Vanwege een plotselinge toename van DNS-hijacking (kaping) en man-in-the-middle-aanvallen, heeft het Amerikaanse Computer Emergency Readiness Team (US-CERT) de volgende waarschuwing op hun Alerts and Tips pagina doen uitgaan:
Het National Cybersecurity and Communications Integration Center (NCCIC), onderdeel van het Cybersecurity and Infrastructure Security Agency (CISA), is op de hoogte van een wereldwijde hijackingcampagne van Domain Name System (DNS)-infrastructuur. Met gecompromitteerde inloggegevens kan een aanvaller de locatie wijzigen waarnaar de domeinnaambronnen van een organisatie resolven. Hierdoor kan de aanvaller gebruikersverkeer omleiden naar een door de aanvaller beheerde infrastructuur en geldige encryptiecertificaten verkrijgen voor de domeinnamen van een organisatie, waardoor man-in-the-middle-aanvallen mogelijk worden.
NCCIC moedigt administrators aan om de FireEye en Cisco Talos Intelligence blogs over wereldwijde DNS-infrastructuurhijacking te bekijken voor meer informatie. Daarnaast raad NCCIC de volgende best practices aan om netwerken te beschermen tegen deze bedreiging:
- Implementeer multifactor-authenticatie op domeinregistraraccounts of op andere systemen die worden gebruikt om DNS-records te wijzigen.
- Controleer of de DNS-infrastructuur (second-level domeinen, subdomeinen en gerelateerde bronrecords) verwijst naar de juiste internetprotocoladressen of hostnamen.
- Zoek naar encryptiecertificaten met betrekking tot domeinen en trek alle frauduleus aangevraagde certificaten in.
Hoe werken de DNS/SSL-aanvallen?
We raden onze technisch ingestelde lezers sterk aan de voorgestelde artikelen in de US-CERT-waarschuwing te lezen voor gedetailleerde voorbeelden van hoe de hijacking plaatsvindt. Voor de rest van u hebben we een samenvatting gemaakt van hoe de veelzijdige aanvallen werken.
Techniek 1: gewijzigd DNS A record
Het A-record in uw DNS-records bevat IP-adresversie 4 van uw server. Met behulp van phishing-aanvallen en andere middelen krijgt een aanvaller toegang tot het beheerderspaneel voor de DNS-provider en wijzigt hij het IP-adres zodat deze naar een proxyserver verwijst. De proxyserver leidt de gebruikersactiviteit om naar de doelsite met een certificaat van Let’s Encrypt om de verbinding te vormen. De aanvaller verzamelt gebruikersnamen, wachtwoorden en domeininloggegevens wanneer gebruikers de site bezoeken.
Techniek 2: gewijzigd NS record
Uw NS record bevat de gezaghebbende naamserverinformatie voor het domein. Deze techniek werkt als techniek 1, maar gebruikt een eerder aangetaste registrar of ccTLD (Country Code Top Level Domain). De aanvaller wijzigt de NS-record zodat deze naar een gecompromitteerde naamserver wijst die vervolgens de request via een proxyserver verzendt, waardoor de aanvaller inloggegevens kan verzamelen.
Techniek 3: DNS-omleiding
Met een van de twee hierboven beschreven methoden, leidt deze techniek de request om naar de door de aanvaller beheerde infrastructuur.
Wie moet zich zorgen maken over DNS-aanvallen?
Elk bedrijf kan het slachtoffer worden van een aanval zoals hierboven beschreven. FireEye zegt dat telecom, ISP-providers, infrastructuurproviders, overheid en gevoelige commerciële instellingen de meerderheid vormen van de aangevallen doelen, hieronder vallen de meeste sites en mogelijk ook die van u.
De technieken gebruiken gerichte spear-phishing-aanvallen waarbij een nietsvermoedende gebruiker een Word-document opent met schadelijke macro’s. Het document gebruikt verschillende methoden om detectie door virus- en malwaredetectiesoftware te vermijden, waardoor ze erg moeilijk aan de voorkant te identificeren zijn.
Uw bedrijf beschermen tegen een DNS- of SSL-aanval
Zoals de VS-CERT hierboven adviseert, moet u:
- Multifactor-authenticatie op registrar-accounts gebruiken.
- Uw DNS-records op juiste informatie controleren.
- Zoeken naar niet-geautoriseerde SSL-certificaten en deze intrekken.
We willen nog een punt toevoegen:
- Uw DNS- en SSL-controles automatiseren voor 24/7 bescherming.
Externe monitoring met Uptrends
Problemen met DNS- en SSL-certificaten kunnen invloed hebben op al uw gebruikers of alleen op geïsoleerde regio’s. Door gebruik te maken van Uptrends’ wereldwijde netwerk van meer dan 200 controlestations, controleert u uw DNS-records op DNS-servers over de hele wereld. In plaats van de willekeurige timing van handmatig testen, vinden uw controles één keer per minuut plaats, 24/7. Uptrends’ geavanceerde alerting laat het u meteen weten als uw controleregel fouten of afwijkingen in uw records aantreft.
Monitoring van uw DNS
Het duurt slechts enkele momenten om DNS monitoring te configureren. Met DNS monitoring verifieert u uw:
- A (IPv4-adres)
- AAAA (IPv6-adres)
- NS (Authoritative Name Server)
- CNAME (aliassen)
- MX (mail server mapping)
- SOA (Start of Authority)
- SRV (Server)
- TXT (tekst)
- Root Server
U kunt een DNS-controleregel configureren om te letten op wijzigingen in een van de bovenstaande records. We raden u aan op uw A- en AAAA-records te letten. U kunt ook uw SOA record controleren op wijzigingen. Uw SOA record heeft een serienummer. Het domeinnaamsysteem verhoogt het serienummer wanneer iemand wijzigingen aanbrengt in uw DNS-records. Door dit nummer in de gaten te houden, weet u het onmiddellijk als iemand uw record wijzigt.
Monitoring van uw SSL-certificaat
Naast het verzenden van herinneringen over naderende vervaldatums en het controleren op certificaatfouten, kunt u meerdere velden op uw SSL-certificaten monitoren:
- Algemene naam
- Organisatie
- Organisatorische eenheid
- Serienummer
- Vingerafdruk
- Verleend door algemene naam
- 77487Verleend door organisatie
- Verleend door organisatorische eenheid
Certificaten die door de hacker worden gebruikt activeren geen fout, maar omdat het certificaat dat door de hacker wordt gebruikt niet dezelfde waarden heeft als uw certificaat, activeert uw SSL-controleregel wel een alert.
Kernpunten
- Het aantal gevallen van DNS- en certificaathijacking blijft stijgen.
- Het beschermen van uw gebruikers en merk tegen DNS-aanvallen vereist waakzaamheid.
- Handmatig testen van uw DNS- en SSL-certificaten legt geen lokale problemen vast die uw gebruikers mogelijk ervaren.
Door uw DNS-records en SSL-certificaatconfiguratie proactief te bewaken met Uptrends, kunt u eerder gewaarschuwd worden voor een aanval dan handmatig testen of wachten op klachten van gebruikers.
Geef een antwoord