Posts Tagged ‘dns’
В зоне .org появилась поддержка DNSSEC
Интернет-корпорация ICANN официально одобрила запрос регистратора доменной зоны .org Public Interest Registry на полномасштабное развертывание поддержки протокола DNSSEC. Таким образом, зона .org стала первой из международных доменных зон, организовавшей поддержку безопасного протокола работы с доменной информацией полный текст
Источник: Cybersecurity.ru
Что такое DNSSEC ?
DNSSEC (расширение для безопасность DNS ) добавляет безопасности в системе доменных имен.
DNSSEC была разработана для защиты от некоторых Интернет-атак, таких как DNS cache poisoning [0].
Она представляет собой набор расширений для DNS, которые предусматривают:
а) происхождения подлинности данных DNS.
б) целостность данных.
в) отказ в подлинности своего существования.
Эти механизмы требуют изменений в протокол DNS.
DNSSEC добавляет четыре новых ресурсов запись вида:
- Resource Record Signature (RRSIG)
- DNS Public Key (DNSKEY)
- Delegation Signer (DS)
- Next Secure (NSEC).
Эти новые РРП, подробно описаны в RFC 4034.
ZLOB – фейковые DNS сервера.
Как сообщает TrendLabs Malware blog – сеть из фейковых DNS серверов принадлежащих ZLOB, на данный момент используются для подмены результатов поисковых систем. Трояны ZLOB меняют у жертвы адреса DNS серверов в настройках на свои, в результате чего могут подставлять фейковые IP адрес при запросе на резолв адресов поисковых систем. После этого пользователь работает уже не с настоящим сайтом, а с фейковым поисковиком, который может вставлять свои ссылки в результаты запросов поисковых систем. В принципе эта схема будет работать ещё долго,так как поисковики на данный момент ничего не могут поделать с этим. Троян живет на компе жертвы, а значит они бессильны.
Если раньше трояны вживались в ОС, «инжектились» в процессы браузеров, перехватывали\подменивали трафик браузеров,устанавливали компоненты для браузеров (BHO), то хакеры сейчас пошли дальше. И это радует :) Как работала схема ? После того как троян попадал на комп жертвы, он отслеживал запуск популярных браузеров, затем «внедрял» себя в адресное пространство процесса браузера и следил за действиями пользователя. Если жертва выполняла какой-нибудь запрос в поисковые системы, троян тут же перехватывал результат ( перехват функций сокетов recv\WSARecv\HttpRequest в ws2_32.dll\wsocks32.dll ) и вставлял фейковые ссылки своих клиентов.
Чем лучше подмена DNS ? Тем что не надо делать лишних тело-движений, нужно всего лишь подменить адреса DNS серверов и следить за тем что бы их не поменяли обратно. Не надо парится с обходом антивирусов и проактивных защит, не надо обходить файрволы для получения задания из центрального сервера ботнета. И все ! А дальше уже работает фейковы сервер куда уйдет запрос жертвы..
Решение проблемы для корпоративной сети?…
