image

Microsoft laat 50 domeinen van groep aanvallers offline halen

dinsdag 31 december 2019, 08:43 door Redactie, 13 reacties

Microsoft heeft middels een gerechtelijk bevel van een Amerikaanse rechter meer dan 50 domeinen van een groep aanvallers offline laten halen. Volgens Microsoft gaat het om een groep aanvallers die vermoedelijk uit Noord-Korea opereert en spearphishingmails naar slachtoffers verstuurde.

In de berichten werden slachtoffers verleid om een link te openen en hun inloggegevens op een phishingsite in te voeren. De groep maakte daarbij gebruik van domeinen die van Microsoft afkomstig leken. In werkelijkheid ging het om domeinen die niet met een m begonnen, maar met een r en n. De combinatie 'rn' lijkt op een m.

Zodra de aanvallers toegang tot een e-mailaccount hadden gekregen stelden ze een regel in waardoor alle berichten naar een e-mailadres van de aanvallers werd doorgestuurd. Op deze manier bleven de aanvallers berichten ontvangen ook al had het slachtoffer zijn wachtwoord aangepast. Naast het stelen van inloggegevens verspreidde de groep ook malware.

De groep had het voorzien op ambtenaren, denktanks, universiteitsmedewerkers, mensenrechtenorganisaties en personen die zich met nucleaire proliferatie bezighouden. De meeste doelen bevonden zich in de Verenigde Staten, gevolgd door Japan en Zuid-Korea. In de aankondiging over de actie tegen de groep meldt Microsoft verder dat het eerder domeinen van groepen uit China, Iran en Rusland uit de lucht heeft gehaald.

Image

Reacties (13)
31-12-2019, 10:11 door Anoniem
Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
31-12-2019, 11:44 door Anoniem
Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Als de naam Microsoft er in verwerkt is, is deze veel gemakkelijk offline te halen, het is een merknaam. Als deze überhaupt al geregistreerd kan worden.
31-12-2019, 12:28 door Anoniem
Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).

" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.

Ik zou altijd via een eigen "bookmark" naar een site gaan, nooit via een (via email aangeboden) link waarin bewust en misleidend de combinatie "RN" wordt voorgespiegeld als "M":
rn =/= m

Of bedoel je eigenlijk dat je kijkt naar, en vertrouwt op het deel "https" waarvoor een certificaat nodig is?

De combinatie Firefox (of Chrome) en de extensie HttpsEverywhere regelt dat automatisch.
https://www.eff.org/https-everywhere
Vanaf deze plaats, in deze roerige tijden, even "thumbs up" voor de EFF, de Electronic Frontier Foundation.

En ook aanbevolen:
https://www.privacytools.io
31-12-2019, 12:29 door [Account Verwijderd]
Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).

Veilige software distributie is nu eenmaal niet Microsoft sterkste kant. Pas enkele jaren terug hebben ze het licht een beetje gezien met hun beperkte app store. Nog een weg te gaan die andere OS al lang gevonden hebben.
31-12-2019, 12:32 door karma4
Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Niet zo heel bijzonder als je de impact bedenkt. Alles onder 1 domein naam brengen geeft de vraag hoe het daarna over servers en andere diensten te verdelen. Kijk naar overheidssites in Nederland waar met de outsourcing die invulling van het verdelen vrijwel onoverkomelijk is. Verlaten domeinen die legaal overgenomen worden zijn een resultaat.
31-12-2019, 12:36 door karma4
Door Kili Manjaro: Veilige software distributie is nu eenmaal niet Microsoft sterkste kant. Pas enkele jaren terug hebben ze het licht een beetje gezien met hun beperkte app store. Nog een weg te gaan die andere OS al lang gevonden hebben.
Wat heeft een DNS server koppeling, gewoonlijk iets buiten bereik van een organisatie met Microsoft van doen?
Je OS en microsoft haat gaat wel ver. Wees nu eens blij dat foute websites (meestal linux) met foute gebruikers (veel oss gebruik) uit de lucht gehaald worden. Dat is juist om het veiliger voor een ieder te krijgen. Verwende kinderen hun zin maar geven is een opvoedkundig probleem. Dat lijkt me met dat dorgelsagen Linux evangelisme ook het probleem.
31-12-2019, 12:45 door Bitje-scheef
Gaan we weer.......
31-12-2019, 16:36 door Anoniem
Door Anoniem:
Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).

" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.
...
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is.
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.

Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl
31-12-2019, 20:44 door Anoniem
Door Anoniem:
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is.
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.

Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl

Ze hebben dat domeinnaam systeem verkeerd gemaakt. Het had niet subdomein.domein.land moeten zijn maar
land.domein.subdomein. Er is een blauwe maandag in Engeland een dergelijk systeem gehanteerd maar dat heeft
het niet gehaald tov het Amerikaanse geweld.

Met een dergelijke domeinnaam opbouw zou het voor de eindgebruiker veel simpeler te zien zijn waar hij nou eigenlijk
mee bezig is, en ook zou het minder nodig zijn om van die rare domeinen specifiek voor 1 doel te registreren, ipv alles
in een boom onder 1 naam te hangen.
01-01-2020, 09:43 door Anoniem

" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.

De ene is 100% zeker microsoft (microsoft.com), de andere kan iedereen in de wereld claimen.


Als de naam Microsoft er in verwerkt is, is deze veel gemakkelijk offline te halen, het is een merknaam. Als deze überhaupt al geregistreerd kan worden

Als je kijkt op https://crt.sh/?q=%25microsoft.com zie je toch een hoop variant domeinen met een Let's encrypt certificaat die actief zijn. Voorbeeldje: mail.store-microsoft.com, die op naam staat van Privacy Protect, LLC (PrivacyProtect.org). Offline halen is altijd afhankelijk van de hoster, als die bullet-proof is heb je zelfs als Microsoft gewoon een probleem (als in: wie zit erachter, hoe lang duurt het voor je de upstream bereid vindt, etc.)
01-01-2020, 09:48 door Anoniem
Door Anoniem:
Door Anoniem:
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is.
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.

Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl

Ze hebben dat domeinnaam systeem verkeerd gemaakt. Het had niet subdomein.domein.land moeten zijn maar
land.domein.subdomein. Er is een blauwe maandag in Engeland een dergelijk systeem gehanteerd maar dat heeft
het niet gehaald tov het Amerikaanse geweld.

Met een dergelijke domeinnaam opbouw zou het voor de eindgebruiker veel simpeler te zien zijn waar hij nou eigenlijk
mee bezig is, en ook zou het minder nodig zijn om van die rare domeinen specifiek voor 1 doel te registreren, ipv alles
in een boom onder 1 naam te hangen.

Helemaal mee eens. Jammergenoeg innoveert het internet eigenlijk niet meer en zal die correctie nooit meer plaatsvinden. Het wordt met TLD's als '.google' er nog lastiger op.


Niet zo heel bijzonder als je de impact bedenkt. Alles onder 1 domein naam brengen geeft de vraag hoe het daarna over servers en andere diensten te verdelen.

Ze hebben .microsoft, maar gebruiken microsoft[random].com. Als zelf eens bedrijf als Philips (altijd [subdomain].philips.com) dit gewoon op orde heeft ga je me niet vertellen dat een tech-gigant als Microsoft dit niet op orde kan krijgen. Het is een een kwestie gewoon doen. DNS biedt je technisch meer dan genoeg mogelijkheden.
01-01-2020, 23:06 door Anoniem
Maar digging kan ook verkeerd gaan.
DNS lookup faalt voor "254.242.55.65.in-addr.arpa".

DNSQuerySniffer, dat onder mijn bladeraar loopt, blijft het antwoord in dit geval schuldig.
Ik kom dat nog wel eens tegen bij PTR verzoeken en als MS in het geding is.

Dus hier even gekeken:
id 7223
opcode QUERY
rcode NXDOMAIN
flags QR RD RA
;QUESTION
254.242.55.65.in-addr.arpa. IN A
;ANSWER
;AUTHORITY
55.65.in-addr.arpa. 1799 IN SOA ns1.msft.net. msnhst.microsoft.com. 2019121601 7200 900 7200000 3600
;ADDITIONAL
via toolbox google app's Dig DNS lookup.

En wat we al dachten NXDOMAIN, niet geregistreerd of ten gevolge van een server probleem?

De meeste mensen hebben zich nooit in DNS en DNS manipulatie echt grondig verdiept.
Dat is jammer, want het is wel een belangrijk item.
Iets, dat overal in de achtergrond speelt of (mee) kan spelen.

Noem het als hierboven genoemd "Men innoveert niet meer",
of noem het slordigheid of op z'n Amerikaans 'sloppiness. Wat dan ook.

De complete of partial overhaul zullen we denkelijk niet meer beleven.
De gevolgen van dat uitblijven van zo'n uitblijvende overhaul des te meer.

luntrus
02-01-2020, 18:50 door Anoniem
Door Anoniem: Maar digging kan ook verkeerd gaan.
DNS lookup faalt voor "254.242.55.65.in-addr.arpa".

DNSQuerySniffer, dat onder mijn bladeraar loopt, blijft het antwoord in dit geval schuldig.
Ik kom dat nog wel eens tegen bij PTR verzoeken en als MS in het geding is.

Dus hier even gekeken:
id 7223
opcode QUERY
rcode NXDOMAIN
flags QR RD RA
;QUESTION
254.242.55.65.in-addr.arpa. IN A
;ANSWER
;AUTHORITY
55.65.in-addr.arpa. 1799 IN SOA ns1.msft.net. msnhst.microsoft.com. 2019121601 7200 900 7200000 3600
;ADDITIONAL
via toolbox google app's Dig DNS lookup.

En wat we al dachten NXDOMAIN, niet geregistreerd of ten gevolge van een server probleem?

"Geregistreerd" heeft niet helemaal dezelfde betekenis bij reverse lookups.

Het "domein" 55.65.in-addr.arpa. is nog gedelegeerd naar MS nameservers.

55.65.in-addr.arpa. 86400 IN NS ns1.msft.net.
55.65.in-addr.arpa. 86400 IN NS ns2.msft.net.
55.65.in-addr.arpa. 86400 IN NS ns3.msft.net.
55.65.in-addr.arpa. 86400 IN NS ns4.msft.net.

Die nameservers hebben geen NS records voor subdomein 242.55.65.in-addr.arpa.
En ook geen PTR record voor 254.242.55.65.in-addr.arpa.

Een NXDOMAIN is een authoritief antwoord dat een record (A, PTR) niet bestaat, of geen NS record in de parent zone.

Bij een "niet geregistreerd domein" is het dus een antwoord van de toplevel domein servers dat er geen NS record voor "niet geregistreerd.tld " bestaat.
Maar "NXDOMAIN" kan ook van de authoritieve dns server van een domein komen als het gevraagde record (A,CNAME, PTR etc) niet bestaat.

Geen server probleem in technische zin dus.

Bruikbare reverse lookups zullen m.i. zeldzamer worden in de toekomst , vanwege verschuivende manier van server gebruik.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.