Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Uppdaterad | Publicerad - DNS hijacking, Sårbarhet, MFA, MITM

Skydda er information i DNS

Med anledning av nyligen uppmärksammade incidenter där nätverkstrafik kapats vill CERT-SE informera om problemet och vad som kan göras för att försvåra tillvägagångssättet.

Vad har hänt?

It-säkerhetsföretag [1,2] har publicerat analyser av attacker där angriparen använder stulna inloggningsuppgifter för att ändra till vilken IP-adress en utsatt organisations domännamn leder. Angriparen har även skaffat giltiga certifikat för domänerna för att kunna avlyssna krypterad trafik till och från webb- och mejlservrar. Samma teknik kan givetvis också användas för att angripa även andra nätverksbaserade tjänster.

Tillvägagångssätt

  1. Angriparen börjar med att komma över användaruppgifter på ett eller annat sätt som går till det konto som används för att göra ändringar i DNS-poster. Detta kan till exempel ske hos den registrar som anlitas för hantering av domännamn eller hos offrets DNS-operatör.

  2. Därefter ändrar angriparen DNS-poster, till exempel A-post, MX- eller NS-post och ersätter den legitima adressen till en tjänst med en adress som angriparen kontrollerar. Detta gör det möjligt för angriparen att styra om användartrafik till sin egen infrastruktur för manipulation eller avlyssning innan den vidarebefordras till den legitima tjänsten. Detta skapar en risk som kvarstår under hela den period som en omdirigering av trafiken pågår.

  3. Eftersom angriparen kan ange DNS-poster kan de också få certifikat utfärdade för offrets domännamn. Detta gör det möjligt att dekryptera den omdirigerade trafiken och avslöja eventuella användarrelaterade data. Eftersom certifikatet är giltigt för domänen får slutanvändare heller inga varningar om att kommunikationen egentligen sker med angriparens infrastruktur.

Rekommendationer

Omedelbara åtgärder krävs för att hantera de betydande och överhängande riskerna i offentlig förvaltning och samhällsviktiga tjänster. Informationssystem som hanteras i sådan verksamhet måste skyddas från risker med manipulering. Obehörig DNS-aktivitet samt obehöriga certifikat gällande deras domännamn ska upptäckas och förhindras. Avvikelser bör rapporteras till CERT-SE.

Det finns en rad åtgärder som kan vidtas för att minska riskerna för att utsättas för ett angrepp mot DNS.

Åtgärd 1. Revidera DNS-poster
Alla myndigheter i offentlig förvaltning och verksamheter med samhällsviktiga tjänster rekommenderas att inventera DNS-poster på alla auktoritativa och sekundära DNS-servrar för att verifiera att de pekar dit de ska. DNS-poster som direkt eller indirekt refererar till viktiga tjänster ska prioriteras.

Åtgärd 2: Byt omgående lösenord för inloggning till DNS-konto
Uppdatera lösenordet för alla konton på system som medger ändringar i myndighetens eller verksamhetens DNS-poster. Användning av lösenordshanterare för att underlätta användningen av unika och långa lösenord rekommenderas.

Åtgärd 3: Lägg till flerfaktorsautentisering till DNS-konton och tjänster
Implementera flerfaktorsautentisering för alla konton på system som medger ändringar i myndighetens eller verksamhetens DNS-poster. Fråga registraren om de erbjuder flerfaktorsautentisering. Användning av flerfaktorsautentisering även i övriga tjänster, till exempel mejl, är effektivt för att skydda mot kontostöld i dessa tjänster.

Åtgärd 4: Övervaka nyutfärdade certifikat
Genom att övervaka och söka i så kallade certificate transparency-loggar kan man upptäcka om certifikat för ens verksamhet utfärdats på felaktiga grunder [3,4]. Detta måste då anmälas till certifikatutfärdaren och revokeras. Det finns många tjänster för ändamålet men även flera öppen källkodsprojekt som man kan använda sig av.

Åtgärd 5: Aktivera Registry lock
Ansvarig för domännamnsregistret, t ex Internetstiftelsen för .se-domäner [5], kan erbjuda en standardiserad tjänst som innebär att DNS-data för en domän spärras mot ändringar, till exempel av namnservrar men även DNSSEC-relaterad information. Motsvarande tjänst finns ofta även tillgänglig för andra toppdomäner. För att genomföra ändringar av en spärrad domän måste särskilda rutiner för identifiering av behörig användare genomföras. Genom att aktivera tjänsten kan angrepp som den som beskrivs ovan förhindras. Tjänsten kan beställas via registraren. Alla registrarer erbjuder dock inte denna tjänst.

Åtgärd 6: Signera zonen med DNSSEC samt slå på validering
DNSSEC säkerställer att DNS-svaren kommer från rätt källa. För att detta ska fungera behöver zonen signeras samt valideras. Tillhandahåller man DNS-resolvrar är det alltså lika viktigt att slå på validering som det är att signera sin zon för att DNSSEC ska kunna tjäna sitt syfte [6].

Indicators Of Compromise

US-CERT har sammanställt indikatorer kring angrepp som har utretts [7]. Dessa finns att ladda hem som .csv eller .stix. CERT-SE hänvisar till länkarna under "References" för mer förståelse för vad respektive IOC relaterar till.

Källor

Internetstiftelsen har bidragit stort till denna artikel.
[1] Cisco Talos om några attacker av detta slag https://blog.talosintelligence.com/2018/11/dnspionage-campaign-targets-middle-east.html
[2] FireEyes beskrivning av tillvägagångssätt och möjlig omfattning https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html
[3] Om Certificate Transparency https://en.wikipedia.org/wiki/Certificate_Transparency
[4] Certificate Transparency project https://www.certificate-transparency.org
[5] IIS Registry lock https://www.iis.se/domaner/registrera/se/registry-lock/
[6] Därför ska ni införa DNSSEC https://www.iis.se/blogg/darfor-ska-ni-infora-dnssec/
[7] US-CERT IoC https://www.us-cert.gov/ncas/alerts/AA19-024A