Когда домен поставщика сети Intel обслуживает мошеннический контент, что-то не так

Когда домен поставщика сети Intel обслуживает мошеннический контент, что-то не так

ThousandEyes, фирма, которая обеспечивает мониторинг DNS, становится жертвой своего собственного DNS-сервера.

ThousandEyes, служба сети, основанная на Сан-Франциско, помогает клиентам контролировать все виды критически важных вещей, от утечек протокола пограничного шлюза до производительности DNS. Но за последнюю неделю или около того компания боролась с собственной ошибкой в ​​сети, которая позволила мошенникам размещать сотни тысяч поддельных документов в своем собственном домене.

Когда домен поставщика сети Intel обслуживает мошеннический контент, что-то не так, Ars Technica

Как показано на скриншоте выше, vps4-atl1.ag0.thousandeyes.com принимал PDF-файлы, продвигающие экраны, книги и инструкции по использованию. Будучи доступным в субдомене законной сетевой разведывательной компании, контент был разработан для манипулирования результатами поиска Google таким образом, чтобы обманывать людей нажатием на сомнительные ссылки. Поиски Google предполагают, что документы были размещены на субдомене с начала месяца, прежде чем удалять во вторник, как сообщалось в этой истории.

Чтобы оставить свой контент, мошенники воспользовались провалом в управлении доменом ThousandEyes.com. Запись на авторитетных серверах имен указала на IP-адрес 74.207.229.178. IP-адрес принадлежит веб-хосту Linode. ThousandEyes использовал IP в прошлом, но в какой-то момент он прекратил это делать. Однако администраторы ThousandEyes не смогли удалить запись DNS с серверов имен. Затем мошенники заметили провал, получили тот же IP-адрес от Linode и использовали его для размещения мошеннических документов.

В заявлении по электронной почте представитель ThousandEyes Бен Стрикер писал:

Это была устаревшая запись DNS из выведенной из эксплуатации инфраструктуры, которая указывала на IP-адрес, который мы больше не используем. Хостинг-провайдер повторно использовал этот IP-адрес, и кто-то размещал эти PDF-файлы, используя этот IP-адрес. Поскольку устаревшая запись DNS все еще указывала на этот IP-адрес, она оказалась частью нашего домена. Не было никаких компромиссов с нашим хостингом, DNS, веб-сайтом или системами и отсутствием каких-либо данных из наших или клиентов. Как только мы увидели проблему, наша операционная группа смогла ее исправить и сообщила об этом хостинг-провайдеру.

В более позднем электронном письме представитель ThousandEyes Сьюзан О’Брайен написал: «Чтобы быть ясным, заброшенная запись DNS указывала на IP-адрес, где размещался контент. ThousandEyes не размещал контент на любой своей инфраструктуре ».

Это технически верно. Но также верно, что инфраструктура ThousandEyes была связана с мошенническим IP-адресом и что пропущенность оставалась незамеченной в течение примерно двух недель. Это серьезная ошибка для службы, которая должна предоставлять информацию в режиме реального времени, которая помогает клиентам выявлять проблемы, которые влияют на работу пользователя. До поздней ночи в среду или в начале четверга утром сервер мошенников оставался на Линоде. Карты XML-сайтов, такие как этот, показали, сколько документов было у мошенников. Вот как это выглядело в среду днем:

Но опять же, как только администраторы ThousandEyes удалили запись DNS с серверов имен во вторник, контент больше не привязывался к домену компании.

Эпизод показывает, насколько легко почти для всех совершать серьезные ошибки. Хотя PDF-файлы, предназначенные для манипулирования результатами поиска, являются относительно мягкими, люди, использующие тайм-аут ThousandEyes, могли использовать его для размещения гораздо более гнусных вещей, таких как ссылки на вредоносные загрузки. Роль ThousandEyes как надежного сетевого монитора обеспечила бы идеальное покрытие.

Обновить: Подзаголовок «ThousandEyes становится жертвой типа DNS, который помогает клиентам избежать», был изменен по просьбе ThousandEyes. «Это не так, поскольку мы не проводим проверки безопасности или контента, которые могли бы выявить эти проблемы, и мы не имеем ничего общего с управлением конфигурацией или автоматизацией, которые бы помогли избежать такого рода проблем»,. заявили чиновники в электронное письмо. «Наш сервис обеспечивает видимость сети в режиме реального времени, что помогает компаниям выявлять проблемы, влияющие на производительность приложений и пользовательский опыт».

ThousandEyes Product Marketing VP Алекс Хентхорн-Иване сказал Ars, что, хотя некоторые службы мониторинга DNS компании обнаруживают, что IP-адрес DNS-записей был злонамеренно изменен, что, возможно, является сервисом, связанным с безопасностью. мониторинг DNS не обнаруживает, когда записи неправильно указывают на выведенные из эксплуатации IP-адреса, которые были опубликованы в этом сообщении. ThousandEyes также возражала против характеристики того, что это компания безопасности, или что она предоставляет службы безопасности. Это сообщение обновлено, чтобы удалить эти характеристики.

Продвинутые комментарии

Хорошо, загадайте меня это. просто КАК мошенники даже начинают это понимать? Данные регистратора троллинга? Сканирование адресов?

Я не удивлен, что кто-то допустил ошибку (это то, что мы делаем). Я удивлен, что где-то в Интернете кто-то ищет такого рода вещи.

Разве они не должны просто выходить на улицу на прогулку и выпить чашечку кофе?

Одна вещь, которую я с удивлением обнаруживаю,. это размещение DNS на общем / виртуальном сервере для охранной компании. Это довольно часто, но когда вы выполняете безопасность как профессию, ваши профили угроз меняются. Виртуальный хостинг по своей сути намного менее безопасен, чем аренда полной машины или, что еще лучше, колонизация, которую вы создали самостоятельно.

Дело в том, что DNS настолько легкий, что его размещение на общем сервере имеет прекрасный смысл с точки зрения ресурсов. Даже медленный сервер может умело обрабатывать тысячи клиентов. Маленькие виртуальные серверы стоимостью 5 долларов США будут работать отлично для удивительно большого количества сайтов.

Но в мире с Meltdown и Spectre выключение виртуальной машины гораздо менее сложно, чем раньше, и, хотя это еще не так, я думаю, что охранная компания захочет закрыть ее как возможность , Это много поверхности атаки, которую вы можете удалить не так много денег, относительно говоря.

Все сказанное, эта конкретная идея была бы лишь частично полезной для этой конкретной проблемы. Thousand Eyes могли бы оставить устаревший IP-адрес в своем DNS так же легко, если он был выделенным ящиком. Разница заключается в том, что получение IP-адреса, выделенного для конкретной новой машины, будет более сложным в большинстве настроек colo, поскольку они обычно являются ручным назначением, и запрос определенного IP-адреса или диапазона немного странный. (Последнее, что вы хотите сделать, выглядит странно, когда вы на самом деле злонамерены.)

С большинством виртуальных хостов вы можете просто выбрать IP-адрес из списка неназначенных адресов, чтобы можно было легко захватить тот, который вам нужен. Они сильно автоматизированы, иногда без какого-либо контроля над людьми во время процесса заказа; они должны быть для того, чтобы заработать деньги. С другой стороны, у Colocation и полной аренды машин почти всегда есть люди в цикле.

Один определенный урок здесь: если вы арендуете определенные статические IP-адреса в Интернете, сделайте все, чтобы вы полностью удалили их из своей инфраструктуры, прежде чем отпускать аренду.