Microsoft laat 50 domeinen van groep aanvallers offline halen
Microsoft heeft middels een gerechtelijk bevel van een Amerikaanse rechter meer dan 50 domeinen van een groep aanvallers offline laten halen. Volgens Microsoft gaat het om een groep aanvallers die vermoedelijk uit Noord-Korea opereert en spearphishingmails naar slachtoffers verstuurde.
In de berichten werden slachtoffers verleid om een link te openen en hun inloggegevens op een phishingsite in te voeren. De groep maakte daarbij gebruik van domeinen die van Microsoft afkomstig leken. In werkelijkheid ging het om domeinen die niet met een m begonnen, maar met een r en n. De combinatie 'rn' lijkt op een m.
Zodra de aanvallers toegang tot een e-mailaccount hadden gekregen stelden ze een regel in waardoor alle berichten naar een e-mailadres van de aanvallers werd doorgestuurd. Op deze manier bleven de aanvallers berichten ontvangen ook al had het slachtoffer zijn wachtwoord aangepast. Naast het stelen van inloggegevens verspreidde de groep ook malware.
De groep had het voorzien op ambtenaren, denktanks, universiteitsmedewerkers, mensenrechtenorganisaties en personen die zich met nucleaire proliferatie bezighouden. De meeste doelen bevonden zich in de Verenigde Staten, gevolgd door Japan en Zuid-Korea. In de aankondiging over de actie tegen de groep meldt Microsoft verder dat het eerder domeinen van groepen uit China, Iran en Rusland uit de lucht heeft gehaald.
Reacties (13)
Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Als de naam Microsoft er in verwerkt is, is deze veel gemakkelijk offline te halen, het is een merknaam. Als deze überhaupt al geregistreerd kan worden.Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.
Ik zou altijd via een eigen "bookmark" naar een site gaan, nooit via een (via email aangeboden) link waarin bewust en misleidend de combinatie "RN" wordt voorgespiegeld als "M":
rn =/= m
Of bedoel je eigenlijk dat je kijkt naar, en vertrouwt op het deel "https" waarvoor een certificaat nodig is?
De combinatie Firefox (of Chrome) en de extensie HttpsEverywhere regelt dat automatisch.
https://www.eff.org/https-everywhere
Vanaf deze plaats, in deze roerige tijden, even "thumbs up" voor de EFF, de Electronic Frontier Foundation.
En ook aanbevolen:
https://www.privacytools.io
Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Veilige software distributie is nu eenmaal niet Microsoft sterkste kant. Pas enkele jaren terug hebben ze het licht een beetje gezien met hun beperkte app store. Nog een weg te gaan die andere OS al lang gevonden hebben.
31-12-2019, 12:32 door
karma4
Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Niet zo heel bijzonder als je de impact bedenkt. Alles onder 1 domein naam brengen geeft de vraag hoe het daarna over servers en andere diensten te verdelen. Kijk naar overheidssites in Nederland waar met de outsourcing die invulling van het verdelen vrijwel onoverkomelijk is. Verlaten domeinen die legaal overgenomen worden zijn een resultaat.Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
31-12-2019, 12:36 door
karma4
Door Kili Manjaro: Veilige software distributie is nu eenmaal niet Microsoft sterkste kant. Pas enkele jaren terug hebben ze het licht een beetje gezien met hun beperkte app store. Nog een weg te gaan die andere OS al lang gevonden hebben.
Wat heeft een DNS server koppeling, gewoonlijk iets buiten bereik van een organisatie met Microsoft van doen? Je OS en microsoft haat gaat wel ver. Wees nu eens blij dat foute websites (meestal linux) met foute gebruikers (veel oss gebruik) uit de lucht gehaald worden. Dat is juist om het veiliger voor een ieder te krijgen. Verwende kinderen hun zin maar geven is een opvoedkundig probleem. Dat lijkt me met dat dorgelsagen Linux evangelisme ook het probleem.
31-12-2019, 12:45 door
Bitje-scheef
Gaan we weer.......
Door Anoniem:
" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.
...
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is. Door Anoniem: Eigenlijk bijzonder dat Microsoft niet vaker doel is.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.
...
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.
Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl
Door Anoniem:
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is.
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.
Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is.
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.
Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl
Ze hebben dat domeinnaam systeem verkeerd gemaakt. Het had niet subdomein.domein.land moeten zijn maar
land.domein.subdomein. Er is een blauwe maandag in Engeland een dergelijk systeem gehanteerd maar dat heeft
het niet gehaald tov het Amerikaanse geweld.
Met een dergelijke domeinnaam opbouw zou het voor de eindgebruiker veel simpeler te zien zijn waar hij nou eigenlijk
mee bezig is, en ook zou het minder nodig zijn om van die rare domeinen specifiek voor 1 doel te registreren, ipv alles
in een boom onder 1 naam te hangen.
" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.
De ene is 100% zeker microsoft (microsoft.com), de andere kan iedereen in de wereld claimen.
Als de naam Microsoft er in verwerkt is, is deze veel gemakkelijk offline te halen, het is een merknaam. Als deze überhaupt al geregistreerd kan worden
Als je kijkt op https://crt.sh/?q=%25microsoft.com zie je toch een hoop variant domeinen met een Let's encrypt certificaat die actief zijn. Voorbeeldje: mail.store-microsoft.com, die op naam staat van Privacy Protect, LLC (PrivacyProtect.org). Offline halen is altijd afhankelijk van de hoster, als die bullet-proof is heb je zelfs als Microsoft gewoon een probleem (als in: wie zit erachter, hoe lang duurt het voor je de upstream bereid vindt, etc.)
Door Anoniem:
Ze hebben dat domeinnaam systeem verkeerd gemaakt. Het had niet subdomein.domein.land moeten zijn maar
land.domein.subdomein. Er is een blauwe maandag in Engeland een dergelijk systeem gehanteerd maar dat heeft
het niet gehaald tov het Amerikaanse geweld.
Met een dergelijke domeinnaam opbouw zou het voor de eindgebruiker veel simpeler te zien zijn waar hij nou eigenlijk
mee bezig is, en ook zou het minder nodig zijn om van die rare domeinen specifiek voor 1 doel te registreren, ipv alles
in een boom onder 1 naam te hangen.
Door Anoniem:
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is.
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.
Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is.
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.
Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl
Ze hebben dat domeinnaam systeem verkeerd gemaakt. Het had niet subdomein.domein.land moeten zijn maar
land.domein.subdomein. Er is een blauwe maandag in Engeland een dergelijk systeem gehanteerd maar dat heeft
het niet gehaald tov het Amerikaanse geweld.
Met een dergelijke domeinnaam opbouw zou het voor de eindgebruiker veel simpeler te zien zijn waar hij nou eigenlijk
mee bezig is, en ook zou het minder nodig zijn om van die rare domeinen specifiek voor 1 doel te registreren, ipv alles
in een boom onder 1 naam te hangen.
Helemaal mee eens. Jammergenoeg innoveert het internet eigenlijk niet meer en zal die correctie nooit meer plaatsvinden. Het wordt met TLD's als '.google' er nog lastiger op.
Niet zo heel bijzonder als je de impact bedenkt. Alles onder 1 domein naam brengen geeft de vraag hoe het daarna over servers en andere diensten te verdelen.
Ze hebben .microsoft, maar gebruiken microsoft[random].com. Als zelf eens bedrijf als Philips (altijd [subdomain].philips.com) dit gewoon op orde heeft ga je me niet vertellen dat een tech-gigant als Microsoft dit niet op orde kan krijgen. Het is een een kwestie gewoon doen. DNS biedt je technisch meer dan genoeg mogelijkheden.
Maar digging kan ook verkeerd gaan.
DNS lookup faalt voor "254.242.55.65.in-addr.arpa".
DNSQuerySniffer, dat onder mijn bladeraar loopt, blijft het antwoord in dit geval schuldig.
Ik kom dat nog wel eens tegen bij PTR verzoeken en als MS in het geding is.
Dus hier even gekeken:
En wat we al dachten NXDOMAIN, niet geregistreerd of ten gevolge van een server probleem?
De meeste mensen hebben zich nooit in DNS en DNS manipulatie echt grondig verdiept.
Dat is jammer, want het is wel een belangrijk item.
Iets, dat overal in de achtergrond speelt of (mee) kan spelen.
Noem het als hierboven genoemd "Men innoveert niet meer",
of noem het slordigheid of op z'n Amerikaans 'sloppiness. Wat dan ook.
De complete of partial overhaul zullen we denkelijk niet meer beleven.
De gevolgen van dat uitblijven van zo'n uitblijvende overhaul des te meer.
luntrus
DNS lookup faalt voor "254.242.55.65.in-addr.arpa".
DNSQuerySniffer, dat onder mijn bladeraar loopt, blijft het antwoord in dit geval schuldig.
Ik kom dat nog wel eens tegen bij PTR verzoeken en als MS in het geding is.
Dus hier even gekeken:
id 7223
opcode QUERY
rcode NXDOMAIN
flags QR RD RA
;QUESTION
254.242.55.65.in-addr.arpa. IN A
;ANSWER
;AUTHORITY
55.65.in-addr.arpa. 1799 IN SOA ns1.msft.net. msnhst.microsoft.com. 2019121601 7200 900 7200000 3600
;ADDITIONAL
via toolbox google app's Dig DNS lookup.opcode QUERY
rcode NXDOMAIN
flags QR RD RA
;QUESTION
254.242.55.65.in-addr.arpa. IN A
;ANSWER
;AUTHORITY
55.65.in-addr.arpa. 1799 IN SOA ns1.msft.net. msnhst.microsoft.com. 2019121601 7200 900 7200000 3600
;ADDITIONAL
En wat we al dachten NXDOMAIN, niet geregistreerd of ten gevolge van een server probleem?
De meeste mensen hebben zich nooit in DNS en DNS manipulatie echt grondig verdiept.
Dat is jammer, want het is wel een belangrijk item.
Iets, dat overal in de achtergrond speelt of (mee) kan spelen.
Noem het als hierboven genoemd "Men innoveert niet meer",
of noem het slordigheid of op z'n Amerikaans 'sloppiness. Wat dan ook.
De complete of partial overhaul zullen we denkelijk niet meer beleven.
De gevolgen van dat uitblijven van zo'n uitblijvende overhaul des te meer.
luntrus
Door Anoniem: Maar digging kan ook verkeerd gaan.
DNS lookup faalt voor "254.242.55.65.in-addr.arpa".
DNSQuerySniffer, dat onder mijn bladeraar loopt, blijft het antwoord in dit geval schuldig.
Ik kom dat nog wel eens tegen bij PTR verzoeken en als MS in het geding is.
Dus hier even gekeken:
En wat we al dachten NXDOMAIN, niet geregistreerd of ten gevolge van een server probleem?
DNS lookup faalt voor "254.242.55.65.in-addr.arpa".
DNSQuerySniffer, dat onder mijn bladeraar loopt, blijft het antwoord in dit geval schuldig.
Ik kom dat nog wel eens tegen bij PTR verzoeken en als MS in het geding is.
Dus hier even gekeken:
id 7223
opcode QUERY
rcode NXDOMAIN
flags QR RD RA
;QUESTION
254.242.55.65.in-addr.arpa. IN A
;ANSWER
;AUTHORITY
55.65.in-addr.arpa. 1799 IN SOA ns1.msft.net. msnhst.microsoft.com. 2019121601 7200 900 7200000 3600
;ADDITIONAL
via toolbox google app's Dig DNS lookup.opcode QUERY
rcode NXDOMAIN
flags QR RD RA
;QUESTION
254.242.55.65.in-addr.arpa. IN A
;ANSWER
;AUTHORITY
55.65.in-addr.arpa. 1799 IN SOA ns1.msft.net. msnhst.microsoft.com. 2019121601 7200 900 7200000 3600
;ADDITIONAL
En wat we al dachten NXDOMAIN, niet geregistreerd of ten gevolge van een server probleem?
"Geregistreerd" heeft niet helemaal dezelfde betekenis bij reverse lookups.
Het "domein" 55.65.in-addr.arpa. is nog gedelegeerd naar MS nameservers.
55.65.in-addr.arpa. 86400 IN NS ns1.msft.net.
55.65.in-addr.arpa. 86400 IN NS ns2.msft.net.
55.65.in-addr.arpa. 86400 IN NS ns3.msft.net.
55.65.in-addr.arpa. 86400 IN NS ns4.msft.net.
Die nameservers hebben geen NS records voor subdomein 242.55.65.in-addr.arpa.
En ook geen PTR record voor 254.242.55.65.in-addr.arpa.
Een NXDOMAIN is een authoritief antwoord dat een record (A, PTR) niet bestaat, of geen NS record in de parent zone.
Bij een "niet geregistreerd domein" is het dus een antwoord van de toplevel domein servers dat er geen NS record voor "niet geregistreerd.tld " bestaat.
Maar "NXDOMAIN" kan ook van de authoritieve dns server van een domein komen als het gevraagde record (A,CNAME, PTR etc) niet bestaat.
Geen server probleem in technische zin dus.
Bruikbare reverse lookups zullen m.i. zeldzamer worden in de toekomst , vanwege verschuivende manier van server gebruik.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
