Tanpa DNS, Internet tidak akan berfungsi dengan mudah sebagai mana kita gunakan saat ini. DNS memainkan peran penting dalam cybersecurity, karena sebuah server DNS rentan terhadap serangan dan digunakan sebagai vektor yang umum dalam serangan.
Analisis Laporan Keamanan Tahunan Cisco 2016 dari malware yang telah divalidasi sebagai "known bad," menemukan bahwa mayoritas, 91,3%, attacker menggunakan DNS untuk melaksanakan kampanyenya.
Malware memanfaatkan DNS dalam tiga cara berikut:
- Untuk mendapatkan CnC (Command and Control)
- Untuk mengeksfiltrasi data
- Untuk mengarahkan lalu lintas korban (redirect traffic)
CnC adalah komputer yang mengeluarkan arahan ke perangkat digital yang telah terinfeksi rootkit atau jenis malware lainnya, seperti ransomware. Server C & C dapat digunakan untuk membuat jaringan yang kuat dari perangkat yang terinfeksi yang mampu melakukan serangan terdistribusi-of-service (DDoS) terdistribusi, mencuri data, menghapus data atau mengenkripsi data untuk melaksanakan skema pemerasan.
Contoh serangan berbasis DNS yang bagus adalah DNSChanger, Trojan yang mengubah pengaturan DNS pada host yang terinfeksi. Trojan DNSChanger menggantikan nameserver dengan mlikik mereka sendiri untuk mengarahkan web dan permintaan lain dari host yang terinfeksi ke set server yang dikendalikan oleh penyerang yang dapat mencegat, memeriksa, dan memodifikasi lalu lintas host yang terinfeksi. Pada puncaknya, Trojan DNSChanger diperkirakan telah menginfeksi lebih dari 4 juta komputer.
Meskipun para penyerang bergantung pada DNS untuk menyebarkan lebih lanjut kampanye malware, beberapa perusahaan memantau DNS untuk tujuan keamanan. Kurangnya pengawasan ini menjadikan DNS sebagai jalan ideal bagi penyerang. Menurut survei terbaru yang dilakukan oleh Cisco, 68% dari profesional keamanan melaporkan bahwa organisasi mereka tidak memantau aktivitas DNS mereka. Salah satu alasan mengapa organisasi gagal memantau DNS adalah karena tim keamanan dan pakar DNS biasanya bekerja di berbagai grup TI dalam perusahaan dan oleh karena itu tidak memiliki kesempatan untuk sering berinteraksi.
Di sini adalah bagaimana DNS dapat dimanfaatkan oleh penyerang untuk melakukan serangan mereka:
DNS Open Resolvers
Sebuah DNS Open Resolvers adalah server DNS yang memungkinkan DNS client yang bukan bagian dari domain administratifnya untuk menggunakan server tersebut untuk melakukan resolusi nama secara rekursif. Pada dasarnya, Open DNS resolver menyediakan respon (jawaban) untuk query (pertanyaan) dari siapa pun. Contoh Open DNS Resolver publik termasuk GoogleDNS (8.8.8.8) dan Cisco OpenDNS (208.67.222.222 dan 208.67.220.220). Cisco OpenDNS menawarkan keamanan tingkat-DNS tambahan untuk mencegah aktivitas tidak aman seperti memblokir lalu lintas ke situs web yang diketahui dengan malware atau botnet, atau memblokir lalu lintas ke situs web phishing.
DNS OPen Resolver rentan terhadap beberapa aktivitas berbahaya, termasuk yang berikut:
- Serangan DNS cache poisoning attack.
- DNS amplifikasi dan serangan refleksi (amplification & reflection)
- Serangan pemanfaatan sumber daya DNS (DNS resource utilization attack)
Ketika DNS resolver mengirim query untuk meminta informasi, server otoritatif atau non-otoritatif dapat merespons dengan pesan respons query DNS dan data RR (Resource Record) yang relevan atau pesan kesalahan. RR berisi field TTL 32-bit yang digunakan untuk menginformasikan resolver berapa lama RR dapat di-cache sampai resolver perlu mengirim permintaan DNS untuk meminta informasi itu lagi. Field ini dapat digunakan dengan tidak baik dengan merubah nilai untuk RR ke nilai TTL yang pendek atau panjang.
DNS cache posoning attack : Terjadi ketika penyerang mengirimkan informasi RR yang dipalsukan (spoofed) ke DNS resolver. Setelah resolver DNS menerima informasi RR yang dipalsukan, itu disimpan dalam cache DNS selama waktu aktif nya (TTL) diatur dalam RR. Penyerang menggunakan teknik eksploitasi ini untuk mengalihkan pengguna dari situs yang sah ke situs berbahaya atau memberi tahu resolver DNS untuk menggunakan nameserver palsu yang menyediakan informasi RR untuk aktivitas berbahaya.
DNS menggunakan ID transaksi untuk melacak kueri dari respons kueri. ID transaksi DNS adalah field berukuran 16-bit di bagian header dari pesan DNS. DNS menginplementasikannya menggunakan ID transaksi bersama dengan nilai port sumber untuk menyinkronkan respons ke pesan permintaan yang dikirim sebelumnya. Kecacatan telah ditemukan dalam DNS di mana implementasi tidak memberikan entropi yang cukup dalam pengacakan ID transaksi DNS dan port sumber saat menerbitkan kueri.
Penyerang menganalisis nilai ID transaksi dan port sumber yang dihasilkan oleh implementasi DNS untuk membuat algoritme yang dapat digunakan untuk memprediksi ID transaksi DNS berikutnya dan port sumber yang digunakan untuk pesan permintaan. Jika penyerang dapat memprediksi ID transaksi berikutnya yang digunakan dalam kueri DNS bersama dengan nilai port sumber, mereka dapat membangun dan mengirim (spoof) pesan DNS dengan ID transaksi yang benar. Meskipun pesan DNS yang dikirim oleh penyerang dipalsukan, penyelesai DNS menerima respons kueri karena ID transaksi dan nilai port sumber cocok dengan kueri yang dikirimkan pengirim, sehingga cache resolver DNS diracuni (poisoned).
DNS amplification adn reflection attack : Menggunakan Open DNS resolvers untuk meningkatkan volume serangan dan untuk menyembunyikan sumber sebenarnya dari serangan-tindakan yang biasanya menghasilkan serangan DoS atau DDoS. Serangan ini dimungkinkan karena open resolver akan menanggapi query dari siapa pun yang mengajukan query untuk informasi. Penyerang menggunakan Open DNS resolver ini untuk aktivitas berbahaya dengan mengirim pesan DNS ke open resolvers menggunakan alamat IP sumber palsu yang merupakan target serangan. Ketika resolver terbuka menerima pesan permintaan DNS palsu, mereka merespons dengan mengirim pesan respons DNS ke alamat target. Serangan jenis ini menggunakan beberapa resolver terbuka DNS sehingga efek pada perangkat target diperbesar.
Proyek Open Resolver melaporkan bahwa pada Oktober 2013, 28 juta resolver terbuka di Internet menimbulkan “ancaman signifikan.” Perusahaan dapat mengurangi kemungkinan serangan yang diluncurkan oleh amplifikasi DNS dalam beberapa cara, termasuk menerapkan praktik terbaik dari IETF saat ini untuk menghindari menjadi sumber serangan amplifikasi DNS. Praktik terbaik saat ini merekomendasikan agar penyedia internet (upstream providers) melakukan filter paket IP memasuki jaringan mereka dari pengguna (downstream), dan membuang paket apa pun yang memiliki alamat sumber yang tidak dialokasikan ke pelanggan tersebut. Teknik mitigasi lainnya adalah mengkonfigurasi server DNS untuk menilai batas permintaan DNS.
DNS resource utilization attack : Serangan DoS yang bertujuan menghabiskan sumber daya pada DNS open resolvers. Contoh sumber daya tersebut termasuk CPU, memori, dan socket buffer. Serangan DoS ini menghabiskan semua sumber daya yang tersedia untuk berdampak negatif terhadap operasi DNS Open resolver. Dampak dari serangan DoS ini DNS Resolver memerlukan reboot agar layanan nya berjalan kemabali.
Penanggulangan serangan yang didasarkan pada resolver DNS terbuka mencakup hal-hal berikut:
Server DNS harus diperkuat untuk mencegah serangan. Sebagai contoh, beberapa vendor memiliki produk yang mengimplementasikan protokol DNS dan yang dapat dikonfigurasi sebagai DNS Resolver terbuka secara sengaja atau tidak sengaja. Resolver terbuka yang dikonfigurasi yang terpapar ke Internet memungkinkan siapa pun mengirim query DNS ke resolver. Server DNS internal dalam suatu organisasi harus dicegah untuk bertindak sebagai DNS Resolver.
BIND adalah produk perangkat lunak dari Internet Systems Consortium, Inc. BIND mengimplementasikan protokol DNS. Server Microsoft Windows juga dapat menerapkan protokol DNS. Organisasi yang menggunakan server DNS lokal yang dikelola sendiri dapat membantu analis menangkap dan mencatat data DNS.
Organisasi dapat mencegah penggunaan server DNS non-resmi, dan mencegah pengguna melakukan pencarian DNS melalui server DNS yang tidak dikelola secara lokal lainnya.
Sumber : SECFND (DNS-Based Attack)
No comments:
Post a Comment