HomesecurityMuddling Meerkat: Manipulating DNS through the Great Firewall

Muddling Meerkat: Manipulating DNS through the Great Firewall

Ένα νέο είδος κακόβουλης δραστηριότητας, γνωστό ως “Muddling monk cat“, πιστεύεται ότι συνδέεται με τη χειραγώγηση DNS, από έναν κινεζικό κρατικό malicious agent για την ανίχνευση δικτύων παγκοσμίως, από τον Οκτώβριο του 2019, με μια αύξηση της δραστηριότητας να παρατηρείται τον Σεπτέμβριο του 2023.

See also: KeyTrap Vulnerability: internet access interruption with DNS packet

Muddling monk cat

Μια αξιοσημείωτη πτυχή της δραστηριότητας του Muddling Meerkat είναι η χειραγώγηση των εγγραφών MX (Mail Exchange) μέσω της εισαγωγής ψεύτικων απαντήσεων μέσω του Great Firewall (GFW) της Κίνας, μια ασυνήθιστη και αόρατη συμπεριφορά για το σύστημα λογοκρισίας στο internet of the country.

Η κακόβουλη δραστηριότητα, που ανακαλύφθηκε από την Infoblox, δεν έχει ξεκάθαρο στόχο ή κίνητρο, αλλά δείχνει πολυπλοκότητα και προηγμένες δυνατότητες χειρισμού παγκόσμιων συστημάτων DNS. Εξετάζοντας τεράστιους όγκους δεδομένων DNS, οι ερευνητές της Infoblox ανακάλυψαν μια δραστηριότητα που λένε ότι θα μπορούσε εύκολα να περάσει κάτω από το ραντάρ ή να θεωρηθεί αβλαβής.

Το DNS είναι ένα ουσιαστικό λειτουργικό στοιχείο του Διαδικτύου, το οποίο μεταφράζει ονόματα τομέων που είναι αναγνώσιμα σε διευθύνσεις IP που χρησιμοποιούν οι computers για την αναγνώριση μεταξύ τους στο δίκτυο και τη δημιουργία συνδέσεων.

Το Muddling Meerkat χειρίζεται τα ερωτήματα και τις απαντήσεις DNS στοχεύοντας τον μηχανισμό με τον οποίο οι επιλύτες επιστρέφουν τις διευθύνσεις IP. Για παράδειγμα, μπορούν να προκαλέσουν ψευδείς απαντήσεις εγγραφών MX από το GFW για να ασχοληθούν με τη δρομολόγηση και πιθανώς την εσφαλμένη διεύθυνση email.

See also: Infoblox applies AI to DNS Traffic to counter malware

DNS

Το Great Firewall της Κίνας, είναι ένα σύστημα ελέγχου και λογοκρισίας του διαδικτύου που χρησιμοποιείται από την κινεζική κυβέρνηση. Αυτό το σύστημα ελέγχει την Accessed at σε ξένους ιστότοπους και φιλτράρει το διαδικτυακό περιεχόμενο που θεωρείται απειλητικό ή ανεπιθύμητο από την κυβέρνηση. Το Great Firewall χρησιμοποιεί μια σειρά από μεθόδους για να ελέγξει την πληροφορία που κυκλοφορεί στο internet. Αυτές περιλαμβάνουν τον αποκλεισμό πρόσβασης σε ξένους ιστότοπους, την επιτήρηση και τη λογοκρισία του διαδικτυακού περιεχομένου, τον αποκλεισμό πρόσβασης σε ξένες εφαρμογές και τον αποκλεισμό πρόσβασης σε ξένες υπηρεσίες.

Η σύγχυση των δραστηριοτήτων του Muddling Meerkat το αναγκάζει να εκδίδει ψεύτικες απαντήσεις που εξυπηρετούν στόχους όπως η δοκιμή της ανθεκτικότητας και της συμπεριφοράς άλλων δικτύων. Για να περιορίσει περαιτέρω τις δραστηριότητές τους, το Muddling Meerkat κάνει αιτήματα DNS για τυχαίους υποτομείς των τομέων-στόχων τους, οι οποίοι συχνά δεν υπάρχουν.

Αν και αυτό μοιάζει με μια επίθεση που ονομάζεται “Slow Drip DDoS“, η Infoblox σημειώνει ότι στην περίπτωση του Muddling Meerkat, τα ερωτήματα είναι μικρής κλίμακας και στοχεύουν στη δοκιμή και όχι στη διακοπή. Ο παράγοντας απειλής εκμεταλλεύεται επίσης τους ανοιχτούς επιλύτες για να συσκοτίσει τη δραστηριότητά τους και εμπλέκεται τόσο με έγκυρους όσο και με αναδρομικούς επιλύτες.

See also: ExpressVPN: Bug in split tunneling feature exposed DNS requests

Η Infoblox αναφέρει ότι το Muddling Meerkat επιλέγει τομείς-στόχους με σύντομα ονόματα καταχωρημένα πριν από το 2000, καθιστώντας λιγότερο πιθανό να βρίσκονται σε λίστες αποκλεισμού DNS.

Source: bleepingcomputer

Absenta Mia
Absenta Miahttps://secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Subscribe to the Newsletter

* indicates required

FOLLOW US

LIVE NEWS