09.08.2013 | 22:52

Adam Haertle

Prosty, ale skuteczny atak na serwery DNS przejął tysiące domen

W poniedziałkowy poranek osoby odwiedzające strony internetowe w holenderskiej domenie .nl były zaskakiwane komunikatem o „trwających pracach konstrukcyjnych”. Większe zaskoczenie kryło się jednak pod komunikatem – był to Blackhole Exploit Kit.

Do ciekawego incydentu doszło na początku tego tygodnia w Holandii. Około godziny 3:30 w poniedziałek nieznani sprawcy zalogowali się na konto jednego z rejestratorów domen w serwisie SIDN, holenderskiego odpowiednika NASK zarządzającego domeną .nl i zmienili dane serwerów DNS jednego rejestratora. Na skutek tej zmiany wszystkie zapytania o domeny jego klientów trafiały na złośliwy serwer DNS, obsługiwany przez atakujących. Serwer ten dla wszystkich zapytań miał tylko jedną odpowiedź – stronę z komunikatem o trwających pracach konstrukcyjnych, wczytującą „przy okazji” Blackhole Exploit Kit. Atak dotknął tylko jednego rejestratora, jednak z jego usług korzystały 2 duże firmy hostingowe: Digitalus oraz VDX.

Do tej pory nie jest znany sposób, w jaki atakujący uzyskali dostęp do konta rejestratora domen. SIDN zapewnia, że nie miało miejsce przełamanie jego zabezpieczeń (chociaż jeszcze miesiąc temu znalazł na swoich stronach www nieautoryzowane pliki). Prawdopodobnie login i hasło zostały wykradzione z komputera, na którym zostały nieopatrznie zapisane. Atakujący postąpili bardzo sprytnie – ogłaszany przez nich adres IP, pod który kierowali wszystkie zapytania, miał ustawiony standardowo czas życia na 24 godziny, dzięki czemu, gdy o 6 rano rejestrator odkrył włamanie i usunął jego skutki, wiele serwerów DNS dostawców internetowych ciągle podawało nieprawidłowe dane. Niezbędne było zwrócenie się do największych firm w Holandii z prośbą o wyczyszczenie pamięci podręcznej ich serwerów DNS i odświeżenie wszystkich wpisów.

Sam atak, przeprowadzany za pomocą Blackhole Exploit Kit, nie był szczególnie wyrafinowany, jednak mógł być dość skuteczny w przypadku osób, korzystających ze starych wersji wtyczek w przeglądarkach. Serwowane były dwa exploity – na PDF (CVE-2010-0188) oraz na Javę, oba w momencie ataku rozpoznawane jedynie przez 3 z 45 programów antywirusowych wg serwisu VirusTotal. Instalowane złośliwe oprogramowanie było klientem botnetu, korzystającego do komunikacji z C&C z sieci Tor.

Incydent ten pokazuje, że aby zarazić się niepożądanym oprogramowaniem, nie trzeba wcale wchodzić na potencjalnie ryzykowne adresy jak strony porno czy kolekcje „cracków” do gier. W dzisiejszych czasach przestępcy najczęściej szukają ofiar wśród odwiedzających zwykłe serwisy internetowe, dlatego tak ważne jest bieżące aktualizowanie przeglądarek oraz ich wtyczek.

Powrót

Komentarze

  • 2013.08.10 00:07 Oskar

    A wisi gdzieś link do analizy z VirusTotal?

    Odpowiedz
    • 2013.08.10 00:19 Adam

      Zobacz link do artykułu Fox-IT, tam znajdziesz.

      Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Prosty, ale skuteczny atak na serwery DNS przejął tysiące domen

Komentarze