NFsec Logo

Command and Control przy pomocy UDP, czyli DNS Tunneling

16/09/2016 w Ataki Internetowe, Bezpieczeństwo Brak komentarzy.

N

ie ważne, jak bardzo skręcimy dostęp sieciowy do i z naszych serwerów – to zawsze zezwolimy na ruch DNS, aby móc rozwiązywać nazwy domenowe na adresy IP i na odwrót. Osoba, która dokonała skutecznego ataku na nasze maszyny może wykorzystać tą „lukę” w zaporze ogniowej i potajemnie wyprowadzić dane za pomocą połączeń do C&C, które trudno zablokować. Aby bliżej zrozumieć tunelowanie poleceń i danych za pomocą DNS do serwerów Command and Control spójrzmy na narzędzie autorstwa Rona Bowsesa o nazwie dnscat2.
[ czytaj całość… ]

Zapalmy flarę nad CloudFlare

09/09/2016 w Pen Test Brak komentarzy.

P

rzy okazji wygasania certyfikatu na stronie zacząłem się zastanawiać, czy skorzystać z Let’s Encrypt, czy może z CloudFlare? CF to serwis oferujący „darmową” ochronę webaplikacji, CDN oraz szyfrowanie SSL (jeśli używa się go poprawnie). Zastanawiało mnie ile klientów / domen korzysta z tego serwisu? Oto, co udało mi się ustalić.
[ czytaj całość… ]

Rekonesans DNS i wrogie przejęcie

03/08/2016 w Pen Test 1 komentarz.

R

ekonesans DNS jest główną częścią etapu zbierania informacji w testach penetracyjnych. Można to porównać do wykonywania mapy infrastruktury danego serwisu. Większość organizacji nie monitoruje ruchu DNS, szczególnie nieudanych zapytań i prób pobrania całej strefy – dlatego wyciśnięcie jak największej ilości informacji z tego źródła często nie wpływa na alarmy w systemach bezpieczeństwa i nie wzbudza podejrzeń. W Internecie istnieje wiele dostępnych narzędzi, które mogą skutecznie wykonywać tego typu operacje, ale my skupimy się tylko na kilku i w dodatku tylko na tych napisanych w języku Python, ponieważ bardzo łatwo jest stworzyć dla nich wirtualne środowisko i zainstalować zależności, aby zadziałały od kopnięcia.
[ czytaj całość… ]

DNS – raport miliona zapytań

12/03/2016 w Bezpieczeństwo 1 komentarz.

P

o napisaniu podstaw bezpieczeństwa DNS zastanawiałem się, jaka jest skala problemu źle skonfigurowanych serwerów, które pozwalają na ściągnięcie całej strefy lub wykonywanie zapytań dowolnemu klientowi. Duch patryjotyzmu namawiał mnie na sprawdzenie TLD .pl, zarządzaną przez NASK. Niestety, jak zawsze polski dwór zakończył nadzieję na czwartej wymianie zdania. Dialog wyglądał tak:

– Czy istnieje możliwość otrzymania od Państwa listy wszystkich dotychczas zarejestrowanych domen .pl?
– NASK nie udostępnia tego typu informacji.
– A orientują się Państwo do jakiego organu można zwrócić się w tej sprawie?
– Te dane posiada tylko NASK.

Nie chciało mi się już próbować, czy aby jednak istnieje taka możliwość poprzez CZDS. Rozważałem już przerzucić się na zagraniczne banany, ale z pomocą przyszedł portal, który stanowi swoiste źródło wiedzy o ruchu w Internecie. Okazuje się, że Alexa bez żadnych zbędnych formalności udostępnia milion najczęściej odwiedzanych stron. To stanowi już jakąś próbkę, którą można poddać testom.
[ czytaj całość… ]

Glibc Stack-based Buffer Overflow (CVE-2015-7547 i CVE-2015-5229)

21/02/2016 w Bezpieczeństwo Brak komentarzy.

K

rytyczny błąd przepełnienia bufora na stosie został odkryty w sposobie w jaki biblioteka libresolv (glibc) przeprowadza podwójne zapytania DNS typu A/AAAA. Osoba atakująca może potencjalnie doprowadzić do zdalnego wykonania kodu (z uprawnieniami użytkownika uruchomiającymi bibliotekę) lub zawieszenia systemu poprzez specjalnie spreparowany ruch sieciowy w odpowiedzi DNS (PoC). Problem ten występuje tylko wtedy, gdy libresolv jest wywołana z modułu nss_dns usługi NSS (CVE-2015-7547).
[ czytaj całość… ]

Top 6 darmowych i publicznych serwerów DNS

13/01/2016 w Administracja Brak komentarzy.

1. Google:
8.8.8.8, 8.8.4.4
2. OpenDNS:
208.67.220.220, 208.67.222.222
3. Norton ConnectSafe:
199.85.126.10, 199.85.127.10
4. Comodo Secure DNS:
8.26.56.26, 8.20.247.20
5. DNS.Watch:
84.200.69.80, 84.200.70.40
6. VeriSign Public DNS:
64.4.64.6, 64.6.65.6

Podstawy bezpieczeństwa BIND 9 cz. I

25/05/2015 w Bezpieczeństwo Brak komentarzy.

B

IND jest serwerem DNS tworzonym przez ISC (ang. Internet Systems Consortium) powszechnie używanym do rozwiązywania nazw hostów na adresy IP i odwrotnie. Jako kluczowy element infrastruktury serwery DNS często stają się celem ataków. Podejmując jednak kilka prostych kroków można pomóc w ochronie swojej sieci oraz całego Internetu. Niniejszy artykuł zawiera minimum informacji potrzebnych do poprawny bezpieczeństwa BIND9 pozwalając administratorom systemów zminimalizować zagrożenie. Zdecydowanie najważniejszą rzeczą jest, aby odseparować działanie serwera DNS od innych usług typu serwery WWW, poczty, czy ftp, które są równie często atakowanymi usługami.
[ czytaj całość… ]

Atlas całego świata

02/01/2015 w Techblog Brak komentarzy.

P

rogram RIPE Atlas jest największą na świecie siecią pomiarową Internetu. Idea uczestnictwa w programie jest bardzo prosta: w zamian za podłączenie sondy do swojej sieci w celu prowadzenia badań i pomiarów przez zarządców sieci Atlas oraz innych uczestników – otrzymujemy dostęp do każdej innej sondy sieci Atlas na całym świecie (w tym momencie: 7.5 tysiąca) z możliwością uruchomienia własnych testów wydajności. To pozwala na sprawdzanie i mierzenie dostępów do własnych serwerów / routerów itd. z różnych miejsc na całym świecie w ciągu kilku minut.

Więcej informacji: RIPE Atlas, czyli największa sieć pomiarowa

Blokowanie zapytań DNS za pomocą iptables

29/11/2014 w Administracja Brak komentarzy.

Z

ałóżmy, że do naszego serwera DNS, który jest otwarty tylko dla sieci wewnętrznej zaczyna przychodzić niechciany ruch (od setek do tysięcy zapytań na sekundę) pochodzący od szkodliwego oprogramowania / złej konfiguracji serwerów. W zależności od oprogramowania jakiego używamy do obsługi zapytań DNS – zablokowanie konkretnego rodzaju zapytań może stać się dość trudne. Pierwszym rozwiązaniem tego problemu wydaje się zablokowanie wszystkich żądań DNS, które posiadają konkretne wyrażenie w zawartości pakietu.
[ czytaj całość… ]

Botnet IptabLes & IptabLex atakuje serwery Linux

08/09/2014 w Bezpieczeństwo Brak komentarzy.

O

ddział Akamai – Prolexic odkrył nowy botnet, który nazwał „IptabLes and IptabLex„. Atakuje on źle skonfigurowane oraz zaniedbane serwery Linux, które po instalacji szkodliwego oprogramowania są wykorzystywane do przeprowadzania ataków DDoS na infrastrukturę DNS oraz do ataków typu SYN flood (największy z nich w szczycie osiągnął 119 Gbps). Infekowane są głównie serwery, na których uruchomione jest podatne oprogramowanie typu Apache Struts, Tomcat oraz Elasticsearch.
[ czytaj całość… ]

Strona 1 z 3123