Ataque de envenenamento por ARP: como acontece e como prevenir

Recentemente, o número de ataques ARP nas cadeias BSC e ETH ultrapassou 290.000 e 40.000, respectivamente. Mais de 186.000 endereços independentes perderam mais de US$ 1,64 milhões para invasores ARP. Nesta breve leitura, gostaríamos de apresentar uma análise abrangente do cenário de ataques de envenenamento ARP e informações detalhadas sobre como prevenir e gerenciar esses ataques se e quando eles acontecerem.
Usuários de criptomoedas estão perdendo fundos enormes para invasores ARP
Desde sua invenção, contas e transações de criptomoedas têm sido vulneráveis ​​a ataques. Particularmente neste ano, temos visto um número crescente de vários tipos e formas de ataques. Essa alta taxa de ataque tem sido uma preocupação para as comunidades de criptomoedas e blockchain em geral. O principal deles é o ataque de envenenamento de endereço, também chamado de ataque de envenenamento de ARP.
Perturbadoramente, houve um aumento nos ataques ARP nos últimos tempos. Em relação às tendências, a cadeia BSC vem explodindo desde 22 de novembro, enquanto a cadeia ETH vem explodindo desde novembro. A cadeia ETH vem explodindo desde 27 de novembro, com a escala de ataques em ambas as cadeias se intensificando. Além disso, o número de endereços independentes afetados pelos ataques excedeu 150.000 e 36.000, respectivamente. Até hoje, mais de 340 mil endereços foram envenenados na cadeia, totalizando 99 endereços de vítimas, e mais de 1,64 milhões de dólares foram roubados.
Ataque de envenenamento ARP explicado
O Address Resolution Protocol (ARP) suporta a abordagem em camadas usada desde os primeiros dias das redes de computadores. O ARP Poisoning é um tipo de ataque cibernético que abusa das fraquezas do amplamente usado Address Resolution Protocol (ARP) para interromper, redirecionar ou espionar o tráfego de rede.
Como a segurança não era uma preocupação primordial quando o ARP foi introduzido em 1982, os projetistas do protocolo nunca incluíram mecanismos de autenticação para validar mensagens ARP. Qualquer dispositivo na rede pode responder a uma solicitação ARP, independentemente de a mensagem original ter sido destinada a ele ou não. Por exemplo, se o Computador A "solicitar" o endereço MAC do Computador B, um invasor no Computador C pode responder, e o Computador A aceitaria essa resposta como autêntica. Essa supervisão tornou possível uma variedade de ataques. Ao aproveitar ferramentas prontamente disponíveis, um agente de ameaça pode "envenenar" o cache ARP de outros hosts em uma rede local, enchendo o cache ARP com entradas imprecisas.
Como funciona
O envenenamento do Address Resolution Protocol (ARP) ocorre quando um invasor envia mensagens ARP falsificadas por uma rede local (LAN) para vincular o endereço MAC de um invasor ao endereço IP de um computador ou servidor legítimo na rede. Uma vez que o endereço MAC do invasor é vinculado a um endereço IP autêntico, o invasor pode receber quaisquer mensagens direcionadas ao endereço MAC legítimo. Como resultado, o invasor pode interceptar, modificar ou bloquear a comunicação com o endereço MAC legítimo.
Uma pesquisa recente do BSC feita pela X-explore revelou que hackers afetam o ataque ARP iniciando múltiplas transferências de USD 0. Após a VÍTIMA A enviar uma transação típica de 452 BSC-USD para o USUÁRIO B, o USUÁRIO B receberá imediatamente 0 BSC-USD do ATACANTE C. Ao mesmo tempo, dentro do mesmo hash de transação, o próprio USUÁRIO A transferirá incontrolavelmente 0 BSC-USD para o ATACANTE C (realizando uma operação de transferência de 0 BSC-USD "para frente e para trás").
Por que você deve se preocupar
Como um usuário de blockchain, o ataque de envenenamento de ARP pode ser fatal para sua conta. O impacto mais direto de um ataque de envenenamento de ARP é que o tráfego destinado a um ou mais hosts na rede local será direcionado para um destino escolhido pelo invasor. O efeito exato que isso terá depende das especificidades do ataque. O tráfego pode ser enviado para a máquina do invasor ou encaminhado para um local inexistente. No primeiro caso, pode não haver efeito observável, enquanto o segundo pode inibir o acesso à rede.
Até sexta-feira, 94 endereços únicos foram enganados, com os invasores levando embora um total acumulado de 1.640.000 USD. Infelizmente, com o aumento dos alvos dos invasores, espera-se que um grande número de usuários continue a ser enganado em breve.
Tipos de transações de envenenamento ARP
Geralmente, há duas maneiras pelas quais um ataque de envenenamento por ARP pode ocorrer. Elas incluem:
Ataque do tipo Man-in-the-Middle (MiTM)
Ataques MiTM são os mais comuns e também os mais perigosos. Com o MiTM, o invasor envia respostas ARP falsificadas para um determinado endereço IP, normalmente o gateway padrão para uma sub-rede específica. Isso faz com que as máquinas vítimas preencham seu cache ARP com o endereço MAC da máquina do invasor em vez do endereço MAC do roteador local. As máquinas vítimas então encaminharão incorretamente o tráfego de rede para o invasor.
Ataque de negação de serviço (DoS)
Um ataque DoS nega a uma ou mais vítimas o acesso aos recursos da rede. No caso do ARP, um invasor pode enviar mensagens de resposta ARP que mapeiam falsamente centenas ou até milhares de endereços IP para um único endereço MAC, potencialmente sobrecarregando a máquina alvo. Esse ataque também pode ter como alvo switches, potencialmente impactando o desempenho de toda a rede.
Sequestro de sessão
Ataques de Sequestro de Sessão são semelhantes ao Man-in-the-Middle, exceto que o invasor não encaminhará o tráfego diretamente da máquina da vítima para o destino pretendido. Em vez disso, o invasor capturará um número de sequência TCP genuíno ou cookie da web da vítima e o usará para assumir a identidade da vítima.
Prevenção de ataques ARP
Há várias maneiras de proteger seu endereço de ataques de envenenamento ARP. Algumas delas incluem:
Tabelas ARP estáticas
Você pode evitar ataques ARP mapeando estaticamente todos os endereços MAC em uma rede para seus endereços IP legítimos. Embora isso seja altamente eficaz, ele adiciona uma tremenda carga administrativa.
Segurança do switch
A maioria dos switches Ethernet gerenciados tem recursos projetados para mitigar ataques de envenenamento ARP. Normalmente conhecidos como Dynamic ARP Inspection (DAI), esses recursos avaliam a validade de cada mensagem ARP e descartam pacotes que parecem suspeitos ou maliciosos.
Segurança física
Além disso, controlar adequadamente o acesso físico ao seu espaço de trabalho pode ajudar a mitigar ataques de envenenamento ARP. As mensagens ARP não são roteadas além dos limites da rede local, então os possíveis invasores devem estar em proximidade física com a rede da vítima ou já ter o controle de uma máquina na rede.
Isolamento de rede
Concentrar recursos importantes em um segmento de rede dedicado, onde há segurança aprimorada, também pode diminuir muito o impacto potencial de um ataque de envenenamento de ARP.
Criptografia
Embora a criptografia não impeça realmente a ocorrência de um ataque ARP, ela pode mitigar os danos potenciais.
Conclusão
O envenenamento por ARP continua sendo uma ameaça aos usuários de criptomoedas e, como tal, deve ser tratado imediatamente. Como todas as ameaças cibernéticas, é melhor tratá-lo por meio de um programa abrangente de segurança de informações.
O primeiro passo para combater a ameaça de envenenamento por ARP é criar conscientização. Daí a necessidade de aplicativos de carteira aumentarem os alertas de risco para que usuários comuns possam estar cientes de tais ataques ao transferir tokens.