Рост атак, связанных с захватом контроля над DNS

Кoмпьютeрнaя кoмaндa экстрeннoй гoтoвнoсти СШA (US-CERT) прeдупрeдилa aдминистрaтoрoв o выявлeнии мaссoвыx aтaк, прoвoдимыx чeрeз пeрeнaпрaвлeниe трaфикa нa пoдкoнтрoльный злoумышлeнникaм хост возле помощи правки параметров DNS в интерфейсе регистратора либо провайдера услуг DNS. Для получения доступа к настройкам DNS (многие клиенты маловыгодный запускают свой DNS-сервер, а пользуются сторонним сервисом, во вкусе правило предоставляемым регистратором) организаторы атаки подбирают другими словами перехватывают пароль к учётной записи ради входа в интерфейс регистратора/DNS-сервиса. Возьмем пароль может быть захвачен в результате внедрения троянских приложений сверху компьютеры жертв или вычислен, пользуясь совпадениями с паролями с доступных баз учётных записей, захваченных в результате атаки возьми известные сервисы (многие пользователи используют Водан пароль на разных сайтах). В отчёте как и отмечается выполнение подмены серверов DNS, в случае иначе) будет то пользователь поддерживает собственные DNS-серверы, а мало-: неграмотный использует DNS-сервис регистратора. После получения доступа к параметрам DNS атакующие указывают интересах домена IP-адрес своего хоста, получи и распишись котором запускают прокси, перенаправляющий в полном составе трафик на легитимный сервер жертвы. В несхожесть от зафиксированных в прошлые годы подобных атак, злоумышленники получают эксплуатационный SSL-сертификат, подтверждая контроль за доменом в машинально выдающем сертификаты сервисе Let’s Encrypt. В результате HTTPS затор на подставной хост воспринимается браузерами подобно ((тому) как) корректный и не вызывает подозрения у пользователей. Оный факт, что у сайта изменился IP-местожительство зачастую остаётся незамеченным длительное момент, так как сайт жертвы продолжает возиться без изменений, за исключением небольшого увеличения времени отклика с-за дополнительного перенаправления трафика после сервер атакующих. На подконтрольном злоумышленникам сервере, работающем т. е. прокси для совершения MITM-атаки, производится расследование всего транзитного трафика для захвата конфиденциальных данных, паролей и платёжной информации. Всемирный масштаб атаки пока не ясен. Cо стороны хватит за глаза трудно выявить факт вмешательства злоумышленников c учётом применения ими корректных SSL-сертификатов и изменения IP в DNS-сервисах (если только атака проводится не через подмену DNS-серверов, а сквозь правку привязки IP в интерфейсе управления DNS, ведь привязанные к домену DNS-серверы регистратора остаются никак не изменёнными). Среди скомпрометированных систем отмечаются есть такие коммуникационные компании, ISP, государственные организации и крупные коммерческие предприятия. В (видах того чтобы не стать жертвой атаки владельцам доменов рекомендуется влить двухфакторную аутентификацию для входа в интерфейс регистратора сиречь провайдера DNS, а также проверить соответствие выдаваемого на домена IP-адреса с фактическим адресом своего сервера, разобрать логи на предмет поступления входящих запросов точию с одного IP и выполнить поиск дополнительных SSL-сертификатов, сгенерированных пользу кого своего домена. Источник: http://www.opennet.ru/opennews/art.shtml?num=49937