گزارش پس از حادثه از Steakhouse اطلاعات جدیدی درباره یک حادثه امنیتی در 1409/01/10 ارائه کرده است. مهاجمان به طور مختصر دامنه آن را ربودند تا یک سایت فیشینگ ارائه دهند و یک آسیبپذیری حیاتی در زیرساخت آف چین را به جای سیستمهای درون زنجیرهای نشان دادند.
تیم تأیید کرد که حمله ناشی از یک تلاش موفق مهندسی اجتماعی با هدف قرار دادن ثبتکننده دامنه آن، OVHcloud بود. این امر به مهاجم اجازه داد تا احراز هویت دو عاملی صرافی ها (2FA) را دور بزند و کنترل رکوردهای DNS را به دست بگیرد.
مهندسی اجتماعی منجر به تصرف کامل حساب شد
طبق گزارش، مهاجم با میز پشتیبانی ثبتکننده تماس گرفت، خود را به عنوان مالک حساب جا زد و یک نماینده پشتیبانی را متقاعد کرد که احراز هویت دو عاملی مبتنی بر سختافزار را حذف کند.
پس از اعطای دسترسی، مهاجم به سرعت یک سری اقدامات خودکار را اجرا کرد. این شامل حذف اعتبارنامههای امنیتی موجود، ثبتنام دستگاههای احراز هویت جدید و تغییر مسیر رکوردهای DNS به زیرساخت تحت کنترل آنها بود.
این امر استقرار یک وبسایت کلون شده Steakhouse را که در آن یک والت برنر تعبیه شده بود، امکانپذیر کرد که تقریباً به مدت چهار ساعت به طور متناوب قابل دسترسی باقی ماند.
سایت فیشینگ فعال بود، اما وجوه ایمن ماندند
علیرغم شدت نقض، Steakhouse اعلام کرد که هیچ وجه کاربری از دست نرفت و هیچ تراکنش مخربی تأیید نشد.
نقض محدود به لایه دامنه بود. خزانههای درون زنجیرهای و قراردادهای هوشمند که مستقل از رابط کاربری عمل میکنند، تحت تأثیر قرار نگرفتند. پروتکل تأکید کرد که هیچ کلید مدیریتی که بتواند به سپردههای کاربران دسترسی داشته باشد، ندارد.
محافظتهای کیف پول مرورگر از ارائهدهندگانی مانند MetaMask و Phantom به سرعت سایت فیشینگ را علامتگذاری کردند، در حالی که تیم ظرف 30 دقیقه پس از شناسایی حادثه یک هشدار عمومی صادر کرد.
گزارش پس از حادثه ریسک فروشنده و نقاط شکست واحد را برجسته میکند
گزارش به یک شکست کلیدی در فرضیات امنیتی Steakhouse اشاره میکند: اتکا به یک ثبتکننده واحد که فرآیندهای پشتیبانی آن میتوانست حفاظتهای مبتنی بر سختافزار را نادیده بگیرد.
توانایی غیرفعال کردن احراز هویت دو عاملی از طریق یک تماس تلفنی، بدون تأیید قوی خارج از باند، عملاً نشت اعتبارنامه را به یک تصرف کامل حساب تبدیل کرد.
Steakhouse اذعان کرد که این ریسک را به طور کافی ارزیابی نکرده بود و ثبتکننده را به عنوان یک "نقطه شکست واحد" در زیرساخت خود توصیف کرد.
آسیبپذیریهای آف چین یک حلقه ضعیف باقی میمانند
این حادثه یک مسئله گستردهتر در امنیت کریپتو را برجسته میکند — اینکه حفاظتهای قوی درون زنجیرهای خطرات در زیرساختهای اطراف را از بین نمیبرد.
در حالی که قراردادهای هوشمند و خزانهها ایمن باقی ماندند، کنترل بر DNS به مهاجم اجازه داد تا کاربران را از طریق فیشینگ، روشی که به طور فزایندهای در اکوسیستم رایج است، هدف قرار دهد.
حمله همچنین شامل ابزارهایی سازگار با عملیات "drainer-as-a-service" بود که نشان میدهد چگونه مهاجمان به ترکیب مهندسی اجتماعی با کیتهای بهرهبرداری آماده ادامه میدهند.
ارتقاء امنیت و مراحل بعدی
به دنبال این حادثه، Steakhouse به یک ثبتکننده امنتر منتقل شده است. نظارت مستمر DNS را پیادهسازی کرد، اعتبارنامهها را چرخش داد و بررسی گستردهتری از شیوههای امنیتی فروشنده را راهاندازی کرد.
تیم همچنین کنترلهای سختگیرانهتری برای مدیریت دامنه معرفی کرد، از جمله اجرای کلید سختافزاری و قفلهای سطح ثبتکننده.
خلاصه نهایی
- گزارش پس از حادثه Steakhouse نشان میدهد که دور زدن 2FA در سطح ثبتکننده ربودن DNS را امکانپذیر کرد و کاربران را در معرض فیشینگ قرار داد، علیرغم سیستمهای درون زنجیرهای ایمن.
- این حادثه برجسته میکند که چگونه زیرساخت آف چین و امنیت فروشنده آسیبپذیریهای حیاتی در اکوسیستمهای کریپتو باقی میمانند.
Source: https://ambcrypto.com/steakhouse-postmortem-reveals-dns-hijack-caused-by-registrar-2fa-bypass/
