NCSC alerta para nova onda de ataques de sequestro de DNS. O National Cyber Security Centre (NCSC) do Reino Unido alertou recentemente para uma nova onda de ataques de sequestro de DNS.
Na sequência de relatórios recentes sobre ataques em larga escala destinados a modificar os registros do Domain Name System (DNS), o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido divulgou um comunicado com opções de mitigação para as organizações se defenderem contra esse tipo de ameaça.
O Domain Name System (DNS) é o serviço responsável por apontar o navegador da web para o endereço IP correto quando navegamos para um domínio da web.
Sequestro de DNS – alterando as configurações de DNS para fins maliciosos, abre o caminho para uma série de possibilidades sombrias. Do ponto de vista do usuário, as principais ameaças são phishing e interceptação de tráfego, enquanto que para as organizações o golpe pode ser muito mais difícil e pode se traduzir em perder o controle sobre um domínio.
Já houve relatos de ataques direcionados aos consumidores em busca de ganho financeiro, ou contra várias organizações para espionagem cibernética.
O comunicado do NCSC destaca ainda mais a atividade de sequestro de DNS e fornece conselhos de mitigação.
Em janeiro de 2019, o NCSC publicou um alerta para destacar uma campanha global em grande escala para sequestrar Domain Name Systems (DNS).
Desde que o alerta foi publicado, o NCSC observou outras atividades, com vítimas de sequestro de DNS identificadas em várias regiões e setores. O comunicado atual cobre alguns dos riscos para as organizações em torno da atividade de sequestro de DNS e dá conselhos sobre como os riscos podem ser mitigados.
Um relatório com dados de telemetria da Avast revela que entre fevereiro e junho pelo menos 180.000 usuários no Brasil tiveram seus roteadores comprometidos e as configurações de DNS alteradas.
A Avast bloqueou mais de 4,6 milhões de tentativas de enviar usuários a sites mal-intencionados neste ano no Brasil, como manobra de cibercrime para desviar o tráfego de sites que incluem a Netflix e grandes bancos.
Os dados do Avast mostram que os sites pertencentes às seguintes organizações ativas no Brasil são sequestrados com mais frequência:
- Santander (24%)
- Bradesco (19%)
- Banco do Brasil (13%)
- Itau BBA (13%)
- Netflix (11%)
- Caixa (10%)
- Serasa Experian (10%)
“As instituições afetadas são visadas porque são populares em seus países, e o problema é que há pouco que podem fazer para evitar ser vítimas, além de alertar seus clientes, já que os sites de phishing estão fora de seus domínios”, disse David Jursa, analista de inteligência de ameaças no Avast.
Pesquisadores da Ixia também estão acompanhando campanhas de sequestro de DNS direcionadas a roteadores de nível de consumidor. Eles perceberam uma onda no início de abril que visava redirecionar as vítimas a páginas falsas para serviços como Gmail, PayPal, Uber e Netflix, entre outras instituições financeiras e provedores de hospedagem na web.
Na semana passada, a Cisco Talos publicou uma análise sobre a atividade renovada da Sea Turtle , uma ameaça que usa o sequestro do DNS para fins de espionagem digital; o resultado final foi redirecionar as vítimas para servidores controlados por invasores.
Em uma campanha que durou pelo menos dois anos , a Sea Turtle teve como alvo organizações principalmente no Oriente Médio e Norte da África, comprometendo entidades terceirizadas (empresas de telecomunicações, ISPs, empresas de TI, registradores de domínio) responsáveis pelos serviços DNS usados por suas vítimas.
Alerta NCSC
O NCSC do Reino Unido publicou um documento na sexta-feira descrevendo os riscos que vêm com as tentativas de sequestro do DNS e oferecendo conselhos às organizações para se protegerem desse tipo de perigo.
As contas de registrantes nos serviços de registradores de domínios são alvos de alto valor que podem ser assumidos por meio de técnicas comuns, como preenchimento de credenciais, phishing ou outras formas de engenharia social.
Entre as boas medidas de impedir tentativas de Account Take Over (ATO) está a verificação regular dos detalhes vinculados à conta e garantir que eles estão atualizados e apontam para a organização, e não para um indivíduo.
Restringir o acesso à conta apenas às pessoas da empresa encarregadas de fazer alterações reduz o risco de um intruso assumir o controle da conta.
A proteção extra vem do serviço de “bloqueio de registro”, disponível com muitos serviços de registro de nomes de domínio. Requer autenticação adicional antes de modificar os detalhes de contato e servidores de nomes, ou para autorizar uma transferência de domínio.
Detalhes
O Domain Name System foi projetado como uma infraestrutura hierárquica e delegada.
Quando um resolvedor de DNS precisa estabelecer um registro DNS, ele faz uma série de consultas através da cadeia de delegação. Esse design de “banco de dados distribuído” era escolhidos para resiliência e estabilidade, mas também para permitir subdomínios de delegação a outras entidades. Por exemplo, delegação significa que os domínios de primeiro nível com código de país (country code top level domains – ccTLDs) tais como .br, .uk ou .fr podem ser delegados à nação relevante.
O NCSC observou vários ataques que exploram o sistema DNS em diferentes
níveis. Desde que o alerta do NCSC em janeiro foi observado mais atividade, com vítimas de sequestro de DNS identificadas em várias regiões e setores.
Riscos
Os agressores podem ter uma variedade de motivações e objetivos, que vão desde derrubar ou desfigurar um site a interceptar dados. Alguns dos riscos relacionados ao sequestro de DNS incluem:
- Criação de registros DNS maliciosos – por exemplo, para criar um site de phishing que seja presente no domínio familiar de uma organização. Isso pode ser usado para “pescar” funcionários ou clientes.
- Obtenção de certificados SSL – certificados SSL validados por domínio são emitidos com base na criação de registros de DNS; Assim, um invasor pode obter certificados SSL válidos para um nome de domínio, que poderia ser usado para criar um site de phishing destinado a parecer com um site autêntico, por exemplo.
- Proxying transparente – um risco sério empregado recentemente envolve tráfego transparente no proxy para interceptar dados. O invasor modifica a configuração e entradas da zona de domínio (como registros “A” ou “CNAME”) da organização, para apontar o tráfego para seu próprio endereço IP que é a infraestrutura que eles gerenciam. Por exemplo, os usuários de uma organização podem efetuar login no webmail.company.com; O invasores irá comprometer o DNS para esse registro para esse serviço, redirecionando webmail.company.com para o servidor do invasor. Este servidor proverá um certificado SSL valido (obtido por causa do controle do DNS pelo invasor). O servidor fará a intermediação transparente dos usuários para o serviço de webmail real, enquanto intercepta credenciais e dados confidenciais.
- Domínio Hijack – uma organização pode perder o controle total de seu domínio e os invasores irão alterar os detalhes de propriedade do domínio, dificultando a recuperação.
Medidas de Proteção
Para organizações que executam sua própria infraestrutura de DNS, o NCSC recomenda a implementação de sistemas de acesso e controle de alterações que possam fornecer backup e restaurar a função de registros DNS e impor acesso restrito às máquinas que gerenciam serviços DNS.
O monitoramento de SSL e a implementação das especificações do Domain Name System Security Extensions (DNSSEC) também estão na lista de recomendações do NCSC.
Embora o monitoramento de SSL ajude a manter os certificados SSL dos nomes de domínio de uma empresa, o DNSSEC garante que os registros DNS no servidor sejam fornecidos com assinaturas criptográficas.
Tais mitigadores não se aplicam aos consumidores, porém, que têm um conjunto muito menor de opções.
Para o usuário final, manter seus dispositivos atualizados com o firmware mais recente, verificar se os sites têm certificados válidos e verificar as configurações de DNS são boas maneiras de reduzir o risco de ser vítima de invasão de DNS.
Algumas soluções de segurança em nível de rede destinadas ao uso do consumidor também podem bloquear tentativas de exploração que podem levar a modificação não autorizada de configurações de DNS e outros tipos de atividade maliciosa.
O relatório da NCSC aponta esta e outras medidas de para mitigar esses riscos, e orienta o usuário que siga as orientações de proteção contra phishing do NCSC e observe as melhores práticas de senhas recomendadas pelo NCSC, certificando-se de implantar sempre que possível o Multi-Factor Autenticação (MFA).
FONTE: https://minutodaseguranca.blog.br/ncsc-alerta-para-nova-onda-de-ataques-de-sequestro-de-dns/