image

Aanvallers proberen DNS Facebook.com te wijzigen

donderdag 6 februari 2014, 10:52 door Redactie, 7 reacties

Aanvallers hebben vannacht geprobeerd om de DNS-instellingen van Facebook.com te wijzigen. De aanval werd echter op tijd ontdekt en afgeslagen. Het Domain Name System (DNS) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar IP-adressen.

Door het aanpassen van de DNS hadden de aanvallers Facebook.com naar een ander IP-adres kunnen laten wijzen. Wel slaagden de aanvallers erin om de WHOIS-gegevens van Facebook.com te wijzigen. De WHOIS-gegevens bevatten informatie over de eigenaar van een domeinnaam.

MarktMonitor

De aanval op de domeinnaam van Facebook vond plaats via MarktMonitor, een DNS-aanbieder die DNS-hosting en "merkbeschermingsdiensten" aanbiedt. De aanvallers van het Syrian Electronic Army (SEA) wisten toegang tot een beheerderspaneel te krijgen en daar de instellingen van Facebook.com te wijzigen. Via Twitter laat het SEA weten dat ze de nameservers van Facebook.com hadden gewijzigd, maar dat het doorvoeren van de aanpassing te lang duurde.

Na ontdekking van de aanval door het SEA besloot MarktMonitor het beheerderspaneel offline te halen. Hoe de aanvallers in eerste instantie toegang tot het beheerderspaneel wisten te krijgen is onbekend. In het verleden wist het SEA via phishingaanvallen bij veel organisaties toe te slaan.

Image

Reacties (7)
06-02-2014, 11:30 door Righard J. Zwienenberg
Het probleem is iets groter dan hierboven wordt beschreven (het wijzigen van de WhoIS gegevens). Door toegang te hebben tot het beheerspanel is het is mogelijk dat ze een kans hebben gehad om heimelijk een subdomain (CNAME-record) toe te voegen voor een toekomstige aanval, of een NS-server, zodat ze een van de vele subdomains van Facebook kunnen onderscheppen om gebruikers van die site (van die subdomains) te compromiteren (denk aan beta-testers of Facebook-app-ontwikkelaars).

Als SEA zo'n een willekeurig subdomain heeft kunnen toevoegen, kan het bijvoorbeeld ook gebruikt worden voor een Facebook phishing-site, en dan op het eigen domain van Facebook. Hoe effectief zou dat zijn?

Bij een snelle check zie ik al 111 publiekelijk vindbare subdomains onder facebook.com hangen (buiten www.facebook.com) en die worden zo te zie allemaal voor interne of operationele doeleinden gebruikt. Leuk doelwit...

Maar laten we niet vergeten dat de aanval eigenlijk op MarkMonitor is en Facebook hier ook een slachtoffer is...
06-02-2014, 11:52 door Anoniem
Righard goede aanvulling
06-02-2014, 12:29 door Anoniem
Door Righard J. Zwienenberg: Het probleem is iets groter dan hierboven wordt beschreven (het wijzigen van de WhoIS gegevens). Door toegang te hebben tot het beheerspanel is het is mogelijk dat ze een kans hebben gehad om heimelijk een subdomain (CNAME-record) toe te voegen voor een toekomstige aanval, of een NS-server, zodat ze een van de vele subdomains van Facebook kunnen onderscheppen om gebruikers van die site (van die subdomains) te compromiteren (denk aan beta-testers of Facebook-app-ontwikkelaars).

Als SEA zo'n een willekeurig subdomain heeft kunnen toevoegen, kan het bijvoorbeeld ook gebruikt worden voor een Facebook phishing-site, en dan op het eigen domain van Facebook. Hoe effectief zou dat zijn?

Bij een snelle check zie ik al 111 publiekelijk vindbare subdomains onder facebook.com hangen (buiten www.facebook.com) en die worden zo te zie allemaal voor interne of operationele doeleinden gebruikt. Leuk doelwit...

Maar laten we niet vergeten dat de aanval eigenlijk op MarkMonitor is en Facebook hier ook een slachtoffer is...
+1
06-02-2014, 13:11 door Anoniem
Door Righard J. Zwienenberg: Bij een snelle check zie ik al 111 publiekelijk vindbare subdomains onder facebook.com hangen (buiten www.facebook.com) en die worden zo te zie allemaal voor interne of operationele doeleinden gebruikt. Leuk doelwit..

Hoe kan je A records onder een domein inzien? Kan je dat uitleggen?
06-02-2014, 15:31 door Wim ten Brink
Door Anoniem:
Door Righard J. Zwienenberg: Het probleem is iets groter dan hierboven wordt beschreven (het wijzigen van de WhoIS gegevens). Door toegang te hebben tot het beheerspanel is het is mogelijk dat ze een kans hebben gehad om heimelijk een subdomain (CNAME-record) toe te voegen voor een toekomstige aanval, of een NS-server, zodat ze een van de vele subdomains van Facebook kunnen onderscheppen om gebruikers van die site (van die subdomains) te compromiteren (denk aan beta-testers of Facebook-app-ontwikkelaars).

Als SEA zo'n een willekeurig subdomain heeft kunnen toevoegen, kan het bijvoorbeeld ook gebruikt worden voor een Facebook phishing-site, en dan op het eigen domain van Facebook. Hoe effectief zou dat zijn?

Bij een snelle check zie ik al 111 publiekelijk vindbare subdomains onder facebook.com hangen (buiten www.facebook.com) en die worden zo te zie allemaal voor interne of operationele doeleinden gebruikt. Leuk doelwit...

Maar laten we niet vergeten dat de aanval eigenlijk op MarkMonitor is en Facebook hier ook een slachtoffer is...
+1
+2!
06-02-2014, 15:41 door Wim ten Brink
Door Anoniem:
Door Righard J. Zwienenberg: Bij een snelle check zie ik al 111 publiekelijk vindbare subdomains onder facebook.com hangen (buiten www.facebook.com) en die worden zo te zie allemaal voor interne of operationele doeleinden gebruikt. Leuk doelwit..

Hoe kan je A records onder een domein inzien? Kan je dat uitleggen?
Met RobTex kom je al een heel eind. En er zijn genoeg andere, online services die deze informatie kunnen opleveren...
https://www.robtex.com/dns/facebook.com.html
07-02-2014, 11:10 door Anoniem
Door Righard J. Zwienenberg: Het probleem is iets groter dan hierboven wordt beschreven (het wijzigen van de WhoIS gegevens). Door toegang te hebben tot het beheerspanel is het is mogelijk dat ze een kans hebben gehad om heimelijk een subdomain (CNAME-record) toe te voegen voor een toekomstige aanval, of een NS-server, zodat ze een van de vele subdomains van Facebook kunnen onderscheppen om gebruikers van die site (van die subdomains) te compromiteren (denk aan beta-testers of Facebook-app-ontwikkelaars).

Door Righard J. Zwienenberg: Het probleem is iets groter dan hierboven wordt beschreven (het wijzigen van de WhoIS gegevens). Door toegang te hebben tot het beheerspanel is het is mogelijk dat ze een kans hebben gehad om heimelijk een subdomain (CNAME-record) toe te voegen voor een toekomstige aanval, of een NS-server, zodat ze een van de vele subdomains van Facebook kunnen onderscheppen om gebruikers van die site (van die subdomains) te compromiteren (denk aan beta-testers of Facebook-app-ontwikkelaars).

Als SEA zo'n een willekeurig subdomain heeft kunnen toevoegen, kan het bijvoorbeeld ook gebruikt worden voor een Facebook phishing-site, en dan op het eigen domain van Facebook. Hoe effectief zou dat zijn?

Bij een snelle check zie ik al 111 publiekelijk vindbare subdomains onder facebook.com hangen (buiten www.facebook.com) en die worden zo te zie allemaal voor interne of operationele doeleinden gebruikt. Leuk doelwit...

Ik mag toch aannemen dat een bedrijf als Faceboek zelf wel kan controleren of hun 111 subdomeinen nog de correcte
info hebben? Zelfs ik al simpel beheerdertje voor een klein bedrijf met 35 geregistreerde domeinnamen heb al een
scriptje wat even alle info van de domeinen opvraagt en controleert of alle A, CNAME en MX records (nog) correct zijn.
Heel nuttig als je wat hebt aangepast of gewoon als routine controle.

Hebben alleen de mensen die simpele bash en perl scriptjes maken dat soort dingen en de dure jongens met hun
enterprise windows tools niet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.