Journal Quand le phishing se joue des serveurs DNS

Posté par  . Licence CC By‑SA.
84
28
nov.
2024

L'histoire commence la semaine dernière quand j'ai commencé à recevoir du phishing pour le Crédit Mutuel, mais avec des URL qui pointaient toutes vers les serveurs de Wikimedia.

Très étonnant, trop même.

J'ai décidé de faire remonter l'information à Wikimedia, qui me répond connaître ce problème depuis un moment, une quantité d'outils et d'abus les ciblant à cause de la résolution vers ses serveurs.

Bien sur, aucun phishing n'est hébergé chez Wikimedia, seul les domaines de phishing pointent dessus.

Habituellement, les site de phishing détectent les IP des outils de signalement et renvoient vers une page anodine. (c'est là où on constate l'impuissance de la solution d'Orange phishing-initiative qui n'ira pas plus loin après une vérification positive, malgré le nombre de signalements…)

Une première hypothèse commune était que les domaines pointaient temporairement vers les serveurs de Wikimedia le temps de déjouer les outils de signalement. Or, cette stratégie ne peut pas fonctionner: La campagne de spam perd son efficacité avec le temps, et les outils sérieux prendront en compte les signalements successifs.

En creusant un peu plus, une résolution DNS sur le lien donne bien le serveur de Wikimedia.

    ;; ANSWER SECTION:
    isg.strinygys.com.      53      IN      A       208.80.154.224

Or, je me trouve en Asie en ce moment. Il y aurait-il une réponse différente en fonction de la zone géographique ? Pour cela il faut que les criminels aient le contrôle de la réponse, donc du serveur faisant autorité.

Voyons, via whois, qui fait autorité pour ce domaine de phishing

    Domain Name: strinygys.com
    Name Server: NS1.SPERTYION.INFO
    Name Server: NS2.SPERTYION.INFO

Des serveurs DNS qui ne sont pas ceux d'un registrar. Voyons plus loin:

    NS1.SPERTYION.INFO has address 62.84.182.241

    inetnum:        62.84.176.0 - 62.84.191.255
    netname:        TT-20240627
    descr:          Contabo GmbH

Les réponses de résolution DNS sont donc émises par des serveurs DNS hébergés sur des serveurs dédiés Allemands.

Possiblement, ils peuvent donc faire tourner un serveur DNS modifié qui répondra différemment en fonction de la zone géographique, et donc de la cible d'attaque définie (France pour le Crédit Mutuel).

Validons la théorie. Retentons via un VPN sortant en France:

    ;; ANSWER SECTION:
    isg.strinygys.com.      60      IN      A       208.80.154.224

Zut. Rien de changé. Toujours une réponse vers Wikimedia.

Pourtant ces campagnes de phishing durent, donc c'est que ça fonctionne pour eux.
Pourquoi alors n'ai je pas la réponse me donnant le serveur web de phishing ?

Pour avoir une réponse différente il faudrait faire du DNS poisoning, mais impossible pour eux de cibler tout le monde, à moins que…

Tentons autre chose, mais en forçant la demande via les serveurs DNS de Free

        host isg.strinygys.com 212.27.40.240
        Using domain server:
        Name: 212.27.40.240
        Address: 212.27.40.240#53
        Aliases:

        isg.strinygys.com has address 62.84.182.241 

Bingo.

On se retrouve donc avec une technique insidieuse, ne résolvant vers le phishing que quand la demande est effectuée par les caches/DNS des fournisseurs Français. D'autant plus facile étant donné que la liste des IP des ces serveurs est forcément publique.

En configurant la résolution via un serveur habituellement non filtré comme Google ou Cloudfare, le phishing n'est donc plus effectif. Cela pourrait éviter ce type de phishing, or la loi Française a pour effet de contraindre le fournisseurs à fournir des box qui ne résolvent que par leur propres serveurs.

  • # Merci

    Posté par  . Évalué à 10 (+12/-0).

    Super journal, je ne connaissais pas cette technique, encore plus fourbe que regarder de user agent avant d'afficher la page de fishing.

    J'ai regardé et évidemment j'ai bien la mauvaise adresse qui est résolue via l'OS (mais le navigateur lui est en DoH, donc la page ne réponds pas :) alors qu'un curl lui se connecte.

    Faut voir le bon coté des choses nos gouvernements s'acharnent activement à ce qu'on s'affranchisse des DNS des FAI en leur obligeant de mentir :)

    Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # Super intéressant

    Posté par  (site web personnel) . Évalué à 7 (+5/-0).

    Merci pour ce journal, qui m'a non seulement fait découvrir un mode de pishing bien retors mais m'a surtout poussé à mieux comprendre les DNS. Leur architecture reste floue pour moi, et n'ayant pas compris la technique à la lecture du journal, je suis allée creuser. Maintenant je vois mieux comment ce truc est possible et j'ai amélioré un peu ma compréhension du fonctionnement des DNS (un peu… mais c'est déjà mieux !).

    C'est effectivement un sacré argument en faveur de l'usage de DNS personnalisés.

  • # il a Free, il lapin compris

    Posté par  (site web personnel) . Évalué à -1 (+3/-7).

    Les serveurs DNS de Free se sont fait trouer le slip ?

    Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

    • [^] # Re: il a Free, il lapin compris

      Posté par  . Évalué à 6 (+6/-1). Dernière modification le 29 novembre 2024 à 09:36.

      Non :
      Le(s) serveur(s) DNS autoritaire(s) du domaine cible du lien de phishing sont sous le contrôle des méchants…
      Quand c'est un serveur DNS d'un FAI Français qui leur demande l'IP de ce domaine, ils renvoient la vraie adresse de phishing ; quand c'est un autre serveur DNS qui fait la demande, ils renvoient une adresse anodine, ce qui réduit largement les chances de détection des courriels malicieux.

      • [^] # Re: il a Free, il lapin compris

        Posté par  . Évalué à 4 (+3/-0).

        Le(s) serveur(s) DNS autoritaire(s) du domaine cible

        Les serveurs faisant autorité pour le domaine cible ;-)

        https://www.wordreference.com/enfr/authoritative
        https://www.cnrtl.fr/definition/autoritaire


        J'ai également constaté une forte recrudescence de l'utilisation de nom de domaine compromis (compte chez le registraire vraisemblablement compromis) pour le phishing. Un truc très utilisé c'est les noms de domaines variables de ce type :
        http://panel-9307c463943.arinc-instrument.com/?id=example.com
        qui redirige (HTTP 302) vers :
        http://7d5b13ac2.choyoga.com/?dif6d78&id=example.com

        Tout signalement automatique du site de phishing est empêché par une dernière redirection

        $ curl -I http://7d5b13ac2.choyoga.com
        HTTP/1.1 302 Found
        Cache-Control: no-store, no-cache, must-revalidate
        Pragma: no-cache
        Content-Length: 0
        Content-Type: text/html; charset=UTF-8
        Expires: Thu, 19 Nov 1981 08:52:00 GMT
        Location: http://localhost
        Server: Microsoft-IIS/10.0
        X-Powered-By: PHP/7.4.33
        Set-Cookie: PHPSESSID=ka20ifsa24arl7uutobiagotip; path=/
        Date: Fri, 29 Nov 2024 10:09:25 GMT

        NB : les deux domaines compromis utilisent le même serveur DNS faisant autorité. On peut donc supposer qu'il appartienne à un mme compte client chez ce registraire qui a été compromis.

    • [^] # Re: il a Free, il lapin compris

      Posté par  . Évalué à 5 (+3/-0).

      SLIP n'a rien à voir avec le DNS. D'ailleurs, ce n'est pas la même couche.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.