В последнее время DNS подвергается критике, поскольку национальные государства и хакерские группы крадут учетные данные ничего не подозревающих жертв.

В последнее время DNS подвергается критике, поскольку национальные государства и хакерские группы нацелены на DNS как на метод кражи учетных данных у ничего не подозревающих жертв.

По оценкам Techcrunch Хакеры сначала скомпрометировали намеченную цель с помощью целевого фишинга. Затем они использовали известные эксплойты для атак на серверы и маршрутизаторы и перемещения внутри сети. В ходе этого процесса хакеры получили пароли, которые позволили им обновить записи DNS, указывая доменное имя с IP-адреса на целевом сервере на сервер, контролируемый хакером. Это позволило хакеру получить имя пользователя и пароли, используя атаку «человек посередине». Хакер также использовал поддельные сертификаты, чтобы вредоносный хакерский сервер выглядел как настоящий веб-сервер.

Существует очень мало способов предотвратить эту атаку. Вот несколько областей, на которых следует сосредоточиться:

1. Реализация двухфакторной авторизации для всех изменений записей DNS. Хотя в теории это очень разумный шаг, на практике он сложен, поскольку не все регистраторы его поддерживают.
2. Блокировка реестра – это похоже на кредитную блокировку ваших финансовых отчетов. Это предотвращает несанкционированные, нежелательные или случайные изменения доменного имени у регистратора-спонсора. К сожалению, не все домены верхнего уровня поддерживают блокировку реестра.
3. Развертывание системы безопасности электронной почты для перехвата и предотвращения успешной фишинговой кампании.
4. Инструменты обнаружения вредоносного ПО на хосте

Starlight стремится использовать нашу унифицированную платформу аналитики безопасности для обнаружения, оповещения и реагирования на подобные типы поведения. Наш повсеместный сбор данных в сочетании с передовой обработкой данных и машинным обучением дает нам множество областей, где мы можем обнаруживать подобные типы атак по всей цепочке кибер-убийств Lockheed Martin. Если атака пропущена на одном этапе цепочки убийств, мы поймаем ее на другом этапе.

1. Успешные целевые фишинговые кампании в конечном итоге оставляют для выполнения новые двоичные файлы. Stellar Cyber ​​встроила систему анализа вредоносного ПО, которая собирает двоичный файл при передаче, сравнивает его с известными сигнатурами и, в конечном итоге, помещает в «песочницу» для тестирования. Результаты этого тестирования повлекут за собой принятие мер, если тест определит, что двоичный файл является вредоносным по своей природе.
2. Если двоичный файл проходит проверку на наличие вредоносного ПО, наши серверные датчики обнаруживают установку и выполнение аномальных двоичных файлов и предупреждают об этих действиях.
3. Если двоичный файл не обнаружен, результирующие действия по управлению и контролю будут обнаружены, предупреждены и потенциально заблокированы.
4. Двоичные файлы, которые выдают команды ОС, также считаются аномальными и вызывают предупреждение.
5. Сертификаты с проверкой домена. Поскольку эти сертификаты могут создаваться без вмешательства человека, их можно использовать, чтобы дать конечному пользователю ложное чувство безопасности. Одним из примеров сертификата с проверкой домена является «Lets Encrypt». Наша платформа Starlight имеет возможность обнаруживать проверенные сертификаты домена и предупреждать о них.

Глубокоэшелонированная защита все еще жива (несмотря на некоторые дискуссии об обратном). Обнаружение новых методов атак зависит от видимости и обнаружения на всех этапах цепочки действий в области кибербезопасности. Stellar Cyber ​​имеет уникальные возможности, чтобы помочь вам быстро обнаружить и защититься от атак такого типа.

Дэвид В. Бартон
Chief Information Security Officer
615-939-2861
www.stellarcyber.ai