Дядюшка Дэн

Есть такие темы, которые никогда не дадут покоя исследователям.
Они как бумеранг будут возвращаться снова и снова, ударяя тыльной частью по общественности.
Одна из таких тем – это атаки на DNS.

Пару лет назад была классная работа Дэна Камински ([Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации])

Но еще до нее была исследована тема ребиндинга – то есть подмены IP адреса для домена.
Суть в том, чтобы обмануть какое-либо клиентское ПО и заставить пойти через доменное имя атакующего на IP адрес целевой машины. Это может быть машина во внутренней сети или другой хост. Никто ведь из клиентского ПО не будет проверять, что два IP адреса, которые вернулись как А записи для домена вообще находятся в разных диапазонах (скажем, удаленный и локальный). А надо было бы. По крайней мере запретить обрабатывать для инетных доменов IP адреса из внутренних сетей точно стоит. Это не защитит от атаки полностью – ведь можно будет атаковать хосты не из локальной сети, но, по-крайней мере, закроет большую проблему с атаками на внутренние ресурсы.

Из последних работ по ребиндингу стоит отметить презентацию Дениса Баранова на PHD2011:
[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]

Главное достоинство этой работы в том, что исследователь создал полноценный инструмент для демонстрации атак с использованием ребиндинга. Это титанический труд…

Продемонстрированный инструмент может атаковать все, что работает по HTTP протоколу и не имеет авторизации по сертификатам.

Такие ограничения навязаны браузерами, ведь штатно средствами JavaScript сокеты недоступны.
Но давайте мыслить шире.
У всех же есть любимый флэш (ну или ява на худой конец, а еще есть (о боже…) SilverLight и тоже у всей винды по-умолчанию), а там с сокетами все в порядке.

И работы на этот счет уже были, еще в далеком 2006м году:

[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]

И что дальше?

Для флэша все очень красиво, он загружается без всяких подтверждений, но просто так сокет открыть не даст – потребует вот такую штуку

[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]

А дальше атакующий может быть умнее.

Все что требуется – подделать соотв. ответ от сервера и дальше можно открывать любые порты.

В чем же здесь хитрость? В том, что он его потребует для домена, а не для IP адреса, и когда получит, он его запомнит! Все, дело в шляпе, схема атаки:

1. Злоумышленник прописывает своему домену две DNS записи – IP1 и IP2, где IP1 – реальный адрес сервера злоумышленника, IP2 – адрес сервера из внутренней сети.

2. Злоумышленник ждет, пока флэш жертвы скачает вот это

[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации] с сервера IP1 и выключает сервер IP1.

3. Флэш жертвы видит, что IP1 недоступен, радостно берет IP2 адрес для этого же домена и открывает сокет. Потому что он уже запросил конфиг, а то, что он это сделал с другого IP адреса его не волнует – домен ведь один ;)

4. Флэш жертвы проверяет какие порты на IP2 открыты, для каждого из них становиться ***том: открывает по новому сокету на каждый открытый порт IP2 с неким сервером злоумышленника на совершенно другом и обычном IP (IP3).

5. Флэш жертвы пересылает все данные, которые получил от IP3 на IP2 и наоборот. Получается полноценный бэк-туннель.


• Author: D0znpp


[Только зарегистрированные пользователи могут видеть ссылки. Нажмите Здесь для Регистрации]

04.07.2011 15:49