By às
Marcadores: ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)