Våg av DNS-kapningar
I slutet av januari varnade US-cert om en kampanj med syftet att kapa DNS-infrastruktur. DNS står för domännamnsstruktur och används till att adressera datorer på ett nätverk, d.v.s. mappar ett domännamn t.ex. simovits.com till en IP-adress. Kapningar av DNS:er innebär att angriparen har tillgång till att konfigurera DNS-poster och på så sätt styra om trafik till system som angriparen kontrollerar, men i denna kampanj har även angriparen tillskansat sig giltiga certifikat vilket har möjliggjort avlyssning av krypterad trafik.
FireEye [1] beskriver att de har observerat DNS-kapningar och aktiviteter kring dessa under 2017-2019 som påverkar organisationer i mellanöstern, nordafrika, europa och nordamerika. Dock har man inte lyckats koppla aktiviteterna till en specifik grupp angripare men man har observerat kopplingar till Iran.
Kort om DNS:er
DNSer är, som tidigare nämnts, system som kopplar ihop domännamn till IP-adresser. DNS-poster innehåller flertal fält med information, och några av de intressantare denna kapningsattack är följande:
- A – kopplar namn till IP-adress i IPv4
- CNAME – hanterar alias
- MX – Servrar som hanterar e-post för domänen
- NS – specificerar den DNS-server som är ansvarig för zonen
Kapningsförfarande
Analyser har gjorts av FireEye [1] och Talos [2] och man har observerat några olika tillvägagångssätt.
För att åstadkomma kapning av DNS:erna har angriparna tillskansat sig kontouppgifter. Bland IoC:erna som publicerats av US-CERT [4] finns bland annat webbsidor som är utformade som jobbannonswebblatser. Analys har visat att man genom riktade phishingangrepp lurat användare att besöka dessa sidor för att ladda ner macro-aktiverade dokument. Om attacken är lyckad installeras en RAT (Remote Administration Tool) som sedan kommunicerar med C&C genom DNS-tunneling, d.v.s. data överförs i DNS-paket.
Det man observerat som skett efter angriparna tillskansat sig åtkomst till DNS:ersna är ändringar i A- och NS-poster som då, kortfattat, skickar iväg den som surfar till angriparens kontrollerade system. Eftersom angriparna dessutom använt sig av giltiga certifikat, som de kunnat skapa då de har kontroll över DNS:en, verkar certifikaten således vara pålitliga och genererar inga varningar och på så sätt har de t.ex. kunnat observera mailtrafik. FireEye:s rapport visar på några olika metoder som angriparna har använt sig av för att kapa DNS:erna.
Åtgärder och rekommendationer
Den första rekommendationen gäller egentligen för alla typer av konton och avser säkrande av inloggning med 2-faktorsautentisering. För att minska risken för att någon ska få tillgång till konton, t.ex. för att administrera DNS:en, bör 2-faktorsautentisering användas. Om ni misstänker att ni har blivit drabbade är en kortsiktig åtgärd att byta lösenord.
För dig som är ansvarig för DNS:er, se över era DNS-poster och verifiera att de är korrekta och pekar rätt.
Se över certifikat som utfärdats för din domän, om det finns certifikat som inte ska vara giltiga, om sådana finns bör de revokeras. Google har en tjänst för att söka i Certificate Transparency loggar (som de övervakar) som du kan besöka på följande länk: https://transparencyreport.google.com/https/certificates?hl=en
CERT-SE har även angivit några fler rekommendationer som du kan läsa om i deras artikel [3].
För övervakning kan de IoC:er som publicerats av US-CERT användas [4].
Referenser och mer läsning
[1] https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html en djupdykning kring attackerna mot DNS:er och angriparnas metoder
[2] https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html en närmare analys metod och den skadliga kod som använts av angriparna för att tillskansa sig åtkomst till DNS:er.
[3] https://cert.se/2019/01/skydda-er-information-i-dns CERT-SE:s sammanställning av information kring DNS-kapningar samt rekommendationer
[4] https://www.us-cert.gov/sites/default/files/publications/AA19-024_IOCs.csv IoC:er publicerade av US-CERT
[5] https://transparencyreport.google.com/https/certificates?hl=en Sökfunktion för för Certificate Transparency loggar som övervakas av Google