Comment les pirates usurpent les requêtes DNS en empoisonnant le cache

L'usurpation de serveurs de noms de domaine (DNS) est une cyberattaque dans laquelle un attaquant dirige le trafic de la victime vers un site malveillant (au lieu d'une adresse IP légitime). Les attaquants utilisent l'empoisonnement du cache DNS pour intercepter le trafic Internet et voler des informations d'identification ou des informations confidentielles. L'empoisonnement du cache DNS et l'usurpation DNS sont des concepts identiques, souvent utilisés comme synonymes. Le pirate informatique veut inciter les utilisateurs à saisir des informations personnelles sur un site Web non sécurisé. Comment peut-il y parvenir? En empoisonnant le cache DNS. Pour ce faire, le pirate usurpe ou remplace les données DNS d'un site spécifique, puis redirige la victime vers le serveur de l'attaquant au lieu du serveur légitime. Ainsi, le hacker atteint son objectif, car de larges opportunités s'offrent à lui: il peut mener une attaque de phishing , voler des données ou même injecter des logiciels malveillants dans le système de la victime.

Qu'est-ce que l'usurpation DNS et l'empoisonnement du cache?

Avant de commencer à parler de l'empoisonnement du cache DNS, examinons d'abord ce que sont la mise en cache DNS et DNS. DNS est le répertoire mondial des adresses IP et des noms de domaine. On peut dire que c'est une sorte d'annuaire téléphonique sur Internet. DNS traduit des adresses conviviales telles que varonis.com en adresses IP telles que 92.168.1.169, qui sont utilisées par les ordinateurs pour travailler sur le réseau. La mise en cache DNS est un système de stockage d'adresses sur des serveurs DNS du monde entier. Pour accélérer le traitement de vos requêtes DNS, les développeurs ont créé un système DNS distribué. Chaque serveur tient à jour une liste d'enregistrements DNS qu'il connaît, appelée cache. Si le serveur DNS le plus proche de vous n'a pas l'adresse IP souhaitée, il interroge les serveurs DNS en amont jusqu'à ce que l'adresse du site Web que vous essayez d'atteindre soit trouvée.Votre serveur DNS stocke ensuite cette nouvelle entrée dans votre cache pour obtenir une réponse plus rapide la prochaine fois.

Exemples et conséquences de l'empoisonnement du cache DNS

Le concept DNS n'est pas adapté aux spécificités de l'Internet moderne. Bien sûr, le DNS a évolué au fil du temps, mais il suffit maintenant d'avoir un serveur DNS mal configuré pour que des millions d'utilisateurs ressentent l'impact. Exemple - attaque sur WikiLeakslorsque des attaquants ont utilisé l'empoisonnement du cache DNS pour intercepter le trafic, le redirigeant vers leur propre clone du site. Le but de cette attaque était de détourner le trafic de WikiLeaks, et elle a obtenu un certain succès. L'empoisonnement du cache DNS n'est pas facile à détecter pour les utilisateurs ordinaires. Le DNS est actuellement construit sur la confiance, et c'est son point faible. Les gens font trop confiance au DNS et ne vérifient jamais si l'adresse de leur navigateur correspond à ce qu'ils veulent vraiment. Les attaquants utilisent cette insouciance et cette inattention pour voler des informations d'identification et d'autres informations importantes.

Comment fonctionne l'empoisonnement du cache DNS?

Empoisonner le cache DNS signifie que le serveur DNS le plus proche de vous contient un enregistrement qui vous envoie à la mauvaise adresse, qui est généralement contrôlée par un attaquant. Les attaquants utilisent un certain nombre de techniques pour empoisonner le cache DNS.

Interception du trafic LAN à l'aide de l'usurpation ARP

Vous serez surpris de la vulnérabilité d'un réseau local. De nombreux administrateurs peuvent être assurés qu'ils ont bloqué tous les accès possibles, mais, comme vous le savez, le diable est dans les détails.



L'un des problèmes courants est le travail à distance des employés . Comment pouvez-vous être sûr que leur réseau Wi-Fi est sécurisé? Les pirates peuvent déchiffrer un mot de passe Wi-Fi faible en quelques heures.



Un autre problème concerne les ports Ethernet ouvertsaccessible à tous dans les couloirs, halls et autres lieux publics. Imaginez: un visiteur peut connecter un câble Ethernet à son appareil pour l'affichage du hall. Comment un pirate informatique peut-il utiliser l'accès à votre réseau local obtenu de l'une des manières ci-dessus? Premièrement, il pourra créer une page de phishing pour collecter des identifiants et d'autres informations précieuses. Ensuite, il peut héberger ce site soit sur un réseau local, soit sur un serveur distant, et pour cela il n'a besoin que d'une seule ligne de code Python. Le pirate peut alors commencer à espionner le réseau en utilisant des outils spéciaux comme Betterrcap. À ce stade, le pirate examine le réseau et effectue une reconnaissance, mais le trafic passe toujours par le routeur.Un attaquant peut alors altérer le protocole ARP (Address Resolution Protocol) pour modifier la structure du réseau de l'intérieur. ARP est utilisé par les périphériques réseau pour associer l'adresse MAC d'un périphérique à une adresse IP sur un réseau. Bettercap enverra des messages, forçant tous les appareils du réseau à considérer l'ordinateur du pirate comme un routeur. Avec cette astuce, un pirate informatique pourra intercepter tout le trafic réseau passant par le routeur. Une fois le trafic redirigé, un attaquant peut lancer le module Bettercap pour usurper le DNS. Ce module recherchera toutes les requêtes adressées au domaine cible et enverra de fausses réponses à la victime. La fausse réponse contient l'adresse IP de l'ordinateur de l'attaquant, redirigeant toutes les requêtes vers le site cible vers une page de phishing créée par l'attaquant. Le pirate voit désormais le trafic destiné à d'autres appareils sur le réseau,recueille les informations d'identification saisies et injecte des téléchargements malveillants.

Si le pirate ne parvient pas à accéder au réseau local, il recourra à l'une des attaques suivantes.

Forger des réponses avec une attaque d'anniversaire

DNS n'authentifie pas les réponses aux requêtes récursives, la première réponse est donc mise en cache. Les attaquants utilisent le soi-disant paradoxe de l'anniversaire pour essayer de prédire et d'envoyer une fausse réponse au demandeur. L' attaque d'anniversaire utilise les mathématiques et la théorie des probabilités pour prédire . Dans ce cas, l'attaquant tente de deviner l'ID de transaction de votre requête DNS, et en cas de succès, le faux enregistrement DNS vous parvient avant une réponse légitime. Il n'est pas garanti que l'attaque d'anniversaire réussisse, mais à la fin, un attaquant pourra mettre en cache une fausse réponse. Une fois l'attaque réussie, le pirate informatique pourra voir le trafic du faux enregistrement DNS jusqu'à la fin du cycle de vie (TTL) de l'enregistrement DNS....

est une variante de l'attaque d'anniversaire. Dan Kaminsky, qui a découvert cette vulnérabilité, l'a présentée pour la première fois lors de la conférence BlackHat en 2008. L'essence de l'exploit est que le pirate envoie d'abord une demande de résolveur DNS pour un domaine inexistant, par exemple fake.varonis.com. Après avoir reçu une telle demande, le résolveur DNS la redirige vers un serveur de noms faisant autorité pour obtenir l'adresse IP du faux sous-domaine. À ce stade, l'attaquant submerge le résolveur DNS avec un grand nombre de fausses réponses dans l'espoir que l'une de ces fausses réponses correspondra à l'ID de transaction de la demande d'origine. En cas de succès, le pirate usurpe l'adresse IP dans le cache du serveur DNS, par exemple, comme dans notre exemple avec varonis.com. Le résolveur continuera à répondre à tous les demandeurs que la fausse adresse IP varonis.com est réelle,jusqu'à ce que l'enregistrement DNS expire.

DNS?

Comment détecter si le cache DNS est empoisonné? Pour ce faire, vous devez surveiller vos serveurs DNS à la recherche d'indicateurs d'une éventuelle attaque. Cependant, personne n'a la puissance de calcul nécessaire pour gérer de tels volumes de requêtes DNS. La meilleure solution consiste à appliquer des analyses de sécurité des données à votre surveillance DNS. Cela distinguera le comportement DNS normal des attaques malveillantes.

• Une augmentation soudaine de l'activité DNS d'une source contre un domaine indique une attaque d'anniversaire potentielle.

• Une augmentation de l'activité DNS à partir d'une seule source, qui interroge votre serveur DNS pour plusieurs noms de domaine sans récursivité, indique une tentative de sélection d'un enregistrement pour un empoisonnement ultérieur.

En plus de La surveillance DNS doit également surveiller les événements Active Directory et le comportement du système de fichiers afin de détecter une activité anormale à temps. Mieux encore, utilisez l'analyse pour trouver la relation entre les trois vecteurs. Cela fournira des informations contextuelles précieuses pour renforcer votre stratégie de cybersécurité.

Méthodes de protection contre l'empoisonnement du cache DNS

En plus de la surveillance et de l'analyse, vous pouvez apporter des modifications aux paramètres du serveur DNS:

• Limitez les requêtes récursives pour vous prémunir contre un éventuel empoisonnement ciblé du cache.
• stocker uniquement les données liées au domaine demandé;
• limiter les réponses uniquement à celles liées au domaine demandé;
• exigent que les clients utilisent le protocole HTTPS.

Assurez-vous que vous utilisez les derniers logiciels BIND et DNS et disposez ainsi de toutes les dernières corrections de vulnérabilité. Si possible, par exemple dans le cas de travailleurs distants, veillez à ce que tous les ordinateurs distants soient connectés via un VPN. Cela empêchera le trafic et les requêtes DNS d'être surveillés localement. De plus, encouragez les employés à créer des mots de passe forts pour les réseaux Wi-Fi afin d'atténuer les risques également.



Enfin, utilisez des requêtes DNS chiffrées. Modules de sécurité du service de noms de domaine (DNSSEC)Est un protocole DNS qui utilise des requêtes DNS signées pour empêcher l'usurpation d'identité. Lors de l'utilisation de DNSSEC, le résolveur DNS doit vérifier la signature auprès d'un serveur DNS autorisé, ce qui ralentit l'ensemble du processus. En conséquence, le DNSSEC n'a pas encore été largement accepté.



DNS sur HTTPS (DoH) et DNS sur TLS (DoT)sont des spécifications concurrentes pour la prochaine version de DNS et, contrairement à DNSSEC, sont conçues pour sécuriser les requêtes DNS sans sacrifier la vitesse. Cependant, ces solutions ne sont pas idéales car elles peuvent ralentir ou rendre complètement impossible la surveillance et l'analyse localement du DNS. Il est important de noter que DoH et DoT peuvent contourner les contrôles parentaux et autres blocages au niveau DNS définis sur le réseau. Quoi qu'il en soit, Cloudflare, Quad9 et Google ont des serveurs DNS publics avec prise en charge DoT. De nombreux nouveaux clients prennent en charge ces normes modernes, bien que la prise en charge soit désactivée par défaut. Vous pouvez trouver plus de détails à ce sujet dans notre article sur la sécurité DNS .



L'usurpation DNS remplace l'adresse IP légitime du site par l'adresse IP de l'ordinateur du pirate. Il est très difficile de détecter la substitution, car du point de vue de l'utilisateur final, il entre une adresse de site Web absolument normale dans le navigateur. Malgré cela, une telle attaque peut être stoppée. Les risques peuvent être atténués en utilisant la surveillance DNS, par exemple de Varonis , ainsi que la norme de chiffrement DNS over TLS (DoT).

Empoisonnement du cache: questions fréquemment posées

Consultez les questions et réponses courantes sur l'usurpation de DNS.

L'empoisonnement du cache DNS et l'usurpation du cache DNS (usurpation) sont la même chose?

Oui, le même type de cyberattaque est appelé empoisonnement du cache et usurpation de cache.

Comment fonctionne l'empoisonnement du cache DNS?

L'empoisonnement du cache incite votre serveur DNS à y stocker un faux enregistrement DNS. Après cela, le trafic est redirigé vers le serveur choisi par le pirate informatique, où les données sont volées.

Quelles mesures de sécurité peuvent être appliquées pour se protéger contre l'empoisonnement du cache DNS?

Les propriétaires de sites peuvent effectuer une surveillance et des analyses pour détecter l'usurpation DNS. Vous pouvez également mettre à jour vos serveurs DNS pour utiliser des modules de sécurité du système de noms de domaine (DNSSEC) ou un autre système de cryptage tel que DNS sur HTTPS ou DNS sur TLS. L'utilisation généralisée du cryptage complet de bout en bout tel que HTTPS peut également empêcher l'usurpation DNS. Les agents de sécurité d'accès au cloud (CASB) sont extrêmement utiles à ces fins. Les utilisateurs finaux peuvent vider un cache DNS potentiellement usurpé en vidant périodiquement le cache DNS de leur navigateur ou après s'être connecté à un réseau non sécurisé ou public. L'utilisation d'un VPN peut protéger contre l'usurpation DNS sur le réseau local. Évitez les liens suspects. Cela aidera à éviter le risque de contaminer le cache de votre navigateur.

Comment pouvez-vous vérifier si vous avez été touché par une attaque d'empoisonnement du cache?

Une fois le cache DNS empoisonné, il est difficile à détecter. Une bien meilleure tactique consiste à surveiller vos données et à protéger votre système contre les logiciels malveillants pour vous protéger des fuites de données dues à l'empoisonnement du cache DNS. Visitez notre laboratoire interactif de cyberattaques pour voir comment nous utilisons la surveillance DNS pour détecter les menaces de cybersécurité dans le monde réel.

Comment fonctionne la communication DNS?

Lorsqu'un utilisateur final entre une URL telle que Varonis.com dans son navigateur, les événements suivants se produisent:

1. Le navigateur vérifiera d'abord son cache local pour les données DNS déjà stockées.
2. Si ces données sont manquantes, il interrogera le serveur DNS en amont, qui est généralement votre routeur sur le réseau local.
3. DNS, , DNS, Google, Cloudflare Quad9.
4. DNS- .
   
   4.1. , DNS-, DNS « .com».
   
   4.2. .com, « Varonis.com», URL.
   
   4.3. « IP- Varonis.com», IP- .
5. Les données DNS sont ensuite renvoyées dans la chaîne jusqu'à ce qu'elles atteignent l'appareil de l'utilisateur final. Tout au long de l'itinéraire, chacun des serveurs DNS écrira la réponse reçue dans son propre cache pour une utilisation ultérieure.

Comment les attaquants empoisonnent-ils le cache DNS?

Il existe de nombreuses façons d'empoisonner le cache, et voici les plus courantes: forcer la victime à cliquer sur un lien malveillant qui utilise du code intégré pour modifier le cache DNS dans le navigateur de l'utilisateur; Piratage d'un serveur DNS local à l'aide d'une «attaque intermédiaire». L '«attaque intermédiaire» susmentionnée utilise l'usurpation d'adresse ARP (Address Resolution Protocol) pour rediriger les requêtes DNS vers un serveur DNS contrôlé par un attaquant.

Qu'est-ce que l'empoisonnement du cache DNS?

L'empoisonnement du cache DNS consiste à remplacer une entrée dans la base de données DNS par une adresse IP conduisant à un serveur malveillant contrôlé par un attaquant.

Comment l'usurpation DNS est-elle effectuée?

Un pirate informatique effectue une attaque d'usurpation DNS en accédant et en modifiant le cache DNS ou en redirigeant les requêtes DNS vers son propre serveur DNS.

Qu'est-ce que l'usurpation DNS?

L'usurpation DNS signifie que l'URL que l'utilisateur entre dans un navigateur, tel que varonis.com, ne conduit pas réellement à l'adresse IP officielle correcte associée à cette URL. Au lieu de cela, l'utilisateur est redirigé vers un serveur malveillant contrôlé par le pirate informatique.

Pourquoi l'usurpation DNS est-elle dangereuse?

L'usurpation DNS est dangereuse car, de par sa nature même, le DNS (Domain Name System) est considéré comme fiable, de sorte qu'il n'est souvent protégé par aucun type de cryptage. Cela conduit au fait que les pirates peuvent usurper des enregistrements dans le cache DNS pour continuer le vol de données, injecter des logiciels malveillants, hameçonner et bloquer les mises à jour.

La principale menace posée par une attaque d'usurpation DNS est le vol de données via des pages de phishing. De plus, il existe un risque que des logiciels malveillants soient introduits sous le couvert de fichiers téléchargeables qui semblent réels. Aussi, si le système est mis à jour via Internet, un attaquant peut bloquer la mise à jour en modifiant les enregistrements DNS afin qu'ils ne mènent pas au site souhaité.