Перейти к содержимому


Фото
- - - - -

«Доктор Веб»: около 9% банковских доменов используют неправильные настройки DNS


  • Please log in to reply
9 ответов в этой теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 6 491 Сообщений:

Отправлено 16 Август 2017 - 16:50

17 августа 2017 года

Компания «Доктор Веб» уже рассказывала о том, что неправильная настройка DNS-серверов в совокупности с другими факторами может стать одной из возможных причин компрометации веб-сайта. Проведенное нашими аналитиками исследование показало, что подобные проблемы актуальны для многих российских финансовых учреждений и некоторых государственных организаций.

Доменная система имен (DNS, Domain Name System) позволяет получать информацию о доменах и обеспечивает адресацию в Интернете. С помощью DNS клиентское программное обеспечение, в частности браузер, определяет IP-адрес интернет-ресурса по введенному URL. Администрированием DNS-серверов занимаются, как правило, сами владельцы доменов.

Многие интернет-ресурсы помимо основного домена второго уровня используют несколько дополнительных доменов третьего или даже четвертого уровней. Например, домен drweb.com использует поддомены vms.drweb.ru, на котором размещается сайт, позволяющий проверить ссылку, файл или найти описание вируса, free.drweb.ru — домен для веб-страницы утилиты Dr.Web CureIt!, updates.drweb.com — страница системы обновлений Dr.Web и т д. С использованием таких доменов обычно реализованы различные технические и вспомогательные службы — системы администрирования и управления сайтом, системы онлайн-банкинга, веб-интерфейсы почтовых серверов и всевозможные внутренние сайты для сотрудников компании. Также поддомены могут быть задействованы, например, для организации систем контроля версий, баг-трекеров, различных служб мониторинга, вики-ресурсов и прочих нужд.

При осуществлении целевых атак на веб-сайты с целью их компрометации злоумышленники в первую очередь собирают информацию о целевом интернет-ресурсе. В частности, они пытаются определить тип и версию веб-сервера, который обслуживает сайт, версию системы управления контентом, язык программирования, на котором написан «движок», и прочую техническую информацию, среди которой — список поддоменов основного домена атакуемого веб-сайта. С использованием такого списка злоумышленники могут попытаться проникнуть в инфраструктуру интернет-ресурса через «черный ход», подобрав учетные данные и успешно авторизовавшись на одном из внутренних непубличных сервисов. Многие системные администраторы не уделяют должного внимания безопасности таких ресурсов. Между тем такие «внутренние» сайты могут использовать устаревшее программное обеспечение с известными уязвимостями, содержать отладочную информацию или допускать открытую регистрацию. Все это может значительно упростить задачу злоумышленникам.

Если обслуживающие веб-сайт DNS-серверы настроены правильно, взломщики не смогут получить по своему запросу информацию о доменной зоне. Однако в случае неправильной настройки DNS-серверов специальный AXFR-запрос позволяет киберпреступникам получить полные данные о зарегистрированных в доменной зоне поддоменах. Неправильная настройка DNS-серверов сама по себе не является уязвимостью, однако может стать косвенной причиной компрометации интернет-ресурса.

Аналитики «Доктор Веб» провели исследование настройки DNS-серверов ряда российских банков и государственных организаций. Было установлено, что из примерно 1000 проверенных доменов российских банков 89 отдают доменную зону в ответ на внешний AXFR-запрос. Информация об этом была передана в Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT) Банка России. Кроме того, некорректные настройки были выявлены на сайтах нескольких государственных организаций. Компания «Доктор Веб» напоминает администраторам сайтов о том, что корректная настройка DNS является одним из факторов, способных обеспечить безопасность интернет-ресурсов.


Читать оригинал

#2 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 1 178 Сообщений:

Отправлено 17 Август 2017 - 13:58

https://forum.drweb.com/index.php?showtopic=326052&page=3#entry833591 Читали уже... Мартьянову совсем скучно?
Сердце решает кого любить... Судьба решает с кем быть...

Версия Сервера Dr.Web 10.01.0 (17-08-2017 05:00:00)
Linux 3.10.0-693.5.2.el7.x86_64 x86_64; ; glibc 2.17; NPTL 2.17

#3 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 177 Сообщений:

Отправлено 17 Август 2017 - 14:20

Сидел дома, пил пиво, решил скрипт накатать, да проверить банки. А тут новости пиарщикам писать не о чем :-D


Личный сайт по Энкодерам - http://vmartyanov.ru/


#4 Holmogorov

Holmogorov

    Newbie

  • Dr.Web Staff
  • 75 Сообщений:

Отправлено 17 Август 2017 - 16:00

Сидел дома, пил пиво, решил скрипт накатать, да проверить банки. А тут новости пиарщикам писать не о чем :-D

 

Сам ты пиарщик  :D



#5 v.martyanov

v.martyanov

    Guru

  • Virus Analysts
  • 8 177 Сообщений:

Отправлено 17 Август 2017 - 16:11

 

Сидел дома, пил пиво, решил скрипт накатать, да проверить банки. А тут новости пиарщикам писать не о чем :-D

 

Сам ты пиарщик  :D

 

Вот и инициатор! А я в это время энкодера-Сотону ковырял!


Личный сайт по Энкодерам - http://vmartyanov.ru/


#6 ivsero

ivsero

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 19 Август 2017 - 21:22

При осуществлении целевых атак на веб-сайты с целью их компрометации злоумышленники в первую очередь собирают информацию о целевом интернет-ресурсе. В частности, они пытаются определить тип и версию веб-сервера, который обслуживает сайт, версию системы управления контентом, язык программирования, на котором написан «движок», и прочую техническую информацию, среди которой — список поддоменов основного домена атакуемого веб-сайта.

 

Сведения о поддоменах можно получить через DNSDB даже если AXFR-транзакции для домена запрещены в настройках DNS. Безусловно, доступ к DNSDB еще нужно получить, но если речь идет о целевых атаках, то это априори означает, что злоумышленник неплохо подготовлен и вполне может обладать возможностью воспользоваться DNSDB.

 

При этом открытый для всех трансфер AXFR упрощает работу скрипт-киддисам. 


Сообщение было изменено ivsero: 19 Август 2017 - 21:23


#7 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 1 178 Сообщений:

Отправлено 19 Август 2017 - 22:12

Сведения о поддоменах можно получить через DNSDB даже если AXFR-транзакции для домена запрещены в настройках DNS.

Да ну?! Сомневаюсь... AXFR да, отдаcт всю зону, но это как криво надо настроить свой сервер?

А вообще мое мнение такое, не нужно сотрудникам компании заниматься такими исследованиями и писать про это. Кто-то может начать ковырять Вас, ну а Вы в свою очередь можете оказаться к этому не готовы.
Сердце решает кого любить... Судьба решает с кем быть...

Версия Сервера Dr.Web 10.01.0 (17-08-2017 05:00:00)
Linux 3.10.0-693.5.2.el7.x86_64 x86_64; ; glibc 2.17; NPTL 2.17

#8 ivsero

ivsero

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 19 Август 2017 - 22:23

Да ну?! Сомневаюсь... AXFR да, отдаcт всю зону, но это как криво надо настроить свой сервер?

 

Дело не в настройках DNS. DNSDB - это внешний сервис, который пополняет свою базу знаний из других источников. 



#9 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 1 178 Сообщений:

Отправлено 19 Август 2017 - 22:45

Да ну?! Сомневаюсь... AXFR да, отдаcт всю зону, но это как криво надо настроить свой сервер?

 
Дело не в настройках DNS. DNSDB - это внешний сервис, который пополняет свою базу знаний из других источников.

Я поняла...

https://www.farsightsecurity.com/solutions/dnsdb/- выдает кучу мусора, который только все еще больше запутает (как мне кажется). Чуть ли не вся история домена.
Сердце решает кого любить... Судьба решает с кем быть...

Версия Сервера Dr.Web 10.01.0 (17-08-2017 05:00:00)
Linux 3.10.0-693.5.2.el7.x86_64 x86_64; ; glibc 2.17; NPTL 2.17

#10 ivsero

ivsero

    Newbie

  • Posters
  • 75 Сообщений:

Отправлено 19 Август 2017 - 22:48

 

 

Да ну?! Сомневаюсь... AXFR да, отдаcт всю зону, но это как криво надо настроить свой сервер?

 
Дело не в настройках DNS. DNSDB - это внешний сервис, который пополняет свою базу знаний из других источников.

 

Я поняла...

https://www.farsightsecurity.com/solutions/dnsdb/- выдает кучу мусора, который только все еще больше запутает (как мне кажется). Чуть ли не вся история домена.

 

 

Исторические данные по домену как раз могут быть весьма кстати в некоторых случаях  ;)




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых