Kaspersky Lab - Vislabākā aizsardzība!
Sākumlapa » Apdraudējumi » RSAC 2019: uzņēmuma IT infrastruktūras sagrābšana, manipulējot ar DNS

RSAC 2019: uzņēmuma IT infrastruktūras sagrābšana, manipulējot ar DNS

SANS Institute pārstāvji RSA konferencē 2019 pastāstīja par vairākiem jauniem uzbrukumu veidiem, kurus viņi paši uzskata par ļoti bīstamiem. Vienu no tiem aplūkosim šajā ierakstā.

Uzbrukums, par kuru referēja SANS darbinieks Eds Skudis (Ed Skoudis), ļauj pilnībā sagrābt uzņēmuma IT infrastruktūru, turklāt nav nepieciešami nekādi sarežģīti rīki — pietiek ar salīdzinoši vienkāršām DNS manipulācijām.

 

 

Manipulēšana ar DNS infrastruktūru, kas saistīta ar uzņēmuma resursiem

Uzbrukuma norise ir šāda.

  • Uzbrucēji iegūst kontu pieteikumvārdus un paroles — pašlaik tikai zināmajās datubāzēs vien tādu ir simtiem miljonu vai pat miljardi.
  • Izmantojot šos datus, hakeri piesakās DNS pakalpojumu sniedzēju un domēnu reģistratoru servisos.
  • Pēc tam uzbrucēji rediģē DNS ierakstus, ar savējo aizstājot uzņēmumam atbilstošo infrastruktūru.
  • Viņi, piemēram, maina MX ierakstu un tādējādi pāradresē visu uzņēmuma pastu uz savu pasta serveri, tātad pārtver visas vēstules.
  • Hakeri reģistrē TLS sertifikātus nozagtajiem domēniem. Šajā posmā viņi jau kontrolē uzņēmuma pastu un var iesniegt pierādījumus, ka domēns pieder viņiem — parasti nekas vairāk arī nav vajadzīgs, lai saņemtu sertifikātu.

Pēc tam hakeri var uzņēmumam adresēto datplūsmu novirzīt uz saviem datoriem. Tādējādi visi uzņēmuma tīmekļa vietņu apmeklētāji nonāk viltotās vietnēs, kuras visi filtri un aizsardzības sistēmas uzskata par īstām. Kaut kas līdzīgs pirmoreiz tika piedzīvots 2016. gadā: Kaspersky Lab pētnieki no GReAT Brazīlijas nodaļas konstatēja uzbrukumu, kura rezultātā ļaundari bija pilnībā sagrābuši lielas bankas infrastruktūru.

Sevišķi bīstami, ka šāda uzbrukuma rezultātā organizācija zaudē arī sakaru iespējas. Sagrābts ir pasts un, jādomā, arī telefons, jo lielākā daļa uzņēmumu izmanto IP telefoniju. Tas viss stipri traucē gan koordinēt iekšējo reakciju uz incidentu, gan sazināties ar ārējām organizācijām — DNS pakalpojumu sniedzējiem, sertifikācijas centriem, tiesībsargāšanas iestādēm utt. Un iedomājieties, ka tas viss turklāt notiek brīvdienā dienā — kā minētajā Brazīlijas bankas gadījumā!

Kā aizsargāties pret IT infrastruktūras sagrābšanu, ko veic, manipulējot ar DNS

Kas kibernoziedznieku pasaulē 2016. gadā bija jaunums, pēc pāris gadiem jau bija plaši izplatīts: 2018. gadā šādus paņēmienu lietošanu konstatēja daudzu vadošo IT drošības uzņēmumu pētnieki. Tātad tas nav nekāds abstrakts, „elegants” apdraudējums, bet gan pilnīgi reāla uzbrukuma veids, kuru var izmantot, lai sagrābtu jūsu IT infrastruktūru.

Eds Skudis dod arī padomus, kā rīkoties, lai aizsargātos pret manipulācijām ar domēnu vārdiem.

  • Izmantojiet vairāku faktoru autentifikāciju savas IT infrastruktūras vadības rīkiem.
  • Izmantojiet DNSSEC. Nedrīkst aizmirst, ka jāizmanto ne tikai DNS parakstīšana, bet arī pārbaude.
  • Kontrolējiet visas DNS izmaiņas sakarā ar jūsu uzņēmumam piederošiem domēniem. Šim nolūkam var izmantot, piemēram, pakalpojumu SecurityTrails — tur bez maksas varat nosūtīt līdz 50 pieprasījumiem mēnesī.
  • Sekojiet tam, lai jums piederošiem domēniem neparādītos dublējoši sertifikāti, un pēc iespējas ātrāk sūtiet pieprasījumus anulēt šādus sertifikātus.

Iepriekš minēto varam papildināt ar vēl vienu padomu — rūpīgi sargiet un kontrolējiet savas paroles. Tām ir jābūt unikālām un gana sarežģītām. Šādu paroļu ģenerēšanai un drošai glabāšanai labi noder programma Kaspersky Password Manager, kas ir arī daļa no risinājuma Kaspersky Small Office Security.

Izmantoti Kaspersky Lab materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

87 + = 97

Kaspersky Lab - Vislabākā aizsardzība, lieliskas cenas!
Uz augšu