Manipulação de DNS pode ser usada para sequestrar TI de empresas

17 abr 2019

Na Conferência RSA 2019, o Instituto SANS relatou novas variedades de ataques que eles consideram altamente perigosas. Nesta publicação, vamos falar sobre uma delas.

Um ataque descoberto por um instrutor do Instituto SANS pode ser usado para assumir o controle total da infraestrutura de TI de uma empresa, sem a necessidade de ferramentas muito complexas, com apenas uma simples manipulação de DNS.

Manipulação da infraestrutura de DNS empresarial

É assim que o ataque funciona:

  • Cibercriminosos coletam (por todos os meios) senhas e nomes de usuários de contas comprometidas, das quais existem atualmente milhões, se não bilhões, em bancos de dados conhecidos como o Collection #1.
  • Utilizam essas credenciais para iniciar a sessão em serviços de provedores de DNS e registradores de domínio.
  • Depois, os intrusos modificam os registros do DNS, substituindo as infraestruturas dos domínios corporativos pelas de seus próprios.
  • Especificamente, manipulam o MX Record e interceptam mensagens redirecionando todos os e-mails corporativos para seu próprio servidor de e-mail.
  • Cibercriminosos registram certificados TLS para domínios roubados. Então, eles já podem interceptar mensagens corporativas e fornecer provas de propriedade do domínio, que na maioria dos casos, é apenas isso que é solicitado para emitir um certificado.

Depois, os invasores podem redirecionar o tráfego que vai para os serviços da empresa para suas próprias máquinas. Como resultado, os visitantes do site da empresa acessam sites falsos que parecem autênticos para todos os filtros e sistemas de proteção. Essa situação foi enfrentada pela primeira vez em 2016, quando os nossos pesquisadores brasileiros da GReAT descobriram um ataque a um grande banco em que os invasores sequestram sua infraestrutura.

O que é realmente perigoso sobre este ataque é que a organização perde o contato com o mundo exterior. Eles sequestram o e-mail e, geralmente, também a telefonia (a grande maioria das empresas usa telefonia IP). Tudo isso complica tanto a resposta ao incidente quanto a comunicação com empresas externas: provedores de DNS, autoridades de certificação, agentes da lei e assim por diante. Você consegue imaginar que tudo isso acontece em uma semana? Bem, esse foi o caso desse banco brasileiro!

Como evitar o sequestro de sua infraestrutura de TI?

O que em 2016 foi uma inovação no mundo do cibercrime, tornou-se, em alguns anos, uma prática comum. De fato, em 2018, muitas empresas líderes reportaram esse tipo de atividade. Ou seja, estamos enfrentando uma ameaça real que pode ser usada para aproveitar sua infraestrutura de TI.

Para protegê-lo contra a manipulação dos nomes de domínio de sua infraestrutura, Ed Skoudis acredita que você pode seguir estas dicas de cibersegurança:

Utilize autenticação de vários fatores nas ferramentas de gerenciamento de sua infraestrutura de TI.

Use o DNSSEC, certificando-se de solicitar não somente a assinatura DNS, mas também a validação.

Monitorar todas as alterações no DNS que possam afetar os nomes de domínios de sua empresa, por exemplo, você pode usar SecurityTrails, que suporta até 50 solicitações por mês gratuitamente.

Mantenha-se atento à supervisão dos certificados antigos que duplicam seus domínios e solicite seu cancelamento imediatamente. Para obter mais informações sobre esse tipo de ataque, acesse: Ataques MitM e DoS a domínios com o uso de certificados antigos.

E, finalmente, lembre-se de usar senhas fortes. Elas devem ser únicas e complexas o suficiente para resistir a um ataque de dicionário. Para gera-las e armazená-las com segurança, você pode usar o Kaspersky Password Manager, parte da nossa solução de segurança Kaspersky Small Office Security.