Nieuws
image

Aanvallers wijzigen wereldwijd dns-instellingen domeinen

vrijdag 11 januari 2019, 11:17 door Redactie, 17 reacties

Aanvallers zijn erin geslaagd om de dns-instellingen van domeinen van bedrijven, overheidsinstanties en telecomproviders wereldwijd aan te passen en zo gevoelige gegevens te stelen. Daarvoor waarschuwen securitybedrijf FireEye en het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT).

Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen. In de dns-records van een domeinnaam staan bijvoorbeeld het ip-adres van de webserver of mailserver vermeld. Bij de aanvallen waar FireEye en het US-CERT voor waarschuwen weten aanvallers via gestolen inloggegevens op het beheerderspaneel van de dns-aanbieder in te loggen.

Vervolgens wijzigen de aanvallers de records van het domein, bijvoorbeeld het ip-adres van de webmailserver. Het verkeer van gebruikers gaat hierdoor eerst naar het ip-adres van de aanvallers, die het vervolgens naar het juiste ip-adres doorsturen. De aanvallers maken hierbij gebruik van een via Let's Encrypt gegenereerd certificaat.

"Het Let's Encrypt-certificaat laat de browsers een verbinding zonder certificaatfouten opzetten, aangezien Let's Encrypt Authority X3 wordt vertrouwd. De verbinding wordt doorgestuurd naar een loadbalancer, die een verbinding met het echte domein opzet. De gebruiker heeft de aanpassingen niet door en merkt mogelijk alleen een kleine vertraging", aldus Muks Hirani van FireEye. Door deze opzet weten de aanvallers gebruikersnamen en wachtwoorden te stelen van gebruikers die bijvoorbeeld op de webmail van hun organisatie inloggen.

Ook komt het voor dat de aanvallers de nameserver-records van de domeinnaam aanpassen of een "dns redirector" gebruiken. Dit is een machine van de aanvallers die op dns-verzoeken reageert. "Een groot aantal organisaties is door deze dns-manipulaties en frauduleuze ssl-certificaten getroffen. Het gaat om telecom- en internetproviders, internetinfrastructuurproviders, overheden en gevoelige commerciële entiteiten", zo stelt Hirani. Getroffen organisaties bevinden zich in het Midden-Oosten, Noord-Afrika, Europa en Noord-Amerika.

Organisaties krijgen het advies om multifactorauthenticatie voor hun dns-beheerdersportaal te gebruiken en aanpassingen van A- en NS-records te valideren. Verder kunnen organisaties zoeken naar ssl-certificaten die op hun domeinnaam betrekking hebben en die in laten trekken. Tevens wordt het valideren van de source ip-adressen in de logbestanden van Exchange en Outlook Web Acces aangeraden.

Reacties (17)
11-01-2019, 11:35 door Bitwiper
Zie ook mijn bijdrage in https://www.security.nl/posting/592639/letsencrypt+ondersteund+niet+meer+HTTPS_TLS+als+bewijs+van+eigendom%3F#posting593729 ;-)
11-01-2019, 11:52 door Anoniem
Een groot aantal organisaties is door deze dns-manipulaties en frauduleuze ssl-certificaten getroffen. Het gaat om telecom- en internetproviders.

1. Welke organisaties?
2. Welke Internet Providers?
3. Welke Telecom Providers?

Graag meer info hierover.
Anders hebben wij hier niets aan.
11-01-2019, 12:10 door Anoniem
"Verder kunnen organisaties zoeken naar ssl-certificaten die op hun domeinnaam betrekking hebben en die in laten trekken."

Waar kan dat dan?
11-01-2019, 12:35 door Anoniem
En als je het certificaat controleert op wie het heeft uitgegeven.
11-01-2019, 12:47 door Anoniem
Daarom ons vooral laten leiden door de lobbyisten voor letsencrypt en andere "gratis" oplossingen. Je betaalt niet alleen met privacy ook met security. Niemand, behalve bitwiper die er doorheen prikt.
luntrus
11-01-2019, 13:34 door Anoniem
Welke domeinen dan?
De topic start is ook apart: Mensen met affiniteit voor secrity weten allemaal wat DNS is en hoe het werkt
11-01-2019, 13:56 door Anoniem
Door Anoniem: Daarom ons vooral laten leiden door de lobbyisten voor letsencrypt en andere "gratis" oplossingen. Je betaalt niet alleen met privacy ook met security. Niemand, behalve bitwiper die er doorheen prikt.
luntrus
Uhm. Lobbyisten voor let's encrypt? Dat is een initiatief om zoveel mogelijk websites achter https te krijgen. Wat "algemeen" gezien wordt als een Goed Idee. (Ben ik het niet heel erg mee eens eigenlijk.) Maar ook voordat ze bestonden waren er al problemen zichtbaar: Certificaten die voor een paar euro (of dollar: godaddy is een grote bodemracer hier) te krijgen waren, en dus nevernooitniet goed nagekenen op identiteit en dergelijke. (Wat op zichzelf ook al geen panacea is.) Of zelfs domeinboeren die signing-certificates uitgaven voor enterprise-MITM, die vervolgens algemeen misbruikt werd en niet alleen binnen het kantoor dat het certificaat besteld had.

Dus het probleem van onterecht uitgegeven certificaten is niet iets wat let's encrypt veroorzaakt. Sterker, hun "controle", such as it is, beperkt zich tot "hebben ze controle over het domein waar het certificaat voor is?" en dat is eigenlijk het enige criterium dat er toe doet. Dus voorzover PKI een goed idee is (is het nou niet echt, nee) doet let's encrypt het prima. In ieder geval doen ze het niet slechter dan andere certificaatuitgevers. (Zie ook: "Honest Achmed".)

Dat vervolgens de beheersinterfaces voor die domeinen een zwak punt blijken is nou niet echt let's encrypt of welke andere certificatenboer dan ook aan te rekenen.
11-01-2019, 14:15 door Anoniem
Big Data Tech houdt dus in feite ons allemaal in gijzeling. Het "u betaalt met uw data voor ons excessieve profijt op onze gratis diensten" is leidend hoofdbeginsel geworden. Marketing regeert de tent. Vaak wordt daar niet meer over gediscusseerd, want het is een te accepteren feit. Mensen worden alleen maar kwaad als je hun vaste opgedrongen opinies in twijfel trekt. Niemand in deze maatschappij zal nog eigen fouten toegeven, want .....

Dat maakt de open discussie met vraag en wedervraag er ook niet al te gemakkelijk op.

Cybercriminelen hebben die limiteringen niet, zeker niet de ethische beperkingen en ook geen last van opgedrongen mogelijkheden. Ze kennen aleen de praktische loopholes, waar ze zich doorheen kunnen wringen om te bereiken wat ze willen.

Als de pakkans vervolgens ook klein blijft en hun globale operatieterrein vrijwel onbeperkt (alleen niet in de eigen achtertuin, want dan wordt er niet meer gedoogd), gaat dit circus onverdroten voort.

Waarom altijd kritiek op van alles en nog wat en nooit op de inrichting door de grote data slurpers, die lobbyen en bepalen en bijbuigen en algoritmen wijzigen en zich als kameleons aanpassen, nu weer met het verdedigen van hun opereren op basis van de Benda filsodofie uit de jaren twintig om hun globalistische praktijken respectabl en ethisch te doen lijken.

Desinteresse en onverschilligheid spelen hen flink in de kaart. De bijkomende ellende is voor elke eindgebruiker.
Je ziet het met facebook, je zou verwachten dat er geen verslaafde meer achterbleef. Helaas de vliegenval trekt steeds meer slachtoffers aan en farcebook zet nog een tandje bij.
11-01-2019, 14:38 door Anoniem
Meer info over de methodiek hier: https://arstechnica.com/information-technology/2019/01/a-dns-hijacking-wave-is-targeting-companies-at-an-almost-unprecedented-scale/

In het artikel hierboven wordt ook een link gelegd met Iran "The researchers assessed with moderate confidence that the attackers had a link to Iran, based on IP addresses they’re using". (Als die ook niet gespoofed zijn).
11-01-2019, 16:17 door Bitwiper
Ow ja, en als je 2FA configureert voor toegang tot DNS records bij je registrar, kies dan wat beters dan SMS (https://www.theregister.co.uk/2018/08/01/reddit_hacked_sms_2fa).
12-01-2019, 01:59 door Anoniem
Maar ja, er staat in geen enkel bericht hoe ze toegang tot de registrar hebben gekregen. En als ze toegang tot je registrar hebben dan heb je eigenlijk toch al verloren.
12-01-2019, 11:48 door Bitwiper
Door Anoniem: Maar ja, er staat in geen enkel bericht hoe ze toegang tot de registrar hebben gekregen.
Heb je een nieuwe bril nodig of zo? Ik zie niet vaak zulke gedetailleerde verhandelingen als in de blog waar de eerste URL in het artikel van de redactie naar verwijst (https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html).

Door Anoniem: En als ze toegang tot je registrar hebben dan heb je eigenlijk toch al verloren.
Jij wel ja (omdat bezoekers niet meer op jouw site uitkomen maar op die van een ander), maar de mensen die denken jouw site te bezoeken en op een nepsite terechtkomen, verliezen (vaak veel meer) doordat aanvallers doodsimpel een DV certificaat kunnen bemachtigen door manipulatie van DNS (dat om meerdere reden onbetrouwbaar is) en/of BGP hijacks.

M.a.w. omdat DV speelgoedcertificaten nou eenmaal bestaan en op basis van een DNS testje aan fraudeurs worden verstrekt (zonder enige aanvullende checks), en omdat gewone mensen een DV certificaat hooguit van een EV certificaat kunnen onderscheiden (en je alleen maar kunt hopen dat ze onthouden dat jouw site een EV cert had en dat bezoekers van nep uitgaan zodra ze een non-EV cert zien op jouw site), ben je een dubbele prutser als het aanvallers lukt om toegang te krijgen tot jouw DNS registrar account.

Kortom, als DV speelgoedcertificaten (waaronder die van Let's Encrypt) niet zouden bestaan, zouden precies dit soort aanvallen onmogelijk zijn.
12-01-2019, 12:25 door Anoniem
Door Bitwiper:
Door Anoniem: Maar ja, er staat in geen enkel bericht hoe ze toegang tot de registrar hebben gekregen.
Heb je een nieuwe bril nodig of zo? Ik zie niet vaak zulke gedetailleerde verhandelingen als in de blog waar de eerste URL in het artikel van de redactie naar verwijst (https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html).
Ik doelde hierop: "The attacker logs into the DNS provider’s administration panel, utilising previously compromised credentials". Dat is wel makkelijk als die gegevens al klaar liggen.
12-01-2019, 12:28 door Anoniem
Door Anoniem: Maar ja, er staat in geen enkel bericht hoe ze toegang tot de registrar hebben gekregen. En als ze toegang tot je registrar hebben dan heb je eigenlijk toch al verloren.

ehh.... in het artikel "Bij de aanvallen waar FireEye en het US-CERT voor waarschuwen weten aanvallers via gestolen inloggegevens op het beheerderspaneel van de dns-aanbieder in te loggen."
12-01-2019, 17:23 door Anoniem
Spearphishing is the royal way in en APT malware, met groepen als Ourmine en Calc, dat soort hacking.
Zeg maar liever cracking, want het is crimineel hacken en geen hacken in de zin van ethisch tweaken of resource engineeren of desnoods fuzzen en error-hunting. De laatste activiteiten zou toezicht ook graag tot bad activities verklaren,
omdat het ook tegen hen kan worden gebruikt.

Ze krijgen te veel ruimte die PHISHERtjes. Kijk dagelijks via urlquery dot com scans en je komt om in de PHISHING sites.

Maar ja met geen oog voor best policies, uitfaseren van kwetsbare biblitheken en allerlei excessieve info proliferatie,
die dat soort ongein alleen maar vergemakkelijkt, komen we er niet.

Security blijft nog steeds een "last resort thing", tot de wal het schip gaat keren, maar dat kan nog wel even duren.
14-01-2019, 10:14 door Anoniem
De topic start is ook apart: Mensen met affiniteit voor secrity weten allemaal wat DNS is en hoe het werkt
De DNS / telefoonboek vergelijking was in 1999 al Jip & Janneke taal.
Daarnaast, je ziet 'm hier minstens wekelijks herhaald.
14-01-2019, 13:17 door Anoniem
Door Anoniem: "Verder kunnen organisaties zoeken naar ssl-certificaten die op hun domeinnaam betrekking hebben en die in laten trekken."

Waar kan dat dan?

Bijvoorbeeld via https://www.entrust.com/ct-search/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure