Глобальна кампанія з підміни DNS-записів
Національний центр інтеграції кібербезпеки і комунікацій (NCCIC) на своєму сайті повідомляє про глобальну кампанію з підміни DNS-записів. Використовуючи скомпрометовані облікові дані, зловмисник може підмінити IP-адреси, за якими закріплене доменне ім’я. Це дає змогу зловмисникам перенаправляти трафік користувача до керованої системи і отримувати дійсні сертифікати шифрування для доменних імен організації, що дозволяє здійснювати атаки «людина посередині» («man-in-the-middle»).
Технічні деталі:
Використовуючи наведені нижче методи, зловмисники перенаправляють і перехоплюють веб- і поштовий трафік і можуть робити це для інших мережевих служб.
Зловмисники отримують облікові дані користувача, який може вносити зміни до записів DNS.
Далі зловмисники змінюють записи DNS, такі як Address (A), Mail Exchanger (MX) або Name Server (NS), замінюючи легітимну адресу сервісу на підконтрольну. Це дозволяє їм направляти користувацький трафік на свою керовану систему, перш ніж перенаправити його на легітимну адресу сервісу.
Оскільки зловмисник може встановити значення запису DNS, вони також можуть отримати дійсні сертифікати шифрування для доменних імен організації. Це дозволяє дешифрувати перенаправлений трафік, викриваючи всі передані користувачем дані. Оскільки сертифікат діє для домену, кінцеві користувачі не отримують попереджень про помилки.
Посилання на статтю на сайті NCCIC: https://www.us-cert.gov/ncas/alerts/AA19-024A
Ідентифікатори компрометації:
IOCs (.csv)
IOCs (.stix)
Рекомендації:
Оновіть паролі для всіх облікових записів, які можуть змінювати DNS записи організації.
Реалізуйте багатофакторну аутентифікацію на облікових записах реєстратора доменів або на інших системах, які використовуються для зміни записів DNS.
Проведіть аудит загальнодоступних записів DNS, щоб перевірити, чи вони направляють до потрібного ресурсу.
Знайдіть сертифікати шифрування, пов’язані з цими доменами, і відхиляйте будь-які сертифікати, які вимагаються обманним шляхом.
https://cert.gov.ua/news/53
Кібербезпека
-
Tyrex7
- Експерт
- Повідомлень: 6006
- З нами з: 25 листопада 2012, 15:24
- Дякував (ла): 179 разів
- Подякували: 174 рази
Re: Кібербезпека
Нові поширення шифрувальника Troldesh/Shade
Впродовж 14-15.01.2019 спостерігалася масова розсилка електронних листів з шифрувальником Troldesh/Shade. Наведемо приклади таких листів:
“Добрый день! Отправляю подробности заказа. Документ во вложении
Тарасов Валерий
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
або
“Добрый день! Отправляю подробности заказа. Документ во вложении
Ковалёв Артем
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
або
“Добрый день! Отправляю подробности заказа. Документ во вложении
Копылов Кирилл
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
Листи аналогічні за змістом, але з різними прізвищами, містять прикріплений архівний файл “info.zip”, з архівом з такою ж назвою, тобто подвійний. У подвійному архіві знаходиться джава скрипт “Информация.js”, який при виконанні завантажує файл “ssj.jpg” у тимчасову директорію.
Також помічено, що прикріплений архів “info.zip” може бути потрійним, тобто “info.zip”->“info.zip”->"inf.zip"->“Информация.js”.
Результати виконання інших варіантів однаковий, різниця полягає у використанні різних алгоритмів шифрування, які використовуються при кодуванні назви файлів і даних, та інформації, яка передається контрольному серверу.
Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.
В результаті шифрування шифровані файли мають розширення “.{ідентифікатор користувача}.crypted000007”,
а в кожній директорії з кодованими файлами створюється файл readme з наступним змістом:
докладніше: https://cert.gov.ua/news/52
Впродовж 14-15.01.2019 спостерігалася масова розсилка електронних листів з шифрувальником Troldesh/Shade. Наведемо приклади таких листів:
“Добрый день! Отправляю подробности заказа. Документ во вложении
Тарасов Валерий
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
або
“Добрый день! Отправляю подробности заказа. Документ во вложении
Ковалёв Артем
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
або
“Добрый день! Отправляю подробности заказа. Документ во вложении
Копылов Кирилл
Менеджер.
Публичное Акционерное Общество «БИНБАНК»
(495) 755-50-75, 8 800 200-50-75”
Листи аналогічні за змістом, але з різними прізвищами, містять прикріплений архівний файл “info.zip”, з архівом з такою ж назвою, тобто подвійний. У подвійному архіві знаходиться джава скрипт “Информация.js”, який при виконанні завантажує файл “ssj.jpg” у тимчасову директорію.
Також помічено, що прикріплений архів “info.zip” може бути потрійним, тобто “info.zip”->“info.zip”->"inf.zip"->“Информация.js”.
Результати виконання інших варіантів однаковий, різниця полягає у використанні різних алгоритмів шифрування, які використовуються при кодуванні назви файлів і даних, та інформації, яка передається контрольному серверу.
Шкідлива програма також може розповсюджуватися в мережі інфікованого пристрою, використовуючи SMB протокол.
В результаті шифрування шифровані файли мають розширення “.{ідентифікатор користувача}.crypted000007”,
а в кожній директорії з кодованими файлами створюється файл readme з наступним змістом:
докладніше: https://cert.gov.ua/news/52
Si vis pacem, para bellum
Страшні московські воші, а ще страшніші українські гниди
Симон Петлюра
Страшні московські воші, а ще страшніші українські гниди
Симон Петлюра
-
TAZIT
- Доцент
- Повідомлень: 9931
- З нами з: 27 листопада 2012, 23:42
- Звідки: CV.UA
- Дякував (ла): 3858 разів
- Подякували: 668 разів
- Контактна інформація:
