Beveiligingsbedrijf verdenkt scriptkiddies van aanval op Dyn
De grote ddos-aanval op dns-aanbieder Dyn van afgelopen vrijdag die ervoor zorgde dat grote websites zoals PayPal, Twitter, Reddit, GitHub, Amazon, Netflix en Spotify slecht of niet bereikbaar waren is waarschijnlijk het werk van scriptkiddies, zo claimt het Amerikaanse beveiligingsbedrijf Flashpoint.
Een deel van het aanvalsverkeer op de dns-aanbieder was afkomstig van verschillende Mirai-botnets. Deze malware infecteert Internet of Things-apparaten waarvan gebruikers het standaard wachtwoord niet hebben gewijzigd. Volgens Flashpoint gaat het onder andere om digitale videorecorders die voor de aanval werden ingezet. Wie er achter de aanval zit is onbekend. Een groep die zichzelf New World Hackers noemt eiste de verantwoordelijkheid op. WikiLeaks stelde dat de aanval door supporters werd uitgevoerd, terwijl ook de Russische overheid als dader werd genoemd. Flashpoint stelt dat al deze beweringen niet kloppen.
Gamebedrijf
Tijdens het onderzoek naar de aanval ontdekte het beveiligingsbedrijf dat een deel van de gebruikte aanvals-infrastructuur werd ingezet om een bekend, niet nader genoemd gamebedrijf aan te vallen. De aanval had geen impact op de service van dit bedrijf, maar aanvallen op een dergelijk bedrijf zijn meestal geen teken van hacktivisten of overheden, maar meer van hackers op hackingfora. Hackers die vaak "scriptkiddies" worden genoemd, aldus Flashpoint.
Het beveiligingsbedrijf laat in een analyse van de aanval weten dat het met redelijk vertrouwen vaststelt dat de recente aanvallen door Mirai-botnets waarschijnlijk met deze hackinggemeenschap te maken hebben. "De personen in deze gemeenschap staan er bekend om dat ze commerciële ddos-tools aanbieden", zo laten de onderzoekers weten. Een hacker onder de naam Anne-Senpai die op deze fora actief is publiceerde onlangs de broncode van de Mirai-malware.
De aanval heeft volgens Flashpoint ook geen politieke of financiële motieven. Vaak worden ddos-aanvallen ingezet om bedrijven af te persen, maar voor zover bekend was dat bij de aanval op Dyn niet het geval. Ook ziet het bedrijf geen politiek motief, aangezien de aanval op verschillende websites impact had. "De technische en sociale indicatoren van deze aanval komen meer overeen met aanvallen van de Hackforums-gemeenschap dan andere partijen, zoals hacktivisten, overheden en terroristische groeperingen."
Tijdens het onderzoek naar de aanval ontdekte het beveiligingsbedrijf dat een deel van de gebruikte aanvals-infrastructuur werd ingezet om een bekend, niet nader genoemd gamebedrijf aan te vallen.
eehm... Runescape?
Tijdens het onderzoek naar de aanval ontdekte het beveiligingsbedrijf dat een deel van de gebruikte aanvals-infrastructuur werd ingezet om een bekend, niet nader genoemd gamebedrijf aan te vallen.
eehm... Runescape?
Impacted sites included: PayPal, Twitter, Reddit, GitHub, Amazon, Netflix, Spotify, and RuneScape.
iets verder
the attack also targeted a well-known video game company. While there does not appear to have been any disruption of service, the targeting of a video game company is less indicative of hacktivists
"script kiddies" zijn mensen met weinig kennis die tools van anderen gebruiken (zie bv. https://en.wikipedia.org/wiki/Script_kiddie ). Ofwel ongeorganiseerde personen of eventueel kleine groepen.
De massaliteit (top 600Gbit/sec) en het gebruik van meerdere grote botnets is bewijs dat hier georganiseerde groepen achter zitten: je zet niet zomaar op een middagje een botnet van duizenden systemen in elkaar. Dat wordt ook in het artikel van flashpoint aangegeven:
Q
Tijdens het onderzoek naar de aanval ontdekte het beveiligingsbedrijf dat een deel van de gebruikte aanvals-infrastructuur werd ingezet om een bekend, niet nader genoemd gamebedrijf aan te vallen.
eehm... Runescape?
Nee, EA.
Battlefield 1 kwam 21 October uit en PoodleCorp had al aangegeven op Twitter om die release even lekker in de weg te zitten.
Overigens is PoodleCorp nou niet echt te classificeren als scriptkiddies.
Als je kijkt naar dat twitter
Name Server: NS1.P34.DYNECT.NET
Name Server: NS4.P34.DYNECT.NET
Name Server: NS2.P34.DYNECT.NET
Name Server: NS3.P34.DYNECT.NET
DNSSEC: unsigned
Waarom niet een paar van een andere leverancier of een eigen?
En hoe zit het daar dan met de instellingen, je heb toch verschillende TTL instellingen waardoor de gegevens voor langere perioden gecached kunnen worden?
Jammer dat ik er niet meer van weet, anders had ik waarschijnlijk gedacht eigen schuld
die men krijgt voor dit soort acties zou ook niet verschillend moeten zijn.
Ik hoop dat men snel achter de "personen in deze gemeenschap" aan gaat en ze plaatst waar ze horen: in de gevangenis.
Goedpraterij daar komen we niet verder mee.
EA.
niet iedereen vind dat bedrijf even aardig.
http://www.cad-comic.com/cad/20160720
die men krijgt voor dit soort acties zou ook niet verschillend moeten zijn.
Ik hoop dat men snel achter de "personen in deze gemeenschap" aan gaat en ze plaatst waar ze horen: in de gevangenis.
Goedpraterij daar komen we niet verder mee.
Zeker. helaas is het alleen in een ideale wereld zo dat niemand een vergeten zak geld bij een bank wegneemt, en dat niemand de wereld stukmaakt als dat extreem gemakkelijk gemaakt wordt.
in de echte wereld zijn bad-guys een gegeven,en heeft iedereen een verantwoordelijkheid om het de bad guys zo lastig mogelijk te maken, en hun acties zo zichtbaar mogelijk.
ISP's moeten spoofen dus uitbannen, hardwareleveranciers moeten patchmanagement of een houdbaarheidsdatum aan hun hardware toevoegen, en gebruikers moeten verantwoord omgaan met hun apparatuur. Die laatste groep... succes daarmee in je ideale wereld.
Je DNS inspectie blijkt weer van "gulden" gehalte, dank hiervoor!
Wat je m.n. in je posting hierboven vertelt, valt ook hier te constateren: http://www.dnsinspect.com/dynect.net/1477478626 & http://www.dnsinspect.com/dynect.com/1477479296
Diversiteit maakt de structuur minder kwetsbaar, maar soms echter weer extra kwetsbaar, zie bij de excessieve naamserver info proliferatie! Ik wil wedden dat de vertex bind 2.0.2 naamserver op op 108.59.165.1, EveryDNS, als eerste werd aangevallen, die is kwetsbaar voor legio exploits,o.a. vertex shader enz.
Zie: http://www.dnsinspect.com/dynect.com/1477479296 http://www.dnsinspect.com/dynect.com/1477479296
Hoe brak het overall beveiligd was, en nog steeds is, moge hier blijken: "WARNING: Name servers software versions are exposed".
De betreffende admin van dienst heeft waarschijnlijk bij het hoofdstuk DNS beveiliging in de opleiding even aan iets anders zitten denken of zitten snurken bij het behandelen van vulnerability matrix tests ;) -> WARNING: Name servers software versions are exposed: - je wilt niet dat hackers over deze info kunnen beschikken. Zou me niets verbazen als ze ook nog DROWn kwetsbaar zijn ergens onder in het server rack en dat werkt dan ook door naar de hele bovenstructuur.
Power DNS heeft wel een recente update gekregen, maar is ie nu volledig crash bestendig?
Verder certificaat installatie fouten, geen HSTS, verkeerde installatie voor dynect dot com als de SAN = portal.dyn dot com, portal.dynect dot net
Hoe kan men een infrastructuur waar zo veel van af hangt zo onveilig laten.
Begrijp jij het, dan begrijp ik het ook. Hoe is het mogelijk!
De beveiligingswerkelijkheid is bij nader inzien vaak 'ratsmo'.
groetjes
Waarom niet een paar van een andere leverancier of een eigen?
Dat had ik me in een ander topic over dit onderwerp ook al afgevraagd....
En hoe zit het daar dan met de instellingen, je heb toch verschillende TTL instellingen waardoor de gegevens voor langere perioden gecached kunnen worden?
TTL wordt vaak omlaag gedraaid omdat men een intelligente DNS gebruikt die tevens availability waarborgt (servers
die niet meer werken worden uit DNS gegooid) en/of omdat men de DNS queries ook als een locatie info goudmijn
ziet en dus liefst wil dat deze regelmatig herhaald worden en niet door ISP resolvers worden afgehandeld.
Anders zou men inderdaad beter de TTL op 86400 kunnen zetten en daarmee een hoop extra tijd hebben om problemen
op te lossen zeker voor populaire services.
Als je kijkt naar dat twitter
Name Server: NS1.P34.DYNECT.NET
Name Server: NS4.P34.DYNECT.NET
Name Server: NS2.P34.DYNECT.NET
Name Server: NS3.P34.DYNECT.NET
DNSSEC: unsigned
Waarom niet een paar van een andere leverancier of een eigen?
1: Andere leverancier:
Dat maakt het alleen maar nog complexer. Je wilt dan dat 2 bedrijven, welke concurrent van elkaar zijn samen gaan werken?
2: Eigen server:
Je wilt even een DNS server zelf gaan beheren? DNS wordt vaak gebruikt icm anycast, zodat het DNS verzoek bij de zo dichts mogelijke DNS server afgehandeld wordt. Hoe wil je dit allemaal zelf er bij gaan regelen? Het is vaak veel goedkoper en gemakkelijker om dit af te nemen bij een bedrijf dat er in gespecialiseerd in is.
Het uitbesteden van DNS is inderdaad een risico, als het bedrijf waar je het aan uitbesteed een probleem heeft, dan heb jij daar ook last van. Maar het bedrijf is wel gespecialiseerd in deze dienstverlening, om dit zelf ook even inhouse er bij te namen, is vaak niet te doen, want dan moet je zelf de kennis en infra structuur onderhouden wat voor een high volume critical DNS infra structuur heel kostbaar is.
En hoe zit het daar dan met de instellingen, je heb toch verschillende TTL instellingen waardoor de gegevens voor langere perioden gecached kunnen worden?
Misschien moet Flashpoint zich realiseren dat bij veel IOT devices er niet gewisseld KAN worden van login/pw. Ingebakken in de Firmware. De meeste gebruikers kennis over reverse engineering in IDA en weer compileren gaat NET een stapje te ver :)
Eminus.
Ja.... goed nagedacht, ......
maar dan wordt er bij de DNS aanbieder kennelijk niet aan "best practices" gedaan.
Dan valt zo'n organisatie gelijk door de mand wat beveiligingsniveau betreft
.
Naamserver versie info proliferatie. Vertex shader wellicht daardoor te exploiteren,
dat is geen kattenpis, man.
Zeker als je weet dat je het met een vulnerability matrix test scan kan detecteren.
Je zit er per slot van zake met je neus boven op en de klant niet!
Maar ja als je al niet eens weet, hoe je je naamservers minder luid moet laten schreeuwen,
hoor je gewoon niet bij Dyn in dienst te zijn.
Zo simpel ligt het,
of de CEO by Dyn dat weet of er geen weet van wil hebben, interesseert me geen zier.
Onkunde of sloppy gedrag is om het even.
Zit je erbij op een "kissie" om in slaap te vallen of om wat te doen?
Eigenlijk zou je met zo'n bedrijf met zulke slecht opgeleide DNS beveiligers niet in zee moeten willen.
En op deze stelling kreeg ik nog geen enkele reactie tot nu.
poster van 13:26
De meesten die zich ooit online bezighielden met public reverse engineering gaven deze activiteiten (min of meer gedwongen) op om iets anders te gaan doen. Zie bijvoorbeeld FRAVIA (RIP) en de huidige No-Script ontwikkelaar, Maone, ooit hacker.
"Free to tinker" activiteiten in het publieke domein worden dan ook zwaar ontmoedigd of tegengegaan of het moet onder goedkeuring beschermd offline gebeuren.
De donkere kant voelt zich echter niet zo geremd of tegengewerkt en hackt, rommelt en compileert er daarom vrolijk op los.
En de slecht beveiligde smart-fluitketels en koelkasten vormen een prachtig reverse engineer project en doelwit.
Benieuwd welke gamer clubleden er mee bezig zijn, zeker geen Chaos computer club leden, denk ik. Dat is niet de scene waar we het moeten zoeken, alhoewel donkere overheidhacker(s) misschien!?!
Het zal dus geautoriseerd door pen-testers wel moeten gebeuren om de boel weer een beetje op een veiliger nivo te tillen..
We lijden er nu tenslotte allemaal onder.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
