Une campagne d'attaque sur les DNS a récemment provoqué un certain émoi, après que l’Internet Corporation for Assigned Names and Numbers (ICANN) ai tiré la sonnette d'alarme il y a quelques jours, principalement à des fins de sensibilisation sur une nécessaire sécurisation accrue des DNS. L'ICANN est une association de droit américain dont le rôle est la gestion de l'une des deux ressources rares d'Internet que sont les noms de domaines. L'autre ressource rare, ce sont les adresses IPv4 dont les attributions sont confiées à une autre association de droit américain, l'IANA(Internet Assigned Numbers Authority).
Baptisée DNSpionnage, cette attaque aurait débuté il y a plus de 4 mois et ciblait initialement des pays du Moyen-Orient, tout particulièrement le Liban et les Emirats Arabes Unis. Cisco avait alors averti dès novembre 2018 de l'existence de cette campagne. Les cibles identifiées étaient à ce moment-là des administrations et des entreprises stratégiques de ces deux pays respectifs. Le laboratoire Talos de Cisco a notamment mis en évidence la compromission du ministère des finances Libanais, ainsi que du gouvernement des Emirats Arabes Unis, leur trafic web et email avait alors été détourné. Middle East Airline, la compagnie d'aviation Libanaise fait elle aussi partie des victimes de l'attaque.
Le vecteur de diffusion était alors des documents Office embarquant du code malveillant. Mais par delà le vecteur assez classique, l'effet du malware peut sembler spectaculaire puisqu'il manipule des requêtes DNS afin de les rediriger sur des serveurs contrôlés pas les attaquants...
En pratique, les attaquants prenaient soin de copier un document "Office" légitime, puis le modifiaient pour y insérer des macros malveillantes et le déposaient sur un serveur compromis. Il ne restait plus qu'à lancer une campagne de mailing pour poster l'url de manière ciblée. D'autres moyens de diffusion auraient selon Cisco également été employés.
Une fois téléchargé et ouvert, le document réplique sa macro sur la machine de la victime. Puis la macro renomme le fichier "svshost_serv.doc" en "svshost_serv.exe". Ensuite, la macro crée une tâche appelée "chromium updater v 37.5.0" pour exécuter le binaire. Le payload s'exécute lorsque l'utilisateur referme le document et trompe ainsi la sandbox.
Le payload final déploie un outil d'administration à distance sur la machine de la victime qui se connecte en DNS Tunneling vers l'infrastructure des attaquants, une technique révélée par le chercheur Dan Kaminsky lors du Blackhat de 2004. Le malware communique en HTTP et DNS avec le serveur de Command & Control, il dispose même d'un mode DNS only qui lui permet :
- de lancer une requête DNS pour demander des commandes disponibles
- d'effectuer une requête DNS avec l'ID de commande
- de renvoyer les résultats des commandes lancées via des requêtes DNS.
Ces requêtes sont encodées pour rendre la détection plus complexe.
Cette attaque n'est pas en soi nouvelle. Elle a donc permi aux attaquants de rediriger du trafic, ce de manière quasi indécelable par les victimes puisque les attaquants ont également pris soin de générer de "vrais faux" certificat SSL afin de rendre l'attaque transparente pour les utilisateurs. La génération des certificats comprenant plusieurs sous-domaines pour chaque domaine visé laisse entendre que l'attaque était alors particulièrement ciblée.
Préalablement à la mise en garde de l'ICANN, le Département d’Etat à la sécurité intérieure américain avait lui aussi communiqué sur cette campagne d'attaques. Fireye a même pointé du doigt l'Iran. Si pour l'heure rien n'indique qu'il s'agisse d'une attaque opérée par un état, la situation géopolitique de la région désigne (un peu trop) "naturellement" l'Iran, si l'on considère les cibles. L'attribution initiale, comme d'habitude, demeure toujours complexe, et il est probablement trop tôt pour désigner l'Iran. Nombreux sont les pays qui ont des intérêts plus ou moins directs à mener une large campagne d'espionnage sur le Liban ou les Emirats Arabes Unis.
Mais ce qui inquiète aujourd'hui, c'est principalement la dépêche AFP alarmiste, largement reprise et amplifiée, précisant que ces attaques "pourraient faire cesser de fonctionner des pans d'Internet" qui a provoqué de vives inquiétudes. A en croire l'agence, l'attaque serait "massive". La réalité, c'est qu'il faut modérer un peu les propos de l'AFP, Internet ne s'écroulera pas demain face à ces attaques.
Il existe plusieurs mécanismes d'attaques sur les DNS, allant du déni de service distribué (afin de les "paralyser"), au DNS Hijacking (visant à rediriger du trafic comme c'est le cas pour DNSpionnage), en passant par les attaques DDoS réfléchies et amplifiées, le DNS Spoofing... D'autres techniques d'attaques sur les DNS sont connues et plus ou moins largement exploitées.
Comme l'indique par ailleurs l'ICANN, et c'était là le sens de son communiqué du 22 février dernier, les attaques visant à rediriger le trafic sur des machines compromises n'ont rien d'innéluctables, elles sont connues et celle qui nous concerne est exploitée depuis 2 ans, et son mécanisme bientôt 15. L'une des contremesures préconisées par l'ICANN est le déploiement de DNSSEC, qui propose de signer toutes les requêtes DNS afin de s'assurer de leur authenticité. Son déploiement, conjugué à des contremesures anti dénis de service et de bonnes pratiques de sécurisation de ce service préviendrait des effets d'une large partie des attaques les plus communes sur ce protocole. Enfin, ces quelques mots n'auraient que peu de sens si nous ne citions pas les [travaux de l'intarissable Stéphane Bortzmeyer sur le sujet, et dont nous vous recommandons chaudement l'ouvrage Cyberstructure : L'Internet, un espace politique
