Наші новини


Дізнайтеся першими про результати нашої роботи та останні новини
в сфері інформаційної безпеки

2uQZfPBKpDkHFXixS7phftLiKBbCxlLGe81MxePF.jpeg

 

Національний центр інтеграції кібербезпеки і комунікацій (NCCIC) на своєму сайті повідомляє про глобальну кампанію з підміни DNS-записів. Використовуючи скомпрометовані облікові дані, зловмисник може підмінити IP-адреси, за якими закріплене доменне ім’я. Це дає змогу зловмисникам перенаправляти трафік користувача до керованої системи і отримувати дійсні сертифікати шифрування для доменних імен організації, що дозволяє здійснювати атаки «людина посередині» («man-in-the-middle»).


Технічні деталі:

Використовуючи наведені нижче методи, зловмисники перенаправляють і перехоплюють веб- і поштовий трафік і можуть робити це для інших мережевих служб.

  1. Зловмисники отримують облікові дані користувача, який може вносити зміни до записів DNS.
  2. Далі зловмисники змінюють записи DNS, такі як Address (A), Mail Exchanger (MX) або Name Server (NS), замінюючи легітимну адресу сервісу на підконтрольну. Це дозволяє їм направляти користувацький трафік на свою керовану систему, перш ніж перенаправити його на легітимну адресу сервісу.
  3. Оскільки зловмисник може встановити значення запису DNS, вони також можуть отримати дійсні сертифікати шифрування для доменних імен організації. Це дозволяє дешифрувати перенаправлений трафік, викриваючи всі передані користувачем дані. Оскільки сертифікат діє для домену, кінцеві користувачі не отримують попереджень про помилки.

Посилання на статтю на сайті NCCIC:  https://www.us-cert.gov/ncas/alerts/AA19-024A


Ідентифікатори компрометації:

IOCs (.csv)

IOCs (.stix)

Рекомендації:

  • Оновіть паролі для всіх облікових записів, які можуть змінювати DNS записи організації.
  • Реалізуйте багатофакторну аутентифікацію на облікових записах реєстратора доменів або на інших системах, які використовуються для зміни записів DNS.
  • Проведіть аудит загальнодоступних записів DNS, щоб перевірити, чи вони направляють до потрібного ресурсу.
  • Знайдіть сертифікати шифрування, пов’язані з цими доменами, і відхиляйте будь-які сертифікати, які вимагаються обманним шляхом.
Повідомити про інцидент