Os invasores estão criando um ponto fraco para a infraestrutura de DNS
Embora os servidores DNS estejam há muito tempo sob o radar de invasores em busca de informações corporativas e privadas, os ataques recentes indicam que a situação está saindo do controle.
Ataques recentes em servidores DNS
- Mais de uma dúzia de ISPs em toda a Europa , incluindo EDP, FDN, Bouygues Télécom, SFR, K-net, Delta, Caiway, Online.nl, Signet, FreedomNet e Tweak.nl. relataram ataques DDoS que impactaram sua infraestrutura DNS.
- Mais de 400 domínios controlados pelo governo do Reino Unido foram encontrados em listas negras baseadas em DNS, impactando as comunicações por email. Normalmente, os domínios em uma lista negra de IP automatizada indicam problemas na infraestrutura de e-mail, como o servidor que envia spam ou é explorado em algum ponto.
- Nas últimas semanas de agosto, os hackers lançaram ataques DDoS contra algumas das maiores organizações financeiras, visando seus servidores DNS, infraestrutura de back-end e endpoints de API. A lista de vítimas inclui o New Zealand Exchange (NZX), MoneyGram, Worldpay, PayPal, YesBank India, Braintree e Venmo.
- Os invasores foram vistos abusando do DNS do Google em HTTPS para baixar malware. Embora o Google DNS tenha ajudado a resolver um domínio suspeito, a resposta retornada por meio do Google DNS carregava a carga maliciosa em uma forma codificada.
Várias maneiras de lançar ataques DNS
- Os cibercriminosos visam os roteadores e reconfiguram suas configurações de DNS, direcionando as vítimas para sites maliciosos em vez das páginas que pretendem visitar.
- Uma das técnicas envolve o uso de botnets para direcionar servidores com grandes volumes de solicitações de DNS, inundando os servidores com solicitações maliciosas e bloqueando as legítimas.
- Os invasores costumam abusar do DNS para invadir uma rede privada, evitando a política de mesma origem – um mecanismo que permite que uma página da Web acesse dados de outra página apenas se ambas tiverem nomes de host, números de porta e números de identificação semelhantes.
Os provedores de DNS devem estar na sela
Os provedores e administradores de serviços DNS podem evitar muitos ataques seguindo algumas medidas de segurança recomendadas. Como parte de suas operações de segurança, as organizações podem implementar o monitoramento de registro DNS, usar ferramentas dedicadas para rastrear tentativas de sequestro de DNS, garantir patch de vulnerabilidade regular e implementar extensões de segurança de sistema de nomes de domínio (DNSSEC). Embora não haja uma fórmula mágica, os provedores de DNS devem tomar todas as medidas necessárias para impedir esses ataques.
Fonte: https://cyware.com/news/attackers-growing-a-soft-spot-for-dns-infrastructure-ec0edd96