Ang DNS ay napinsala nitong mga nagdaang araw na ang mga bansa-estado at mga pangkat ng hacker ay na-target ang DNS bilang isang pamamaraan upang magnakaw ng mga kredensyal mula sa hindi inaasahang mga biktima.
Ayon sa Techcrunch unang nakompromiso ng mga hacker ang inilaan na target sa pamamagitan ng spearphishing. Gumamit sila pagkatapos ng kilalang pagsasamantala upang ma-target ang mga server at router at ilipat sa paglaon sa loob ng network. Sa prosesong iyon, nakakuha ang mga hacker ng mga password na hinayaan silang i-update ang mga tala ng DNS na itinuturo ang pangalan ng domain na malayo sa IP address sa server ng target sa isang server na kinokontrol ng hacker. Pinayagan nito ang hacker na mangalap ng username at mga password na gumagamit ng mga pag-atake na nasa gitna. Gumamit din ang hacker ng mga pekeng sertipiko upang ipakita ang nakakahamak na server ng hacker na totoong web server.
May mga kaunting paraan upang maiwasan ang pag-atake na ito. Ang ilang mga lugar na mag-focus sa isama:
- Pagpapatupad ng dalawang pagpapahintulot sa kadahilanan para sa lahat ng mga pagbabago sa record ng DNS. Habang nasa teorya, isang napaka-matalinong paglipat, sa pagsasanay mahirap dahil hindi lahat ng mga registrar ay sumusuporta dito.
- Registry Lock - ito ay tulad ng isang credit lock sa iyong mga financial record. Pinipigilan nito ang hindi pinahintulutan, hindi ginustong o hindi sinasadyang mga pagbabago sa pangalan ng domain sa registrar ng pag-sponsor. Sa kasamaang palad, hindi lahat ng mga nangungunang antas ng domain ay sumusuporta sa Registry Lock.
- Pag-deploy ng seguridad sa email upang maharang at maiwasan ang matagumpay na kampanya sa phishing
- Mga tool sa pagtuklas ng nakabatay sa malware na host
Ang Starlight ay nakatuon sa paggamit ng aming Pinag-isang Security Analytics Platform upang makita, alerto, at tumugon sa mga ganitong uri ng pag-uugali. Ang aming laganap na koleksyon ng data, kasama ang advanced na paghawak ng data at pag-aaral ng makina, ay nagbibigay sa amin ng maraming mga lugar kung saan maaari naming matukoy ang mga ganitong uri ng pag-atake sa buong cyber kill-chain ng Lockheed Martin. Kung ang pag-atake ay napalampas sa isang yugto ng chain ng pagpatay, mahuhuli namin ito sa isa pang yugto.
- Ang matagumpay na mga kampanya sa spearphishing ay nag-iiwan ng mga bagong binary upang maipatupad. Ang Stellar Cyber ay nagtayo ng pagtatasa ng malware na muling magtipun-tipon ng binary sa pagbibiyahe, suriin ito laban sa mga kilalang pirma, at sa huli ay ilagay ito sa isang sandbox para sa pagsubok. Ang mga resulta ng pagsubok na iyon ay magdadala sa pagkilos kung dapat matukoy ng pagsubok ang binary na nakakahamak sa likas na katangian.
- Kung ang binary ay pumasa sa pagsubok ng malware, nakita ng aming mga sensor ng server ang pag-install at pagpapatupad ng mga maanomalyang binary at alerto sa mga aktibidad na iyon.
- Kung ang binary ay hindi napansin, ang mga nagresultang mga aktibidad ng pag-uutos at pagkontrol ay makikita, alertuhan, at potensyal na ma-block.
- Ang mga binary na naglalabas ng mga utos sa OS ay napansin din bilang anomalya at magpapalitaw ng isang alerto.
- Mga napatunayan na domain na sertipiko - Dahil ang mga sertipiko na ito ay maaaring mabuo nang walang interbensyon ng tao, maaari silang magamit upang mabigyan ang end user ng maling pakiramdam ng seguridad. Ang isang halimbawa ng isang sertipiko na napatunayan ng domain ay "Hinahayaan ang I-encrypt." Ang aming Starlight platform ay may kakayahang makita ang mga napatunayan na domain na mga sertipiko at alerto sa mga ito.
Ang malalim na pagtatanggol ay buhay pa rin (sa kabila ng ilang mga talakayan na taliwas). Ang paghuli ng mga bagong pamamaraan ng pag-atake ay nakasalalay sa kakayahang makita at makita sa lahat ng mga yugto ng cyber security kill-chain. Ang Stellar Cyber ay natatanging nakaposisyon upang matulungan kang mabilis na makita at maprotektahan laban sa mga ganitong uri ng pag-atake.
David W. Barton
Chief Officer Security Security
615-939-2861
www.stellarcyber.ai
