رایج ترین حملات سایبری بر روی پروتکل DNS

حملات DNS چیست؟

DNS یکی از اساسی‌ترین تکنولوژی‌هایی است که باعث کار کردن اینترنت می‌شود. این تکنولوژی اخیرا به هدفی رایج برای حمله‌کنندگان سایبری تبدیل شده است. در اوایل ماه July سال ۲۰۱۹، مرکز ملی امنیت سایبری انگلیس درباره حملات سرقت DNS در چندین ناحیه و بخش هشدار داده بود. این دومین هشدار آن‌ها در این باره در بازه‌ای ۶ ماهه بود.

در ماه June در ۲۰۱۹ Global DNS Threat Report، IDC بر افزایش حملات DNS و هزینه‌های ناشی از آن تاکید کرده بود. قبل‌تر در این سال، ICANN درباره “خطرات مداوم و قابل‌توجه به قسمت‌های کلیدی” زیرساخت DNS اینترنت هشدار داده و تقاضای اتخاذ پیاده‌سازی‌های امنیتی قوی‌تری در این باره کرده بود.

Talos (گروه هوش تهدید Cisco) در طول این مدت با دقت به مشاهده DNS پرداخته‌ است. Talos چندین حمله وابسته به سرقت و دستکاری DNS کشف کرده و تحقیقاتی را منتشر کرده که هشدارهای زیادی در آن وجود دارد.

حمله علیه DNS بسیار نگران‌کننده است. اما DNS دقیقا چیست؟ چگونه موردحمله قرار می‌گیرد؟ و چه اقداماتی را می‌توان برای محافظت در مقابل این حملات انجام داد؟

اصول اولیه DNS

سیستم نام دامنه[۱] (DNS) یک تکنولوژی مرکزی است که کاربران را به وب‌سایت‌های مختلف و دیگر مکان‌ها روی اینترنت هدایت می‌کند. به این تکنولوژی می‌توان به عنوان درخواست از یک کتابدار برای کمک به پیدا کردن یک کتاب فکر کرد، با این تفاوت که به جای درخواست یک کتاب، درخواست در مورد یک وب‌سایت مشخص است. DNS رکوردهای خود را بررسی کرده و در ادامه به کامپیوتر شما می‌گوید که وب‌سایت موردنظر در کجا قرار دارد.

DNS علاوه‌براین به عنوان مترجم نیز عمل می‌کند. دامنه‌های قابل خواندن توسط انسان (برای مثال www.example.com) را دریافت کرده و آن را با آدرس‌های IP سایت‌ها منطبق می‌کند که آدرس‌های IP اعدادی هستند که کامپیوترها از آن‌ها برای شناسایی محل یک دامنه استفاده می‌کنند. به طور خلاصه، کاربر می‌پرسد که آدرس IP این دامنه چیست و DNS پاسخ می‌دهد.

رویه استاندارد برای جستجوی دامنه‌ها پیچیده‌تر از آن‌چه توصیف شد بوده و شامل بیش از یک سرور DNS است. اولین سروری که با آن تماس برقرار می‌شود DNS Resolver بوده که بیشتر شبیه کتابدار است. فرایند از اینجا به بعد اغلب به صورت زیر پیش می‌رود:

1. Resolver به روشی شبیه به آن‌چه کتابدار از کارت کاتالوگ برای جستجوی محل کتاب در کتابخانه استفاده می‌کند از DNS Root Server محل استقرار وب‌سایت را درخواست می‌کند.
2. Root server، Resolver را به سرور Top Level Domain (TLD) ارجاع می‌دهد. سرورهای DNS با توجه به پسوند دامنه .com، .net، .org و … تقسیم‌بندی می‌شوند.
3. سرور TLD محل DNS Name Server، یعنی سرور DNS رسمی دامنه‌ای که می‌خواهید به آن برسید، را به دست آورده و به Resolver آدرس IP را می‌گوید. سرور نام همانند کارت کتاب است.
4. Resolver آدرس IP دامنه را به کامپیوتر شما گفته و کامپیوتر شما به سایت موردنظر می‌رود. این همان محل کتابی است که روی کارت نوشته شده است.

جایی که همه چیز اشتباه می‌شود.

مساله در مورد حملات DNS این است که کاربران به طور مستقیم به دنبال هدف موردنظر خود نمی‌روند. یک مراجعه‌کننده به دنبال محل یک کتاب مشخص است اما اطلاعاتی که کتابدار دارد مخدوش است. کتابدار به جای آدرس‌دهی مراجعه‌کننده به محلی که کتاب در آن قرار دارد، او را به گوشه‌ای تاریک و پر از تار عنکبوت می‌فرستد. حتی ممکن است کتابی که مراجعه‌کننده از قفسه کتاب بیرون می‌کشد شبیه به آن‌چه می‌خواهد باشد اما در حقیقت کتابی کاملا متفاوت است.

حمله منجر به تغییر مسیر از یک وب‌سایت قانونی به یک وب‌سایت مخرب شده و نهایتا منجر به به‌خطر افتادن هدف می‌شود. کاربر درخواست IP یک دامنه مشخص که قصد بازدید از آن را دارد انجام داده اما رکوردهای DNS تغییر کرده‌اند و او به جای آدرس IP موردنظر به یک آدرس IP مخرب ارجاع داده می‌شود.

چندین نقطه وجود دارد که یک خرابکار می‌تواند در آن‌ها رکوردهای DNS را به مخاطره اندازد. به عنوان چند نمونه به موارد زیر توجه کنید:

• ممکن است حمله‌کنندگان با فریب مدیر DNS به Credentialهای مدیر دسترسی یافته و با ورود به رابط کاربری DNS، آدرس IP وب‌سایت را تغییر دهند.
• ممکن است رابط کاربری میزبان DNS (جایی که رکوردها مدیریت شده و به‌روز‌رسانی می‌شوند) دستکاری شده و این مساله به حمله‌کننده اجازه تغییر رکوردهای دامنه را بدهد.
• هر یک از سرورهای DNS یا زیرساخت‌های همراه با زنجیره درخواست DNS می‌توانند به مخاطره افتاده و حمله‌کننده بتواند رکوردهای دامنه را تغییر دهد.

یک دهه با حملات تغییر مسیر

اولین حمله قابل‌توجه به سیستم DNS در سال ۲۰۰۹ روی داده است. در آن زمان، حمله‌کنندگان توانستند به نحوی عمل کنند که برای یک بازه زمانی کوتاه رکوردهای DNS مربوط به وب‌سایت Twitter.com را تغییر دهند.

در سالیان بعد، تعدادی حملات مرتبط با DNS به وقوع پیوست:

• در سال ۲۰۱۱ یک هکر ترکیه‌ای موفق به تغییر مسیر ۱۸۶ دامنه به یک صفحه “شما هک شده‌اید” شد.
• ارتش الکترونیکی سوریه در حملات انجام شده در سال‌های ۲۰۱۳ و ۲۰۱۴ موفق به تغییر مسیر The New York Times، Twitter و The Huffington Post به یک وب‌سایت هک شده با اهداف سیاسی شد و در ادامه تلاش به انجام اقدام مشابهی در مقابل Facebook کرد. لازم به ذکر است که حمله به Facebook با توجه به دلایلی من‌جمله استفاده از احراز هویت چندعاملی متوقف شد.
• در سال ۲۰۱۵ با استفاده از تغییر مسیر DNS، سایت‌های منطقه‌ای گوگل برای ویتنام و مالزی سرقت شد.
• در سال ۲۰۱۶ رکوردهای DNS شرکت رمزارز Blockchain مورد سرقت قرار گرفت. خوشبختانه در این مورد، تغییر رکوردها به سرعت با استفاده از OpenDNS کشف و بازنشانی شد.

در طول ۱۰ سال گذشته حملات این چنینی زیادی رخ داده که برخی از آن‌ها موفقیت‌آمیز بوده‌اند. با این حال، محققان Talos کشف کرده‌اند که از اواخر سال ۲۰۱۸، این حملات به سطح جدیدی رسیده‌اند.

DNSpionage

داستان با یک پیام LinkedIn آغاز شد. مدیر DNS با فرض دریافت پیام از یک استخدام‌کننده که تحت تاثیر کار آن‌ها قرار گرفته، با هدف پر کردن فرم استخدام دریافتی، روی لینک موجود در پیام کلیک کرد.

با این حال، فرم دریافتی آلوده به Macroهای مخرب بود و در نتیجه آن، سیستم مدیر به خطر افتاده و به حمله‌کنندگان اجازه سرقت اطلاعات مربوط به Login در سیستم DNS را داد. با داشتن توانایی کنترل دامنه، حمله‌کنندگان متعاقبا یک سرور Webmail را به یک IP مخرب تغییر مسیر داده و Certificateهای معتبری برای قانونی نشان دادن دامنه‌های مقصد ثبت کردند. در نتیجه این اقدامات، بازدیدکنندگان از این وب‌سایت هیچ شکی نسبت به غیر معمول بودن آن نمی‌کردند.

در فرایند تحقیق درباره تاکتیک‌ها، رویه‌ها، و تکنیک‌های مورد استفاده توسط حمله‌کنندگان DNSpionage، واحد هوش Talos حمله‌ای مجزا و حتی نگران‌کننده‌تر در مقابل سرورهای TLD DNS کشف کرد.

Sea Turtle

در حالیکه هدف نهایی این حمله مانند DNSpionage سرقت اطلاعات بود، حمله‌کنندگان پشت Sea Turtle به دنبال زیرساخت‌های شبکه‌ای میزبان سرورهای TLD و به دنبال بهره‌برداری از آسیب‌پذیری‌های شناخته شده در این سرورها رفتند. پس از دستیابی به سرورهای TLD، آن‌ها آدرس‌های IP سرورهای نام دامنه‌هایی مشخص را تغییر دادند. این رویکرد به حمله‌کنندگان کنترل بیشتری در تغییر مسیر می‌داد. با راه‌اندازی یک سرور نام مخرب، حمله‌کننده می‌تواند انتخاب کند که چه زمانی درخواست‌ها به یک دامنه مشخص به وب‌سایت‌های قانونی و چه زمانی به یک وب‌سایت مخرب ارجاع داده شوند.

همانند DNSpionage، Sea Turtle رکوردهای سرورهای Webmail را تغییر می‌داد، جایی که آن‌ها می‌توانستند اطلاعاتی که به دنبال آن‌ها بودند را متوقف کرده، به سرقت برده و در ادامه پس از پایان کار هدف را به سیستم قانونی ارجاع دهند.

دیگر تکنیک‌های مرتبط

در این مطلب روی تکنیک‌ها و حملات تغییر مسیر DNS متنوع تمرکز داشته‌ایم. مطالب پوشش داده شده در اینجا تنها قسمت کوچکی از مطالب موجود در مورد این حمله را مورد پوشش قرار می‌دهد. Talos چندین مطلب درباره حمله DNS که شامل جزئیات در مورد Payloadها و تکنیک‌های مخرب استفاده شده توسط حمله‌کنندگان است منتشر کرده است. لینک این موارد در انتهای این مطلب آورده شده است.

تعداد کمی روش دیگر وجود دارد که حمله‌کنندگان از DNS برای انجام فعالیت مخرب استفاده کرده‌اند. برخی تهدیدها مانند DNSpionage و DNSMessenger با استفاده از DNS با سیستم‌های Command and Control در ارتباط هستند. DNSMessenger در کنار دیگر تهدیدها، از Tunneling با استفاده از DNS برای استخراج داده‌های سرقتی استفاده می‌کند.

یک نگرانی دیگر تهدیدهایی هستند که از پروتکل DNS روی HTTPS استفاده می‌کنند. هدف این پروتکل افزایش امنیت پرس‌وجوهای DNS برای جلوگیری از حملات استراق‌سمع[۲] و فرد در میانه[۳] است. با این حال، در اوایل ماه July سال ۲۰۱۹ خانواده‌ای از بدافزارها با نام Godlua یافته شد که از این پروتکل برای ارتباطات مخرب استفاده می‌کرد. با توجه به توانایی پروتکل DNS روی HTTPS در پنهان کردن ترافیک، احتمال آن است که تهدیدهای بیشتری در پی این فرایند باشد.

چگونه با حملات DNS مقابله کنیم

متاسفانه به عنوان هدف نهایی یک حمله DNS، اقدامات زیادی وجود ندارد که بتوان انجام داد. از دیدگاه یک کاربر، ارتباط DNS برای دستیابی به یک وب‌سایت قانونی به نظر می‌رسد (مخصوصا زمانی که حمله‌کننده Certificateهای معتبر برای سایت‌های مخرب بعد از دستکاری رکوردهای DNS ایجاد کند). مسئولیت برای دفاع در برابر این حمله بر عهده کسانی که بر سرویس‌های DNS مدیریت کرده و از آن‌ها میزبانی می‌کنند. خوشبختانه، اقداماتی وجود دارد که در این سطح می‌توان انجام داد:

• نظارت بر رکوردهای DNS: ابزارهایی مانند Umbrella Investigate اجازه می‌دهند تا به سرعت تغییرات ایجاد شده در رکوردهای DNS را جستجو کرد.
• استفاده از تکنیک‌های احراز هویت چندعاملی برای تغییر رکوردهای DNS: راه‌حل‌های احراز هویت چند عاملی از تغییرات دلخواه در رکوردها بدون احراز هویت جلوگیری می‌کنند.
• استفاده از از ابزارهایی مانند BGPmon یا Crosswork Network Insights برای نظارت بر فعالیت‌ها در راستای سرقت DNS، تغییر در رکوردهای TLD یا تغییر مسیر و متوقف کردن ترافیک.
• اعمال Patchهای منتشر شده قانونی بر روی سیستم‌ها: در مورد Sea Turtle، حمله‌کنندگان با بهره‌برداری از آسیب‌پذیری‌هایی به سیستم ورود کردند که برخی از آن‌ها به مدت ۱۰ سال وجود داشتند.
• پیاده‌سازی DNSSEC: DNSSEC امضاهای دیجیتال را به ارتباط DNS اضافه می‌کند که احراز هویت منبع و اطمینان از عدم تغییر درخواست را فراهم می‌کند.

در نهایت، در صورتی که دارای یک وب‌سایت یا دامنه هستید رعایت موارد فوق توسط ارائه‌دهنده DNS خود را بررسی کنید.

لینک‌های مرتبط:

talos intelligence blog

talos intelligence blog

talos intelligence blog

[۱] Domain Name System

[۲] Eavesdropping

[۳] Man in the Middle