image

NCSC: duizenden domeinen dupe DNS-kaping

dinsdag 6 augustus 2013, 17:51 door Redactie, 14 reacties
Laatst bijgewerkt: 29-08-2013, 12:25

Door overgenomen nameservers hebben gisteren en vandaag duizenden Nederlandse websites, waaronder die van Conrad en het Nederlands Dagblad, bezoekers naar websites doorgestuurd die malware probeerden te installeren. Dat laat het Nationaal Cyber Security Center weten. De websites wezen naar een lege webpagina met als titel in het tabblad van de de browser 'Site under construction'.

Volgens het Delftse beveiligingsbedrijf Fox-IT zijn drie webhosters slachtoffer van de DNS-kaping geworden, waaronder Digitalus, VDX en Webstekker. Op de getoonde website was de Blackhole exploit-kit actief, die bezoekers met een verouderde versie van Adobe Reader en Java met malware infecteerde.

Nameservers

Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de aanpassing van de nameservers konden de aanvallers daardoor de websites naar een ander IP-adres laten wijzen.

In een verklaring stelt de Stichting Internet Domeinregistratie Nederland (SIDN), de partij die domeinnamen voor het .nl top level domain uitgeeft, dat gisteren de klantwebsites van een van de registrars enige tijd onbereikbaar zijn geweest. "Oorzaak was dat via het account van de registrar 's nachts de nameservers waren gewijzigd van die registrar waarnaar het DNS verwijst."

De registrar heeft na de ontdekking de wijzigingen gecorrigeerd, waarna contact is opgenomen met SIDN en nader onderzoek is gestart.

Besmette klanten

Webhoster Digitalus laat weten dat gisteren de zone van de nameservers binnen het DRS-systeem van SIDN door derden is voorzien van externe nameservers. Hierdoor kwamen alle DNS verzoeken niet bij het hostingbedrijf uit, maar bij de nameservers van de aanvallers. Hierdoor raakten enkele klanten geïnfecteerd met malware.

"We hebben geconcludeerd dat enkele van onze klanten besmet zijn met het 'Blackhole rootkit'. Dit kan voortgekomen zijn uit de DNS problemen die we hebben gehad. We adviseren u daarom uw computer te controleren en het eventueel aanwezig 'Blackhole rootkit' te verwijderen", aldus de hoster in een verklaring. Zoals een lezer hieronder terecht opmerkt bestaat de 'Blackhole rootkit' niet. Voor het infecteren van gebruikers werd de Blackhole exploit-kit gebruikt, die vervolgens de Andromeda-malware op kwetsbare computers installeerde, zo laat Erik Loman van SurfRight tegenover Security.NL weten.

Daarnaast heeft de DNS-kaping ook gevolgen voor klanten die Google Adwords gebruikten om te adverteren. "Door de DNS problemen die wij hebben ervaren is het mogelijk dat uw Adwords campagnes tijdelijk door het Malwarebeleid van Google zijn onderbroken", stelt Digitalus. In dit geval moeten gebruikers bij Google een verzoek indienen om de Adwordscampagne opnieuw te activeren.

Onjuist

Webstekker verklaart dat de berichtgeving dat alle domeinen in de DNS naar malware wijzen niet correct is. "Wij willen graag mededelen dat dit niet waar is. Dit bericht zou zijn ontstaan, doordat Conrad in combinatie gebracht wordt met Webstekker. Echter heeft Conrad enkel een IP-adres van Webstekker en bevindt zij zich niet binnen het DNS van Webstekker, maar van een collega provider VDX. Met de DNS van Webstekker is niets aan de hand en Webstekker vindt het dan ook vervelend dat dit bericht onterecht in de wereld is gekomen."

Aanpassing

Volgens VDX zijn de aanpassingen snel na de ontdekking hersteld, maar is het gevolg minder snel op te lossen. "De onbekende nameservers hebben op alle DNS verzoeken een standaard zone gegeven met als doel alle website bezoeken door te zetten naar een website met daarop Malware. Elke zone is hierbij voorzien van een DNS Time To Live van 24 uur. Dit heeft als effect dat veel Internet Service Providers deze foutieve DNS zone tot 24 uur vasthouden en blijven serveren."

Update: uitleg over Blackhole exploit-kit toegevoegd

Reacties (14)
06-08-2013, 18:15 door Anoniem
Ik ben zelf geen registrar maar als ik op die site waar SIDN de registrars bedient probeer in te loggen dan zie ik
maar twee invulveldjes: usernaam en password.
Het zal toch niet waar zijn dat SIDN dit soort modificaties op de .nl zone alleen maar beveiligt met een usernaam
en password??
Laten we toch hopen dat er wel een iets betere authenticatie achter ligt.
06-08-2013, 21:16 door Anoniem
Door Anoniem: Ik ben zelf geen registrar maar als ik op die site waar SIDN de registrars bedient probeer in te loggen dan zie ik
maar twee invulveldjes: usernaam en password.
Het zal toch niet waar zijn dat SIDN dit soort modificaties op de .nl zone alleen maar beveiligt met een usernaam
en password??
Laten we toch hopen dat er wel een iets betere authenticatie achter ligt.

Eeeh ja duh die zijn die gasten die een website met SQL injection op hun produktie infra draaiden hoor.. van security cultuur kun je ze niet beschuldigen
06-08-2013, 23:35 door Anoniem
Is het "het DNS" of "de DNS" ...?
07-08-2013, 00:05 door TD-er
Ik ben ook geen directe klant van de SIDN.
Maar ik weet wel dat er hele basale technieken bestaan waardoor je DNS-zone updates alleen maar accepteert vanaf bepaalde IP-adressen.

Zo moet ik bijvoorbeeld wanneer ik een externe slave-DNS wil gebruiken toestaan dat vanaf 1 IP-adres de zone-informatie kan worden opgevraagd.
Ik kan mij zo voorstellen dat de grote jongens op een soortgelijke manier alleen maar 'hun' domeinen kunnen updaten.

Echter dat zou suggereren dat misschien toch een update-commando is gegeven vanaf een IP-adres van de registrar die al die domeinen in beheer heeft. Dat zou dus betekenen dat er echt een inbraak is geweest op een van hun servers en dan kun je je afvragen wat er nog meer is buitgemaakt.
07-08-2013, 00:25 door Anoniem
Door TD-er: Ik ben ook geen directe klant van de SIDN.
Maar ik weet wel dat er hele basale technieken bestaan waardoor je DNS-zone updates alleen maar accepteert vanaf bepaalde IP-adressen.

Zo moet ik bijvoorbeeld wanneer ik een externe slave-DNS wil gebruiken toestaan dat vanaf 1 IP-adres de zone-informatie kan worden opgevraagd.
Ik kan mij zo voorstellen dat de grote jongens op een soortgelijke manier alleen maar 'hun' domeinen kunnen updaten.

Echter dat zou suggereren dat misschien toch een update-commando is gegeven vanaf een IP-adres van de registrar die al die domeinen in beheer heeft. Dat zou dus betekenen dat er echt een inbraak is geweest op een van hun servers en dan kun je je afvragen wat er nog meer is buitgemaakt.

Deze hack heeft niets met zone transfers en dns slaves te maken.
Zone updates van de .NL zone (domeinnamen, dns servers, glue records) komen van de backend systemen van SIDN.
Registrars gebruiken een API om updates van hun domeinen (en alleen van hun eigen domeinen) daar te muteren, die uiteindelijk in de zone file terecht komen.
Er zijn feitelijk twee APIs : EPP , wat een protocol is voor bulk updates (TLS-HTTP-XML), en een webbased interface voor
handmatige updates.

Als de login van een registrar voor de webbased interface gevonden/geraden/ge-keysniffed is , is dat voldoende om data van domeinen van die registrar te wijzigen.
07-08-2013, 01:55 door mvh69
"We hebben geconcludeerd dat enkele van onze klanten besmet zijn met het 'Blackhole rootkit'. Dit kan voortgekomen zijn uit de DNS problemen die we hebben gehad. We adviseren u daarom uw computer te controleren en het eventueel aanwezig 'Blackhole rootkit' te verwijderen", aldus de hoster in een verklaring.

Zoals door tweakers correct word vermeld gaat het hier niet om de "blackhole rootkit" maar om de Andromeda-backdoor.

https://tweakers.net/nieuws/90593/malware-aanval-via-dns-trof-18000-domeinnamen.html?mode=nested&niv=-1&order=asc&page=1#reacties

Een slechte zaak in mijn ogen dat een webhoster als Digitalus het verschil tussen een blackhole exploit kit en een rootkit niet weet. Maar nog erger is dat de redactie van security.nl blijkbaar meer bezig is met de vernieuwde website dan met de juistheid van de aangeboden artikelen. Security.nl had toch op zijn minst even kunnen aanhalen dat die "blackhole rootkit" niet bestaat en dat het hier om de andromeda-backdoor gaat. (voordat allerlei mensen driftig op zoek gaan naar die niet bestaande "blackhole rootkit".)

Hier nog zo'n mooie misser van vandaag : https://www.security.nl/posting/359464/Tor+raadt+JavaScript+en+Windows+af (even naar beneden scrollen voor mijn reactie aldaar)

ps. heb digitalis via e-mail op de hoogte gesteld van hun misser , ben benieuwd of ze het rectificeren.
07-08-2013, 09:31 door Anoniem
Door Anoniem:
Zone updates van de .NL zone (domeinnamen, dns servers, glue records) komen van de backend systemen van SIDN.
Registrars gebruiken een API om updates van hun domeinen (en alleen van hun eigen domeinen) daar te muteren, die uiteindelijk in de zone file terecht komen.
Er zijn feitelijk twee APIs : EPP , wat een protocol is voor bulk updates (TLS-HTTP-XML), en een webbased interface voor
handmatige updates.

Als de login van een registrar voor de webbased interface gevonden/geraden/ge-keysniffed is , is dat voldoende om data van domeinen van die registrar te wijzigen.

Nou dat is dan wel mega slecht van SIDN zeg! Dat geloof je toch niet, dat zo iets alleen maar geauthenticeerd is
met een usernaam en wachtwoord?

Zelfs ik als beheerder van een simpele infra van een middelgroot bedrijf sta er op dat er voor toegang tot critische zaken
een 2-factor authenticatie is. Hier gaat het over een van de meerst critische zaken van internet en doet men dat niet.

Ik hoop dat er nog meer info naar buiten komt over wat er nou precies mis gegaan is en hoe die aanval precies is
uitgevoerd (bijv inderdaad of de login heeft plaatsgevonden via de systemen van de registrar of alleen maar met gebruik
making van hun usernaam/password, en hoe deze precies gewijzigd zijn nadat laatst bij een inbraak alle usernamen
en gecrypte passwords waren buitgemaakt).
07-08-2013, 12:38 door Anoniem
"Security.nl had toch op zijn minst even kunnen aanhalen dat die "blackhole rootkit" niet bestaat en dat het hier om de andromeda-backdoor gaat. (voordat allerlei mensen driftig op zoek gaan naar die niet bestaande "blackhole rootkit".)"

Het is dan ook niet Blackhole Rootkit, maar Blackhole Exploit Kit. En die bestaat wel degelijk. Zie bijvoorbeeld onderstaande informatie van TrendMicro.

The Current State of the Blackhole Exploit Kit
http://blog.trendmicro.com/trendlabs-security-intelligence/the-current-state-of-the-blackhole-exploit-kit/

Blackhole wordt bij dit incident gebruikt om Andromeda te installeren op PC's van slachtoffers.

"Zoals door tweakers correct word vermeld gaat het hier niet om de "blackhole rootkit" maar om de Andromeda-backdoor."

Tweakers heeft het over de malware die op je PC wordt geinstalleerd (Andromeda), en niet over de exploit kit waarmee dat wordt gedaan (Blackhole).
07-08-2013, 13:41 door Anoniem
Alleen gebruikersnaam en wachtwoord is heel normaal. Kijk maar voor het inloggen van bijvoorbeeld webmail bij verschillende organisaties.
07-08-2013, 14:28 door AcidBurn
Door Anoniem: Ik ben zelf geen registrar maar als ik op die site waar SIDN de registrars bedient probeer in te loggen dan zie ik
maar twee invulveldjes: usernaam en password.
Het zal toch niet waar zijn dat SIDN dit soort modificaties op de .nl zone alleen maar beveiligt met een usernaam
en password??
Laten we toch hopen dat er wel een iets betere authenticatie achter ligt.
Het is correct, wij hebben alleen een username en password nodig om in te loggen. Hierna kun je doen wat je wilt.

Trouwens, allen bovengenoemde bedrijven zijn geregistreerd op het zelfde adres (zwolle) en van de zelfde eigenaar. Beetje raar dat ze allemaal los bij naam worden vernoemd.
07-08-2013, 16:04 door mvh69 - Bijgewerkt: 07-08-2013, 16:26
Door Anoniem: "Security.nl had toch op zijn minst even kunnen aanhalen dat die "blackhole rootkit" niet bestaat en dat het hier om de andromeda-backdoor gaat. (voordat allerlei mensen driftig op zoek gaan naar die niet bestaande "blackhole rootkit".)"

Het is dan ook niet Blackhole Rootkit, maar Blackhole Exploit Kit. En die bestaat wel degelijk. Zie bijvoorbeeld onderstaande informatie van TrendMicro.

The Current State of the Blackhole Exploit Kit
http://blog.trendmicro.com/trendlabs-security-intelligence/the-current-state-of-the-blackhole-exploit-kit/

Blackhole wordt bij dit incident gebruikt om Andromeda te installeren op PC's van slachtoffers.

"Zoals door tweakers correct word vermeld gaat het hier niet om de "blackhole rootkit" maar om de Andromeda-backdoor."

Tweakers heeft het over de malware die op je PC wordt geinstalleerd (Andromeda), en niet over de exploit kit waarmee dat wordt gedaan (Blackhole).


Beste anoniem , ik weet niet waarom je denkt dat ik niet zou weten wat de blackhole exploitkit is.
Als je iets meer moeite had genomen om goed te lezen dan had je die domme fout niet hoeven te maken.
Een slechte zaak in mijn ogen dat een webhoster als Digitalus het verschil tussen een blackhole exploit kit en een rootkit niet weet.
Als je die quote uit mijn eerste reactie goed leest dan zie je dat je reactie totaal overbodig is.

ps.. aan de redactie , bedankt voor de aanpassing :)
07-08-2013, 16:29 door Anoniem
Door Anoniem: Alleen gebruikersnaam en wachtwoord is heel normaal. Kijk maar voor het inloggen van bijvoorbeeld webmail bij verschillende organisaties.
Ik vind inloggen op een webmail nog wel wat anders dan inloggen op een bedrijfsapplicatie waarin gegevens worden
beheerd waar heel het land (heel de wereld) van afhankelijk is.

Dat dit zomaar mogelijk is vind ik een schande, SIDN moet zich diep schamen voor zo iets.
Als er organisaties dit soort toegang bieden tot bijvoorbeeld ziektegegevens van medewerkers dan worden ze hiervoor
te kijk gezet op TV, dat moet met SIDN nu ook maar eens gebeuren.
07-08-2013, 17:51 door Anoniem
Door AcidBurn:
Trouwens, allen bovengenoemde bedrijven zijn geregistreerd op het zelfde adres (zwolle) en van de zelfde eigenaar. Beetje raar dat ze allemaal los bij naam worden vernoemd.

Niet zo raar. Voor de vraag "heb ik er mee te maken, mijn site staat bij <merknaam>" kijk je naar de merknaam, niet naar een moedermaatschappij.
Voor de vraag hoe veel/hoe groot de hack is, is het inderdaad relevant om te weten dat het om één registrar gaat.
07-08-2013, 21:31 door mvh69
Door mvh69:
ps. heb digitalis via e-mail op de hoogte gesteld van hun misser , ben benieuwd of ze het rectificeren.

Helaas heeft digitalis nog geen actie ondernomen en niets aangepast (in tegenstelling tot de redactie van security.nl). Slechte zaak.
Wel heb ik een geautomatiseerd antwoord gekregen en onderaan die e-mail stond het volgende , in mijn ogen , zeer opmerkelijke stukje text :

Disclaimer:

De informatie verzonden met dit E-mail bericht is uitsluitend bestemd voor de geadresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden. Openbaarmaking, vermenigvuldiging, verspreiding en/of verstrekking van deze informatie aan derden is niet toegestaan. Digitalus Internet Services B.V. staat niet in voor de juiste en volledige overbrenging van de inhoud van een verzonden E-mail, noch voor tijdige ontvangst daarvan.

Ik vraag me toch echt af of dat die disclaimer in de rechtszaal stand zou houden , misschien dat aarnoud hier meer over kan vertellen ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.