Практические атаки с перепривязкой DNS

1. Поиск сетевых устройств
2. Работа вокруг политики одного и того же происхождения (СОП)
3. Собираем кусочки
4. Эффективность атаки и извлеченные уроки
5. Выводы

Один из инструментов, который я ожидаю увидеть в популярности - это перепривязка DNS. Привязка DNS - это метод, который превращает браузер жертвы в прокси для атаки на частные сети. Злоумышленники могут изменить IP-адрес, связанный с именем домена, после его использования для загрузки JavaScript. Поскольку политика одного и того же происхождения (SOP) основана на домене, JavaScript получит доступ к новому IP.

В этом блоге рассказывается о том, что я узнал во время подготовки лабораторного упражнения по перепривязке DNS для Черная шляпа а также сектор ,

Есть две основные проблемы, которые мы должны преодолеть, чтобы атаковать сетевые устройства:

1. Злоумышленники заранее не знают диапазоны адресов частных сетей.
2. Междоменный доступ ограничен политикой того же происхождения.

Поиск сетевых устройств

Самым распространенным методом является угадывание общих сетевых адресов. Это может быть довольно эффективным для определенных устройств, таких как маршрутизаторы. Вот почему Я предлагаю использовать диапазоны IP не по умолчанию на домашних маршрутизаторах , Существует также более сложная техника, которую я ранее называл Смарт CSRF , Этот процесс использует STUN в поддерживаемых браузерах для восстановления локального IP-адреса. (Интересно, что Chrome может быть единственным браузером, поддерживающим это в текущей версии.)

Работа вокруг политики одного и того же происхождения (СОП)

Вооружившись знанием IP-адреса устройства, некоторые атаки становятся довольно тривиальными. Например, Внедрение команды NETGEAR cgi-bin можно использовать с простым тегом IMG для запуска запроса GET. Другие атаки, однако, требуют, чтобы злоумышленник больше взаимодействовал с уязвимой системой, чем просто отправлял данные, и поэтому традиционные методы CSRF терпят неудачу. Политика того же источника запрещает злоумышленникам читать эти данные ответа, поэтому мы должны использовать перепривязку DNS.

У Тависа Орманди есть домен rbndr.us, на котором выполняется его простая перепривязка DNS обслуживание , но я решил создать небольшую реализацию Python и немного изменил свой подход. В то время как реализация Tavis rbndr чередуется между целевыми адресами, у меня были лучшие результаты, когда мой сервер отвечал только один раз с моим публичным IP.

Моя реализация упаковывает очень простой HTTP-сервер и DNS-сервер примерно в 100 строк Python. Пример вывода (с отредактированным моим доменным именем) представлен ниже:

Собираем кусочки

В качестве подтверждения концепции я использовал маршрутизатор VERT NETGEAR Centria, используя обход аутентификации, чтобы использовать внедрение команд в форму, включающую токен CSRF.

Успешная сквозная эксплуатация включает в себя:

1. Жертва загружает IFRAME из домена, контролируемого злоумышленником.
2. IFRAME загружает JavaScript для идентификации локального IP-адреса через WebRTC.
3. Каждый IP-адрес в / 24 жертвы запрашивается на пути, который должен существовать на маршрутизаторе.
4. JavaScript отправляет этот IP на сервер атаки и получает значение токена.
5. Значение токена используется для создания имени домена и обновления местоположения IFRAME.
6. JavaScript, загруженный из этого источника, устанавливает интервальный таймер.
7. Обратный вызов таймера делает запросы к созданному домену.
8. По истечении срока действия записи DNS домен разрешается по IP-адресу локальной сети.
9. Обратный вызов таймера теперь может получить токен CSRF с обходом аутентификации.
10. Полезная нагрузка атаки отправляется с наблюдаемой отметкой времени.

Вот как выглядит эксплойт в моем браузере:

После этого я могу подключиться к маршрутизатору через порт 1234:

Эффективность атаки и извлеченные уроки

Это не быстрая атака, но она довольно мощная. Конкретная продолжительность атаки зависит от интервала таймера (шаг № 6), а также от комбинации браузера и ОС. В моем тестировании с Chrome на OS X я обнаружил, что повторное связывание может быть быстрым как 1 минута с достаточно коротким интервалом (сотни мс) или целых 5 минут, когда интервал 3000 мс. Это компромисс между скоростью и скрытностью.

Выводы

Привязка DNS вполне применима в реальных атаках.

На данный момент кампании IoT-атак были довольно успешными, нападая только на открытые устройства, но это только вопрос времени, когда будет слишком большая конкуренция за этот низко висящий фрукт. Затем операторы ботнетов будут искать лучшие методы для достижения ценных целей в частных корпоративных и домашних сетях.

Сетевые администраторы и поставщики продуктов должны принять менталитет, согласно которому все, что доступно в локальной сети через HTTP, также доступно удаленным злоумышленникам. Если какой-либо из этих серверов разрешает анонимный / неаутентифицированный доступ, злоумышленник, вероятно, будет искать эти системы и красть, манипулировать или даже уничтожать предоставляемые ими данные или системы, которые они контролируют.

Чтобы узнать больше о методах, которые я использую для поиска и использования уязвимостей IoT, пожалуйста, ознакомьтесь с моими предложениями класса 2018 по адресу Черная шляпа США а также сектор ,

Похожие

Комментарии