Spoofing del DNSè un metodo semplice per ingannare il sistema DNS, un blocco di risoluzione dei nomi DNS, utilizzando false informazioni ricevute da un host che non è responsabile di tali informazioni. Ogni pacchetto dns ha un numero id a 16 bit, il numero id è la parte del pacchetto dns che permette di identificare ogni pacchetto dns che passa attraverso la porta 53 e anche la richiesta può essere più di una volta. id è l'unico modo per distinguere tra le varie query dns ad esso associate, che i server dns utilizzano per determinare quale fosse la query originale. Nel caso di BIND, questo numero aumenta di 1 livello per ogni richiesta. È possibile eseguire un attacco simile a TCP seq id, sebbene sia più difficile. Anche se BIND non può memorizzare nella cache le informazioni che invii, passerà la risposta all'host originale. Nel caso in cui ircd effettui una richiesta per un PTR in risposta a un host che si connette ad esso, il pacchetto di risposta può essere formulato per contenere Informazioni aggiuntive, da cui ircd eseguirà la memorizzazione nella cache interna. Questo attacco richiede root "un accesso al server DNS responsabile di in-addr. arpa il blocco di informazioni DNS. Inoltre, ircd può memorizzare nella cache solo un dominio. C'è un altro attacco, poiché id è composto da 16 bit. L'utente potrebbe scorrere il intero idspace. Per falsificare il tuo dns, diciamo su DALNet "e, devi inviare 65000 richieste generate al server ns, non appena il computer riceve una risposta alla richiesta, dovrai leggere il pacchetto e l'id corretto sarà scritto in esso. Una volta ottenuto l'id, devi trovare uno "strumento per la creazione di pacchetti" per creare un pacchetto DNS. Resta solo da falsificare i pacchetti dns, inviarli ai ns. dal. net e ottenere una connessione TCP di spoofing.

Dichiarazione generale del problema A causa della rapida crescita di Internet, il problema della sicurezza risorse di informazione diventano sempre più importanti. Se sei connesso a Internet, il tuo sistema potrebbe essere attaccato. Considera il lavoro del DNS. L'indirizzamento fuori segmento viene eseguito dagli indirizzi IP, ma i server sono generalmente accessibili dai nomi di dominio. A questo proposito, è stato creato un sistema per convertire (corrispondere) i nomi di dominio in indirizzi IP - server DNS (Domain Name System). Questo sistema è responsabile della ricerca dell'indirizzo IP di un host remoto dal suo nome. Il principio di funzionamento del sistema DNS è il seguente: un host remoto invia una richiesta speciale all'indirizzo IP del server DNS più vicino, in cui indica il nome del server di cui è necessario trovare l'indirizzo IP. Dopo aver ricevuto la richiesta, il server DNS cerca nel suo database il nome di dominio richiesto. Se il nome viene trovato, il server DNS restituisce una risposta che indica l'indirizzo IP cercato. Se il nome specificato nella richiesta non viene trovato dal server DNS nel proprio database dei nomi, la richiesta DNS viene inviata dal server DNS a uno dei server DNS root e la procedura descritta in questo paragrafo viene ripetuta fino a quando il nome non viene trovato. Consideriamo uno schema generalizzato di un falso server DNS: in attesa di una richiesta DNS; aver ricevuto una richiesta DNS, estrarne le informazioni necessarie e trasmettere in rete all'host richiedente una falsa risposta DNS, per conto (dall'indirizzo IP) del vero server DNS, che indica l'indirizzo IP del falso server DNS ; in caso di ricezione di un pacchetto da un host, modificando il suo indirizzo IP nell'intestazione IP del pacchetto con l'indirizzo IP del falso server DNS e inviando il pacchetto al server (ovvero, il falso server DNS funziona con il server su proprio conto); in caso di ricezione di un pacchetto dal server, modifica del suo indirizzo IP nell'intestazione IP del pacchetto con l'indirizzo IP del falso server DNS e invio del pacchetto all'host (per l'host, il falso server DNS è il vero server ).

Condizione necessaria implementazione questa opzione attacco è l'intercettazione di una richiesta DNS. Ciò è possibile solo se l'attaccante si trova nel percorso del traffico principale o nel segmento del server DNS reale. L'adempimento di una di queste condizioni per la posizione dell'attaccante nella rete rende difficile l'attuazione pratica di un attacco così remoto (molto probabilmente l'attaccante non sarà in grado di entrare nel segmento del server DNS, e ancor di più nell'inter canale di comunicazione di segmento). Tuttavia, se queste condizioni sono soddisfatte, è possibile effettuare un attacco remoto inter-segmento su Internet. Il risultato di questo attacco è l'introduzione di una corrispondenza imposta tra l'indirizzo IP e nome del dominio mettere in cache Server DNS. Come risultato dell'attuazione riuscita di tale attacco, tutti gli utenti del DNS del nord riceveranno informazioni errate sui nomi di dominio e sugli indirizzi IP. Questo attacco è caratterizzato da un gran numero Pacchetto DNS con lo stesso nome di dominio. Ciò è dovuto alla necessità di selezionare alcuni parametri di scambio DNS.

Come mostra l'analisi dei metodi di protezione esistenti, contrastare gli attacchi può essere effettuato con i seguenti metodi. Per bonifico lavoro DNS lavorare sul protocollo TCP Il passaggio da UDP a TCP rallenterà un po' il sistema. Quando si utilizza TCP, è richiesta la creazione di una connessione virtuale e vale anche la pena considerare che i sistemi operativi di rete finali inviano prima una richiesta DNS utilizzando Protocollo UDP e nel caso in cui ricevano una risposta speciale dal server DNS, il sistema operativo di rete invierà una query DNS utilizzando TCP. L'uso del protocollo TCP complicherà l'attacco di spoofing dei pacchetti, ma rallenterà il lavoro. Analizzando il traffico DNS. Gli attacchi possono essere contrastati mediante l'analisi del traffico. I pacchetti contraffatti con indirizzi IP falsi vengono costantemente inviati al server DNS. Se il pacchetto falso ricevuto corrisponde al valore della richiesta, l'IP falso viene accettato come vero. Se non vi è alcuna intercettazione di pacchetti dal server, l'attacco è caratterizzato da un gran numero di pacchetti DNS con lo stesso nome. Ciò è dovuto alla necessità di selezionare alcuni parametri di scambio DNS. Analizzando il traffico DNS, puoi ignorare tali pacchetti per evitare lo spoofing dell'indirizzo IP.

Conclusioni Dopo aver studiato il funzionamento del server DNS, puoi vederlo Versione attualeè piuttosto subottimale e vulnerabile ad attacchi di vario genere. Gli attacchi possono essere contrastati analizzando il traffico DNS o cambiando il DNS da UPD a TCP. Nessuno dei due metodi fornisce una protezione completa contro gli attacchi, entrambi i metodi complicano solo la possibilità di un attacco. Entrambi i metodi richiedono risorse aggiuntive dal server. Nel caso di trasferimento del server DNS su TCP, aumenta anche il tempo di scambio tra i server, poiché il protocollo UDP è più veloce del protocollo TCP. SU questo momento, i modelli di contromisure proposti sono i più efficaci ed è consigliabile utilizzarli in combinazione per ottenere la massima sicurezza possibile.

Lo spoofing è un metodo di attacco piuttosto interessante che viene trascurato da molti professionisti della sicurezza. E invano, molto anche invano. Da questo articolo capirai quanto può essere ingannevole questo mondo così vario. Non credere ai tuoi occhi!

AVVERTIMENTO

Tutte le informazioni sono fornite solo a scopo informativo. Né gli editori né l'autore sono responsabili per eventuali danni causati dai materiali di questo articolo.

intro

Sento spesso dai colleghi del workshop che lo spoofing come vettore di attacco non è nemmeno degno di considerazione. Tuttavia, posso assicurarti che se i metodi di spoofing sono attentamente studiati, possono essere utilizzati per molto, molto. Inoltre, la portata ei risultati di tali attacchi sono talvolta catastrofici. Dopotutto, dopo aver ingannato i tuoi occhi una volta, ti ingannerò ulteriormente. L'argomento più importante a favore del fatto che gli attacchi di spoofing rappresentano un pericolo reale è che nessuna persona, compresi i professionisti, ne è immune. Va notato qui che lo spoofing in sé non fa nulla: per condurre un vero attacco hacker, è necessario utilizzare il post-sfruttamento (post-sfruttamento). Nella maggior parte dei casi, gli obiettivi del post-sfruttamento sono l'acquisizione standard, l'escalation dei privilegi, la distribuzione di massa malware e, di conseguenza, il furto di dati personali e chiavi elettroniche digitali dei sistemi bancari con ulteriore riciclaggio di denaro. In questo articolo, in primo luogo, voglio parlare di quali sono i metodi di spoofing in generale e, in secondo luogo, parlarvi in ​​dettaglio di alcuni approcci moderni. Naturalmente, tutte le informazioni ti vengono fornite solo allo scopo di aiutarti a proteggerti da tali attacchi.

Il passato e il presente dello spoofing

Inizialmente, il termine "spoofing" era usato come termine sicurezza della rete, che implica la riuscita falsificazione di determinati dati al fine di ottenere l'accesso non autorizzato a una particolare risorsa di rete. Nel tempo, questo termine ha iniziato ad essere utilizzato in altre aree della sicurezza informatica, sebbene la maggior parte dei cosiddetti specialisti della vecchia scuola oggi continui a utilizzare la parola "spoofing" solo per chiarire il tipo di attacchi di rete.

Primi cloni IDN

L'attacco che utilizza omografi IDN è stato descritto per la prima volta nel 2001 da Evgeny Gabrilovich e Alex Gontmakher del Technion Institute of Technology in Israele. Il primo caso noto di un attacco riuscito utilizzando questo metodo, è stato reso pubblico nel 2005 alla conferenza degli hacker ShmooCon. Gli hacker sono riusciti a registrare un falso dominio paypal.com (xn--pypal-4ve.com in Punycode), dove la prima lettera a è cirillica. Un post su Slashdot.org ha portato il problema all'attenzione del pubblico, dopodiché sia ​​i browser che gli amministratori di molti domini di primo livello hanno sviluppato e implementato contromisure.

Così, quando la Rete era agli albori, la maggior parte degli sforzi di programmatori e sviluppatori erano rivolti principalmente all'ottimizzazione degli algoritmi dei protocolli di rete. La sicurezza non era così critica come lo è oggi e, come spesso accade, riceveva pochissima attenzione. Di conseguenza, otteniamo errori banali e fondamentali protocolli di rete, che continuano ad esistere oggi, nonostante varie patch (perché nessuna patch può correggere un errore di protocollo logico). Qui sono necessari cambiamenti totali, che la Rete nella rappresentazione esistente semplicemente non sopravviverà. Ad esempio, nell'articolo "Attacchi DNS: ieri, oggi, domani" (][ #5 2012) Ho parlato di disastroso vulnerabilità fondamentali nei sistemi DNS, l'uso di UDP (che, a differenza di TCP/IP, non è sicuro perché privo di un meccanismo integrato per prevenire lo spoofing) e una cache locale.

Vettori

A seconda degli scopi e degli obiettivi, i vettori di spoofing possono essere suddivisi in vettori locali (locali) e di rete (net). Sono loro che considereremo in questo articolo. Nel caso di un vettore locale, il sistema operativo stesso, installato sul computer della vittima, nonché alcuni tipi di applicazioni che spesso richiedono ulteriore analisi dipende dalla situazione. Gli oggetti degli attacchi nel vettore di rete, al contrario, sono più astratti. I principali sono i componenti sistemi di informazione rappresentato da reti locali e globali. Considera i principali tipi di spoofing.

Spoofing TCP/IP e UDP: attacchi a livello di trasporto. A causa di errori fondamentali nell'implementazione del trasporto dei protocolli TCP e UDP, sono possibili i seguenti tipi di attacchi:

• Spoofing IP: l'idea è di falsificare l'indirizzo IP modificando il valore del campo sorgente nel corpo del pacchetto IP. Viene utilizzato per modificare l'indirizzo dell'attaccante, ad esempio, al fine di provocare un pacchetto di risposta all'indirizzo desiderato;
• Lo spoofing ARP è una tecnica di attacco nelle reti Ethernet che consente di intercettare il traffico tra gli host. Basato sull'uso del protocollo ARP;
• Avvelenamento della cache DNS: avvelenamento della cache DNS del server;
• NetBIOS/NBNS spoofing - basato sulle peculiarità della risoluzione dei nomi delle macchine locali all'interno delle reti Microsoft.

Referrer spoofing - sostituzione del referrer.

Avvelenamento delle reti di condivisione file - phishing nelle reti di condivisione file.

Spoofing ID chiamante: spoofing del numero di telefono del chiamante nelle reti VoIP

Spoofing dell'indirizzo di posta elettronica - spoofing indirizzi email mittente.

Spoofing GPS: spoofing di pacchetti da un satellite per confondere un dispositivo GPS.

Spoofing della posta vocale: spoofing del numero segreteria telefonica al fine di phishing delle password della vittima.

Lo spoofing degli SMS è un metodo di spoofing basato sulla sostituzione dei numeri dei mittenti degli SMS.

Gli ultimi sviluppi nel campo dello spoofing

Le tecniche più comuni sono già abbastanza vecchie e battute. Rete globale letteralmente brulicante di informazioni sulle possibili variazioni del loro funzionamento e protezione contro di esse. Oggi ne esamineremo alcuni ultimi metodi spoofing, il cui utilizzo sta solo guadagnando slancio, a partire dai vettori locali e termina con i vettori di rete. Quindi, tutto è in ordine.

Fiammeggiante e scandaloso spoofing dei certificati Microsoft

Avviso di sicurezza Microsoft (2718704) - I certificati digitali non autorizzati possono consentire lo spoofing. Una cosa piuttosto interessante è stata trovata nelle istanze del famigerato spy bot Flamer: sulla base dei risultati del reverse engineering dei componenti di questo malware, è stata trovata una sezione di codice responsabile della conduzione di attacchi di spoofing come il phishing. Simulando la fornitura di certificati originali di grandi aziende, il bot ha effettuato un attacco MITM, il cui scopo era quello di intercettare i dati personali degli utenti rete aziendale con il successivo invio al server degli sviluppatori. Questo incidente di spoofing ha ricevuto l'avviso di sicurezza n. 2718704 con un livello di gravità Alto.

Spoofing nel sistema operativo 1. Spoofing dell'estensione: spoofing dell'estensione del file

Una tecnica che ha visto la luce grazie agli sviluppi di un ricercatore cinese nel settore informazioni di sicurezza Zhitao Zhou. L'essenza di questa tecnica è utilizzare il carattere di controllo 0x202E (RLO) nel nome del file, che consente di modificare l'ordine dei caratteri durante la visualizzazione del nome del file in Windows Explorer(explorer.exe) Ecco un esempio di utilizzo di questa semplice tecnica:

Super musica caricata entro le 15:00.SCR

Il file 3pm.SCR non è altro che file eseguibile, che implementa determinate funzioni ( Troiano. - Circa. redattore). Se il carattere di controllo 0x202E viene inserito all'inizio del nome del file "3pm.SRC" (vedi Fig. 1), l'ordine dei caratteri viene invertito e il nome del file viene visualizzato nell'explorer Già Windows Altrimenti:

Super musica caricata da RCS.mp3

Per modificare l'icona del file, utilizzare qualsiasi editor di risorse (Restorator, hacker di risorse). Questa tecnica è progettata per un utente incauto che potrebbe scambiare questo file per una canzone e aprirlo con un doppio clic, avviando così un programma dannoso. Sfortunatamente, questa tecnica non funzionerà nei programmi Explorer simili a Unicode. Di seguito è riportato il codice C# che esegue una modifica del nome file anteponendo il carattere di controllo 0x202E:

Public Sub U_202E(file As String, extension As String) Dim d As Integer = file.Length - 4 Dim u As Char = ChrW(823) Dim t As Char() = extension.ToCharArray() Array.Reverse(t) Dim dest As String = file.Substring(0, d) & u & New String(t) & file.Substring(d) System.IO.File.Move(file, dest) End Sub

2. Spoofing del nome del file: clonazione del nome del file

Questa tecnica è stata presentata dal ricercatore giapponese Yosuke Hasegawa alla conferenza Security-Momiji. Si basa sull'utilizzo di caratteri di lunghezza zero (ZERO WIDTH Characters), che non pregiudicano in alcun modo la visualizzazione del nome del file (vedi Fig. 2). Di seguito sono riportati tutti i simboli di questa categoria:

U+200B (ZERO WIDTH SPACE) - U+200C (ZERO WIDTH NON-JOINER) - U+200D (ZERO WIDTH JOINER) - U+FEFF (ZERO WIDTH NO-BREAK SPACE) - U+202A (SINISTRA-DESTRA incorporamento)

Inoltre, è possibile utilizzare la codifica UTF per falsificare i nomi dei file esistenti. Questa tecnica è spesso utilizzata dal malware moderno. Nel mio campo visivo mi sono imbattuto in campioni di malware che hanno effettuato tali attacchi. Ad esempio, il malware TrojanDropper:Win32/Vundo.L (utilizzato per eseguire il phishing dei siti Web vk.com, vkontakte.ru, *odnoklassniki.ru) utilizza esattamente questa tecnica.

Il file %SystemRoot%\system32\drivers\etc\hosts è stato copiato nel file hosts "clone" con il carattere UTF "o" (0x043E), dopodiché l'originale file hosts attributo file nascosto e il suo contenuto è stato sovrascritto con le seguenti voci aggiunte:

92.38.66.111 odnoklassniki.ru 92.38.66.111 vk.com 92.38.66.111 vkontakte.ru

Spoofing del browser Web 1. barra di stato/ Collegamento falso

Il principio di questo attacco è modificare dinamicamente l'indirizzo di un collegamento ipertestuale ( ). Ad esempio, la vittima posiziona il cursore del mouse su un collegamento, dopodiché la barra di stato del browser visualizza l'indirizzo a cui conduce il collegamento. Dopo aver fatto clic sul collegamento, l'astuto codice JavaScript sostituisce l'indirizzo di transizione nelle dinamiche. Un mio amico ricercatore, conosciuto con il nickname iamjuza, era impegnato nello studio e nello sviluppo di PoC per sfruttare nella pratica questa tecnica, ma i suoi sviluppi non erano universali e funzionavano solo su specifici browser. Dopo aver svolto uno studio simile, ho ottenuto risultati migliori, essendo in grado di ottenere uno sfruttamento universale di questa tecnica di spoofer per tutti i motori di browser. Proof-of-Concept pubblicato su 1337day.com. L'implementazione tecnica è simile a questa:

Metodo this.href=" :