Quais as chances de sua empresa estar vulnerável a um ataque de DNS?

Por Adriano Frare
Em 10 de setembro, o hospital da Universidade de Duesseldorf na Alemanha sofreu um ataque de ransomware. Com seus sistemas de TI interrompidos, o hospital anunciou que os tratamentos e o atendimento de emergência não poderiam ocorrer no hospital.

Com o uso cada vez mais intenso da internet, também crescem os perigos para usuários comuns, empresas e governos. Uma das formas mais usadas para obter dados de forma ilícita é enganar os usuários. Portanto, todos estão vulneráveis. Então, quais as chances de sua empresa estar vulnerável a um ataque de DNS?

Antes de mais nada, o que é DNS ?

 

Em primeiro lugar, o serviço de DNS é responsável pela “tradução” do nome de um domínio (exemplo www.sempreupdate.com.br) para um determinado número IP (Internet Protocol). Este serviço deve operar com um nível superior a 99,99% do tempo.

A paralisação do DNS consiste no impedimento de todos os usuários de uma rede. Assim, isso vale tanto para os estejam numa rede interna ou rede externa da sua empresa.

Os servidores DNS dependendo dos IPs de origem de seus usuários devem estar espalhados geograficamente. Portanto, a separação geográfica dos servidores pode ser de centenas de quilômetros. Da mesma forma, podem até estar em outros continentes.

Os servidores estarem geograficamente separados auxilia no tempo de resposta do DNS. Assim,  diminui a latência na resolução do nome entre o cliente e servidor de destino. Então,  consequentemente, fica menos vulnerável.

Além disso, melhora a estabilidade do serviço no momento da pesquisa do DNS, caso algum servidor de DNS esteja inoperante.

Diante do exposto acima, há uma clara necessidade de sempre prevenir um ataque de DNS, pela importância deste serviço.

Abaixo estaremos mostrando os diferentes tipos de ataques de DNS, suscetíveis caso sua empresa esteja vulnerável.

Então, quais as chances de sua empresa estar vulnerável a um ataque de DNS?

Ataque de inundação DNS (DNS flood attack)

Este é um dos tipos mais básicos de ataque de DNS. Nesta Negação de Serviço Distribuída ( DDoS ), o atacante atingirá seus servidores DNS.

Primordialmente o objetivo desse tipo de inundação de DNS é simplesmente sobrecarregar seu servidor, de modo a não poder continuar atendendo a solicitações DNS. Porque, a resolução de registros de recursos é afetada por todas as zonas DNS hospedadas.

Esse tipo de ataque é mitigado com facilidade, já que a origem geralmente vem de um único IP. Logo, pode ser difícil quando se torna um DDoS (Distributed Denial of Service), quando centenas ou milhares de hosts estão envolvidos.

Embora muitos pedidos sejam instantaneamente detectados como maliciosos, muitos pedidos legais serão feitos para confundir os mecanismos de defesa. Isso torna o trabalho do sistema de mitigação um pouco mais difícil às vezes.

Sequestro de domínio (Domain hijacking)

Esse tipo de ataque pode envolver alterações em seus servidores DNS e registradores de domínios que podem direcionar seu tráfego dos servidores originais para novos destinos.

O sequestro de domínio geralmente é causado por vários fatores relacionados à exploração de uma vulnerabilidade no sistema de registradores de nomes de domínio, mas também pode ser alcançado no nível do DNS quando os invasores assumem o controle de seus registros DNS.

Uma vez que os criminosos sequestraram seu nome de domínio, ele provavelmente será usado para iniciar atividades maliciosas, como configurar uma página falsa de sistemas de pagamento, como PayPal, Visa ou instituições bancárias.

Os invasores criarão uma cópia idêntica do site real que registra informações pessoais críticas, como endereços de e-mail, nomes de usuário e senhas.

Negação de serviço de reflexão distribuída (DRDoS)

Quando se trata de DDoS, as regras mudam. Como dissemos antes, para difundir a fonte do ataque, ele será distribuído por um grande número de hosts.

O objetivo final de qualquer DDoS é sobrecarregar sua rede com um grande número de pacotes ou um grande número de solicitações que consomem muita largura de banda, sobrecarregar sua capacidade de rede ou esgotar seus recursos de hardware.

Qual é a diferença entre o DDOS e o DRDOS?

Enquanto um simples DDOS é o ato de tornar qualquer alvo indisponível, negando seus serviços on-line com solicitações de inundação, o DRDOS é um pouco diferente e, muitas vezes, mais eficaz.

Um ataque DRDOS tentará enviar solicitações de seus próprios servidores. O truque está em falsificar o endereço de origem que será definido para a vítima visada. Assim, fará com que todas as máquinas respondam de volta e inundem o alvo.

Esse tipo de ataque geralmente envolve e é gerado por botnets. Eles executam sistemas ou serviços comprometidos que serão utilizados para criar o efeito de amplificação e atacar o alvo.

Envenenamento de cache (Cache poisoning)

Outra chance de sua empresa estar vulnerável a um ataque de DNS é o envenenamento de cache de DNS. Também conhecido como spoofing de DNS, é um dos ataques de DNS mais comuns. Ocorrem praticamente todos os dias.

O truque nesse tipo de ataque é bem fácil de entender. Ao explorar as vulnerabilidades do sistema, os invasores tentarão injetar dados mal-intencionados no cache dos servidores de DNS.

Essa é uma técnica de ataque usada frequentemente para redirecionar as vítimas para outro servidor remoto (um servidor falso).

Uma vez que o ataque de envenenamento de cache esteja ativo e funcionando, os invasores receberão todo o tráfego legítimo em seus próprios servidores. Estes geralmente são usados para exibir páginas baseadas em phishing para roubar informações pessoais dos visitantes.

Como funciona?

Na maioria das vezes, é causada por sistemas vulneráveis, principalmente aqueles em que os servidores não são atualizados frequentemente com patchs de segurança.  A abertura de e-mails de spam contendo links mal-intencionados pode expô-lo a um comprometimento do sistema e, por fim, fazer com que seu cache do servidor de DNS o leve a sites maliciosos. O objetivo? Roubar suas informações pessoais ou infectá-lo com spyware, adware, vírus etc.

Ataque de sequestro de DNS (DNS hijacking)

Embora o spoofing de DNS seja frequentemente confundido com o sequestro de DNS, já que ambos acontecem no nível do sistema local, eles são dois tipos diferentes de ataques de DNS.
Na maioria das vezes, o DNS spoofing ou o envenenamento de cache envolve apenas sobrescrever os valores do cache DNS local por falsos, para que você possa ser redirecionado para um site malicioso.

Por outro lado, o sequestro de DNS (também conhecido como redirecionamento de DNS) geralmente envolve infecções por malware, a fim de sequestrar esse importante serviço do sistema. Nesse caso, o malware hospedado no computador local pode alterar as configurações de TCP / IP para que eles possam apontar para um servidor DNS mal-intencionado, que acabará redirecionando o tráfego para um site de phishing.

Essa é uma das maneiras mais fáceis de realizar um ataque DNS, pois não envolve técnicas complicadas. Além disso, há muitos scripts automatizados usados ??por script kiddies para realizar esse tipo de ataque.

Ataque de subdomínio aleatório (Random subdomain attack)

Este não é o tipo mais frequente de ataque DNS, mas pode acontecer de tempos em tempos em certas redes. Os ataques aleatórios de subdomínio geralmente podem ser rotulados como ataques DOS, pois sua natureza segue o mesmo objetivo do DOS comum.

Nesse caso, os invasores enviam muitas consultas DNS contra um nome de domínio válido e existente. No entanto, as consultas não segmentarão o nome do domínio principal, mas muitos subdomínios inexistentes. O objetivo desse ataque é criar um DOS que sature o servidor DNS autoritativo que hospeda o nome de domínio principal e, finalmente, causar a interrupção de todas as pesquisas de registro DNS.

É um ataque difícil de detectar, pois as consultas vêm de botnets de usuários infectados que nem sabem que estão enviando esses tipos de consultas, do que são computadores legítimos.

Ataque NXDOMAIN (NXDOMAIN attack)

Os ataques NXDOMAIN estão envolvidos em ataques DDoS, pois geralmente envolvem um grande número de clientes DNS remotos que inundarão seus servidores com autoridade de DNS com consultas direcionadas a domínios não existentes. Como consequência, isso causará uma recursão de DNS e NXDOMAIN respondendo de volta.

Caso, não seja realizado uma auditoria regular do DNS, os invasores remotos poderão ver isso como uma oportunidade atraente de realizar ataques mal-intencionados contra suas redes.

O principal objetivo desse ataque é fazer com que seu servidor DNS gaste tempo, recursos de software e hardware em solicitações ilegítimas que impedirão e causarão falhas de serviço para legítimas, pois o cache do servidor DNS será totalmente preenchido com resultados de falha do NXDOMAIN.

Ataque de domínio fantasma(Phantom domain attack)

Os ataques de domínio fantasma são semelhantes aos ataques aleatórios de subdomínio.
Nesse tipo de ataque, os bandidos atacam seu servidor de DNS. Assim, o forçam a usar recursos para resolver o que chamamos de domínios “fantasmas”. Esses domínios nunca responderão às consultas, visto que eles não existem.

O objetivo desse ataque é permitir que o servidor de resolução de DNS aguarde a resposta por um longo tempo, resultando em falhas ou problemas.

Tunelamento de DNS (DNS tunneling)

Este é um tipo de ataque cibernético usado para incluir dados codificados de outros aplicativos dentro de respostas e consultas de DNS.

A técnica não foi originalmente criada para atacar hosts, mas para ignorar controles de rede. Porém, atualmente ela é usada principalmente para executar ataques remotos.

Para realizar o tunelamento de DNS, os invasores precisam obter acesso a um sistema comprometido. Além disso, precisam de acesso a um servidor DNS interno, um nome de domínio e um servidor autoritativo de DNS.

Como funciona?

O cliente DNS envia uma solicitação para um determinado nome de domínio, incluindo os dados codificados no nome do host.

O servidor DNS responde e uma conexão bidirecional é estabelecida entre as duas partes.
Agora, o invasor pode transferir dados mal-intencionados junto com qualquer resposta de DNS para obter acesso remoto.

Conclusão

Então, ficaram claras quais as chances de sua empresa estar vulnerável a um ataque de DNS? Creio que após a leitura deste artigo muitos começaram a ter mais cuidado com o serviço de DNS. Isso vale para usuários caseiros ou de empresa. Da mesma forma, sejam estes serviços de DNS fornecidos pelo seu roteador caseiro, provedor de internet de seu link, provedores gratuitos de DNS e demais empresas.

Sugiro sempre que contratem uma auditoria especializada. Assim, poderão avaliar a infraestrutura de servidores de DNS da empresa.

Portanto, é importante verificar a existência de algum um ponto de vulnerabilidade, e consequentemente diminuir as chances de ataques na sua empresa.

Também leiam os artigos abaixo:

Como configurar o Quad 9 DNS no Ubuntu

Como usar o DNS sobre o TLS no Ubuntu

Iptables – Script completo para rede corporativa incluindo LAN/DMZ e filtro de ATAQUES

Estarei em breve publicando outro material. Desta vez, sobre como se defender de ataques de DDOS nos serviços de DNS. Da mesma forma, sobre outros assuntos descritos nesta publicação. Aqui neste post, portanto, vimos quais as chances de sua empresa estar vulnerável a um ataque de DNS.

Abraços e até breve!!!

 

Share This Article
Sair da versão mobile