Протокол DNS (Domain Name System) является основой функционирования современного интернета. Ни для кого не секрет, что он обеспечивает преобразование понятных человеку доменных имён в IP-адреса, которые используются сетевым оборудованием. Подход к построению современных систем мониторинга предусматривает максимально глубокие периоды хранения сетевых логов (межсетевых экранов и сетевых устройств), но палитра современных кибератак вносит свои коррективы.
Именно поэтому мы рекомендуем также уделять особое внимание хранению и отслеживанию DNS-трафика. Современная DNS-инфраструктура становится все более уязвимой к разнообразным видам кибератак: от фишинга и DDoS-атак до отравления кэша и DNS-туннелирования. Именно поэтому важно понимать, что анализ DNS-трафика позволяет детектировать атаки на самых ранних этапах их развития и зачастую производить превентивные мероприятия, направленные на предотвращение инцидентов безопасности. В этой статье будут рассмотрены ключевые методы и стратегии, позволяющие усилить защиту от потенциальных угроз, связанных с протоколом DNS.
TL;DR
Что такое DNS?
Это распределенное хранилище ключей и значений (доменных имен и соответствующих им IP-адресов). Протокол поддерживается с помощью иерархии DNS-серверов. Это означает, что сервера по всему миру могут предоставить вам значение по ключу, а если им неизвестен ключ, то они попросят помощи у другого сервера, который для него является корневым.
Подробнее с иерархичностью протокола можно ознакомиться, выполнив следующую команду (также можно ознакомиться с визуализацией)
На скриншоте выше, помимо классических записей DNS (A, CNAME, MX, TXT и NS), присутствуют также DS, RRSIG и NSEC3, которые свидетельствуют о том, что доменные имена сегмента .ru подписываются с помощью DNSSEC.
DNSSEC — расширение для DNS, позволяющее подписывать ответы от сервера цифровой подписью. Оно предназначено для защиты от атак, таких как подделка данных DNS или манипуляции с запросами и ответами. Это позволяет клиентам DNS убедиться, что полученные ими ответы действительно происходят от авторитетных серверов и не были изменены в пути. Для успешного функционирования DNSSEC важны следующие компоненты:
- DS-запись (Delegation Signer) — специальная запись, которую можно вручную добавить в родительскую зону, чтобы создать безопасное делегирование для дочерней зоны.
- RRSIG-записи. Это цифровая подпись, связанная с каждым типом записи, которая используется для подтверждения подлинности данных.
- NSEC3-записи. Расширение DNSSEC, подтверждающее отсутствие записи без возможности просмотра содержимого зоны.
Чтобы проверить, защищаются ли ваши DNS-запросы с помощью DNSSEC, вы можете перейти по ссылке. Теперь перейдем к основным и актуальным атакам, связанным с протоколом DNS.
Cпуфинг и отравление кеша DNS
Отравление кэша и спуфинг системы доменных имен (DNS) — виды кибератак, в которых особенности работы DNS-серверов используются для направления жертвы на вредоносный/мошеннический ресурс.
- DNS-спуфинг — атака перенаправления трафика на серверы, имитирующие легитимные путем подмены DNS-ответов.
- Отравление кэша DNS — метод, зачастую реализуемый на стороне пользователя (клиента) или внутри инфраструктуры, когда система записывает в кэш локальной памяти поддельный IP-адрес.
Актуальная атака, в которой злоумышленники активно использовали DNS-спуфинг, связана с китайской группировкой StormBamboo, которые после взлома интернет-провайдера перенаправляли запросы жертв на фиктивные ресурсы.
Отказ в обслуживании
DNS Amplification (Усиление DNS) — техника DoS-атак для использования системы доменных имен и увеличения трафика на целевые сайты. Преступник с помощью IP-адреса жертвы отправляет поддельные IP-пакеты на DNS-сервер с запросами доменного имени цели. Используется опосредованное, асимметричное DoS воздействие на DNS-сервер.
DNS Flood. При этом методе сервер атакуется многочисленными малозначимыми запросами, что истощает ресурсы и делает сервер недоступным. В этом типе атак применяется прямое воздействие на сервер DNS.
CVE. В данном случае для достижения целей отказа в обслуживании используются уязвимости протоколов или сервисов, например, CVE-2023-50387 и CVE-2023-50868. Эти уязвимости позволяют добиться отказа в обслуживании DNS-серверов, выполняющих валидацию с помощью DNSSEC, из-за возникновения высокой нагрузки на CPU, которая мешает обработке других запросов. Важно понимать, что появление вышеупомянутых уязвимостей вызвано определением в спецификации DNSSEC возможности отправки DNS-сервером всех доступных криптографических ключей, тогда как резолверы обязаны обрабатывать эти ключи до успешного завершения проверки либо до того момента, когда будут проверены все полученные ключи.
Передача и перебор зоны AXFR. Метод, связанный с возможностью неконтролируемой передачи DNS-зоны, позволяет злоумышленнику получить записи о внутренних и внешних IP-адресах, поддоменах и их записях, а также информацию о почтовых серверах и других внутренних сервисах.
Zone Walking. Метод, который используется злоумышленниками для перечисления полного содержимого DNS-зон, подписанных DNSSEC. Эксплуатируется возможность DNSSEC авторитетно утверждать, что данное доменное имя НЕ существует в зоне DNS. В случае, если используется тип записи NSEC (Next Secure) — разведка злоумышленника сводится к простому перебору всех зон. Для NSEC3 (замена для NSEC) все немного сложнее, ведь данный тип пытается ограничить возможность прямого перебора путем возвращения хешированных значений зон с солью, но так как для хеширования используется довольно простой SHA1 — возможные варианты зон можно подобрать, например, с помощью hashcat.
Для эксплуатации возможности передачи и перебора зоны можно применять NSE-скрипты nmap (dns-zone-transfer, dns-nsec3-enum и dns-nsec-enum)
Манипуляции с возможностями регистрации доменных имен
Domain fronting — способ маскировки реального домена, к которому обращается приложение или пользователь. Трафик сначала направляется на доверенный домен (обычно, CDN), например, крупного облачного провайдера, а затем перенаправляется на нужный сервер, обходя блокировки.
Fast Flux DNS — метод динамического изменения IP-адресов, связанных с доменом, чтобы усложнить его блокировку и обнаружение. Вредоносный сайт постоянно «мигрирует» между различными IP, что затрудняет его отслеживание. Работает путем добавления огромного количества записей A для полного доменного имени и быстрого их изменения, а также изменения записей NS.
Dangling DNS — это уязвимость, возникающая, когда DNS-запись домена указывает на несуществующий или больше неконтролируемый ресурс, например, удаленный облачный сервер или IP-адрес. Злоумышленники могут зарегистрировать этот «осиротевший» ресурс и получить контроль над трафиком, направленным на данный домен. Такая атака позволяет перехватывать запросы пользователей, подменять содержимое или запускать фишинговые атаки.
DNS Rebinding — метод, в котором задача злоумышленника сводится к изменению DNS-записи вредоносного ресурса таким образом, чтобы она соответствовала адресу в локальной сети жертвы. Это происходит после обращения жертвы к контролируемому злоумышленниками сайту с каким-либо запросом и с коротким значением параметра TTL для соответствия доменного имени конкретному IP-адресу. Затем через очередной DNS-запрос злоумышленник меняет на своей стороне IP-адрес домена, что заставляет жертву отправлять свои запросы к IP-адресам уже внутри локальной сети, то есть уже за защищающим их брандмауэром Данный тип атаки особенно эффективен, если злоумышленник знает к какому ресурсу внутри сети необходимо осуществить запрос, чтобы, например, проэксплуатировать уязвимость.
Ducks Now Sitting — атака, позволяющая злоумышленникам захватывать домены без доступа к учётной записи владельца из-за уязвимостей в настройках делегирования DNS. Если домен использует в качестве авторитетного DNS-сервера другого провайдера, а не регистратора, и делегирование name-сервера не работает, то есть авторитетный name-сервер не имеет информации о домене, то злоумышленники могут зарегистрировать права на такой домен без проверки прав собственности. Эта техника уже привела к захвату около 35 000 доменов, которые использовались для распространения вредоносного ПО, фишинга и других атак.
Атаки с использованием протокола DNS
DNS Tunneling — метод, при котором DNS-запросы становятся транспортом для передачи данных между устройствами. В таких атаках злоумышленник кодирует данные в DNS-запросах и ответах, чтобы создать скрытый канал связи между заражённым устройством и сервером, которым он управляет. Обычно используется для отправки коротких команд и реже для эксфильтрации данных.
DGA (Domain Generation Algorithms) — это техника, используемая вредоносными программами для динамического создания множества доменных имен на основе встроенных алгоритмов их определения. Данный подход позволяет злоумышленникам обходить средства защиты информации и долгое время оставаться незамеченными. Важно понимать, что алгоритмы зачастую генерируют новые домены на основе определенных параметров, таких как время и дата, комбинации слов, хеша и прочего, что делает их трудными для предсказания и блокирования.
CyberSquating (DNS-typosquatting) — техника атак социальной инженерии, основанная на опечатках и орфографических ошибках в доменном имени. Злоумышленник регистрирует доменное имя, которое преднамеренно очень схоже с легитимным доменным именем. Примером может стать, например, доменное имя api[.]wilbderreis[.]ru, используемое злоумышленниками Rainbow Hyena (Head Mare).
NRD (Newly Registered Domain) — это скорее не техника, а констатация того факта, что домены, которые были зарегистрированы недавно, часто используются злоумышленниками для вредоносных целей, таких как фишинг или распространение вредоносного ПО. Подобные домены особенно привлекательны для злоумышленников, так как далеко не сразу попадают в списки вредоносных различных фильтров, хотя еще в 2019 году компания PaloAlto писала, что 70% NRDs являются как минимум подозрительными и нежелательными. Кстати, NRD часто используются в сочетании с другими техниками, такими как DGA.
Защита от современных угроз, связанных с DNS инфраструктурой
Эффективная защита от атак на DNS-инфраструктуру требует комплексного подхода, который включает технические и организационные меры, и, кроме того, подразумевает внедрение и взаимодействие различных средств защиты информации. Одним из первых шагов к повышению безопасности является внедрение DNSSEC, который обеспечивает проверку целостности и подлинности DNS-записей. Это достигается с помощью криптографической подписи, которая помогает предотвратить атаки типа «отравление кэша» и подмену DNS-ответов. Впоследствии, защищенность протокола можно повысить, внедрив DoT (DNS-over-TLS) или DoH (DNS-over-HTTPS).
Кроме того, важно сегментирование DNS-инфраструктуры, чтобы минимизировать риск доступа злоумышленников к критически важным внутренним записям. Такой подход позволяет изолировать внутренние и внешние запросы и достигается с помощью следующих методов:
- Сегментированные зоны DNS, в которых внутренние зоны обрабатываются исключительно внутренними DNS-серверами, изолированными от Интернета.
- Ограничение маршрутизации, при которой внутренние DNS-сервера настраиваются так, чтобы не перенаправлять запросы в Интернет и не быть доступными из внешних источников. Например, они могут обрабатывать только запросы от доверенных IP-адресов или через VPN. Не стоит забывать и про рекурсивные внешние DNS-сервера, которые не должны иметь доступа к внутренним зонам и должны обрабатывать запросы только к публичным ресурсам.
- Использование облачных провайдеров для DNS-хостинга, которые предоставляют отказоустойчивые и защищенные DNS-сервисы с поддержкой DDoS-защиты и мониторинга.
Следующим шагом может стать минимизация рисков передачи зоны DNS и атак, связанных с манипуляцией над доменными именами. Это достигается путем постоянной инвентаризации внешней инфраструктуры и внедрения лучших практик по безопасной конфигурации устройств (hardening). Кроме того, решению данных проблем, как и CyberSquating’a, способствуют продукты типа ASM (Attack Surface Management). С помощью подобных продуктов вы сможете контролировать вашу внешнюю инфраструктуру с точки зрения «забытых» доменов, небезопасных конфигураций, поиска теневых активов и аномалий, а также защиты бренда.
Наиболее значимым элементом защиты является мониторинг и анализ DNS-трафика, который позволяет выявлять аномальные паттерны и потенциальные угрозы в реальном времени. Это достигается внедрением современных сетевых средств защиты информации (NTA, NDR, NGFW, IDS\IPS и т.п.), которые, помимо классического сигнатурного анализа трафика и черных списков, умеют производить анализ DNS пакетов с помощью алгоритмов машинного обучения и поведенческого анализа, выявляя во всем DNS-трафике (объем которого всегда внушителен) редкие запросы, исключения, временные и частотные аномалии. Такой подход позволяет довольно достоверно определять наиболее сложные угрозы, исходящие от DNS-трафика, такие как DGA домены и DNS-туннелирование.
Мониторинг и анализ DNS-трафика наиболее эффективен при внедрении обогащения сетевых событий с помощью CTI- платформ (Cyber Threat Intelligence), который может быть осуществлен с помощью SIEM-систем или хостовых СЗИ, таких как EDR. Современные CTI-платформы содержат наиболее актуальные «горячие» индикаторы компрометации и постоянно обновляют информацию об актуальных угрозах с помощью фидов, а также учитывают и NRDs, интегрируясь с поставщиками информации о DNS, что буквально позволяет блокировать угрозы до их появления.
Не стоит забывать и про обучение сотрудников, которое поможет повысить их осведомленность о возможных атаках и методах социальной инженерии, ведь большинство современных атак все еще опирается на человеческий фактор. Также внедрение vulnerability-менеджмента позволяет вовремя устанавливать обновления и снижает риск эксплуатации свежих уязвимостей.
Заключение
В условиях растущей угрозы кибератак мониторинг и анализ DNS становится неотъемлемым элементом любой системы мониторинга и защищенной архитектуры, ведь, помимо детектирования атак, анализ DNS-трафика помогает также и в расследовании инцидентов, при поиске скомпрометированных хостов или дополнительных индикаторов компрометации. Поэтому защита от атак на DNS-инфраструктуру — это стратегическая задача, требующая комплексного подхода и постоянного обновления знаний о новых угрозах, и даже элементарная фильтрация DNS-трафика сильно поможет в противодействии кибератакам.
Оригинал публикации на сайте CISOCLUB: "Эффективные подходы к защите от атак на DNS-инфраструктуру".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
