The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Представлен инструмент для проведения атак "DNS rebinding"

05.08.2010 22:54

На прошедшей в конце июля в Лас-Вегасе конференции Black Hat, исследователь в области компьютерной безопасности Крейг Хеффнер (Craig Heffner) представил простой в использовании инструмент для проведения атак типа "DNS rebinding" — Rebind.

Суть атаки "DNS rebinding" состоит в следующем. Вначале злоумышленник обманом заставляет жертву открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет. Далее, этот код обращается к своему серверу при помощи XMLHttpRequest или аналогичной технологии. Ключевой момент — обращение происходит по доменному имени, которое делегировано на специально подготовленный DNS-сервер. Такой сервер периодически разрешает это доменное имя то во внешний адрес web-сервера злоумышленника, то во внутренний адрес локальной сети (например, 192.168.0.1). Таким образом, исполняемый на компьютере жертвы код может работать как прокси, предоставляя доступ извне к хостам в локальной сети, имеющим внутренние адреса. В частности, злоумышленник может получить доступ к административному интерфейсу домашнего маршрутизатора, недоступному на WAN-порту.

Представленный на BlackHat инструмент Rebind предназначен именно для атак на домашние маршрутизаторы. Здесь можно посмотреть список маршрутизаторов, которые успешно атакуются им. На странице FAQ проекта можно ознакомиться с краткой инструкцией по развертыванию Rebind'а.

Важным достоинством атак типа "DNS rebinding" является то, что большинство методов защиты, используемых в современных браузерах, основано как раз на проверке доменного имени, и поэтому не могут противостоять атакам этого типа (XMLHttpRequest блокирует обращения к доменам, отличным от текущего). Однако, стоит отметить, что в вышедшей недавно версии NoScript 2.0 реализована защита даже от таких атак. Кроме того, защиту от описанной атаки можно реализовать на уровне программного обеспечения домашнего маршрутизатора. В качестве примера дистрибутива для маршрутизаторов, имеющего такую защиту, Хеффнер приводит pfsense. Также, защита от подобных атак поддерживается в DNS-сервере BIND начиная с версии 9.7. Ну и наконец, стоит отметить, что шансы на успех атаки значительно снижаются, если пользователь меняет стандартный пароль для доступа к интерфейсу маршрутизатора на свой собственный, стойкий.

  1. Главная ссылка к новости (http://www.esecurityplanet.com...)
  2. OpenNews: Релиз Firefox-дополнения NoScript 2.0
  3. OpenNews: Увидел свет релиз DNS-сервера BIND 9.7.0
  4. OpenNews: На конференции EUSecWest будет представлен первый rootkit для Cisco
  5. OpenNews: Зафиксирован первый ботнет из Linux-маршрутизаторов
  6. OpenNews: Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux
Автор новости: Sergey Ptashnick
Тип: К сведению
Ключевые слова: dns, rebinding, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, klalafuda (?), 00:04, 06/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Мнда. Все гениальное обычно просто как 3 рубля :))) За простоту идеи - зачет.
     
     
  • 2.2, klalafuda (?), 00:14, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • –5 +/

    PS: Да, как по всей видимости всем я думаю очевидно, это будет прекрасно работать и в случае, если пользователь сидит не только под дырявой и глючной виндой но и под железобетонным и стабильным как скала линуксом ;)
     
     
  • 3.4, alen (??), 01:14, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +4 +/
    вот как всегда, мысль о том что другие оси так же уязвимы как и их пиратская винда, греет душу ее владельцев, и их не смушает тот факт что речь идет про смену дефолтного пароля :)
     
     
  • 4.5, klalafuda (?), 01:20, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > вот как всегда, мысль о том что другие оси так же уязвимы как и их пиратская винда, греет душу ее владельцев, и их не смушает тот факт что речь идет про смену дефолтного пароля :)

    А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :) Вне зависимости от используемой десктопной OS..

     
     
  • 5.10, Поросеночек (?), 03:26, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Многие.
     
     
  • 6.11, Аноним (-), 08:46, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А ж целых 2 человека :)
    Эпопею с построением ботнета из маршрутизаторов работающих под Linux уже все забыли ?:)
     
     
  • 7.13, XoRe (ok), 09:42, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А ж целых 2 человека :)
    >Эпопею с построением ботнета из маршрутизаторов работающих под Linux уже все забыли
    >?:)

    А там не к веб морде доступ был, а к консоли.
    А в большинстве роутеров консольный рутовый пароль из веб морды не поменяешь.

     
     
  • 8.34, User294 (ok), 17:48, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно рутовый пароль SOHO маршрутизаторов совпадает с тем что задано как админи... текст свёрнут, показать
     
  • 5.16, sHaggY_caT (ok), 10:09, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :) Вне >зависимости от используемой десктопной OS..

    Знаете, как-то сложилось, что *nix пользуются люди, хоть что-то слышавшие об IT, и информационной безопасности. Рискну предположить, что подавляющее большинство :)

     
     
  • 6.17, klalafuda (?), 10:14, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Знаете, как-то сложилось, что *nix пользуются люди, хоть что-то слышавшие об IT, и информационной безопасности. Рискну предположить, что подавляющее большинство :)

    Ммм... А вот те стотыщьобезьянок которым подешевке всучивают убунту на асусах и им подобные? Они по самому факту покупки нетбука тоже автоматически переходят в разряд advanced? :)

     
     
  • 7.18, sHaggY_caT (ok), 10:18, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Знаете, как-то сложилось, что *nix пользуются люди, хоть что-то слышавшие об IT, и информационной безопасности. Рискну предположить, что подавляющее большинство :)
    >
    >Ммм... А вот те стотыщьобезьянок которым подешевке всучивают убунту на асусах и
    >им подобные? Они по самому факту покупки нетбука тоже автоматически переходят
    >в разряд advanced? :)

    Такие приглашают домой "мастера", и дальше все зависит исключительно от его криворукости в настройке модема/роутера.

     
  • 7.21, Аноним (-), 10:31, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Они по самому факту покупки нетбука автоматически переходят в разряд покупателей коробочной версии винды.
     
  • 6.25, Аноним (-), 12:52, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    У меня около десяти знакомых с Linux не меняли дефолтный пароль на ADSL-рутерах, мотивируя тем, что интерфейс доступен только через intranet-порт. Похоже те кто пароль меняют скорее исключение из правил, так как большинство ADSL-рутеров пробрасывают PPPoE в дефолтовой конфигурации, простые пользователи даже не догадываются, что на ADSL-рутер можно через web/telnet зайти.

     
  • 5.32, xv (??), 17:42, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :)

    Ты удивишься.

     
     
  • 6.33, klalafuda (?), 17:43, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты удивишься.

    Мсье желает поделиться конкретной статистикой? Просим просим. Было бы очень любопытно.

     
  • 3.6, аноним (?), 01:29, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    К чему это было сказано?
     
     
  • 4.7, klalafuda (?), 01:46, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/

    JFYI
     

  • 1.3, Trend (?), 00:59, 06/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    не могу понять, а что просто вшить 192.168.0.1 в код троянца сложно? Нахрена его разрешать с помощью внешнего днс? Или просто новость так неясно изложена.
     
     
  • 2.8, Ананимуз (?), 01:49, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Просто вшить", это делать XMLHttpRequest на другой домен, для чего нужны дополнительные телодвижения, которые можно и пресечь. А тут все происходит в пределах одного доменного имени. Самый обычный раундробин, ничего незаконного. Разве что TTL сильно короткий.
     
  • 2.9, smail01 (?), 01:50, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для того что бы получать команды и отправлять обратно аттакеру полученные данные.
     
  • 2.12, Аноним (-), 09:06, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    XMLHttpRequest позволяет отправлять обращения только к домену на котором крутится текущая страница.
     
  • 2.14, XoRe (ok), 09:45, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >не могу понять, а что просто вшить 192.168.0.1 в код троянца сложно?
    >Нахрена его разрешать с помощью внешнего днс? Или просто новость так
    >неясно изложена.

    А у меня роутер имеет адрес 192.168.245.1 =)
    А вообще - если ты зашел на xxx.com, то запрос на 192.168.0.1 не пройдет.
    Пройдет запрос на img.xxx.com (который и надо биндить на 192.168.0.1).

     

  • 1.20, Аноним (-), 10:20, 06/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ваще-то как минимум на опере такая штука не пройдёт. При редиректе с реальных IP-адресов на адреса из RFC1918 она ругается и не пускает, предполагая атаку. Несколько последних версий точно. Так что надо как минимум для начала пробраться в локалку поблизости атакуемого.

    В NoScript по той же логике заблочено.

    Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.

     
     
  • 2.22, God (?), 10:59, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Rebind has been successfully tested against the following browsers:

    IE6 Windows XP SP2  
    IE7 Windows XP SP3  
    IE8 Windows XP SP3  
    IE8 Windows 7        
    FF 3.0.15 Windows XP SP3  
    FF 3.0.17 Ubuntu Linux 9.04
    FF 3.5.6          Ubuntu Linux 9.10
    FF 3.5.7 Windows XP SP3  
    FF 3.6 Windows XP SP3  
    FF 3.6 Windows 7        
    FF 3.6 OSX 10.6.2      
    Chrome 4.1 Windows XP SP3  
    Opera 10.10 Windows XP SP3  
    Opera 10.54 Windows XP SP3  
    Safari 4.0.4 Windows XP SP3  
    Safari 4.0.4 OSX 10.6.2      

     
     
  • 3.43, Аноним (-), 08:42, 08/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Никто и не сомневался.
     
  • 2.23, ig0r (??), 11:10, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ваще-то как минимум на опере такая штука не пройдёт. При редиректе с реальных IP-адресов на адреса из RFC1918 она ругается и не пускает, предполагая атаку. Несколько последних версий точно. Так что надо как минимум для начала пробраться в локалку поблизости атакуемого.

    а там нету редиректа на адреса из RFC1918. читайте внимательно.

     
     
  • 3.24, AAF (?), 12:26, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ключевой момент: "...открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет". Короче, не пользуйте это, ибо, как только Вы даете выполнятся любому исполняемому коду со стороны, так вероятность проникновения всякой дряни на ваш компьютер резко возрастатет.
     
     
  • 4.35, User294 (ok), 18:22, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    NoScript в фирефоксе - рулит :-)
     
  • 2.26, Антон (??), 13:00, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W
    >выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.

    Трояны давно через обычные сайты распространяются, особенно часто такое встречается на сайтах разных средней руки фирм и гос. структур. Был случай даже когда вредоносный код появился в клиентском личном кабинете местного Ethernet-провайдера. У нас на хостинге процентов 10 клиентов подхватывали заразу которая по FTP на их сайт вставляла вредоносный код. Заражаются либо подхватывая на виндовой машине троян либо когда пользуются нешифрованным FTP, а в локальной сети кто-то подхватил снифящий пароли троян. То что зараза подхватывается только на разных хакерских, порно и прочих неблагонадежных сайтах - давно миф.

     
     
  • 3.30, KOL (ok), 16:15, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В данном случае, мало внедрить JS на сайт, необходимо еще и поиметь ДНС сервер поддерживающий домен этого сайта.
     
     
  • 4.31, klalafuda (?), 16:32, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > В данном случае, мало внедрить JS на сайт, необходимо еще и поиметь ДНС сервер поддерживающий домен этого сайта.

    Вся Сеть просто завалена горами подставного мусора, которые тем не менее генерят дикий трафик. Так что сделать и, что немаловажно, раскрутить систему, которая бы работала по указанному принципу и направить в неё стройную колонну жертв - дело лишь техники. Сравнительно несложной, замечу.

     
  • 2.27, klalafuda (?), 13:20, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.

    Простите, многие ли первоклашки задумываются об отношениях между полами? А ведь таких - подавляющее большинство.

    Да, кстати. Это ж ведь только тупая попытка войти админом на рутер. Да. Совсем тупая. А ведь есть ещё UPnP, который обычно по-дефолту включен и через который точно так же можно сделать массу интересных вещей.

     
     
  • 3.28, XoRe (ok), 14:37, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >> Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.
    >
    >Простите, многие ли первоклашки задумываются об отношениях между полами? А ведь таких
    >- подавляющее большинство.
    >
    >Да, кстати. Это ж ведь только тупая попытка войти админом на рутер.
    >Да. Совсем тупая. А ведь есть ещё UPnP, который обычно по-дефолту
    >включен и через который точно так же можно сделать массу интересных
    >вещей.

    Да, кстати.
    UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.
    Для этого даже не нужно пароля к роутеру.

     
     
  • 4.29, klalafuda (?), 14:46, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > Для этого даже не нужно пароля к роутеру.

    Именно...

    PS: Конечно, если UPnP на маршрутизаторе не запрещен. Обычно по дефолту он там разрешен. И существенно меньшая часть 'гуру' которые крутят их для SOHO вообще знает, что такое UPnP и с чем его едят. Как следствие - даже и не задумываются на тему 'А не выключить ли мне его?'.

     
  • 4.36, User294 (ok), 18:24, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.

    А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.

     
     
  • 5.37, klalafuda (?), 19:27, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.

    На, сходи, расширь свой кругозор. Пойдет только на пользу.

    http://upnp.org/sdcps-and-certification/standards/

     

  • 1.38, йййй (?), 22:06, 06/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.
     
     
  • 2.39, klalafuda (?), 22:36, 06/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.

    Да, конечно. По крайней мере в той версии, что описана в новости. Но если сделать скрипт чуть поумнее и научить его, допустим, открывать снаружи вовнутрь порты на маршрутизаторе через UPnP (что не сложно), то в случае успеха потом уже можно и напрямую шуровать. Что куда как интереснее. Все-таки скрипт by design сильно ограничен в своих возможностях.

     

  • 1.40, Аноним (-), 00:39, 07/08/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...
     
     
  • 2.41, CoolKid (?), 13:11, 07/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...

    а разница какая? от этого он становится меньше уязвим?

     
     
  • 3.42, Аноним (-), 15:04, 07/08/2010 [^] [^^] [^^^] [ответить]  
  • +/
    На интерфейсе, который торчит в модем нет ипы - до него просто не доберёшься)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру