DNS как улика
Зачем нужен DNS?
DNS — один из ключевых интернет-протоколов, который применяется даже там, где нет пользователей (в «Интернете вещей») и позволяет сопоставлять символьные и числовые адреса интернет-узлов. DNS давно стал стандартом де-факто, и уже немногие задумываются о том, насколько он безопасен и какое применение ему способны найти злоумышленники. По сути, это протокол-невидимка корпоративной сети — он присутствует везде, но мало кто его видит и контролирует. К сожалению, защита внешней DNS-инфраструктуры находится в введении третьих лиц, обязанных внедрять DNSSEC, средства борьбы с DDoS на DNS-серверы, защиту на уровне регистраторов и т. п. Но нам подвластна внутренняя DNS-инфраструктура — ее мы и должны защитить от широкого спектра угроз, о которых часто забывают специалисты по информационной безопасности.
Угрозы
Я хотел бы выделить имеющие DNS-природу угрозы, о которых следует помнить:
Typosquatting — это сложно переводимое на русский язык слово (часто его так и пишут: «тайпсквоттинг») означает ошибку в написании имени сайта, чем активно пользуются кибермошенники. Например, если вы сейчас зайдете на сайт sbirbank.ru (вместо sberbank.ru), то вы увидите не «ошибку 404», а сайт онлайн-казино «Вулкан», чья задача — не давать гражданам деньги в виде кредитов, а изымать их в виде проигрышей в азартных играх. Как это ни парадоксально, но вариантов сделать ошибку в написании названия домена в строке браузера не так уж и много, они неслучайны и предсказуемы. Более того, существуют даже специальные утилиты, автоматизирующие процесс поиска таких доменов, которые затем используются злоумышленниками.
Редиректы — обычная практика в Интернете, когда попытка зайти на определенный домен приводит к переадресации. Скажем, я владею несколькими доменами и часть из них переадресуется на совершенно иные сайты. Но в руках злоумышленников такая возможность превращается в опасность, поскольку переадресуемый домен может содержать вредоносный код. В частности, сервис коротких ссылок bit.ly (сейчас он блокируется многими провайдерами, в том числе и в России) переадресует пользователей на различные сайты в Интернете, 97% которых являются опасными.
Fast Flux использует еще одну вполне законную интеррнет-практику. За одним DNS-адресом обычно скрывается один IP-адрес. В случае же с Fast Flux за одним DNS-адресом скрываются сотни и тысячи IP-адресов, меняющихся с большой скоростью (один раз в 3 минуты) и перенаправляющих пользователей на разные зараженные узлы. Такое переключение не только усложняет расследование, но и позволяет выстраивать злоумышленникам отказоустойчивую инфраструктуру (выход из строя нескольких IP-адресов не отражается на эффективности всей инфраструктуры Fast Flux).
Вредоносный код. Еще в 2014 году в ежегодном отчете Cisco по информационной безопасности утверждалось, что 100% корпоративных сетей обращаются к сайтам, распространяющим вредоносный код. Спустя год в отчете той же Cisco была приведена другая цифра — 91% вредоносных программ используют протокол DNS для своего обновления, загрузки новых функциональных модулей или получения команд. Согласно тому же отчету только 60% компаний мониторят DNS-трафик на предмет взаимодействия с командными серверами (C&C).
DGA (Domain Generation Algorithm) — название еще одной уловки злоумышленников, которые уже не сами выдумывают названия доменов для вредоносных программ, за них это делают специальные алгоритмы, способные создавать сотни и тысячи доменных имен для своей деятельности. Выглядеть они могут вот так —- chaseonline.amer.gslbjpmchase.com или jtmvtchedyscmn.me.
Утечки информации — в этой угрозе нет ничего нового, кроме одного: для своей реализации она может использовать протокол DNS, обычно разрешенный на периметре и на межсетевом экране. А если речь идет о мобильном устройстве корпоративного пользователя (например, ноутбук руководителя), то тут даже межсетевой экран никак не поможет — его попросту на мобильном устройстве нет.
Помогает ли традиционная защита?
Первое, с чего следует начать выстраивать стратегию защиты от DNS-угроз, — задействовать уже существующие механизмы защиты — антивирусы, межсетевые экраны, VPN-решения и т. п. Это в любом случае необходимо сделать, поскольку они предоставляют хоть какой-то уровень защиты. Однако ожидать от них чего-то серьезного все же не стоит. Список типовых недостатков традиционных средств защиты информации представлен в таблице:
|
Средство защиты |
Недостаток |
|
Антивирус |
Согласно отчету «2015 Data Breach Investigation Report» от Verizon, от 70 до 90% вредоносных программ уникальны для каждой организации, а значит, обычный сигнатурный антивирус не способен их обнаруживать (в его базе таких сигнатур на момент заражения еще нет). Поэтому вредоносный код, использующий DNS (а это не менее 90%), плохо детектируется традиционными антивирусными решениями. |
|
Межсетевой экран |
DNS-протокол необходим для работы компании, и запретить его на межсетевом экране нельзя. Кроме того, нужно помнить, что, по данным Gartner (в России цифра может быть немного иной), 49% компьютеров сегодня мобильные, а следовательно, могут и не находиться под сенью периметровых средств защиты. |
|
Сканер уязвимостей |
Поиск слабых мест в корпоративных приложениях не позволяет бороться с DNS-угрозами, так как злоумышленники используют не уязвимости, а стандартные функции протокола. |
|
VPN-решение |
Направление всего трафика через VPN на периметровый шлюз, способный фильтровать DNS-протокол, позволяет решить часть проблем, но у нас остаются мобильные пользователи. Кроме того, по данным OpenDNS, 69% всех удаленных офисов и площадок обычно имеют прямой доступ в Интернет, и для их защиты потребуется либо менять топологию сети, либо приобретать шлюзы в каждый офис, что экономически не всегда целесообразно. |
Давайте рассмотрим реальный пример. На свой смартфон пользователь получает e-mail-сообщение со ссылкой на резюме, якобы размещенное в социальной сети LinkedIn. Выглядит эта ссылка следующим образом:
http://www.linkedin.com/do?action=viewMessage&q=member&id=46258219
На самом же деле это только видимый адрес, реальная же ссылка ведет на:
http://dixontax.com/wp-content/angle.php
Ура, мы обнаружили фишинговую ссылку и заблокируем ее! Но увы. Данная ссылка не содержит ничего опасного — по указанному адресу находится несложный HTML-код:
Скрипт же, состоящий из множества трехзначных чисел, трансформируется браузером в строку вида:
window.top.location.href='http://brainsxhops.com/?a=401336&c=cpc&s=050217'
Первая ссылка (в домене linkedin.com) вполне легитимная и неопасная. Вторая ссылка (в домене dixontax.com) тоже чистая. И только третья ссылка, ведущая на домен brainsxhops.com, является вредоносной. Способен ли ваш межсетевой экран распознавать такие многоуровневые переходы? Большинство неспособно. Что же делать?
Продвинутая защита на уровне DNS
К упомянутым выше средствам защиты необходимо добавить еще три уровня обеспечения безопасности. Первый заключается в анализе DNS-трафика на уровне межсетевого экрана. Такие решения (они могут носить название NGFW или межсетевые экраны следующего поколения) позволяют вам получать из внешних источников так называемые DNS-фиды — они содержат регулярно обновляемые списки вредоносных доменов, которые необходимо блокировать при обращении к ним ваших корпоративных пользователей. Это достаточно простой способ повысить защиту от DNS-угроз, поскольку обычно такие фиды включают ссылки на командные серверы вредоносных программ, Fast Flux, домены-спамеры, фишинговые домены и т. п. У этого метода, к сожалению, есть и недостатки — он не способен «видеть» трафик, который через межсетевой экран (кстати, не каждый NGFW имеет функцию инспекции DNS) не проходит — удаленные офисы, мобильные пользователи и т. п. А это, по прогнозам Gartner, составляет до 25% всего корпоративного трафика.
Второй уровень защиты заключается в использовании специализированных облачных шлюзов безопасности, через которые может направляться весь трафик ваших стационарных и мобильных пользователей, центрального и удаленных офисов. Данный механизм позволяет фильтровать доступ к различным вредоносным доменам, но обычно (хотя бывают и исключения) он ориентирован на мониторинг только HTTP-трафика. В принципе, такие шлюзы способны защитить от различных редиректов, описанных выше, тайпсквоттинга или Fast Flux, но вредоносный код, использующий DGA-домены для своего обновления или утечки информации, вновь остается вне контроля. Кроме того, 15% вредоносных программ не используют веб-порты 80 и 443 для своего управления и остаются незамеченными.
Как было бы хорошо, если бы DNS-сервис, предоставляемый оператором связи или какой-либо интернет-компанией, позволял бы не только сопоставлять символьные и численные адреса узлов во Всемирной сети, но и инспектировал такие запросы на предмет их безопасности. На самом деле такие сервисы есть. Те же поисковики «Яндекс» или Google предоставляют подобную функцию. Их DNS-серверы, прописанные в настройках ваших компьютеров, маршрутизаторов, межсетевых экранов, мобильных устройств и других гаджетов, позволяют фильтровать доступ к вредоносным ресурсам, независимо от того, идете ли вы через браузер или какое-то вредоносное ПО на вашем компьютере незаметно пытается установить связь с управляющей инфраструктурой. Но у таких бесплатных сервисов (кстати, следует назвать и OpenDNS Personal) есть и обратная сторона — они негибки для корпоративного применения. Вы не можете настроить там разные политики для разных пользователей, а также не имеете возможности получать статистику посещения Интернета, формировать отчеты и проводить расследования тех или иных инцидентов или нарушений политики безопасности компании.
Поэтому вершиной пирамиды корпоративной защиты на уровне DNS являются специализированные сервисы (например, OpenDNS или SkyDNS), позволяющие получить не только надежный DNS-сервис, но и полноценную систему фильтрации доступа в Интернет, работающую независимо от того, из какого места подключается пользователь — из дома, с работы, из отпуска или командировки. На функционирование данных сервисов не влияет и то, какое соединение происходит — подключается человек, приложение (в том числе вредоносное) или узел «Интернета вещей». К тому же продвинутые сервисы обладают различными аналитическими механизмами, способными детектировать DGA-домены и даже предсказывать их появление с параллельным блокированием прежде, чем их задействует реальный вредоносный код.
В качестве примера возьмем вредоносную программу Locky, которая до сих пор является очень активной и заражает несколько десятков тысяч компьютеров в день. Один из доменов, с которого распространялся Locky, выглядел следующим образом: *.7asel7[.]top. В принципе, данную маску можно было «загнать» в межсетевой экран или облачный защитный шлюз и предотвратить будущие атаки. Но… это не защитило бы от вредоносного Locky, названного именем скандинавского бога обмана. Правильная система контроля и защиты DNS-трафика провела бы сопоставление названного домена и определила бы, что за ним скрывается целая инфраструктура Fast Flux с постоянно изменяющимися IP-адресами. Один из таких адресов — 185.101.218.206, где висело свыше 1000 DGA-доменов вида ccerberhhyed5frqa.8211fr[.]top, которые еще не использовались в деле и только ждали своего часа. Продвинутая система защиты DNS могла бы не только распознать DGA-домены, но и, предвосхитив распространение с них вредоносного кода, сразу их блокировать. В этом заключается отличие традиционных и достаточно статичных средств периметровой, или хостовой, защиты от решений, построенных на применении различных математических моделей, машинного обучения и т. п. Но вернемся к Locky. Второй IP-адрес, висящий на первоначально обнаруженном домене 91.223.89.201, был зарегистрирован в автономной системе с номером AS 197569, где (о совпадение!) находились другие DGA-домены mhrbuvcvhjakbisd[.]xyz и jbrktqnxklmuf[.]info, которые также могли бы быть автоматически заблокированы.
В качестве заключения, или DNS как улика
Помимо угроз, которые могут быть реализованы через DNS, данный протокол позволяет помогать в расследовании инцидентов, когда требуется нужна детальная и оперативная информация по конкретному домену:
-
Кем создан домен?
-
Когда он создан?
-
Где он зарегистрирован?
-
С кем взаимодействует домен?
-
Какие еще домены привязаны к IP-адресу или автономной системе, на которых висит анализируемый домен, или какие домены еще зарегистрированы на e-mail владельца?
-
· Связаны ли с доменом какие-нибудь инциденты (рассылка спама, вредоносного кода, фишинг и т. п.)?
Ответить на эти вопросы можно, либо проведя ручной анализ с помощью сервиса или утилиты WHOIS, либо воспользовавшись специализированными сервисами, помогающими в расследовании инцидентов на базе DNS. К таким сервисам следует отнести OpenDNS Investigate, PassiveTotal, DomainTools, Webroot и другие. Они же способны помочь и в смежных с безопасностью задачах, в частности, при поиске сайтов-клонов в рамках защиты бренда или при обнаружении сайтов фейковых новостей, которые могут пытаться скрыться за красивым дизайном, но не удалить полностью следы своей активности в DNS-среде. Зайдем, к примеру, на сайт mail.ru и попробуем перейти на одну из новостей, отображенных на главной странице. Вы попадете на один из новостных агрегаторов, которые вам выдают сенсации, что найден живой Гитлер или простой способ обогащения. Один из таких агрегаторов находится на домене media-personal.com, а он, в свою очередь, расположен на IP-адресе: 79.171.117.12, где зарегистрировано… еще свыше 200 новостных сайтов с совершенно различными именами доменов. Причем реальный адрес владельца всех доменов скрыт, а значит, это сайт фейковых новостей, ставших причиной геополитического конфликта между Россией и всем миром. И все это можно обнаружить с помощью анализа DNS, также легко позволяющего идентифицировать и потенциальные жертвы для тайпсквоттинга.
В заключение мне бы хотелось постулировать очень простую мысль. Злоумышленники не стоят на месте и постоянно совершенствуют свой арсенал, позволяющий им оставаться в корпоративных сетях незамеченными до 200 дней (это средняя статистика по данным разных компаний, занимающихся кибербезопасностью). Такой привычный нам протокол DNS, на котором построен весь Интернет и который мы обычно рассматриваем как данность, не требующую контроля, давно уже облюбован злоумышленниками, использующими DNS для обхода традиционных средств защиты. Поэтому для эффективной борьбы с киберпреступниками сегодня необходимо включать в свой арсенал инструментарий по контролю, мониторингу и защите DNS. И не забывать, что DNS, используемый злоумышленниками, может и должен применяться службами информационной безопасности для расследования инцидентов и поимки плохих парней, в противном случае остающихся безнаказанными.
Опубликовано 01.11.2017
