DNS Hijacking چیست؛ ۴ راهکار تضمینی برای مقابله با حملات DNS

حملات DNS یا DNS Hijacking چیست. ربودن سرور نام دامنه (DNS) که به آن تغییر مسیر DNS نیز می‌گویند، نوعی حمله DNS است که در آن کوئری‌های DNS به اشتباه ریزالو می‌شوند تا کاربران را به‌طور غیرمنتظره به سایت‌های مخرب هدایت کنند. برای انجام این حمله، مرتکبین بدافزار را بر روی رایانه‌های کاربر نصب می‌کنند، روترها را تصاحب می‌کنند، و یا ارتباطات DNS را رهگیری یا هک می‌کنند. در این مقاله به شما خواهیم گفت DNS Hijacking چیست و در ادامه با ۴ راهکار مقابله با حمله DNS آشنا خواهیم شد.

حملات DNS یا ربودن DNS چیست؟

DNS Hijacking در ثبت دامنه اصلاح عمومی‌ می‌باشد، و به طور کلی، دو تکنیک دیگر را پوشش می‌دهد. ربودن DNS به هر حمله ای اشاره دارد که کاربر نهایی را فریب دهد تا فکر کند با یک نام دامنه قانونی ارتباط برقرار می‌کند در حالی که در واقع با نام دامنه یا آدرس IP که مهاجم تنظیم کرده است ارتباط برقرار می‌کند. گاهی اوقات به این نوع حملات، تغییر مسیر DNS نیز گفته می‌شود.

راه‌های زیادی برای انجام ربودن نیم سرور وجود دارد، رایج‌ترین روشی که می‌بینیم توسط یک پورتال شرکت‌های اینترنت دهنده مانند یک‌هات اسپات وای‌فای جهت پرداخت استفاده می‌شود، است. قبل از اینکه کاربر هزینه دسترسی را پرداخت کند، سرویس‌هات اسپات تمام درخواست‌های DNS را ضبط می‌کند، و بدون توجه به آنچه خواسته شد، آدرس IP سرور پرداخت را برمی‌گرداند تا کاربر بتواند دسترسی اینترنت را خریداری کند.

تغییر تنظیمات دستگاه سرویس گیرنده برای استفاده از یک سرور DNS دیگر، یکی دیگر از روش‌های رایج حمله است. مهاجم می‌تواند تنظیمات DNS کاربر را تغییر دهد، بنابراین به جای استفاده از ۸٫۸٫۸٫۸، از آدرس IP یک سرور DNS تحت کنترل مهاجم استفاده می‌کند. هنگامی‌که کاربر برای bank.example.com پرس و جو می‌کند، سرور DNS مهاجم می‌تواند یک آدرس IP پنهان شده به عنوان وب سایت هدف را برگرداند، یا به عنوان یک پروکسی برای گرفتن تمام داده‌های ارسال شده به وب سایت واقعی عمل کند. این دقیقاً همان کاری است که تروجان/بدافزار DNSChanger انجام داد.

راه دیگر دسترسی غیرمجاز به داده‌های معتبر DNS است، مانند سرقت رمز عبور شخصی، سوء استفاده از آسیب‌پذیری سیستم ورود DNS یا برخی تکنیک‌های هوشمندانه دیگر. نمونه‌ای از آن اخیراً در اخبار منتشر شد، زمانی که وزارت امنیت داخلی (DHS) دستور اضطراری (https://cyber.dhs.gov/ed/19-01) را به دلیل دستکاری مخرب ورودی‌های DNS دولتی صادر کرد.

برخی از حملات به این واقعیت مربوط می‌شوند که دامنه‌های خاصی هنگام استفاده از فونت‌ها یا کدگذاری‌های مختلف شبیه به هم هستند. این نوع حمله به عنوان حمله هوموگراف نیز شناخته می‌شود. یکی از تلاش‌های قبلی برای فیشینگ استفاده از نام دامنه paypai.com بود. مهاجم نام دامنه را ثبت کرد، و حرف i را با حروف بزرگ نوشت تا مانند L کوچک به نظر برسد (paypaI)، و بسیاری را فریب داد که فکر کنند این PayPal.com قانونی است. اکنون با پشتیبانی از کاراکترهای بین المللی در DNS، تشخیص تفاوت بین عبارات املای مشابه مانند ėxample.com1 و example.com حتی دشوارتر است.

علاوه بر این، حملات مبتنی بر مرورگر وجود دارد، که از انواع ترفندهای جاوا اسکریپت یا مرورگر وب برای مخفی کردن نوار URL استفاده می‌کنند، بنابراین وقتی کاربر در واقع از www.internetbadguys.com بازدید می‌کند، نوار URL در مرورگر ممکن است بانک را نشان دهد. برخی از نسخه‌های این حمله از جاوا اسکریپت استفاده می‌کنند، بنابراین کاربر نمی‌تواند برای دیدن نوار URL به بالای صفحه وب حرکت کند. یک حمله اخیر با نام “Inception Bar” مرورگرهای کروم موبایلی را هدف قرار می‌دهد که این نوع حمله را انجام می‌دهند و یک نوار URL نادرست را نمایش می‌دهند.

دلایل حمله DNS چیست؟

اخیرا مهاجمان متوجه شده‌اند که روترها یک نقطه ضعف در زنجیره امنیتی هستند، به ویژه به این دلیل که محافظت داخلی نسبتاً ضعیفی دارند، معمولاً با رمزهای عبور پیش‌فرض مدیریت ارسال می‌شوند که متأسفانه تعداد زیادی از کاربران هرگز آن‌ها را تغییر نمی‌دهند، و دارای سیستم‌افزار نادر هستند. موارد امنیتی ضروری به تأیید و بررسی تنظیمات DNS روتر و به روز رسانی منظم رمز عبور روتر خلاصه می‌شود.

در مدیریت نام دامنه سازمان شما، مهمترین قدم برای شرکت‌ها برای جلوگیری از سرقت DNS استفاده از قفل رجیستری برای جلوگیری از تغییرات غیرمجاز است. علاوه بر این، مطمئن شوید که مجوز دو مرحله ای را در دسترسی به حساب خود فعال کنید.

اگر سرویس میزبان شما قفل‌های رجیستری یا ۲FA را ارائه نمی‌دهد، باید به طور جدی به یکی از قفل‌هایی که عملاً امکان پذیر است تغییر دهید. فراتر از آن، DNSSEC  (برنامه‌های امنیتی سیستم نام دامنه) را در کنترل پنل سایت خود فعال کنید. این کار به جلوگیری از تغییر مسیرهای DNS، مسمومیت حافظه پنهان، Pharming و حملات انسان در وسط (man in the middle) با احراز هویت وضوح آدرس‌های IP با امضای رمزنگاری کمک می‌کند.

برای از بین بردن مشکل جستجوهای DNS بین نقاط پایانی توزیع شده و شبکه سازمان شما، شرکت‌ها باید از یک سرویس VPN معتبر استفاده کنند. همچنین، مطمئن شوید که از نقاط پایانی و شبکه خود با یک راه حل امنیتی مستقل و نسل جدید محافظت کنید.

سرور نام DNS یک زیرساخت بسیار حساس است که به اقدامات امنیتی قوی نیاز دارد، زیرا می‌تواند توسط هکرها ربوده شده و برای نصب حملات DDoS بر روی دیگران استفاده شود.

اما در ادامه با دلایل DNS Hijacking آشنا شویم. ربودن DNS می‌تواند برای فارمینگ (در این زمینه، مهاجمان معمولاً تبلیغات ناخواسته را برای ایجاد درآمد نشان می‌دهند) یا برای فیشینگ (نمایش نسخه‌های جعلی سایت‌هایی که کاربران به آنها دسترسی دارند و سرقت داده‌ها یا اعتبارنامه‌ها) استفاده شود.

بسیاری از ارائه‌دهندگان خدمات اینترنتی (ISP) نیز از نوعی سرقت DNS استفاده می‌کنند تا درخواست‌های DNS کاربر را در اختیار بگیرند، آمار را جمع‌آوری کنند و هنگامی‌که کاربران به یک دامنه ناشناخته دسترسی پیدا می‌کنند، تبلیغات به جای سایت اصلی برگردانند. برخی از دولت‌ها از ربودن DNS برای سانسور استفاده می‌کنند و کاربران را به سایت‌های مجاز دولتی هدایت می‌کنند.

ربودن DNS همچنین می‌تواند در داخل شبکه شما رخ دهد. بدافزار در یک رایانه محلی می‌تواند سرور DNS مورد استفاده مشتری را تغییر دهد، به طوری که نام دامنه یک دستگاه خاص به اشتباه به IP انتخاب شده توسط مهاجم حل شود. به طور مشابه، اگر عوامل تهدید بتوانند روتر شبکه شما را نقض کنند و آدرس‌های سرور جستجو را در آنجا تغییر دهند، می‌توانند برای هر کلاینت در آن شبکه از یک نفوذ به همان اثر دست یابند.

یکی از ساده‌ترین راه‌هایی که بدافزارها جستجوهای DNS دستگاه را مسموم می‌کنند، تغییر فایل میزبان دستگاه است. فایل میزبان از جمله موارد دیگر، برای توسعه وب، مسدود کردن محتوا و نرم‌افزار VM کاربردهای قانونی دارد، اما همچنین به مهاجمان اجازه می‌دهد تا آدرس‌های IP سفارشی را برای هر دامنه مشخص کنند.

۴ راهکار مطمئن برای مقابله با آن

۱- کاهش برای نیم سرورها

مراقب ریزالوکننده‌ها در شبکه خود باشید. ریزالو‌کننده‌های DNS غیرضروری باید خاموش شوند. حل کننده‌های قانونی باید پشت یک فایروال بدون دسترسی خارج از سازمان قرار گیرند. همچنین دسترسی به سرور نام را به شدت محدود کنید. همچنین باید از امنیت فیزیکی، دسترسی چند عاملی، فایروال و اقدامات امنیتی شبکه استفاده شود.

۲- بررسی تنظیمات روتر DNS

اقداماتی را در برابر مسمومیت حافظه پنهان انجام دهید.  از یک پورت منبع تصادفی استفاده کنید، شناسه پرس و جو را تصادفی کنید، و حروف بزرگ/کوچک را در نام دامنه تصادفی کنید. همچنین تنظیمات روتر را کاملا بررسی نمایید.

۳- نصب ابزارهای ضد بدافزار

با نصب ضد بدافزارها فوراً آسیب پذیری‌های شناخته شده را اصلاح کنید. هکرها به طور فعال سرورهای DNS آسیب پذیر را جستجو می‌کنند. سرور نام معتبر را از حل کننده جدا کنید. هر دو را در یک سرور اجرا نکنید، با این کار حمله DDoS به هر یک از مؤلفه‌ها، دیگری را از بین نمی‌برد.

۴- ارسال اطلاعات با استفاده از الگوریتم‌های مختلف نظیر رمزنگاری است

با استفاده از الگوریتم‌های رمزنگاری، اطلاعات خود را ارسال نمایید. یکی از موفق ترین نمونه‌ها استفاده از ssl و پروتکل https می‌باشد که با استفاده از الگوذیتم‌های رمزنگاری امکان به سرقت رفتن اطلاعات را کاهش میدهد.

کلام آخر

ریزالو نام دامنه به آدرس‌های IP عددی، از نقطه پایانی تا سرور ریشه DNS، مملو از آسیب‌پذیری‌ها برای کاربران عادی و شرکت‌ها است و در عین حال فرصت‌های خوبی را برای مهاجمان فراهم می‌کند. آژانس امنیت سایبری و امنیت زیرساخت وزارت امنیت داخلی ایالات متحده (CISA) اخیراً هشدار داده است که یک کمپین جهانی ربودن DNS در حال حاضر فعال است.

با یک هک موفقیت آمیز، یک مهاجم می‌تواند ترافیک وب سازمان شما را به زیرساخت‌های کنترل شده توسط مهاجم هدایت کند، با گواهی‌های رمزگذاری معتبر تکمیل شود و حملات انسان در میان را انجام دهد. حملات DNS به دستگاه به راحتی با تغییر تنظیمات DNS محلی یا مسموم کردن فایل میزبان محلی انجام می‌شود.

برای محافظت از خود، توصیه‌هایی را که در بخش قبل بیان کردیم دنبال کنید. اگر dns شما قبلاً توسط یک راه حل امنیتی قوی مانند SentinelOne محافظت نشده اند، کارشناسان وب رمز به شما نشان می‌دهند که چگونه راه حل‌های فوق می‌تواند دستگاه‌ها و شبکه شما را ایمن نگه دارد.