DNS ребайндинг
В этой статье расскажем об этапах атаки и её суть. А также немного о том, как атаку можно обнаружить и, самое главное, предотвратить.
Что такое DNS ребайндинг
Атака, при которой кибержулик использует уязвимости в политике одного источника браузеров. Как это происходит:
Подготовка атаки
Злоумышленник регистрирует или использует контролируемый им домен и связывает его с сервером, который способен быстро изменять DNS-записи (дать разные IP-адреса для одного имени хоста). Давайте назовем этот домен julik.ru
Жертва заходит на сайт (julik.ru).
В браузер загружается автоматически злой скрипт
Изменение DNS-записи
После загрузки скрипта → злоумышленник меняет DNS-запись для julik.ru так, чтобы она указывала на локальный IP-адрес жертвы (например, на роутер или умный пылесос).
Вредоносные запросы
Вредоносный скрипт в браузере делает запросы к julik.ru, которые фактически переадресовываются на внутренний IP-адрес локальной сети жертвы. Например, скрипт может войти в консоль управления домашнего роутера.
Еще интересно в этой атаке — обход политики одного источника. Браузер всё ещё думает, что он взаимодействует с julik.ru, даже когда фактический IP-адрес домена изменился до локального. Так скрипт взаимодействует со всеми устройствами в сети жертвы. У последствий DNS ребайндинга сильный спектр: от изменения настроек на роутере до установки вредоносного программного обеспечения.
Можно ли заметить атаку?
Заметить DNS ребайндинг довольно сложно. Самый действенный вариант следить за подозрительными изменениями в DNS-запросах. Это, например, могут быть частые и быстрые смены IP-адресов для одного и того же доменного имени. Ещё можно использовать фаерволы для мониторинга входящего и исходящего трафика. Некоторые из них, кстати, могут блокировать запросы из браузера к локальным IP.
Как можно защититься?
— Используйте Public Suffix List для предотвращения установления cookies на верхнеуровневые домены публичных суффиксов (например, .co.uk
). Это как минимум усложнит атаку.
— Настройте внутренние серверы, чтобы они отклоняли запросы, исходящие из внешних источников.
— Используйте расширения браузера, которые блокируют подозрительный трафик или уведомляет о потенциально опасных изменениях. — Ну и база: обновляйте ПО и ОС.
Last updated