The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

05.08.2010 22:54  Представлен инструмент для проведения атак "DNS rebinding"

На прошедшей в конце июля в Лас-Вегасе конференции Black Hat, исследователь в области компьютерной безопасности Крейг Хеффнер (Craig Heffner) представил простой в использовании инструмент для проведения атак типа "DNS rebinding" — Rebind.

Суть атаки "DNS rebinding" состоит в следующем. Вначале злоумышленник обманом заставляет жертву открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет. Далее, этот код обращается к своему серверу при помощи XMLHttpRequest или аналогичной технологии. Ключевой момент — обращение происходит по доменному имени, которое делегировано на специально подготовленный DNS-сервер. Такой сервер периодически разрешает это доменное имя то во внешний адрес web-сервера злоумышленника, то во внутренний адрес локальной сети (например, 192.168.0.1). Таким образом, исполняемый на компьютере жертвы код может работать как прокси, предоставляя доступ извне к хостам в локальной сети, имеющим внутренние адреса. В частности, злоумышленник может получить доступ к административному интерфейсу домашнего маршрутизатора, недоступному на WAN-порту.

Представленный на BlackHat инструмент Rebind предназначен именно для атак на домашние маршрутизаторы. Здесь можно посмотреть список маршрутизаторов, которые успешно атакуются им. На странице FAQ проекта можно ознакомиться с краткой инструкцией по развертыванию Rebind'а.

Важным достоинством атак типа "DNS rebinding" является то, что большинство методов защиты, используемых в современных браузерах, основано как раз на проверке доменного имени, и поэтому не могут противостоять атакам этого типа (XMLHttpRequest блокирует обращения к доменам, отличным от текущего). Однако, стоит отметить, что в вышедшей недавно версии NoScript 2.0 реализована защита даже от таких атак. Кроме того, защиту от описанной атаки можно реализовать на уровне программного обеспечения домашнего маршрутизатора. В качестве примера дистрибутива для маршрутизаторов, имеющего такую защиту, Хеффнер приводит pfsense. Также, защита от подобных атак поддерживается в DNS-сервере BIND начиная с версии 9.7. Ну и наконец, стоит отметить, что шансы на успех атаки значительно снижаются, если пользователь меняет стандартный пароль для доступа к интерфейсу маршрутизатора на свой собственный, стойкий.

  1. Главная ссылка к новости (http://www.esecurityplanet.com...)
  2. OpenNews: Релиз Firefox-дополнения NoScript 2.0
  3. OpenNews: Увидел свет релиз DNS-сервера BIND 9.7.0
  4. OpenNews: На конференции EUSecWest будет представлен первый rootkit для Cisco
  5. OpenNews: Зафиксирован первый ботнет из Linux-маршрутизаторов
  6. OpenNews: Обнаружен новый ботнет из незащищенных маршрутизаторов с прошивкой на базе Linux
Автор новости: Sergey Ptashnick
Тип: К сведению
Ключевые слова: dns, rebinding, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, klalafuda (?), 00:04, 06/08/2010 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    Мнда. Все гениальное обычно просто как 3 рубля :))) За простоту идеи - зачет.
     
     
  • 2.2, klalafuda (?), 00:14, 06/08/2010 [^] [ответить]     [к модератору]
  • –5 +/
    PS Да, как по всей видимости всем я думаю очевидно, это будет прекрасно работат... весь текст скрыт [показать]
     
     
  • 3.4, alen (??), 01:14, 06/08/2010 [^] [ответить]    [к модератору]  
  • +4 +/
    вот как всегда, мысль о том что другие оси так же уязвимы как и их пиратская винда, греет душу ее владельцев, и их не смушает тот факт что речь идет про смену дефолтного пароля :)
     
     
  • 4.5, klalafuda (?), 01:20, 06/08/2010 [^] [ответить]     [к модератору]  
  • –3 +/
    А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль... весь текст скрыт [показать]
     
     
  • 5.10, Поросеночек (?), 03:26, 06/08/2010 [^] [ответить]    [к модератору]  
  • +3 +/
    Многие.
     
     
  • 6.11, Аноним (-), 08:46, 06/08/2010 [^] [ответить]    [к модератору]  
  • –3 +/
    А ж целых 2 человека :)
    Эпопею с построением ботнета из маршрутизаторов работающих под Linux уже все забыли ?:)
     
     
  • 7.13, XoRe (ok), 09:42, 06/08/2010 [^] [ответить]     [к модератору]  
  • +1 +/
    А там не к веб морде доступ был, а к консоли А в большинстве роутеров консольны... весь текст скрыт [показать]
     
     
  • 8.34, User294 (ok), 17:48, 06/08/2010 [^] [ответить]     [к модератору]  
  • +/
    Обычно рутовый пароль SOHO маршрутизаторов совпадает с тем что задано как админи... весь текст скрыт [показать]
     
  • 5.16, sHaggY_caT (ok), 10:09, 06/08/2010 [^] [ответить]     [к модератору]  
  • +/
    Знаете, как-то сложилось, что nix пользуются люди, хоть что-то слышавшие об IT,... весь текст скрыт [показать]
     
     
  • 6.17, klalafuda (?), 10:14, 06/08/2010 [^] [ответить]     [к модератору]  
  • –2 +/
    Ммм А вот те стотыщьобезьянок которым подешевке всучивают убунту на асусах и ... весь текст скрыт [показать]
     
     
  • 7.18, sHaggY_caT (ok), 10:18, 06/08/2010 [^] [ответить]     [к модератору]  
  • +/
    Такие приглашают домой мастера , и дальше все зависит исключительно от его крив... весь текст скрыт [показать]
     
  • 7.21, Аноним (-), 10:31, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    Они по самому факту покупки нетбука автоматически переходят в разряд покупателей коробочной версии винды.
     
  • 6.25, Аноним (-), 12:52, 06/08/2010 [^] [ответить]     [к модератору]  
  • +/
    У меня около десяти знакомых с Linux не меняли дефолтный пароль на ADSL-рутерах,... весь текст скрыт [показать]
     
  • 5.32, xv (??), 17:42, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    > А многие ли пользователи домашних маршрутизаторов меняли на нем дефолтный пароль? :)

    Ты удивишься.

     
     
  • 6.33, klalafuda (?), 17:43, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    > Ты удивишься.

    Мсье желает поделиться конкретной статистикой? Просим просим. Было бы очень любопытно.

     
  • 3.6, аноним (?), 01:29, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    К чему это было сказано?
     
     
  • 4.7, klalafuda (?), 01:46, 06/08/2010 [^] [ответить]    [к модератору]  
  • –1 +/

    JFYI
     
  • 1.3, Trend (?), 00:59, 06/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    не могу понять, а что просто вшить 192.168.0.1 в код троянца сложно? Нахрена его разрешать с помощью внешнего днс? Или просто новость так неясно изложена.
     
     
  • 2.8, Ананимуз (?), 01:49, 06/08/2010 [^] [ответить]     [к модератору]  
  • +2 +/
    Просто вшить , это делать XMLHttpRequest на другой домен, для чего нужны дополн... весь текст скрыт [показать]
     
  • 2.9, smail01 (?), 01:50, 06/08/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    Для того что бы получать команды и отправлять обратно аттакеру полученные данные.
     
  • 2.12, Аноним (-), 09:06, 06/08/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    XMLHttpRequest позволяет отправлять обращения только к домену на котором крутится текущая страница.
     
  • 2.14, XoRe (ok), 09:45, 06/08/2010 [^] [ответить]     [к модератору]  
  • –1 +/
    А у меня роутер имеет адрес 192 168 245 1 А вообще - если ты зашел на xxx com... весь текст скрыт [показать]
     
  • 1.20, Аноним (-), 10:20, 06/08/2010 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Ваще-то как минимум на опере такая штука не пройдёт При редиректе с реальных IP... весь текст скрыт [показать]
     
     
  • 2.22, God (?), 10:59, 06/08/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    Rebind has been successfully tested against the following browsers:

    IE6 Windows XP SP2  
    IE7 Windows XP SP3  
    IE8 Windows XP SP3  
    IE8 Windows 7        
    FF 3.0.15 Windows XP SP3  
    FF 3.0.17 Ubuntu Linux 9.04
    FF 3.5.6          Ubuntu Linux 9.10
    FF 3.5.7 Windows XP SP3  
    FF 3.6 Windows XP SP3  
    FF 3.6 Windows 7        
    FF 3.6 OSX 10.6.2      
    Chrome 4.1 Windows XP SP3  
    Opera 10.10 Windows XP SP3  
    Opera 10.54 Windows XP SP3  
    Safari 4.0.4 Windows XP SP3  
    Safari 4.0.4 OSX 10.6.2      

     
     
  • 3.43, Аноним (-), 08:42, 08/08/2010 [^] [ответить]    [к модератору]  
  • +/
    Никто и не сомневался.
     
  • 2.23, ig0r (??), 11:10, 06/08/2010 [^] [ответить]    [к модератору]  
  • +1 +/
    > Ваще-то как минимум на опере такая штука не пройдёт. При редиректе с реальных IP-адресов на адреса из RFC1918 она ругается и не пускает, предполагая атаку. Несколько последних версий точно. Так что надо как минимум для начала пробраться в локалку поблизости атакуемого.

    а там нету редиректа на адреса из RFC1918. читайте внимательно.

     
     
  • 3.24, AAF (?), 12:26, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    Ключевой момент: "...открыть web-страницу, содержащую специально подготовленный JavaScript-код, Flash-объект или Java-апплет". Короче, не пользуйте это, ибо, как только Вы даете выполнятся любому исполняемому коду со стороны, так вероятность проникновения всякой дряни на ваш компьютер резко возрастатет.
     
     
  • 4.35, User294 (ok), 18:22, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    NoScript в фирефоксе - рулит :-)
     
  • 2.26, Антон (??), 13:00, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W
    >выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.

    Трояны давно через обычные сайты распространяются, особенно часто такое встречается на сайтах разных средней руки фирм и гос. структур. Был случай даже когда вредоносный код появился в клиентском личном кабинете местного Ethernet-провайдера. У нас на хостинге процентов 10 клиентов подхватывали заразу которая по FTP на их сайт вставляла вредоносный код. Заражаются либо подхватывая на виндовой машине троян либо когда пользуются нешифрованным FTP, а в локальной сети кто-то подхватил снифящий пароли троян. То что зараза подхватывается только на разных хакерских, порно и прочих неблагонадежных сайтах - давно миф.

     
     
  • 3.30, KOL (ok), 16:15, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    В данном случае, мало внедрить JS на сайт, необходимо еще и поиметь ДНС сервер поддерживающий домен этого сайта.
     
     
  • 4.31, klalafuda (?), 16:32, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    > В данном случае, мало внедрить JS на сайт, необходимо еще и поиметь ДНС сервер поддерживающий домен этого сайта.

    Вся Сеть просто завалена горами подставного мусора, которые тем не менее генерят дикий трафик. Так что сделать и, что немаловажно, раскрутить систему, которая бы работала по указанному принципу и направить в неё стройную колонну жертв - дело лишь техники. Сравнительно несложной, замечу.

     
  • 2.27, klalafuda (?), 13:20, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    > Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.

    Простите, многие ли первоклашки задумываются об отношениях между полами? А ведь таких - подавляющее большинство.

    Да, кстати. Это ж ведь только тупая попытка войти админом на рутер. Да. Совсем тупая. А ведь есть ещё UPnP, который обычно по-дефолту включен и через который точно так же можно сделать массу интересных вещей.

     
     
  • 3.28, XoRe (ok), 14:37, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >> Да и в школе учили - дети, пользуйтесь презервативами при половых контак^W^W^W^W^W выключайте JavaScript при посещении малознакомых сайтов. Потребуется - включить недолго.
    >
    >Простите, многие ли первоклашки задумываются об отношениях между полами? А ведь таких
    >- подавляющее большинство.
    >
    >Да, кстати. Это ж ведь только тупая попытка войти админом на рутер.
    >Да. Совсем тупая. А ведь есть ещё UPnP, который обычно по-дефолту
    >включен и через который точно так же можно сделать массу интересных
    >вещей.

    Да, кстати.
    UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.
    Для этого даже не нужно пароля к роутеру.

     
     
  • 4.29, klalafuda (?), 14:46, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    > Для этого даже не нужно пароля к роутеру.

    Именно...

    PS: Конечно, если UPnP на маршрутизаторе не запрещен. Обычно по дефолту он там разрешен. И существенно меньшая часть 'гуру' которые крутят их для SOHO вообще знает, что такое UPnP и с чем его едят. Как следствие - даже и не задумываются на тему 'А не выключить ли мне его?'.

     
  • 4.36, User294 (ok), 18:24, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >UPnP, открывающий доступ к 445 порту юзерского компа - веселая штука.

    А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.

     
     
  • 5.37, klalafuda (?), 19:27, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    > А он часто доступе с WAN? Или предлагается его такими же методами хакать?Так он же вроде UDP юзает? Как минимум JS тогда обломится. А всякая там ява с ее сокетами пусть идет нафиг, она вообще может крайне много нежелательно активности имеючи свой сокетный механизм который к тому же плевать хотел на настройки браузера.

    На, сходи, расширь свой кругозор. Пойдет только на пользу.

    http://upnp.org/sdcps-and-certification/standards/

     
  • 1.38, йййй (?), 22:06, 06/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.
     
     
  • 2.39, klalafuda (?), 22:36, 06/08/2010 [^] [ответить]    [к модератору]  
  • +/
    > т.е. доступ из вне происходит через собственно скрип? А то как то новость новость путана написана.

    Да, конечно. По крайней мере в той версии, что описана в новости. Но если сделать скрипт чуть поумнее и научить его, допустим, открывать снаружи вовнутрь порты на маршрутизаторе через UPnP (что не сложно), то в случае успеха потом уже можно и напрямую шуровать. Что куда как интереснее. Все-таки скрипт by design сильно ограничен в своих возможностях.

     
  • 1.40, Аноним (-), 00:39, 07/08/2010 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...
     
     
  • 2.41, CoolKid (?), 13:11, 07/08/2010 [^] [ответить]    [к модератору]  
  • +/
    >В жизни не пользовал ADSL-модемы в режиме роутера - только бридж...

    а разница какая? от этого он становится меньше уязвим?

     
     
  • 3.42, Аноним (-), 15:04, 07/08/2010 [^] [ответить]    [к модератору]  
  • +/
    На интерфейсе, который торчит в модем нет ипы - до него просто не доберёшься)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor