{"id":11655,"date":"2019-04-17T21:57:57","date_gmt":"2019-04-18T00:57:57","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11655"},"modified":"2020-05-20T16:56:56","modified_gmt":"2020-05-20T19:56:56","slug":"grand-theft-dns-rsa2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/grand-theft-dns-rsa2019\/11655\/","title":{"rendered":"Manipula\u00e7\u00e3o de DNS pode ser usada para sequestrar TI de empresas"},"content":{"rendered":"<p>Na <strong>Confer\u00eancia RSA 2019<\/strong>, o Instituto SANS relatou novas variedades de ataques que eles consideram altamente perigosas. Nesta publica\u00e7\u00e3o, vamos falar sobre uma delas.<\/p>\n<p>Um ataque descoberto por um instrutor do Instituto SANS pode ser usado para assumir o controle total da infraestrutura de TI de uma empresa, sem a necessidade de ferramentas muito complexas, com apenas uma simples <strong>manipula\u00e7\u00e3o de DNS.<br>\n<\/strong><\/p>\n<h3><strong>Manipula\u00e7\u00e3o da infraestrutura de DNS empresarial<\/strong><\/h3>\n<p>\u00c9 assim que o ataque funciona:<\/p>\n<ul>\n<li>Cibercriminosos coletam (por todos os meios) senhas e nomes de usu\u00e1rios de contas comprometidas, das quais existem <a href=\"https:\/\/www.kaspersky.com.br\/blog\/collection-numba-one\/11256\/\" target=\"_blank\" rel=\"noopener\">atualmente milh\u00f5es, se n\u00e3o bilh\u00f5es,<\/a> em bancos de dados conhecidos como o <a href=\"https:\/\/www.kaspersky.com.br\/blog\/collection-numba-one\/11256\/\" target=\"_blank\" rel=\"noopener\"><strong>Collection #1<\/strong><\/a>.<\/li>\n<li>Utilizam essas credenciais para iniciar a sess\u00e3o em servi\u00e7os de provedores de DNS e registradores de dom\u00ednio.<\/li>\n<li>Depois, os intrusos modificam os registros do DNS, substituindo as infraestruturas dos dom\u00ednios corporativos pelas de seus pr\u00f3prios.<\/li>\n<li>Especificamente, manipulam o <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Mx_record\" target=\"_blank\" rel=\"noopener nofollow\">MX Record<\/a> e interceptam mensagens redirecionando todos os e-mails corporativos para seu pr\u00f3prio servidor de e-mail.<\/li>\n<li>Cibercriminosos registram certificados TLS para dom\u00ednios roubados. Ent\u00e3o, eles j\u00e1 podem interceptar mensagens corporativas e fornecer provas de propriedade do dom\u00ednio, que na maioria dos casos, \u00e9 apenas isso que \u00e9 solicitado para emitir um certificado.<\/li>\n<\/ul>\n<p>Depois, os invasores podem redirecionar o tr\u00e1fego que vai para os servi\u00e7os da empresa para suas pr\u00f3prias m\u00e1quinas. Como resultado, os visitantes do site da empresa acessam sites falsos que parecem aut\u00eanticos para todos os filtros e sistemas de prote\u00e7\u00e3o. Essa situa\u00e7\u00e3o foi enfrentada pela primeira vez em 2016, quando os nossos pesquisadores brasileiros da GReAT descobriram um ataque a um grande banco em que <a href=\"https:\/\/www.wired.com\/2017\/04\/hackers-hijacked-banks-entire-online-operation\/\" target=\"_blank\" rel=\"noopener nofollow\">os invasores sequestram sua infraestrutura<\/a>.<\/p>\n<p>O que \u00e9 realmente perigoso sobre este ataque \u00e9 que a organiza\u00e7\u00e3o perde o contato com o mundo exterior. Eles <strong>sequestram o e-mail<\/strong> e, geralmente, tamb\u00e9m a telefonia (a grande maioria das empresas usa telefonia IP). Tudo isso complica tanto a resposta ao incidente quanto a comunica\u00e7\u00e3o com empresas externas: provedores de DNS, autoridades de certifica\u00e7\u00e3o, agentes da lei e assim por diante. Voc\u00ea consegue imaginar que tudo isso acontece em uma semana? Bem, esse foi o caso desse banco brasileiro!<\/p>\n<h3><strong>Como evitar o sequestro de sua infraestrutura de TI?<\/strong><\/h3>\n<p>O que em 2016 foi uma inova\u00e7\u00e3o no mundo do cibercrime, tornou-se, em alguns anos, uma pr\u00e1tica comum. De fato, em 2018, muitas empresas l\u00edderes reportaram esse tipo de atividade. Ou seja, estamos enfrentando uma amea\u00e7a real que pode ser usada para aproveitar sua infraestrutura de TI.<\/p>\n<p>Para proteg\u00ea-lo contra a manipula\u00e7\u00e3o dos nomes de dom\u00ednio de sua infraestrutura, Ed Skoudis acredita que voc\u00ea pode seguir estas dicas de ciberseguran\u00e7a:<\/p>\n<p>Utilize <strong>autentica\u00e7\u00e3o de v\u00e1rios fatores<\/strong> nas ferramentas de gerenciamento de sua infraestrutura de TI.<\/p>\n<p>Use o DNSSEC, certificando-se de solicitar n\u00e3o somente a assinatura DNS, mas tamb\u00e9m a valida\u00e7\u00e3o.<\/p>\n<p>Monitorar todas as altera\u00e7\u00f5es no DNS que possam afetar os nomes de dom\u00ednios de sua empresa, por exemplo, voc\u00ea pode usar SecurityTrails, que suporta at\u00e9 50 solicita\u00e7\u00f5es por m\u00eas gratuitamente.<\/p>\n<p>Mantenha-se atento \u00e0 supervis\u00e3o dos certificados antigos que duplicam seus dom\u00ednios e solicite seu cancelamento imediatamente. Para obter mais informa\u00e7\u00f5es sobre esse tipo de ataque, acesse: <a href=\"https:\/\/www.kaspersky.com.br\/blog\/residual-certificates-mitm-dos\/11333\/\" target=\"_blank\" rel=\"noopener\">Ataques MitM e DoS a dom\u00ednios com o uso de certificados antigos.<\/a><\/p>\n<p>E, finalmente, lembre-se de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/strong-password-day\/11398\/\" target=\"_blank\" rel=\"noopener\"><strong>usar senhas fortes<\/strong><\/a>. Elas devem ser \u00fanicas e complexas o suficiente para resistir a um <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/dictionary-attack\/?utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=termin-explanation\" target=\"_blank\" rel=\"noopener\">ataque de dicion\u00e1rio<\/a>. Para gera-las e armazen\u00e1-las com seguran\u00e7a, voc\u00ea pode usar o Kaspersky Password Manager, parte da nossa solu\u00e7\u00e3o de seguran\u00e7a <a href=\"https:\/\/www.kaspersky.com.br\/small-business-security?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b__wpplaceholder____ksos___\" target=\"_blank\" rel=\"noopener\">Kaspersky Small Office Security<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksos-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Confer\u00eancia RSA 2019 falou sobre o problema de manipula\u00e7\u00e3o do DNS, um ciberataque que pode sequestrar a infraestrutura de TI de uma empresa.<\/p>\n","protected":false},"author":421,"featured_media":11656,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,14,1656],"tags":[1185,1606,308,822,1810,1936,1890,1889,1660],"class_list":{"0":"post-11655","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-news","9":"category-smb","10":"tag-business","11":"tag-certificados","12":"tag-ciberataque","13":"tag-dns","14":"tag-dominios","15":"tag-rsa-conferencia","16":"tag-rsa2019","17":"tag-rsac","18":"tag-tls"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/grand-theft-dns-rsa2019\/11655\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/grand-theft-dns-rsa2019\/15537\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/grand-theft-dns-rsa2019\/13082\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/grand-theft-dns-rsa2019\/17460\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/grand-theft-dns-rsa2019\/15609\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/grand-theft-dns-rsa2019\/14290\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/grand-theft-dns-rsa2019\/18155\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/grand-theft-dns-rsa2019\/17119\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/grand-theft-dns-rsa2019\/22528\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/grand-theft-dns-rsa2019\/5853\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/grand-theft-dns-rsa2019\/26255\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/grand-theft-dns-rsa2019\/10568\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/grand-theft-dns-rsa2019\/18904\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/grand-theft-dns-rsa2019\/22928\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/grand-theft-dns-rsa2019\/18188\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/grand-theft-dns-rsa2019\/22390\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/grand-theft-dns-rsa2019\/22326\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/business\/","name":"Business"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11655","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=11655"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11655\/revisions"}],"predecessor-version":[{"id":15361,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11655\/revisions\/15361"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/11656"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=11655"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=11655"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=11655"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}