Wees alert op manipulatie van DNS-instellingen

FireEye en US-CERT hebben op 10 januari van dit jaar gepubliceerd over kwaadwillenden die in diverse landen DNS-instellingen van organisaties tijdelijk hebben gewijzigd. Talos berichtte eerder over aanvallen waarbij vergelijkbare methoden gebruikt werden.

Gevolgen van DNS-hijacking voor uw organisatie
Als een kwaadwillende DNS-instellingen van uw organisatie kan wijzigen, kan hij inkomend netwerkverkeer van uw organisatie tijdelijk omleiden. De kwaadwillende kan het omgeleide verkeer inzien en manipuleren. Het omgeleide verkeer kan bijvoorbeeld e-mails, inloggegevens en gebruikersinvoer op webapplicaties bevatten. Daarnaast kan de kwaadwillende vertrouwde certificaten voor uw domeinnamen aanvragen. Als de kwaadwillende een dergelijk certificaat gebruikt bij het onderscheppen van het netwerkverkeer, kan deze gebruikte versleuteling zoals https ongedaan maken.

Checklist voor bescherming
Het NCSC adviseert u te monitoren op ongeautoriseerde wijziging van uw DNS-instellingen en preventieve maatregelen te treffen.

• Controleer regelmatig of uw domeinnamen inderdaad naar de IP-adressen van uw infrastructuur verwijzen.

• Controleer regelmatig Certificate Transparency-logs om na te gaan of er certificaten uitgegeven zijn voor uw domeinnamen die u niet heeft aangevraagd.

• Maak gebruik van tweefactorauthenticatie op accounts bij DNS-beheerders, domeinregistrars en andere systemen die gebruikt worden voor het beheren van DNS-instellingen.

• Wijzig inloggegevens waarvan u vermoedt dat deze gecompromitteerd zijn.

Deze maatregelen zijn gebaseerd op het advies van het Amerikaanse Department of Homeland Security (DHS).

Dit artikel is ook te vinden in het dossier Informatiebeveiliging