Ventanas. virus Cuadernos. Internet. oficina. Utilidades. Conductores
Menú

¿Qué es la falsificación de dns? Métodos reales de suplantación de identidad en la actualidad. Flamer y escandalosa falsificación de certificados de Microsoft

Suplantación de DNS es un método simple para engañar al sistema dns, un bloque de resolución de nombres dns, utilizando información falsa recibida de un host que no es responsable de esa información. Cada paquete dns tiene un número de identificación de 16 bits, el número de identificación es la parte del paquete dns que permite identificar cada paquete dns que pasa por el puerto 53 y también la solicitud puede ser más de una vez. identificación es la única forma para distinguir entre las diversas consultas dns asociadas con él, que los servidores dns utilizan para determinar cuál era la consulta original. En el caso de BIND, este número aumenta en 1 nivel por cada solicitud. Se puede hacer un ataque similar a TCP seq id, aunque es más difícil. Incluso si BIND no puede almacenar en caché la información que envía, pasará la respuesta al host original. En el caso de que ircd solicite un PTR en respuesta a un host que se conecta a él, el paquete de respuesta puede formularse para contener Información adicional, desde el cual ircd hará el almacenamiento en caché interno. Este ataque requiere "un acceso de raíz en el servidor dns responsable de in-addr. arpa el bloque de información dns. Además, ircd solo puede almacenar en caché un dominio. Hay otro ataque, ya que la identificación consta de 16 bits. El usuario podría iterar sobre el Todo el espacio de identificación Para falsificar su dns, digamos en DALNet "e, debe enviar 65000 solicitudes generadas al servidor ns, tan pronto como la computadora reciba una respuesta a la solicitud, deberá leer el paquete y la identificación correcta se escribirá en él. Una vez que obtenga la identificación, necesita encontrar alguna "herramienta de creación de paquetes" para hacer un paquete dns. Solo queda falsificar paquetes dns, enviarlos a ns. dal. net y obtener una conexión TCP de suplantación de identidad.

Planteamiento General del Problema Debido al rápido crecimiento de Internet, el problema de la seguridad recursos de información volverse cada vez más importante. Si está conectado a Internet, su sistema puede ser atacado. Considere el trabajo de DNS. El direccionamiento fuera de segmento se realiza mediante direcciones IP, pero generalmente se accede a los servidores mediante nombres de dominio. En este sentido, se creó un sistema para convertir (coincidir) nombres de dominio en direcciones IP: servidores DNS (Sistema de nombres de dominio). Este sistema se encarga de encontrar la dirección IP de un host remoto a partir de su nombre. El principio de funcionamiento del sistema DNS es el siguiente: un host remoto envía una solicitud especial a la dirección IP del servidor DNS más cercano, en la que indica el nombre del servidor cuya dirección IP se necesita encontrar. Al recibir la solicitud, el servidor DNS busca en su base de datos el nombre de dominio solicitado. Si se encuentra el nombre, el servidor DNS devuelve una respuesta que indica la dirección IP buscada. Si el servidor DNS no encuentra el nombre especificado en la solicitud en su base de datos de nombres, el servidor DNS envía la solicitud DNS a uno de los servidores DNS raíz y el procedimiento descrito en este párrafo se repite hasta que se obtiene el nombre. encontró. Consideremos un esquema generalizado de un servidor DNS falso: esperando una solicitud de DNS; haber recibido una solicitud de DNS, extraer la información necesaria de ella y transmitir una respuesta DNS falsa a través de la red al host solicitante, en nombre (de la dirección IP) del servidor DNS real, que indica la dirección IP del servidor DNS falso ; en caso de recibir un paquete de un host, cambiar su dirección IP en el encabezado IP del paquete a la dirección IP del servidor DNS falso y enviar el paquete al servidor (es decir, el servidor DNS falso funciona con el servidor en su propio nombre); en caso de recibir un paquete del servidor, cambiar su dirección IP en el encabezado IP del paquete a la dirección IP del servidor DNS falso y enviar el paquete al host (para el host, el servidor DNS falso es el servidor real ).

Condición necesaria implementación esta opción El ataque es la intercepción de una solicitud de DNS. Esto solo es posible si el atacante se encuentra en la ruta del tráfico principal o en el segmento del servidor DNS real. El cumplimiento de una de estas condiciones para la ubicación del atacante en la red hace que un ataque remoto de este tipo sea difícil de implementar en la práctica (lo más probable es que el atacante no pueda ingresar al segmento del servidor DNS, y más aún al inter). -canal de comunicación del segmento). Sin embargo, si se cumplen estas condiciones, es posible llevar a cabo un ataque remoto entre segmentos en Internet. El resultado de este ataque es la introducción de una correspondencia impuesta entre la dirección IP y nombre de dominio almacenar en caché servidores DNS. Como resultado de la implementación exitosa de tal ataque, todos los usuarios del DNS del norte recibirán información incorrecta sobre nombres de dominio y direcciones IP. Este ataque se caracteriza por un gran número Paquete DNS con el mismo nombre de dominio. Esto se debe a la necesidad de seleccionar algunos parámetros de intercambio de DNS.

Como muestra el análisis de los métodos de protección existentes, los ataques de contraataque pueden llevarse a cabo mediante los siguientes métodos. por transferencia trabajo de DNS para trabajar sobre el protocolo TCP Cambiar de UDP a TCP ralentizará un poco el sistema. Cuando se usa TCP, se requiere la creación de una conexión virtual, y también vale la pena considerar que, los sistemas operativos de red finales primero envían una solicitud de DNS usando protocolo UDP y en el caso de que reciban una respuesta especial del servidor DNS, el sistema operativo de la red enviará una consulta DNS mediante TCP. El uso del protocolo TCP complicará el ataque de suplantación de paquetes, pero ralentizará el trabajo. Mediante el análisis del tráfico DNS. Los ataques se pueden contrarrestar mediante el análisis del tráfico. Los paquetes falsos con direcciones IP falsas se envían constantemente al servidor DNS. Si el paquete falso recibido coincide con el valor de la solicitud, la IP falsa se acepta como verdadera. Si no hay interceptación de paquetes del servidor, el ataque se caracteriza por una gran cantidad de paquetes DNS con el mismo nombre. Esto se debe a la necesidad de seleccionar algunos parámetros de intercambio de DNS. Al analizar el tráfico DNS, puede ignorar dichos paquetes para evitar la suplantación de direcciones IP.

Conclusiones Habiendo estudiado el funcionamiento del servidor DNS, se puede ver que Versión actual es bastante subóptimo y vulnerable a ataques de varios tipos. Los ataques se pueden contrarrestar analizando el tráfico de DNS o cambiando el DNS de UPD a TCP. Ninguno de los métodos proporciona una protección completa contra los ataques, ambos métodos solo complican la posibilidad de un ataque. Ambos métodos requieren recursos adicionales del servidor. En el caso de transferir el servidor DNS a TCP, el tiempo de intercambio entre servidores también aumenta, ya que el protocolo UDP es más rápido que el protocolo TCP. En este momento, los modelos de contramedidas propuestos son los más efectivos y es recomendable usarlos en combinación para lograr la mayor seguridad posible.

La suplantación de identidad es un método de ataque bastante interesante que muchos profesionales de la seguridad descuidan. Y en vano, muy incluso en vano. A partir de este artículo, comprenderá cuán engañoso puede ser este mundo diverso. ¡No creas en tus ojos!

ADVERTENCIA

Toda la información se proporciona únicamente con fines informativos. Ni los editores ni el autor son responsables de los posibles daños causados ​​por los materiales de este artículo.

introducción

A menudo escucho de colegas en el taller que ni siquiera vale la pena considerar la suplantación de identidad como vector de ataque. Sin embargo, puedo asegurarle que si los métodos de suplantación de identidad se piensan cuidadosamente, pueden usarse para mucho, mucho. Además, la escala y los resultados de tales ataques son a veces catastróficos. Después de todo, habiendo engañado a tus ojos una vez, te engañaré aún más. El argumento más importante a favor de que los ataques de suplantación de identidad son un peligro real es que ni una sola persona, incluidos los profesionales, es inmune a ellos. Cabe señalar aquí que la suplantación de identidad en sí no hace nada: para realizar un verdadero ataque de piratas informáticos, debe usar la post-explotación (post-explotación). En la mayoría de los casos, los objetivos de la posexplotación son la adquisición estándar, la escalada de privilegios, la distribución masiva malware y, en consecuencia, el robo de datos personales y claves digitales electrónicas de los sistemas bancarios con posterior blanqueo de capitales. En este artículo, en primer lugar, quiero hablar sobre los métodos de suplantación de identidad en general y, en segundo lugar, contarles en detalle algunos enfoques modernos. Naturalmente, toda la información se le proporciona solo con el fin de ayudarlo a protegerse de tales ataques.

El pasado y el presente de la suplantación de identidad

Inicialmente, el término "spoofing" se usaba como un término Seguridad de la red, lo que implica la falsificación exitosa de ciertos datos para obtener acceso no autorizado a un recurso de red en particular. Con el tiempo, este término comenzó a usarse en otras áreas de la seguridad de la información, aunque la mayoría de los llamados especialistas de la vieja escuela hoy en día continúan usando la palabra “spoofing” solo para aclarar el tipo de ataques a la red.

Primeros clones de IDN

El ataque que usa homógrafos de IDN fue descrito por primera vez en 2001 por Evgeny Gabrilovich y Alex Gontmakher del Technion Institute of Technology en Israel. El primer caso conocido de un ataque exitoso utilizando este método, se hizo público en 2005 en la conferencia de hackers ShmooCon. Los piratas lograron registrar un dominio falso paypal.com (xn--pypal-4ve.com en Punycode), donde la primera letra a es cirílica. Una publicación en Slashdot.org llamó la atención del público sobre el problema, después de lo cual tanto los navegadores como los administradores de muchos dominios de nivel superior desarrollaron e implementaron contramedidas.

Entonces, cuando la red estaba en sus inicios, la mayoría de los esfuerzos de los programadores y desarrolladores se dirigieron principalmente a optimizar los algoritmos de los protocolos de red. La seguridad no era tan crítica como lo es hoy y, como sucede a menudo, recibió muy poca atención. Como resultado, obtenemos errores banales y fundamentales en protocolos de red, que continúan existiendo hoy, a pesar de varios parches (porque ningún parche puede parchear un error de protocolo lógico). Aquí, se necesitan cambios totales, a los que la Red en la representación existente simplemente no sobrevivirá. Por ejemplo, en el artículo “Ataques DNS: ayer, hoy, mañana” (][ #5 2012) Hablé de desastrosos vulnerabilidades fundamentales en los sistemas DNS, el uso de UDP (que, a diferencia de TCP/IP, es inseguro porque carece de un mecanismo incorporado para evitar la suplantación de identidad) y una memoria caché local.

Vectores

Dependiendo de las metas y objetivos, los vectores de suplantación de identidad se pueden dividir en vectores locales (local) y de red (net). Son ellos los que consideraremos en este artículo. En el caso de un vector local, el propio SO, instalado en el ordenador de la víctima, así como cierto tipo de aplicaciones que suelen requerir análisis adicional dependiendo de la situación. Los objetos de los ataques en el vector de red, por el contrario, son más abstractos. Los principales son los componentes. sistemas de información representados por redes locales y globales. Considere los principales tipos de suplantación de identidad.

  • Spoofing TCP/IP y UDP: ataques a la capa de transporte. Debido a errores fundamentales en la implementación del transporte de los protocolos TCP y UDP, son posibles los siguientes tipos de ataques:
    • Suplantación de IP: la idea es suplantar la dirección IP cambiando el valor del campo de origen en el cuerpo del paquete IP. Se utiliza para cambiar la dirección del atacante, por ejemplo, para provocar un paquete de respuesta a la dirección deseada;
    • La suplantación de identidad ARP es una técnica de ataque en redes Ethernet que le permite interceptar el tráfico entre hosts. Basado en el uso del protocolo ARP;
    • Envenenamiento de caché de DNS: envenenamiento de caché de DNS del servidor;
    • Falsificación de NetBIOS/NBNS: basada en las peculiaridades de resolver nombres de máquinas locales dentro de las redes de Microsoft.
  • Suplantación de identidad del referente: sustitución del referente.
  • Envenenamiento de redes de intercambio de archivos - phishing en redes de intercambio de archivos.
  • Suplantación de identidad de llamadas: falsificación del número de teléfono de la persona que llama en redes VoIP
  • Suplantación de direcciones de correo electrónico - suplantación de identidad correos electrónicos remitente.
  • Falsificación de GPS: falsificación de paquetes de un satélite para confundir un dispositivo GPS.
  • Suplantación de correo de voz: suplantación de número mensaje de voz para suplantar las contraseñas de la víctima.
  • La suplantación de identidad por SMS es un método de suplantación de identidad basado en la sustitución de números de remitentes de SMS.
    • Los últimos desarrollos en el campo de la suplantación de identidad

    Las técnicas más comunes ya son bastante antiguas y golpeadas. Red global literalmente repleta de información sobre las posibles variaciones de su funcionamiento y protección frente a las mismas. Hoy veremos algunos últimos métodos suplantación de identidad, cuyo uso solo está ganando impulso, comenzando con vectores locales y terminando con vectores de red. Entonces, todo está en orden.

    Flamer y escandalosa falsificación de certificados de Microsoft

    Aviso de seguridad de Microsoft (2718704): los certificados digitales no autorizados podrían permitir la suplantación de identidad. Se encontró algo bastante interesante en instancias del notorio bot espía Flamer: según los resultados de la ingeniería inversa de los componentes de este malware, se encontró una sección de código que es responsable de realizar ataques de suplantación de identidad como el phishing. Simulando la entrega de certificados originales de grandes empresas, el bot llevó a cabo un ataque MITM, cuyo objetivo era interceptar los datos personales de los usuarios red corporativa con el envío posterior al servidor de los desarrolladores. Este incidente de suplantación de identidad recibió el aviso de seguridad n.º 2718704 con una clasificación de gravedad alta.

    Suplantación de identidad en OS 1. Suplantación de extensión: suplantación de extensión de archivo

    Una técnica que vio la luz gracias a los avances de un investigador chino en la materia seguridad de información Zhitao Zhou. La esencia de esta técnica es usar el carácter de control 0x202E (RLO) en el nombre del archivo, lo que le permite cambiar el orden de los caracteres al mostrar el nombre del archivo en Explorador de Windows(explorer.exe) Aquí hay un ejemplo del uso de esta técnica simple:

    Súper música subida por 3pm.SCR

    El archivo 3pm.SCR no es más que Archivo ejecutable, que implementa ciertas funciones ( troyano. - Aprox. editor). Si se inserta el carácter de control 0x202E al principio del nombre del archivo "3pm.SRC" (ver Fig. 1), el orden de los caracteres se invierte y el nombre del archivo se muestra en el explorador. Windows ya de lo contrario:

    Super musica subida por RCS.mp3

    Para cambiar el icono del archivo, utilice cualquier editor de recursos (Restaurator, hacker de recursos). Esta técnica está diseñada para un usuario incauto que puede confundir este archivo con una canción y abrirlo con un doble clic, iniciando así un programa malicioso. Desafortunadamente, esta técnica no funcionará en programas Explorer similares a Unicode. El siguiente es un código C# que realiza un cambio de nombre de archivo anteponiendo el carácter de control 0x202E:

    Public Sub U_202E(archivo como cadena, extensión como cadena) Dim d como entero = archivo.Longitud - 4 Dim u como char = ChrW(823) Dim t como char() = extensión.ToCharArray() Array.Reverse(t) Dim dest As String = file.Substring(0, d) & u & New String(t) & file.Substring(d) System.IO.File.Move(file, dest) End Sub

    2. Suplantación de nombre de archivo: clonación de nombre de archivo

    Esta técnica fue presentada por el investigador japonés Yosuke Hasegawa en la conferencia Security-Momiji. Se basa en el uso de caracteres de longitud cero (caracteres de ANCHO CERO), que no afectan en modo alguno a la visualización del nombre del archivo (ver Fig. 2). A continuación se muestran todos los símbolos de esta categoría:

    U+200B (ESPACIO DE ANCHO CERO) - U+200C (SIN JUNTA DE ANCHO CERO) - U+200D (ESPACIO DE JUNTA DE ANCHO CERO) - U+FEFF (ESPACIO DE ANCHO CERO SIN ROTURA) - U+202A (DE IZQUIERDA A DERECHA incrustación)

    Además, es posible utilizar la codificación UTF para falsificar los nombres de los archivos existentes. Esta técnica es utilizada a menudo por el malware moderno. En mi campo de visión encontré muestras de malware que realizaban este tipo de ataques. Por ejemplo, el malware TrojanDropper:Win32/Vundo.L (usado para phishing en los sitios web vk.com, vkontakte.ru, *odnoklassniki.ru) usa exactamente esta técnica.


    El archivo %SystemRoot%\system32\drivers\etc\hosts se copió en el archivo de hosts "clonado" con el carácter UTF "o" (0x043E), después de lo cual el original archivo de hosts atributo archivo oculto y su contenido se sobrescribió con las siguientes entradas añadidas:

    92.38.66.111 odnoklassniki.ru 92.38.66.111 vk.com 92.38.66.111 vkontakte.ru


    Suplantación de identidad del navegador web 1. barra de estado/ Enlace falso

    El principio de este ataque es cambiar dinámicamente la dirección de un enlace de hipertexto ( ). Por ejemplo, la víctima pasa el cursor del mouse sobre un enlace, después de lo cual la barra de estado del navegador muestra la dirección a la que lleva el enlace. Después de hacer clic en el enlace, el ingenioso código JavaScript reemplaza la dirección de transición en la dinámica. Un investigador amigo mío, conocido con el sobrenombre de iamjuza, se dedicó al estudio y desarrollo de PoC para explotar esta técnica en la práctica, pero sus desarrollos no fueron universales y solo funcionaron en navegadores específicos. Después de hacer un estudio similar, obtuve mejores resultados, pudiendo lograr una explotación universal de esta técnica de suplantación de identidad para todos los motores de navegación. Prueba de concepto publicada en 1337day.com. La implementación técnica se ve así:

    Método this.href=" :

    Materiales temáticos:
    ¿Cómo trabajar con la lista negra?
    ¿Cómo trabajar con la lista negra?
    Internet ilimitado desde mts
    Internet ilimitado desde mts
    ¿Qué tipo de conexión especificar al configurar el enrutador?
    ¿Qué tipo de conexión especificar al configurar el enrutador?
    Cómo funciona la aplicación Yandex Taxi para pasajeros
    Cómo funciona la aplicación Yandex Taxi para pasajeros
    Todas las formas de contactar con el operador de Tele2
    Todas las formas de contactar con el operador de Tele2
    Deshabilitar los servicios pagos de Megafon a través de un operador
    Deshabilitar los servicios pagos de Megafon a través de un operador
    Descripción de la tarifa
    Descripción de la tarifa "MTS Tablet
    cual es el internet mas rapido
    cual es el internet mas rapido

    Actualizado: 23/12/2020
    103583
    Si nota un error, seleccione un fragmento de texto y presione Ctrl + Enter
    COMPARTIR:

    Categorías de sitios

    Copyright © 2023 sukachoff.com - Windows. virus Cuadernos. Internet. oficina. Utilidades. Conductores