Um ataque destacado pelo instrutor de SANS Ed Skoudis pode ser usado para assumir o controle total da infraestrutura de TI de uma empresa - e nenhuma ferramenta complexa é necessária, apenas manipulações de DNS relativamente simples.
Manipulação da infraestrutura DNS corporativa
Veja como funciona o ataque:
Os cibercriminosos colhem (por quaisquer meios) pares de nome de usuário / senha para contas comprometidas, das quais existem atualmente centenas de milhões, senão bilhões apenas em bancos de dados conhecidos.
Eles usam essas credenciais para fazer login nos serviços de provedores de DNS e registradores de domínio.
Em seguida, os invasores modificam os registros DNS, substituindo a infraestrutura do domínio corporativo pela sua própria.
Em particular, eles modificam o registro MX e interceptam mensagens redirecionando todo o correio corporativo para seu próprio servidor de correio.
Os cibercriminosos registram certificados TLS para os domínios roubados. Nesse estágio, eles já podem interceptar correspondência corporativa e podem fornecer prova de propriedade do domínio, que na maioria dos casos é tudo o que é necessário para emitir um certificado.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Depois disso, os invasores podem redirecionar o tráfego destinado aos servidores da empresa-alvo para suas próprias máquinas. Como resultado, os visitantes do site da empresa são levados a recursos falsos que parecem autênticos para todos os filtros e sistemas de proteção. Encontramos esse cenário pela primeira vez em 2016, quando pesquisadores em nossa filial brasileira do GReAT descobriram um ataque que permitia que invasores sequestrassem a infraestrutura de um grande banco.
O que é especialmente perigoso nesse ataque é que a organização da vítima perde o contato com o mundo exterior. O correio é sequestrado e, normalmente, os telefones também (a grande maioria das empresas usa a telefonia IP). Isso complica muito a resposta interna ao incidente e a comunicação com organizações externas - provedores de DNS, autoridades de certificação, agências de aplicação da lei e assim por diante. E imagine se tudo isso acontecesse em um final de semana, como é o caso do banco brasileiro!
Como evitar o sequestro de infraestrutura de TI por meio da manipulação de DNS
O que em 2016 foi uma inovação no mundo do cibercrime tornou-se uma prática comum alguns anos depois; em 2018, os gurus de segurança de TI em muitas empresas líderes estavam registrando seu uso. Portanto, não é uma ameaça fantasmagórica, mas um ataque muito específico que pode ser usado para tomar sua infraestrutura de TI.
Aqui está o que Ed Skoudis acha que deve ser feito para se proteger contra tentativas de manipular a infraestrutura de nomes de domínio:
Use autenticação multifator em ferramentas de gerenciamento de infraestrutura de TI.
Use DNSSEC, certificando-se de aplicar não apenas a assinatura DNS, mas também a validação.
Acompanhe todas as alterações de DNS que podem afetar os nomes de domínio de sua empresa; uma opção é usar SecurityTrails, que permite até 50 solicitações por mês gratuitamente.
Acompanhe os certificados residuais que duplicam seus domínios e envie solicitações para revogá-los imediatamente. Para obter detalhes sobre como fazer isso, consulte a postagem: Ataques MitM e DoS em domínios por meio do uso de certificados residuais.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
