Amerikanska myndigheter och säkerhetsföretag varnar nu för en våg av DNS-kapningar av ”aldrig tidigare skådad skala”. Enkelt förklarat handlar det om att angriparna använder sofistikerade sätt att erhålla giltiga TLS-certifikat för kapade domäner. Säkerhetsföretaget FireEye, som gick ut med den ursprungliga varningen i en omfattande rapport som publicerades i slutet av förra veckan, menar att den här typen av attack har pågått åtminstone sedan början av 2017.
Angriparna har främst riktat sig mot företag och organisationer genom att på tre olika sätt manipulera de DNS-records som möjliggör för en dator att hitta ett specifikt företags dator över nätet. Genom att ersätta den legitima IP-adressen för en domän med en infekterad adress, kan angriparen får offrets domän att utföra en rad skadliga aktiviteter, som att till exempel samla in och lämna ut inloggningsuppgifter. De tre tekniker som angriparna använder sig av är enligt FireEye obehagligt effektiva, eftersom de tillåter angriparen att hämta giltiga TLS-certifikat som gör att kapningen inte upptäcks av webbläsares vanliga säkerhetsfunktioner. I rapporten skriver FireEye:
”Ett stort antal organisationer har påverkats av detta mönster av DNS-manipulation och bedrägliga SSL-certifikat. Bland de drabbade telekombolag och ISP:er, regeringar och kommersiella aktörer som hanterar känsliga data. Kampanjen förekommer runt om i världen på en nästan oöverträffad skala, med en stor grad av framgång för angriparna.”
Tre olika angreppssätt för att kapa domäner
Tekniken bakom den första, och vanligaste attacken, bygger på en DNS-kapning där angriparen, efter att på något sätt ha manipulerat inloggningsuppgifterna för administrationspanelen för målets DNS-leverantör, sedan ändrar det som kallas DNS A-record. Angriparna ändrar sedan IP-adressen för den riktade domänen till en som de själva kontrollerar. Med kontroll över domänen använder angriparna sedan den automatiska Let’s Encrypt-tjänsten för att skapa ett giltigt TLS-certifikat för den kapade domänen.
Med detta på plats, använder personer som besöker den riktade domänen inte längre den legitima servern. I stället hamnar de på angriparnas server som kopplar tillbaka till den legitima servern för att ge besökarna intrycket att allt är som vanligt. Anfallarna samlar sedan in till exempel användarnamn och lösenord. Besökare får inga varningar och kommer inte att märka något suspekt på den webbplats de får åtkomst till, förutom eventuellt en längre svarstid än normalt.
Den andra tekniken är liknande i sin uppbyggnad förutom att den utnyttjar en tidigare komprometterad domänregistrator eller ccTLD för att ändra informationen i DNS-servern. Den tredje tekniken använder en typ av DNS-omdirigering i kombination med en av de två andra metoderna.
Så skyddar du dig
FireEye pekar på att angripare använder de ovanstående teknikerna för att kapa mängder av domäner som tillhör organisationer i Nordamerika, Europa, Mellanöstern och Nordafrika. Man uppmanar därför webbplatsadministratörer att vidta ett antal kritiska säkerhetsåtgärder, bland annat:
• Använd flerfaktorsautentisering för att skydda domänens administrationspanel.
• Kontrollera att dina A- och NS-records är giltiga.
• Sök igenom loggar för obehöriga TLS-certifikat som används på dina domäner.
• Genomför interna undersökningar för att bedöma om nätverket har äventyrats.
Vi rekommenderar givetvis att du läser FireEyes fullständiga rapport för en mycket djupare förklaring av hur attackerna går till, där finns också föredömligt lättöverskådlig grafik som visar angreppsvägarna för de tre olika attackerna.