Digital Fraud

Ataque ao DNS (Pharming): Série Introdutória

Por Eduardo Hennemann em
COMPARTILHAR

Vulnerabilidades Inerentes e Ataques ao DNS

Ao acessar páginas na internet, utilizamos muitas tecnologias que não notamos. As duas que estão mais presentes em navegadores, e que podem ser exploradas por criminosos, são o DNS (Domain Name System) e os IPs (Internet Protocol). Fraudadores utilizam vulnerabilidades desses sistemas para disseminar páginas de phishing, através de ataques ao DNS, com o objetivo de roubar informações sigilosas e de grande valor.

Toda aplicação web, incluindo websites, possui um endereço de IP. Ele é um código numérico atribuído para cada dispositivo (computadores, impressoras, celulares etc.) conectado à internet. Serve para localizar e identificar serviços e conteúdos disponíveis na rede.

Como funciona um DNS

Para facilitar o acesso a cada dispositivo, são usados endereços de domínio (www.axur.com). Cada domínio é convertido em um IP, por meio de um sistema chamado DNS (Domain Name System). A sigla DNS pode ser comparada com o seu CEP para os correios. Ele faz a tradução de endereços de sites (URL) para seus respectivos IPs.

Domínio: www.axur.com > IP: 52.84.177.141

As consultas de DNS são feita de forma hierárquica, em diversos servidores. Sempre iniciam do DNS mais privado para o mais público. Primeiro, verifica se o seu computador pessoal tem a informação de qual IP representa a URL inserida. Se não encontrar essa informação no próprio computador, busca no servidor do provedor de internet utilizado, e assim por diante. Uma vez que a tradução retorne com sucesso, o IP relacionado a determinado domínio fica registrado em todos os DNS.

Ataques ao DNS_

Pharming

Pharming é o nome dado a um ataque que corrompe um DNS, criando um servidor com fins maliciosos. Ele geralmente é desenvolvido para atacar uma base de usuários em uma determinada rede de computadores. Durante o ataque, o servidor criminoso, quando consultado sobre a URL que é alvo dos criminosos, retorna um endereço (IP) malicioso (página de phishing), em vez do endereço original.

Os ataques de pharming têm algumas variações importantes. Em alguns casos, sobrescreve um servidor verdadeiro com informações falsas, reivindicando falsamente propriedade sobre o IP consultado. Uma vez que uma consulta de DNS é feita no servidor de pharming e retorna o site malicioso, os servidores abaixo dele na hierarquia gravam a informação errada. Esse problema está sendo resolvido por soluções como o DNSSEC.

DNS Poisoning

O DNS Poisoning utiliza o mesmo método malicioso do pharming. No entanto, o fraudador não cria seu próprio servidor. Em vez disso, corrompe o DNS de um terceiro. Uma vez que o fraudador invade o sistema, ele adultera os registros contidos dentro do servidor, que, por consequência, redireciona o usuário a endereços maliciosos a partir de URLs legítimas.

O ataque de DNS poisoning se resolve automaticamente, com as atualizações do servidor. Ainda assim, pode ter impacto considerável enquanto estiver ativo. Por isso, são recomendadas notificações para que se antecipe a resolução do problema. Essa ação ajuda o responsável a analisar com maior agilidade o servidor corrompido.

Ataques de proxy

Proxy é um servidor que trabalha como intermediário em requisições web, entre o usuário e a página que está sendo acessada. Os proxies são muito usados para filtrar conteúdo indesejado e possibilitar a navegação anônima, entre outras utilidades.

O ataque, nesse caso, utiliza proxies para redirecionar o usuário a sites de phishing. Normalmente, os proxies maliciosos são configurados na máquina dos usuários por meio de artefatos maliciosos (malware). A partir do momento em que o computador tem um proxy malicioso instalado, todas as requisições passam por ele, ou seja, o proxy fará a decodificação do IP de qualquer website que o usuário quiser acessar.

Ataques utilizando PAC (Proxy Auto-Config)

O PAC é um arquivo que pode ser configurado na maioria dos navegadores. Esse arquivo determina que acessos a determinados websites sejam feitos por meio de um proxy indicado por ele.

A configuração maliciosa de PAC é feita por meio de um malware baixado ou executado pelo usuário, ou ainda por scripts maliciosos que rodam em websites. O PAC reconfigura a decodificação das URLs de websites que são alvos dos fraudadores, como páginas de bancos.

Esse tipo de ataque ao DNS não é mais tão usado por fraudadores, devido à evolução na segurança dos navegadores e à fácil identificação e resolução nesses casos. Apesar da sua baixa popularidade, pode ser um ataque devastador, caso não seja identificado em tempo.

Os criminosos têm diversas maneiras de aproveitar as vulnerabilidades inerentes à tecnologia e produzir ataques ao DNS, redirecionando o usuário a páginas de phishing. Esse tipo de fraude é  complexo e pouco conhecido. Por isso, apesar de o usuário final poder tomar alguns cuidados a seu respeito, a prevenção e a mitigação de danos devem ser observadas pela empresa responsável pela marca explorada. Conheça mais na página da Axur.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

Eduardo Hennemann

Analista de Antifraude do CSIRT da Axur e especialista em resposta a incidentes, formado em Segurança da Informação pela UNISINOS - Universidade do Vale do Rio dos Sinos e mestrando em MSc in Cyber Security na University of Liverpool. Possui as certificações Fundamentals of Incident Handling e Advanced Incident Handling for Technical Staff do CERT.br, assim como certificações TCSP - TrendMicro Certified Security Professional e TCSM - TrendMicro Certified Security Master. Profissional no mercado de TI a mais de dez anos sendo os sete últimos focados em Segurança da Informação, e desde 2012 focado com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malwares.