NCSC: duizenden domeinen dupe DNS-kaping
Door overgenomen nameservers hebben gisteren en vandaag duizenden Nederlandse websites, waaronder die van Conrad en het Nederlands Dagblad, bezoekers naar websites doorgestuurd die malware probeerden te installeren. Dat laat het Nationaal Cyber Security Center weten. De websites wezen naar een lege webpagina met als titel in het tabblad van de de browser 'Site under construction'.
Volgens het Delftse beveiligingsbedrijf Fox-IT zijn drie webhosters slachtoffer van de DNS-kaping geworden, waaronder Digitalus, VDX en Webstekker. Op de getoonde website was de Blackhole exploit-kit actief, die bezoekers met een verouderde versie van Adobe Reader en Java met malware infecteerde.
Nameservers
Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen. Door de aanpassing van de nameservers konden de aanvallers daardoor de websites naar een ander IP-adres laten wijzen.
In een verklaring stelt de Stichting Internet Domeinregistratie Nederland (SIDN), de partij die domeinnamen voor het .nl top level domain uitgeeft, dat gisteren de klantwebsites van een van de registrars enige tijd onbereikbaar zijn geweest. "Oorzaak was dat via het account van de registrar 's nachts de nameservers waren gewijzigd van die registrar waarnaar het DNS verwijst."
De registrar heeft na de ontdekking de wijzigingen gecorrigeerd, waarna contact is opgenomen met SIDN en nader onderzoek is gestart.
Besmette klanten
Webhoster Digitalus laat weten dat gisteren de zone van de nameservers binnen het DRS-systeem van SIDN door derden is voorzien van externe nameservers. Hierdoor kwamen alle DNS verzoeken niet bij het hostingbedrijf uit, maar bij de nameservers van de aanvallers. Hierdoor raakten enkele klanten geïnfecteerd met malware.
"We hebben geconcludeerd dat enkele van onze klanten besmet zijn met het 'Blackhole rootkit'. Dit kan voortgekomen zijn uit de DNS problemen die we hebben gehad. We adviseren u daarom uw computer te controleren en het eventueel aanwezig 'Blackhole rootkit' te verwijderen", aldus de hoster in een verklaring. Zoals een lezer hieronder terecht opmerkt bestaat de 'Blackhole rootkit' niet. Voor het infecteren van gebruikers werd de Blackhole exploit-kit gebruikt, die vervolgens de Andromeda-malware op kwetsbare computers installeerde, zo laat Erik Loman van SurfRight tegenover Security.NL weten.
Daarnaast heeft de DNS-kaping ook gevolgen voor klanten die Google Adwords gebruikten om te adverteren. "Door de DNS problemen die wij hebben ervaren is het mogelijk dat uw Adwords campagnes tijdelijk door het Malwarebeleid van Google zijn onderbroken", stelt Digitalus. In dit geval moeten gebruikers bij Google een verzoek indienen om de Adwordscampagne opnieuw te activeren.
Onjuist
Webstekker verklaart dat de berichtgeving dat alle domeinen in de DNS naar malware wijzen niet correct is. "Wij willen graag mededelen dat dit niet waar is. Dit bericht zou zijn ontstaan, doordat Conrad in combinatie gebracht wordt met Webstekker. Echter heeft Conrad enkel een IP-adres van Webstekker en bevindt zij zich niet binnen het DNS van Webstekker, maar van een collega provider VDX. Met de DNS van Webstekker is niets aan de hand en Webstekker vindt het dan ook vervelend dat dit bericht onterecht in de wereld is gekomen."
Aanpassing
Volgens VDX zijn de aanpassingen snel na de ontdekking hersteld, maar is het gevolg minder snel op te lossen. "De onbekende nameservers hebben op alle DNS verzoeken een standaard zone gegeven met als doel alle website bezoeken door te zetten naar een website met daarop Malware. Elke zone is hierbij voorzien van een DNS Time To Live van 24 uur. Dit heeft als effect dat veel Internet Service Providers deze foutieve DNS zone tot 24 uur vasthouden en blijven serveren."
Update: uitleg over Blackhole exploit-kit toegevoegd
maar twee invulveldjes: usernaam en password.
Het zal toch niet waar zijn dat SIDN dit soort modificaties op de .nl zone alleen maar beveiligt met een usernaam
en password??
Laten we toch hopen dat er wel een iets betere authenticatie achter ligt.
maar twee invulveldjes: usernaam en password.
Het zal toch niet waar zijn dat SIDN dit soort modificaties op de .nl zone alleen maar beveiligt met een usernaam
en password??
Laten we toch hopen dat er wel een iets betere authenticatie achter ligt.
Eeeh ja duh die zijn die gasten die een website met SQL injection op hun produktie infra draaiden hoor.. van security cultuur kun je ze niet beschuldigen
Maar ik weet wel dat er hele basale technieken bestaan waardoor je DNS-zone updates alleen maar accepteert vanaf bepaalde IP-adressen.
Zo moet ik bijvoorbeeld wanneer ik een externe slave-DNS wil gebruiken toestaan dat vanaf 1 IP-adres de zone-informatie kan worden opgevraagd.
Ik kan mij zo voorstellen dat de grote jongens op een soortgelijke manier alleen maar 'hun' domeinen kunnen updaten.
Echter dat zou suggereren dat misschien toch een update-commando is gegeven vanaf een IP-adres van de registrar die al die domeinen in beheer heeft. Dat zou dus betekenen dat er echt een inbraak is geweest op een van hun servers en dan kun je je afvragen wat er nog meer is buitgemaakt.
Maar ik weet wel dat er hele basale technieken bestaan waardoor je DNS-zone updates alleen maar accepteert vanaf bepaalde IP-adressen.
Zo moet ik bijvoorbeeld wanneer ik een externe slave-DNS wil gebruiken toestaan dat vanaf 1 IP-adres de zone-informatie kan worden opgevraagd.
Ik kan mij zo voorstellen dat de grote jongens op een soortgelijke manier alleen maar 'hun' domeinen kunnen updaten.
Echter dat zou suggereren dat misschien toch een update-commando is gegeven vanaf een IP-adres van de registrar die al die domeinen in beheer heeft. Dat zou dus betekenen dat er echt een inbraak is geweest op een van hun servers en dan kun je je afvragen wat er nog meer is buitgemaakt.
Deze hack heeft niets met zone transfers en dns slaves te maken.
Zone updates van de .NL zone (domeinnamen, dns servers, glue records) komen van de backend systemen van SIDN.
Registrars gebruiken een API om updates van hun domeinen (en alleen van hun eigen domeinen) daar te muteren, die uiteindelijk in de zone file terecht komen.
Er zijn feitelijk twee APIs : EPP , wat een protocol is voor bulk updates (TLS-HTTP-XML), en een webbased interface voor
handmatige updates.
Als de login van een registrar voor de webbased interface gevonden/geraden/ge-keysniffed is , is dat voldoende om data van domeinen van die registrar te wijzigen.
Zoals door tweakers correct word vermeld gaat het hier niet om de "blackhole rootkit" maar om de Andromeda-backdoor.
https://tweakers.net/nieuws/90593/malware-aanval-via-dns-trof-18000-domeinnamen.html?mode=nested&niv=-1&order=asc&page=1#reacties
Een slechte zaak in mijn ogen dat een webhoster als Digitalus het verschil tussen een blackhole exploit kit en een rootkit niet weet. Maar nog erger is dat de redactie van security.nl blijkbaar meer bezig is met de vernieuwde website dan met de juistheid van de aangeboden artikelen. Security.nl had toch op zijn minst even kunnen aanhalen dat die "blackhole rootkit" niet bestaat en dat het hier om de andromeda-backdoor gaat. (voordat allerlei mensen driftig op zoek gaan naar die niet bestaande "blackhole rootkit".)
Hier nog zo'n mooie misser van vandaag : https://www.security.nl/posting/359464/Tor+raadt+JavaScript+en+Windows+af (even naar beneden scrollen voor mijn reactie aldaar)
ps. heb digitalis via e-mail op de hoogte gesteld van hun misser , ben benieuwd of ze het rectificeren.
Zone updates van de .NL zone (domeinnamen, dns servers, glue records) komen van de backend systemen van SIDN.
Registrars gebruiken een API om updates van hun domeinen (en alleen van hun eigen domeinen) daar te muteren, die uiteindelijk in de zone file terecht komen.
Er zijn feitelijk twee APIs : EPP , wat een protocol is voor bulk updates (TLS-HTTP-XML), en een webbased interface voor
handmatige updates.
Als de login van een registrar voor de webbased interface gevonden/geraden/ge-keysniffed is , is dat voldoende om data van domeinen van die registrar te wijzigen.
Nou dat is dan wel mega slecht van SIDN zeg! Dat geloof je toch niet, dat zo iets alleen maar geauthenticeerd is
met een usernaam en wachtwoord?
Zelfs ik als beheerder van een simpele infra van een middelgroot bedrijf sta er op dat er voor toegang tot critische zaken
een 2-factor authenticatie is. Hier gaat het over een van de meerst critische zaken van internet en doet men dat niet.
Ik hoop dat er nog meer info naar buiten komt over wat er nou precies mis gegaan is en hoe die aanval precies is
uitgevoerd (bijv inderdaad of de login heeft plaatsgevonden via de systemen van de registrar of alleen maar met gebruik
making van hun usernaam/password, en hoe deze precies gewijzigd zijn nadat laatst bij een inbraak alle usernamen
en gecrypte passwords waren buitgemaakt).
Het is dan ook niet Blackhole Rootkit, maar Blackhole Exploit Kit. En die bestaat wel degelijk. Zie bijvoorbeeld onderstaande informatie van TrendMicro.
The Current State of the Blackhole Exploit Kit
http://blog.trendmicro.com/trendlabs-security-intelligence/the-current-state-of-the-blackhole-exploit-kit/
Blackhole wordt bij dit incident gebruikt om Andromeda te installeren op PC's van slachtoffers.
"Zoals door tweakers correct word vermeld gaat het hier niet om de "blackhole rootkit" maar om de Andromeda-backdoor."
Tweakers heeft het over de malware die op je PC wordt geinstalleerd (Andromeda), en niet over de exploit kit waarmee dat wordt gedaan (Blackhole).
maar twee invulveldjes: usernaam en password.
Het zal toch niet waar zijn dat SIDN dit soort modificaties op de .nl zone alleen maar beveiligt met een usernaam
en password??
Laten we toch hopen dat er wel een iets betere authenticatie achter ligt.
Trouwens, allen bovengenoemde bedrijven zijn geregistreerd op het zelfde adres (zwolle) en van de zelfde eigenaar. Beetje raar dat ze allemaal los bij naam worden vernoemd.
Het is dan ook niet Blackhole Rootkit, maar Blackhole Exploit Kit. En die bestaat wel degelijk. Zie bijvoorbeeld onderstaande informatie van TrendMicro.
The Current State of the Blackhole Exploit Kit
http://blog.trendmicro.com/trendlabs-security-intelligence/the-current-state-of-the-blackhole-exploit-kit/
Blackhole wordt bij dit incident gebruikt om Andromeda te installeren op PC's van slachtoffers.
"Zoals door tweakers correct word vermeld gaat het hier niet om de "blackhole rootkit" maar om de Andromeda-backdoor."
Tweakers heeft het over de malware die op je PC wordt geinstalleerd (Andromeda), en niet over de exploit kit waarmee dat wordt gedaan (Blackhole).
Beste anoniem , ik weet niet waarom je denkt dat ik niet zou weten wat de blackhole exploitkit is.
Als je iets meer moeite had genomen om goed te lezen dan had je die domme fout niet hoeven te maken.
ps.. aan de redactie , bedankt voor de aanpassing :)
beheerd waar heel het land (heel de wereld) van afhankelijk is.
Dat dit zomaar mogelijk is vind ik een schande, SIDN moet zich diep schamen voor zo iets.
Als er organisaties dit soort toegang bieden tot bijvoorbeeld ziektegegevens van medewerkers dan worden ze hiervoor
te kijk gezet op TV, dat moet met SIDN nu ook maar eens gebeuren.
Trouwens, allen bovengenoemde bedrijven zijn geregistreerd op het zelfde adres (zwolle) en van de zelfde eigenaar. Beetje raar dat ze allemaal los bij naam worden vernoemd.
Niet zo raar. Voor de vraag "heb ik er mee te maken, mijn site staat bij <merknaam>" kijk je naar de merknaam, niet naar een moedermaatschappij.
Voor de vraag hoe veel/hoe groot de hack is, is het inderdaad relevant om te weten dat het om één registrar gaat.
ps. heb digitalis via e-mail op de hoogte gesteld van hun misser , ben benieuwd of ze het rectificeren.
Helaas heeft digitalis nog geen actie ondernomen en niets aangepast (in tegenstelling tot de redactie van security.nl). Slechte zaak.
Wel heb ik een geautomatiseerd antwoord gekregen en onderaan die e-mail stond het volgende , in mijn ogen , zeer opmerkelijke stukje text :
De informatie verzonden met dit E-mail bericht is uitsluitend bestemd voor de geadresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden. Openbaarmaking, vermenigvuldiging, verspreiding en/of verstrekking van deze informatie aan derden is niet toegestaan. Digitalus Internet Services B.V. staat niet in voor de juiste en volledige overbrenging van de inhoud van een verzonden E-mail, noch voor tijdige ontvangst daarvan.
Ik vraag me toch echt af of dat die disclaimer in de rechtszaal stand zou houden , misschien dat aarnoud hier meer over kan vertellen ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
