Microsoft laat 50 domeinen van groep aanvallers offline halen
Microsoft heeft middels een gerechtelijk bevel van een Amerikaanse rechter meer dan 50 domeinen van een groep aanvallers offline laten halen. Volgens Microsoft gaat het om een groep aanvallers die vermoedelijk uit Noord-Korea opereert en spearphishingmails naar slachtoffers verstuurde.
In de berichten werden slachtoffers verleid om een link te openen en hun inloggegevens op een phishingsite in te voeren. De groep maakte daarbij gebruik van domeinen die van Microsoft afkomstig leken. In werkelijkheid ging het om domeinen die niet met een m begonnen, maar met een r en n. De combinatie 'rn' lijkt op een m.
Zodra de aanvallers toegang tot een e-mailaccount hadden gekregen stelden ze een regel in waardoor alle berichten naar een e-mailadres van de aanvallers werd doorgestuurd. Op deze manier bleven de aanvallers berichten ontvangen ook al had het slachtoffer zijn wachtwoord aangepast. Naast het stelen van inloggegevens verspreidde de groep ook malware.
De groep had het voorzien op ambtenaren, denktanks, universiteitsmedewerkers, mensenrechtenorganisaties en personen die zich met nucleaire proliferatie bezighouden. De meeste doelen bevonden zich in de Verenigde Staten, gevolgd door Japan en Zuid-Korea. In de aankondiging over de actie tegen de groep meldt Microsoft verder dat het eerder domeinen van groepen uit China, Iran en Rusland uit de lucht heeft gehaald.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.
Ik zou altijd via een eigen "bookmark" naar een site gaan, nooit via een (via email aangeboden) link waarin bewust en misleidend de combinatie "RN" wordt voorgespiegeld als "M":
rn =/= m
Of bedoel je eigenlijk dat je kijkt naar, en vertrouwt op het deel "https" waarvoor een certificaat nodig is?
De combinatie Firefox (of Chrome) en de extensie HttpsEverywhere regelt dat automatisch.
https://www.eff.org/https-everywhere
Vanaf deze plaats, in deze roerige tijden, even "thumbs up" voor de EFF, de Electronic Frontier Foundation.
En ook aanbevolen:
https://www.privacytools.io
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Veilige software distributie is nu eenmaal niet Microsoft sterkste kant. Pas enkele jaren terug hebben ze het licht een beetje gezien met hun beperkte app store. Nog een weg te gaan die andere OS al lang gevonden hebben.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
Je OS en microsoft haat gaat wel ver. Wees nu eens blij dat foute websites (meestal linux) met foute gebruikers (veel oss gebruik) uit de lucht gehaald worden. Dat is juist om het veiliger voor een ieder te krijgen. Verwende kinderen hun zin maar geven is een opvoedkundig probleem. Dat lijkt me met dat dorgelsagen Linux evangelisme ook het probleem.
Ze hanteren een bijzonder domein beleid, domeinen als https://www.microsoftedgeinsider.com/nl-nl/ worden actief gebruikt om software te distribueren (ipv insider.microsoft.com/edge of dergelijke, waardoor je veel sneller weet dat het echt microsoft is).
" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.
...
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.
Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is.
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.
Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl
Ze hebben dat domeinnaam systeem verkeerd gemaakt. Het had niet subdomein.domein.land moeten zijn maar
land.domein.subdomein. Er is een blauwe maandag in Engeland een dergelijk systeem gehanteerd maar dat heeft
het niet gehaald tov het Amerikaanse geweld.
Met een dergelijke domeinnaam opbouw zou het voor de eindgebruiker veel simpeler te zien zijn waar hij nou eigenlijk
mee bezig is, en ook zou het minder nodig zijn om van die rare domeinen specifiek voor 1 doel te registreren, ipv alles
in een boom onder 1 naam te hangen.
" ... waardoor je veel sneller weet dat het echt microsoft is"
Wat is dan volgens jou het verschil tussen (https://www.)microsoftedgeinsider.com/nl-nl/ en (https://www.)insider.microsoft.com/edge ??
Ik zie geen alarmerend verschil tussen beide url's, en dat kan zo maar gevaarlijk blijken te zijn.
De ene is 100% zeker microsoft (microsoft.com), de andere kan iedereen in de wereld claimen.
Als de naam Microsoft er in verwerkt is, is deze veel gemakkelijk offline te halen, het is een merknaam. Als deze überhaupt al geregistreerd kan worden
Als je kijkt op https://crt.sh/?q=%25microsoft.com zie je toch een hoop variant domeinen met een Let's encrypt certificaat die actief zijn. Voorbeeldje: mail.store-microsoft.com, die op naam staat van Privacy Protect, LLC (PrivacyProtect.org). Offline halen is altijd afhankelijk van de hoster, als die bullet-proof is heb je zelfs als Microsoft gewoon een probleem (als in: wie zit erachter, hoe lang duurt het voor je de upstream bereid vindt, etc.)
Omdat je bij controle van de domeinnaam alleen naar het hoofddomein moet kijken en niet naar de subdomeinen (want wie het hoofddomein bezit, heeft ook alle subdomeinen). insider.microsoft.com is veilig omdat je weet dat microsoft.com van Microsoft is.
van insidermicrosoft.com weet je niet meteen van wie de domeinnaam is.
Dus op welke link kun je veilig klikken:
incassoprocedure.abnamro.nl
of
abnamro.incassoprocedure.nl
Ze hebben dat domeinnaam systeem verkeerd gemaakt. Het had niet subdomein.domein.land moeten zijn maar
land.domein.subdomein. Er is een blauwe maandag in Engeland een dergelijk systeem gehanteerd maar dat heeft
het niet gehaald tov het Amerikaanse geweld.
Met een dergelijke domeinnaam opbouw zou het voor de eindgebruiker veel simpeler te zien zijn waar hij nou eigenlijk
mee bezig is, en ook zou het minder nodig zijn om van die rare domeinen specifiek voor 1 doel te registreren, ipv alles
in een boom onder 1 naam te hangen.
Helemaal mee eens. Jammergenoeg innoveert het internet eigenlijk niet meer en zal die correctie nooit meer plaatsvinden. Het wordt met TLD's als '.google' er nog lastiger op.
Niet zo heel bijzonder als je de impact bedenkt. Alles onder 1 domein naam brengen geeft de vraag hoe het daarna over servers en andere diensten te verdelen.
Ze hebben .microsoft, maar gebruiken microsoft[random].com. Als zelf eens bedrijf als Philips (altijd [subdomain].philips.com) dit gewoon op orde heeft ga je me niet vertellen dat een tech-gigant als Microsoft dit niet op orde kan krijgen. Het is een een kwestie gewoon doen. DNS biedt je technisch meer dan genoeg mogelijkheden.
DNS lookup faalt voor "254.242.55.65.in-addr.arpa".
DNSQuerySniffer, dat onder mijn bladeraar loopt, blijft het antwoord in dit geval schuldig.
Ik kom dat nog wel eens tegen bij PTR verzoeken en als MS in het geding is.
Dus hier even gekeken:
opcode QUERY
rcode NXDOMAIN
flags QR RD RA
;QUESTION
254.242.55.65.in-addr.arpa. IN A
;ANSWER
;AUTHORITY
55.65.in-addr.arpa. 1799 IN SOA ns1.msft.net. msnhst.microsoft.com. 2019121601 7200 900 7200000 3600
;ADDITIONAL
En wat we al dachten NXDOMAIN, niet geregistreerd of ten gevolge van een server probleem?
De meeste mensen hebben zich nooit in DNS en DNS manipulatie echt grondig verdiept.
Dat is jammer, want het is wel een belangrijk item.
Iets, dat overal in de achtergrond speelt of (mee) kan spelen.
Noem het als hierboven genoemd "Men innoveert niet meer",
of noem het slordigheid of op z'n Amerikaans 'sloppiness. Wat dan ook.
De complete of partial overhaul zullen we denkelijk niet meer beleven.
De gevolgen van dat uitblijven van zo'n uitblijvende overhaul des te meer.
luntrus
DNS lookup faalt voor "254.242.55.65.in-addr.arpa".
DNSQuerySniffer, dat onder mijn bladeraar loopt, blijft het antwoord in dit geval schuldig.
Ik kom dat nog wel eens tegen bij PTR verzoeken en als MS in het geding is.
Dus hier even gekeken:
opcode QUERY
rcode NXDOMAIN
flags QR RD RA
;QUESTION
254.242.55.65.in-addr.arpa. IN A
;ANSWER
;AUTHORITY
55.65.in-addr.arpa. 1799 IN SOA ns1.msft.net. msnhst.microsoft.com. 2019121601 7200 900 7200000 3600
;ADDITIONAL
En wat we al dachten NXDOMAIN, niet geregistreerd of ten gevolge van een server probleem?
"Geregistreerd" heeft niet helemaal dezelfde betekenis bij reverse lookups.
Het "domein" 55.65.in-addr.arpa. is nog gedelegeerd naar MS nameservers.
55.65.in-addr.arpa. 86400 IN NS ns1.msft.net.
55.65.in-addr.arpa. 86400 IN NS ns2.msft.net.
55.65.in-addr.arpa. 86400 IN NS ns3.msft.net.
55.65.in-addr.arpa. 86400 IN NS ns4.msft.net.
Die nameservers hebben geen NS records voor subdomein 242.55.65.in-addr.arpa.
En ook geen PTR record voor 254.242.55.65.in-addr.arpa.
Een NXDOMAIN is een authoritief antwoord dat een record (A, PTR) niet bestaat, of geen NS record in de parent zone.
Bij een "niet geregistreerd domein" is het dus een antwoord van de toplevel domein servers dat er geen NS record voor "niet geregistreerd.tld " bestaat.
Maar "NXDOMAIN" kan ook van de authoritieve dns server van een domein komen als het gevraagde record (A,CNAME, PTR etc) niet bestaat.
Geen server probleem in technische zin dus.
Bruikbare reverse lookups zullen m.i. zeldzamer worden in de toekomst , vanwege verschuivende manier van server gebruik.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.