The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

12.10.2013 15:51  Атакующие получили контроль над доменом проекта Metasploit через обман регистратора

Группа хакеров KDMS сумела подменить сайты платформы для анализа уязвимостей Metasploit и развивающей проект компании Rapid7, в результате чего на сайтах вместо штатных страниц появилось воззвание атакующих. Особый интерес представляет метод, при помощи которого был выполнен "дефейс". Атакующие сумели получить контроль над настройками доменов Metasploit и перенаправить DNS-записи на свои серверы, путем отправки регистратору Register.com поддельного запроса по факсу на изменение параметров DNS.

Регистратор не заподозрил подвоха и на основании поддельного запроса поменял параметры DNS-серверов на присланную злоумышленниками информацию. Подмена сайтов была оперативно выявлена и устранена в течение часа, но сайты были временно заблокированы с целью выявления возможных последствий атаки.

В опубликованном злоумышленниками объявлении, кроме призывов к освобождению Палестины, атакующие взяли на себя ответственность за недавний дефейс сайтов таких компаний, как Alexa, AVG, Avira и WhatsApp, который был совершён похожим способом, используя методы социальной инженерии против регистратора Network Solutions. В минувший понедельник через подмену параметров DNS также был перенаправлен трафик крупного хостинг-провайдера leaseweb.com. Изначально предполагалось, что в процессе атаки была эксплуатирована уязвимость в панели управления хостингом, но сейчас выяснилось, что атакующие смогли получить пароль администратора домена и поменять параметры DNS через интерфейс регистратора.

Получение контроля над сайтами через DNS не является новым видом атак, напомним, что в 2011 году через атаку на регистраторов злоумышленниками были перенаправлены сайты крупнейших сетевых ресурсов, среди которых Daily Telegraph, UPS, Betfair, Vodafone, National Geographic, Acer и Register.

Дополнение: Сведения о смене параметров на основании факса не подтвердилась. По новой информации, путем использования методов социальной инженерии атакующие сумели получить параметры входа одного из сотрудников регистратора, которые были использованы для внесения изменений в настройки DNS. Тем не менее, эта информация тоже полностью не подтверждена, так как полный отчёт об инциденте пока не получен от регистратора.

  1. Главная ссылка к новости (http://threatpost.com/phony-or...)
  2. OpenNews: Представлен новый вариант платформы для анализа уязвимостей - Metasploit Community
  3. OpenNews: Представлен релиз платформы для анализа уязвимостей Metasploit Framework 4.0
  4. OpenNews: Основатель Pirate Bay намерен создать альтернативную службу DNS
  5. OpenNews: Атака на регистраторов доменов привела к перенаправлению крупнейших сайтов
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: metasploit, dns
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 16:18, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]
  • –4 +/
    Круто!
     
     
  • 2.25, Аноним (-), 18:21, 12/10/2013 [^] [ответить]    [к модератору]
  • +12 +/
    > Круто!

    Очень. "Я палестинский вирус. В связи с плохим уровнем развития IT в нашей стране я не могу нанести вам вред. Поэтому сами сотрите ваши файлы и отправьте меня кому-нибудь еще".

     
     
  • 3.44, Аноним (-), 13:23, 13/10/2013 [^] [ответить]    [к модератору]
  • +1 +/
    О вирусах в сообщении нет ничего.
     
  • 3.53, Константавр (ok), 00:34, 14/10/2013 [^] [ответить]    [к модератору]
  • +3 +/
    Судя по скрину, ты должен быть не палестинский, а плаестинский вирус.
     
  • 2.38, AnonuS (?), 02:14, 13/10/2013 [^] [ответить]    [к модератору]
  • +1 +/
    Ага, "элегантные шорты"(С) за недорого.
     
  • 2.65, Аноним (-), 11:14, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Подозреваю, что такими акциями они добьются что "пластелину" еще больше щемить будут, а не свободу.
     
  • 1.2, x0r (??), 16:19, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Красавцы! К успеху пришли!
     
     
  • 2.10, Анонизмус (?), 17:07, 12/10/2013 [^] [ответить]    [к модератору]  
  • +/
    ахаха, четко
     
     
  • 3.17, Inome (ok), 17:48, 12/10/2013 [^] [ответить]    [к модератору]  
  • +8 +/
    Пойду-ка я <s> отправлю регистратору microsoft и google  соответствующий запрос на изменение параметров DNS по факсу.  </s> задефейсю microsoft и google.
     
     
  • 4.61, t28 (?), 10:25, 14/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > Пойду-ка

    Пойди-ка, отправь-ка...


     
     
  • 5.71, Inome (ok), 14:27, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Увы.. ответа не последовало, так что облом)
     
  • 1.3, Аноним (-), 16:26, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    настоящие хакиры.
     
     
  • 2.12, Аноним (-), 17:12, 12/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > настоящие хакиры.

    Кулхацкеры. Факсы слать научились.

     
  • 2.28, A.Stahl (?), 19:51, 12/10/2013 [^] [ответить]    [к модератору]  
  • +13 +/
    А что смешного-то? Главное результат и  стоимость достижения этого результата. Их метод оказался прост, эффективен и элегантен.
     
     
  • 3.35, Нанобот (ok), 23:28, 12/10/2013 [^] [ответить]    [к модератору]  
  • +/
    это не хакерство, это мошенничество. простое, эффективеное и элегантеное мошенничество
     
     
  • 4.41, www2 (??), 09:27, 13/10/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    Они просто вдохновились успехами "хакера" Кевина Митника.
     
  • 4.47, pavlinux (ok), 15:21, 13/10/2013 [^] [ответить]     [к модератору]  
  • +2 +/
    Это самый настоящий хак Они отправили пакет с поддельной инфой по факсу Систем... весь текст скрыт [показать]
     
  • 3.39, Аноним (-), 02:18, 13/10/2013 [^] [ответить]    [к модератору]  
  • +8 +/
    > Главное результат и  стоимость достижения этого результата.

    - А Вася сервер сломал...
    - Ух ты, а что, он разве хакер?
    - Нет! Он м...к!!!

     
     
  • 4.69, Аноним (-), 12:50, 14/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    - А Вася сервер уронил...
    - Ух ты, а что, он разве хакер?
    - Нет! Он м...к! Он его со стола уронил!!!
     
  • 1.4, Аноним (-), 16:27, 12/10/2013 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Вообще такое поведение типично, по крайней мере для хостинг-операторов Как-то н... весь текст скрыт [показать]
     
     
  • 2.40, Аноним (-), 05:49, 13/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Не надо тут песен про оригинал потом У буржуев факс - документ Официально Р... весь текст скрыт [показать]
     
     
  • 3.62, t28 (?), 10:29, 14/10/2013 [^] [ответить]     [к модератору]  
  • +/
    И у россиян факс ---- документ И телеграмма ---- документ Прикинь ... весь текст скрыт [показать]
     
     
  • 4.66, AlexAT (ok), 11:24, 14/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    > И у россиян факс ---- документ. И телеграмма ---- документ. Прикинь?

    Телеграмма - документ. Факс - не документ, при отчетности не катит за валидную первичку.

     
  • 3.68, pkdr (ok), 12:19, 14/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Может и документ, только вот подделывается легко, мне будет достаточно одной бум... весь текст скрыт [показать]
     
  • 1.5, Аноним (-), 16:30, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    молодцы.
     
  • 1.7, Аноним (7), 16:48, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    "PLAESTINIAN". Интересно, запросы регистратору тоже с ошибками были?
     
     
  • 2.27, Kesha (??), 19:43, 12/10/2013 [^] [ответить]    [к модератору]  
  • +4 +/
    "Пластилиновые" хакеры
     
  • 2.42, анон (?), 11:22, 13/10/2013 [^] [ответить]    [к модератору]  
  • +/
    азаза!1!
     
  • 2.60, аноним22 (?), 08:44, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    дык они просто ошиблись, не тот домен прописали...
     
  • 1.8, YetAnotherOnanym (ok), 16:48, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Имитостойкость? Нет, в Register.com о таком не слышали.
    Только это не называется "изменить содержимое сайтов". Это называется спуфинг.
     
     
  • 2.48, pavlinux (ok), 15:40, 13/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Хуюфинг Спуфенг это замена в IP-пакете адреса отправителя nmap -e eth0 -P0 ... весь текст скрыт [показать]
     
     
  • 3.51, YetAnotherOnanym (ok), 16:16, 13/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Это IP-спуфинг. Гуглите, какие ещё существуют.
     
     
  • 4.73, pavlinux (ok), 02:34, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Это IP-спуфинг. Гуглите, какие ещё существуют.

    Ecли пpям тaк интepeceн caм тepмин, тo в тeмe oпиcaнa Coц. инжyнepия, a имeннo фишeнг, a имeннo "Quid pro quo".

     
  • 1.13, Аноним (-), 17:17, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    Это не хакеры, а вид хулиганов обыкновенных.
     
     
  • 2.32, Аноним (-), 20:46, 12/10/2013 [^] [ответить]    [к модератору]  
  • –1 +/
    > Это не хакеры, а...

    Фрикеры

     
     
  • 3.36, Аноним (-), 02:08, 13/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Не, просто фрики.
     
  • 1.14, AlexYeCu (ok), 17:35, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Так вот ты какой, вирус «Талибан»…
     
  • 1.15, klalafuda (?), 17:42, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Ну и нафига? Опять же, надурить регистратора - ну какие это к лешему хакеры? Ребята в чем-то способные, спору нет. Но где инженерный состав? А воззвание про палестину и пр. хренотень.. Это даже не смешно.
     
     
  • 2.18, AT (??), 17:49, 12/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >>>Но где инженерный состав?

    СОЦинженерный... ;)

     
     
  • 3.20, klalafuda (?), 17:56, 12/10/2013 [^] [ответить]    [к модератору]  
  • +7 +/
    > СОЦинженерный... ;)

    Простите, но зек на зоне разводящий по телефону лохов на бабло (примеров миллион) - это тогда тоже получается хакер? O tempore o mores.

     
     
  • 4.43, бедный буратино (ok), 12:36, 13/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Социальные навыки ВСЕГДА были, есть и будут важнее технических Ибо технические ... весь текст скрыт [показать]
     
     
  • 5.46, Crazy Alex (ok), 14:52, 13/10/2013 [^] [ответить]     [к модератору]  
  • +/
    При прочих равных технические решения выгоднее социальных для достижения той же ... весь текст скрыт [показать]
     
  • 5.52, AlexAT (ok), 21:08, 13/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    Один из важных социальных навыков - это найти X, и с помощью Y послать на Й.
     
  • 5.70, Марк Шатлворт (?), 13:43, 14/10/2013 [^] [ответить]     [к модератору]  
  • +1 +/
    Сейчас бы Вы со своими социальными навыками ползали бы по ёлкам, прятались бы в ... весь текст скрыт [показать]
     
  • 4.57, kurokaze (ok), 00:57, 14/10/2013 [^] [ответить]     [к модератору]  
  • +/
    Так ведь и человек ненавидящий GPL и периодически толсто тролящий на эту тему то... весь текст скрыт [показать]
     
  • 2.56, kurokaze (ok), 00:55, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >А воззвание про палестину

    Про Плаестину же

     
  • 2.72, DeadLoco (ok), 15:48, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Это даже не смешно

    Они по факсу сказали "Мамой клянус!" - и сразу вся секурность рухнула. Ну не смешно ли?

     
  • 1.21, Аноним (-), 17:59, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    А причем тут свободное ПО?
     
     
  • 2.23, Аноним (-), 18:08, 12/10/2013 [^] [ответить]    [к модератору]  
  • +2 +/
    Код Metasploit Framework распространяется под лицензией BSD и Rapid7 участвует во многих связанных с безопасностью открытых проектов, в том числе обеспечивает поддержку для   Kali (BackTrack) Linux.
     
     
  • 3.29, Аноним (-), 19:53, 12/10/2013 [^] [ответить]    [к модератору]  
  • +/
    А было бы очень пикантно, если бы ребят сломали с помощью их же фреймворка :)
     
  • 2.24, Аноним (-), 18:10, 12/10/2013 [^] [ответить]    [к модератору]  
  • +/
    https://github.com/rapid7/
     
  • 1.26, Василий (??), 18:25, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Какие-то DNSSEC разрабатывают. А зачем? Послал дуракам факс - они и сами свою систему взломают. :-)))))
     
  • 1.31, Аноним (-), 20:40, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Общественное мнение готовят к новому военному конфликту?
     
  • 1.33, sergey (??), 20:50, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    "Плаестинские" хакеры.
     
  • 1.34, kai3341 (ok), 21:01, 12/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > путем отправки регистратору Register.com поддельного запроса по факсу на изменение параметров DNS.
    > В опубликованном злоумышленниками объявлении, кроме призывов к освобождению Палестины, атакующие взяли на себя ответственность за недавний дефейс сайтов таких компаний, как Alexa, AVG, Avira и WhatsApp, который был совершён похожим способом, используя методы социальной инженерии против регистратора Network Solutions.

    Даже никаких намёков на то, что сайт эксплуатировал уязвимости на машинах пользователей. Зачем это делалось?

     
     
  • 2.49, plain5ence (ok), 15:42, 13/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Ну надо же как-то кузькин фиг сионистам показать.
     
     
  • 3.58, kurokaze (ok), 00:58, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Ну надо же как-то кузькин фиг сионистам показать.

    Ну да, и овцы целы

     
  • 1.45, Аноним (-), 13:25, 13/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > Alexa, AVG, Avira и WhatsApp

    К чему это перечисление мусорных сайтов? С каких пор alexa, не так идентифицированная как зловред, стала приличным ресурсом?

     
     
  • 2.50, plain5ence (ok), 15:48, 13/10/2013 [^] [ответить]    [к модератору]  
  • +1 +/
    А что в ней неприличного?
     
  • 1.54, chinarulezzz (ok), 00:40, 14/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Через факс, поддельное письмо... Элегантно) Красавцы.
     
  • 1.55, Аноним (-), 00:47, 14/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Можно еще по телефону. Недавно звонил в ростелеком с похожей просьбой. Попросил сделать и все. Кто я откуда я их не интересовало ))
     
     
  • 2.59, chinarulezzz (ok), 03:11, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    просьбы по твоему контракту? Телефон оставлял? Просто интересно, имеет место полная безответственность провайдера, или чуть-чуть))) ориентировались на номер телефона владельца.
     
     
  • 3.64, t28 (?), 11:05, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > провайдера, или чуть-чуть))) ориентировались на номер телефона владельца.

    На номер телефона, обычно, никто не смотрит, ибо владелец мог звонить откуда угодно.

     
     
  • 4.67, chinarulezzz (ok), 12:17, 14/10/2013 [^] [ответить]    [к модератору]  
  • +/
    Вот и интересно: может в данном случае смотрели? Иначе это наплевательское отношение к безопасности, звоните кто угодно откуда угодно, идентифицировать даже не будут. Что несколько отличается от ситуации описанной в новости.
     
  • 1.74, Filosof (ok), 20:57, 15/10/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Они взломали бюрократическую ситсему Регистер.ком-а
    Это не так уж и плохо. Не принципиально какую системы ты ламаешь: регистратора, выдачи пенсий или контроля банкоматов. Хотя защиты в бюрократических системах по определению "не в красную армию".

    Конечно они не хакеры, ведь "хак" - вещь в себе - "взлом ради взлома". В нём главное не результат, а сложность преодолённых задач.
    То есть неспортивно. Хоть и результативно.
    А регистер.ком может чуток ужесточит схему. Терять реальных клиентов из-за таких мелочей менее предпочтительно, чем раз в 100 лет заплатить штраф(дать домен бесплатно на ближ. 10 лет ~= 100 долларов). Если это повторят хоть пару раз - усложнят, что всем будет неприятно. Как шманающие менты на входе на стадион.

    Бюрократы такие бюрократы: вон в моём банке тоже решили, что секурность клиента выше его удобства - 5 неправильных паролей в клиент банке - и топай в отделение за новым. Да я завтра им "Обвал" устрою просто пробежав по всем доступным/потенциальным Айдишникам юзеров и похерив им доступ - Будет ДоС атака в чистом виде: откажут и клиент банк (из-за превышения неверных попыток) и отделения банка (из-за переполнения буфера желающих получить услугу: восстановить пароль).
    Но это будет неспортивно.

     
     
  • 2.75, arisu (ok), 21:01, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > Но это будет неспортивно.

    зато весело.

     
     
  • 3.76, Filosof (ok), 21:24, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >> Но это будет неспортивно.
    > зато весело.

    Я очень эмпатичен - сразу представляю себя одним их эти ДоС-пакетов, и никому не желаю такого веселья. ):-
    Помятуя притчу о хекере и солонке - не всякий задумается, что в результате его деятельности остальные посетители столовки получили кучу гововняка с использованием пропетченной солнки.

     
     
  • 4.77, arisu (ok), 21:33, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    а что, есть другой работающий метод пояснить идиотам (банку), что они — идиоты? а их клиентам наглядно продемонстрировать, что работать с идиотами — вредить себе.
     
  • 4.78, arisu (ok), 21:35, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    p.s. потому что я сильно подозреваю в лучшем случае нулевую реакцию на письмо с описанием подобной штуки. а если потом кто-то эту штуку провернёт — ещё и виноватым окажешься.
     
  • 3.79, Аноним (-), 21:39, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    > зато весело.

    Особенно когда служба безопасности зайдет в гости с крепкими парнями и бейсбольными битами. Тех кто может поприкалываться и не спалиться - не так уж много.

     
     
  • 4.80, arisu (ok), 21:52, 15/10/2013 [^] [ответить]    [к модератору]  
  • +/
    >> зато весело.
    > Особенно когда служба безопасности зайдет в гости с крепкими парнями и бейсбольными
    > битами.

    и это тоже хорошо.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor