{"id":17119,"date":"2019-04-02T11:48:39","date_gmt":"2019-04-02T09:48:39","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=17119"},"modified":"2020-06-19T17:25:12","modified_gmt":"2020-06-19T15:25:12","slug":"grand-theft-dns-rsa2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/grand-theft-dns-rsa2019\/17119\/","title":{"rendered":"Conferenza RSA 2019: Grand Theft DNS"},"content":{"rendered":"

Alla conferenza RSA di quest\u2019anno, il SANS Institute ha riferito diversi nuovi tipi di attacchi, da considerare estremamente pericolosi. In questo post parleremo di uno in particolare.<\/p>\n\n

Ed Skoudis, docente del SANS ha descritto un attacco che in teoria potrebbe essere utilizzato per prendere il controllo totale dell\u2019infrastruttura IT di un\u2019azienda. Non sono necessari strumenti complessi, solo manipolare il DNS, il che \u00e8 relativamente semplice.<\/p>\n

Come si pu\u00f2 manipolare l\u2019infrastruttura DNS aziendale?<\/h2>\n

L\u2019attacco si svolge in questo modo:<\/p>\n

    \n
  1. I cybercriminali vanno a caccia (con ogni mezzo) dell\u2019accoppiata username\/password di account gi\u00e0 compromessi. Ce ne sono di tantissimi: parliamo di centinaia di milioni, se non miliardi<\/a> e in database conosciuti solamente;<\/li>\n<\/ol>\n
      \n
    1. Utilizzano queste credenziali per collegarsi ai servizi dei provider DNS e ai registri di dominio;<\/li>\n<\/ol>\n
        \n
      1. In seguito, i cybercriminali modificano i record DNS, sostituendo l\u2019infrastruttura aziendale di dominio con la propria;<\/li>\n<\/ol>\n
          \n
        1. In particolare, modificano il record MX<\/a> e intercettano i messaggi, reindirizzando tutte le e-mail aziendali sul loro server;<\/li>\n
        2. I cybercriminali registrano i certificati TLS dei domini rubati. In questa fase, possono gi\u00e0 intercettare e-mail aziendali e fornire una prova di essere proprietari del dominio; nella maggior parte dei casi, \u00e8 tutto ci\u00f2 di cui si ha bisogno per l\u2019emissione di un certificato.<\/li>\n<\/ol>\n

          Dopo tutto ci\u00f2, i cybercriminali possono reindirizzare sui propri dispositivi il traffico diretto ai server dell\u2019azienda colpita. Come risultato, chi visita il sito della compagnia viene diretto a risorse false che sembrano autentiche agli occhi di tutti i filtri e i sistemi di protezione. Abbiamo identificato questa situazione per la prima volta nel 2016, quando i ricercatori della nostra divisione brasiliana del GReAT hanno scoperto un attacco che consentiva ai cybercriminali di hackerare l\u2019infrastruttura di una grande banca<\/a>.<\/p>\n

          L\u2019aspetto particolarmente pericoloso di questo attacco \u00e8 che l\u2019azienda vittima perde il contatto con il mondo esterno. Vengono hackerate le e-mail e di solito anche i telefoni (la maggior parte delle aziende utilizzando telefoni IP). In questo modo, diventa complicato adottare misure interne in seguito all\u2019incidente e anche comunicare con l\u2019esterno per risolvere il problema (mettersi in contatto con provider DNS, autorit\u00e0 per le certificazioni, forze dell\u2019ordine specializzate etc). Immaginate se poi tutto questo succede durante il weekend, come nel caso della banca brasiliana!<\/p>\n

          Come evitare l\u2019hackeraggio dell\u2019infrastruttura IT attraverso la manipolazione del DNS<\/h3>\n

          Il caso del 2016 ha costituito una novit\u00e0 nel mondo del cybercrimine e, due anni dopo, si \u00e8 trasformata in una pratica comune. Nel 2018, i guru della sicurezza IT di molte aziende leader ne hanno registrato l\u2019uso. Non \u00e8 quindi un piano campato in aria, ma un attacco concreto che pu\u00f2 essere utilizzato per prendere il controllo della vostra infrastruttura IT.<\/p>\n

          Per Ed Skoudis ecco cosa si dovrebbe fare per difendersi dai tentativi di manipolazione dell\u2019infrastruttura dei nomi di dominio:<\/p>\n