DOMAIN HIJACKING EL SECUESTRO DE UN DOMINIO

Los laboratorios de Morphus advierte sobre otra amenaza importante el incidente de secuestro de dominio Hijacking

Los laboratorios de Morphus advierten esta semana sobre otra amenaza importante. Renato Marinho y Victor Pasknel comentan un incidente de secuestro de dominio, una amenaza que puede subvertir por completo su estrategia de seguridad de la información. A continuacón se describe como prevenir este tipo de incidente y como prevenirlos.

¿Como se inicia el incidente del secuestro de un dominio?

El CSO de una gran empresa, comienzan a recibir mensajes de varias fuentes, incluyendo prensa, informando de que todas sus direcciones de Internet de la organización están recibiendo visitantes a sitios web falsos que ofrece contenido malicioso en forma de módulos de seguridad falsas y / o actualizaciones.

Lo que parecía ser un ataque al sitio web de la configuración de la wwb, resultó ser algo mucho peor. Al examinar más de cerca, se da cuenta de que los delincuentes hicieron, de hecho, el secuestro de todo el dominio de la organización y se dirige a todas las direcciones de sitios web falsos con el objetivo es robar información de sus clientes y la propagación de código malicioso.

Sistema de nombres de dominio (DNS) básico

Para una mejor comprensión de lo que sucedió, es importante comprender algunos conceptos básicos de DNS. Si está familiarizado con este tema, puede saltarse estos parrafos.

DNS significa Domain Name System y funciona como una base de datos para Internet. Todos los nombres de direcciones que usamos todos los días para llegar a los sitios web y otros servicios de Internet tienen que ser traducidas a IP (Protocolo de Internet); el proceso de traducción o la resolución entre el nombre de una dirección de Internet y la dirección IP es la principal función de los servidores DNS.

Los servidores DNS funcionan como una jerarquía de clases, donde se pasan las peticiones de resolución a través de él al servidor correcto que se encarga de resolver los nombres para un determinado dominio, se alcanzaron. La raíz de esta jerarquía, que es el punto de dominio invisible ( ".") En el final de cualquier dirección de Internet, está controlada por un grupo de servidores DNS distribuidos en diferentes lugares de todo el mundo. Esos servidores DNS raíz tienen que conocer la dirección IP de los servidores DNS que están a cargo de todos los dominios de nivel superior (TLD), como el ".com". Los servidores DNS ".com", a su vez, tienen que conocer la dirección IP de los servidores DNS que están a cargo de nombre de dominio de su empresa, así como "yourdomain.com" y así sucesivamente.

Por ejemplo, cuando alguien pide "www.yourdomain.com.", La solicitud llega a los servidores raíz ( ".") Que a su vez, llega a los servidores de ".com", que, a su vez, llega a los servidores DNS de su empresa, que finalmente resuelve la dirección de "www" y devolver la dirección IP correcta.

Los dominios de primer nivel son controlados y gestionados por los operadores de registro, también llamado Centro de Información de Red (NIC). Los operadores de registro de gestionar el registro de nombres de dominio dentro de los dominios de los que son responsables. Por lo tanto, el operador ".com" del registro es la organización que llevará a cabo la configuración de los servidores DNS de direcciones IP que están a cargo de la resolución de la dirección IP de un dominio como "yourcompany.com".

Para que se registre como propietario de un dominio en cualquier operador de registro, usted tiene que crear previamente una cuenta (básicamente, nombre de usuario y contraseña) en su portal web. Esta cuenta se utiliza para administrar las direcciones IP de los servidores DNS que redireccionen a las direcciones IP de su sitio web o servidores de correo electrónico.

Tenga en cuenta que las credenciales de acceso a la información de operador del portal son extremadamente sensibles. Alguien malicioso en posesión de dicha información sería capaz de cambiar cualquier configuración de sus dominios, incluyendo las direcciones IP de los servidores DNS. En resumen, podría secuestrar el dominio de Internet de su empresa y de destino sitios web y correos electrónicos a cualquier dirección que él quería.

En el incidente quetrataron en Morphus Labs, eso es exactamente lo que sucedió. Los piratas informaticos robaron las credenciales del operador de registro y cambiar la configuración primaria y secundaria servidores DNS apuntando a los de los criminales. Después de eso, todos los clientes de la compañía se dirigen a un sitio web falso compañía para descargar contenido malicioso que fueron sugeridas por el contenido falso. Podemos imaginar lo que la estrategia de los criminales se hubieran tenido éxito en la difusión de sus programas maliciosos.

¿Como actuar ante el incidente de secuentro de dominio o Hijacking?

A diferencia de la mayoría de los incidentes cibernéticos, que tiene casi nada quiere ver en su propia infraestructura revertir la situación, como la recuperación de copia de seguridad o configuraciones. Al igual que lo ocurrido en este incidente, todos los servidores estaban intactos.


Fecha actualización el 2017-7-2. Fecha publicación el . Categoría: Malware. Autor: Mapa del sitio
secuestro de dominio