Badacze zajmujący się cyberbezpieczeństwem rzucili więcej światła na chińskiego aktora o kryptonimie SecShow. Tym razem nie chodzi o żaden atak, ale o metodę zarządzania i ochrony DNS w skali globalnej.
Według firmy Infoblox organizacja działa w ramach chińskiej sieci edukacyjnej i badawczej (CERNET), projektu finansowanego przez rząd.
„Wdrażane sondy mają na celu znalezienie i zmierzenie odpowiedzi DNS w otwartych serwerach do rozpoznawania nazw” – stwierdzili badacze w raporcie opublikowanym w zeszłym tygodniu. „Końcowy cel operacji SecShow jest nieznany, ale zebrane informacje mogą zostać wykorzystane do złośliwych działań i przyniosą jedynie korzyść aktorowi”.
Opis projektu sondowania DNS udostępniony przez jego twórców; źródło: blogs.infoblox.comBiorąc pod uwagę powyższe, istnieją pewne dowody sugerujące, iż akcja mogła być powiązana z pewnym rodzajem badań akademickich związanych z „przeprowadzaniem pomiarów przy użyciu technik fałszowania adresów IP w domenach w obrębie secshow.net” wzorowanych na tym samym podejściu, co projekt Closed Resolver.
Rodzi to jednak więcej pytań niż odpowiedzi – w tym dotyczących pełnego zakresu projektu, celu gromadzenia danych, wyboru ogólnego adresu Gmail do zbierania opinii oraz generalnego braku przejrzystości.
Open resolvery odnoszą się do serwerów DNS, które są w stanie rekurencyjnie akceptować i rozpoznawać nazwy domen dla dowolnej strony w Internecie, dzięki czemu są gotowe do wykorzystania przez atakujących w celu zainicjowania rozproszonych ataków „odmowa usługi” (DDoS), takich jak atak DNS Amplification.
Sercem sond jest wykorzystanie serwerów nazw CERNET do identyfikacji otwartych resolverów DNS i obliczania odpowiedzi DNS. Wiąże się to z wysłaniem zapytania DNS z nieokreślonego jeszcze źródła do otwartego mechanizmu rozpoznawania nazw, co powoduje, iż serwer nazw kontrolowany przez SecShow zwraca losowy adres IP.
Uproszczony widok operacji sondowania DNS Secshow; otwarte resolvery powodują wysłanie zapytań do aktora Secshow w celu rozwiązania nazwy; źródło: blogs.infoblox.comCo ciekawe, serwery nazw są skonfigurowane tak, aby zwracały nowy losowy adres IP za każdym razem, gdy zapytanie jest wykonywane z innego resolvera, co powoduje wzmocnienie zapytań ze strony produktu Palo Alto Cortex Xpanse.
„Cortex Xpanse traktuje nazwę domeny w zapytaniu DNS jako adres URL i próbuje pobrać treść z losowego adresu IP tej nazwy domeny” – wyjaśnili badacze „Zapory ogniowe, w tym Palo Alto i Check Point, a także inne urządzenia zabezpieczające, filtrują adresy URL po otrzymaniu żądania z Cortex Xpanse”.
Opisywany etap filtrowania inicjuje nowe zapytanie DNS dla domeny, które powoduje, iż serwer nazw zwraca inny losowy adres IP, co z kolei sprawia, iż Cortex Xpanse powtarza proces ponownie, skutecznie zamieniając pojedyncze zapytanie SecShow w nieskończony cykl zapytań w całej sieci.
Warto zauważyć, iż niektóre aspekty działań związanych ze skanowaniem zostały wcześniej ujawnione przez badaczy Dataplane.org i Unit 42 (w ciągu ostatnich dwóch miesięcy). „W tej chwili kilka wiadomo o wpływie Xpanse na sieci klientów zgodnie z przeznaczeniem, poza minimalnym wzrostem aktywności związanej z rozpoznawaniem DNS w celu ustalenia, czy dana domena jest złośliwa” – podaje Palo Alto Networks.
Wzmocnienie zapytań ze strony Cortex Xpanse; źródło: blogs.infoblox.comSecShow to drugie po Muddling Meerkat ugrupowanie zagrażające powiązane z Chinami, które przeprowadza w Internecie badania DNS na tak dużą skalę.
„Zagmatwane zapytania Meerkat są zaprojektowane tak, aby mieszać się z globalnym ruchem DNS i pozostają niezauważone przez ponad cztery lata, podczas gdy zapytania Secshow to przejrzyste kodowanie adresów IP i informacji pomiarowych” – stwierdził Infoblox.
Podsumowanie
Chociaż działalność Secshow została niedawno zakończona, pokazuje ona siłę sondowania DNS wykonywanego przez aktora mającego dostęp do szkieletu internetowego. Secshow przez kilka miesięcy przeprowadzał fałszowanie DASA na dużą skalę, aby badać przestrzeń IP na całym świecie. Ich sondy szukały informacji na temat konfiguracji open resolverów do rozpoznawania nazw i sieci, które można wykorzystać do szkodliwych działań. Aktor podał niepełne informacje na temat swoich sond i nie ujawnił ich tożsamości. Chociaż Secshow może prowadzić eksperymenty akademickie, nie przestrzega akademickich standardów ujawniania informacji. Wszyscy członkowie branży zabezpieczeń powinni w przejrzysty sposób dokumentować aktywne metody sondowania, niezależnie od tego, czy mają one charakter akademicki czy komercyjny, aby uniknąć marnowania czasu i zasobów zespołów ds. bezpieczeństwa i sieci.
Wzmocnienie i w konsekwencji zanieczyszczenie pasywnych kolekcji DNS przez Cortex Xpanse utrudniało przez ostatnich 15 miesięcy analizę wielu innych zagrożeń.
Ponadto agresywne i masowe skanowanie służy dalszemu rozpoznaniu złośliwych aktorów i bezpośrednio zwiększa koszty dla sieci na całym świecie, w tym koszty przetwarzania DNS i przechowywania. Niezdolność Cortex Xpanse do identyfikowania odpowiedzi DNS z symbolami wieloznacznymi lub złośliwego systemu DNS i zaprzestania skanowania tych domen w celu zarządzania powierzchnią ataku sprawia, iż ich produkt jest obciążeniem dla obrońców na całym świecie. Brak pełnej dokumentacji Cortex Xpanse, podobnie jak Secshow, spowodował, iż zespoły ds. bezpieczeństwa i badacze poświęcali zasoby na poszukiwanie fantomowego złośliwego oprogramowania.
