Что происходит с безопасностью DNS?

Не так давно стало известно, что компания Google внесла в списки запрещенных целые группы субдоменов, например, домены co.cc, которые широко используются для размещения вредоносных сайтов. Примерно в это же время я начал изучать новые способы выявления доменов, связанных с вредоносным контентом, с помощью анализа данных DNS.

В процессе исследования я просто посылал AXFR-запросы DNS-серверам доменов, которые выглядели подозрительно, но я быстро обнаружил, что слабую конфигурацию серверов имен имеют не только домены, используемые для размещения фишинговых сайтов. Многие сайты государственных органов и серверы имен доменов первого уровня поддерживают AXFR-запросы. Это само по себе не является уязвимостью, но информация, получаемая от серверов имен в ответ на такие запросы, может быть очень ценной для злоумышленников.

AXFR — опкод для переноса зоны DNS (DNS zone transfer). Это тип DNS-запросов, позволяющий вам как внешнему субъекту получить все данные DNS, относящиеся к данному домену. Такие запросы используют администраторы для репликации баз данных DNS между DNS-серверами. AXFR-запросы также позволяют злоумышленникам получить все DNS-данные, относящиеся к определенному домену.

Последнее время целевые атаки и хактивизм стали очень актуальными темами. Это создало определенное давление на органы государственной власти, общественные организации и многие крупные компании. Мы видим, что в компаниях обеспечению безопасности стали придавать большее значение, но создается впечатление, что в основном внимание уделяют новым и технически сложным уязвимостям, в то время как про старые и простые не вспоминают.

Один из первых проведенных мною тестов заключался в проверке того, какая часть доменов верхнего уровня поддерживает AXFR. Я использовал список доменов верхнего уровня, размещенный на сайте IANA (администратора корневого домена) по адресу https://media.kasperskycontenthub.com/wp-content/uploads/sites/58/2011/07/21183734/tlds-alpha-by-domain.txt. К моему удивлению, около 30% всех серверов имен, обслуживающих домены верхнего уровня, позволяли использовать AXFR.

Это заставило меня задуматься, и я написал простой скрипт, добавляющий перед доменным именем верхнего уровня различные имена и пытающийся отправить AXFR-запрос на доступные серверы имен соответствующего домена. Это может быть полезно для проверки таких доменов, как co.cc, cz.co и др.

Я знаю, что существуют определенные «стандарты» организации доменов. Например, многие правительства используют обозначение «gov» перед именем домена верхнего уровня, указывающее на то, что сайт принадлежит правительственному органу, например, gov.se и gov.com. Я решил встроить проверку подобных доменов в свой скрипт и снова был удивлен: оказалось, что достаточно существенная часть правительственных доменов — 12% — позволяет использовать AXFR:

Однако цель этого проекта была совершенно иной. Мне нужно было выявить сайты, так или иначе связанные с вредоносным контентом, поэтому я решил составить список серверов имен и собрать данные с каждого сервера. В какой-то момент я заметил, что злоумышленники, регистрирующие домены для распространения вредоносного ПО, часто используют имена, которые легко отличить от имен «законопослушных» доменов. Часто в имени домена присутствуют случайные символы или название компании, на которую планируется совершить атаку.

Проблема выявления вредоносных сайтов

Подобная практика использования доменных имен со случайно выбранными символами или названием компании-жертвы очень широко применяется при создании фишинговых сайтов. Например, очень часто встречаются доменные имена типа login.yahoo.com.somedomain.com.

Я просто проанализировал свою базу данных с целью найти строки, типичные для фишинговых сайтов. Ниже для примера приведен скриншот одного из найденных мною фишинговых сайтов:

Но выявить удалось не только фишинговые сайты. Были обнаружены разнообразные вредоносные ресурсы, в том числе используемые для распространения фальшивых антивирусов, содержащие вредоносные Javascript-скрипты для проведения drive-by атак, командные серверы ботнетов и фермы ботов.

Заключение

Данные DNS уже давно представляют большой интерес для экспертов по информационной безопасности, а поднявшийся в последнее время шум по поводу вредоносных доменов и безопасности DNS только подтверждает необходимость следить за ситуацией вокруг этого протокола.
Мой коллега Евгений Асеев написал интересный блог о недавнем включении доменов в список запрещенных.

Меня поразило количество данных, которые мне удалось добыть с помощью AXFR-запросов, и количество сайтов, которые все еще отправляют данные в ответ на такие запросы. Формирование списка жертв — один из важнейших шагов в целевой атаке, а перенос зон DNS позволяет злоумышленникам получить массу интересной информации, а также полный список потенциальных целей атаки. Я бы хотел посоветовать всем владельцам доменов пересмотреть организацию зон и используемые настройки, чтобы предотвратить утечку данных.