全球性的DNS劫持活动:大规模DNS记录操控

栏目: 服务器 · 发布时间: 5年前

内容简介:最近FireEye的Mandiant事件响应和情报团队发现了一波DNS劫持活动,该活动已经影响到了中东、北非、欧洲和北美的政府、电信和互联网设备实体的数十个域名。虽然我们目前还没有找到与此攻击活动有关系的受监测组织,但最初研究表明攻击者与伊朗有关系。该活动以几乎前所未有的规模,针对了全球受害者并取得了很大的成功。数月来,我们一直在跟踪这项活动,并且在试着去弄明白攻击者部署的新策略,技术和程序(TTP)。我们还与受害者,安全组织以及执法机构密切合作,期望以此减轻攻击带来的影响并阻止后续攻击带来的进一步损失。虽

全球性的DNS劫持活动:大规模DNS记录操控

简介

最近FireEye的Mandiant事件响应和情报团队发现了一波DNS劫持活动,该活动已经影响到了中东、北非、欧洲和北美的政府、电信和互联网设备实体的数十个域名。虽然我们目前还没有找到与此攻击活动有关系的受监测组织,但最初研究表明攻击者与伊朗有关系。该活动以几乎前所未有的规模,针对了全球受害者并取得了很大的成功。数月来,我们一直在跟踪这项活动,并且在试着去弄明白攻击者部署的新策略,技术和程序(TTP)。我们还与受害者,安全组织以及执法机构密切合作,期望以此减轻攻击带来的影响并阻止后续攻击带来的进一步损失。

虽然此攻击活动采用了一些传统策略,但它与我们所看到的伊朗其他大规模利用DNS劫持的活动不同。攻击者使用这些技术作为他们的初始立足点,之后再通过多种方式来利用。在这篇博文中,我们详细介绍了检测到的三种不同的通过操作DNS记录实现攻击的方式。

初步研究表明伊朗可能有支持此活动

此活动的归因分析正在进行中。本文中描述的DNS记录操作复杂且值得引起关注,该活动跨越了不同的时间范围,设备架构和服务提供商,因此它们可能不是由某个攻击者或组织独立发起的。

  • 从2017年1月到2019年1月,该活动的多个集群一直处于活跃状态。
  • 此活动中使用了多个非重叠的攻击者控制域和IP集群。
  • 加密证书和VPS主机选自于大量不同的提供商。

根据初步技术证据,我们有一定的信心认为该活动是和伊朗有关系的人发起的,并且该活动与伊朗政府的利益是保持一致的。

  • FireEye情报部门检测到伊朗的IP与攻击中负责拦截、记录以及转发网络流量的机器有联系。虽然IP地址的地理位置是一个弱指标,但这些IP地址是之前在对伊朗网络间谍行为者的入侵行为的响应中监测到的。
  • 该集团的目标实体包括中东政府,其机密信息是伊朗政府感兴趣的,而且其财务价值相对较低。

技术细节

下例使用victim[.]com来表示受害者的域名,以及私有IP地址来表示受攻击者控制的IP地址。

技术细节1 – 域名A记录(DNS A Record)

攻击者利用的第一种方式是修改域名A记录,如图1所示。

全球性的DNS劫持活动:大规模DNS记录操控

图1: 域名A记录

  1. 攻击者登入至PXY1,PXY1是用来进行非归属浏览的代理框,并且作为跳转框进入其他设备。
  2. 攻击者使用之前获取到的凭据登录DNS提供商的管理面板。
  3. A记录(例如mail[.]victim[.]com)当前指向192.168.100.100。
  4. 攻击者将A记录指向10.20.30.40(被操控的主机OP1)。
  5. 攻击者从PXY1登录到OP1。
    • 设置一个监听所有开放端口的代理,镜像到mail[.]victim[.]com
    • 设置一个负载均衡器指向192.168.100.100[mail[.]viatim[.]com]来传递用户流量
  6. 使用cerbot为mail[.]victim[.]com创建Let’s Encrypt证书。
    • 我们检测到多个域控制验证提供程序(DCV)被用于活动的一部分。
  7. 现在一个用户访问mail[.]victim[.]com,被定向到OP1。因为Let’s Encrypt Authority X3是可信的,Let’s Encrypt证书允许浏览器在无证书错误的情况下建立连接。连接被转发至负载均衡器,从而建立了与真正的mail[.]victim[.]com网站的连接。用户发现不出任何变化,最多能感觉到轻微的延迟。
  8. 收集并存储用户铭以及密码和域凭据。

技术细节2 – 域名NS记录(DNS NS Record)

攻击者利用的第二种方式是修改NS记录,如图2所示。

全球性的DNS劫持活动:大规模DNS记录操控

图2: 域名NS记录

  1. 攻击者再次登录PXY1。
  2. 然而这次攻击者利用了先前入侵的注册商或ccTLD。
  3. 名称服务器中的记录ns1[.]victim[.]com当前设置为192.168.100.200。攻击者将NS记录指向ns1[.]baddomain[.]com [10.1.2.3]。当收到mail[.]victim[.]com的解析请求时名称服务器会返回10.20.30.40(OP1),而如果是www[.]victim[.]com的话就会返回原来的IP192.168.100.100。
  4. 攻击者从PXY1登录到OP1。
    • 实现代理侦听所有开发端口,镜像到mail[.]victim[.]com
    • 设置一个负载均衡器指向192.168.100.100[mail[.]viatim[.]com]来传递用户流量
  5. 使用cerbot为mail[.]victim[.]com创建Let’s Encrypt证书。
    • 我们检测到多个域控制验证提供程序(DCV)被用于活动的一部分。
  6. 现在一个用户访问mail[.]victim[.]com,被定向到OP1。因为Let’s Encrypt Authority X3是可信的,Let’s Encrypt证书允许浏览器在无证书错误的情况下建立连接。连接被转发至负载均衡器,从而建立了与真正的mail[.]victim[.]com网站的连接。用户发现不出任何变化,最多能感觉到轻微的延迟。
  7. 收集并存储用户铭以及密码和域凭据。

技术细节3 – DNS重定向器

我们发现攻击者还结合了图1及图2,实现了第三种攻击方式。该方式涉及到DNS重定向,如图3。

全球性的DNS劫持活动:大规模DNS记录操控

图3: DNS操作框

攻击者使用DNS重定向器来对DNS请求做出响应。

  1. OP2(基于先前修改的A记录或NS记录)收到mail[.]victim[.]com的DNS请求。
  2. 如果该域隶属于victim[.]com,OP2会返回一个受攻击者控制的IP地址,于是用户会被重定向至攻击者控制的设备。
  3. 如果该域不属于victim[.]com的一部分(例如 google[.]com),OP2则会向合法的DNS发出请求并将获取的合法IP地址返回至用户。

目标

大量组织已经被这种DNS记录操控以及欺诈性SSL证书攻击模式所影响。这些组织包括电信和ISP提供商,互联网设备提供者,政府以及敏感商业实体。

根本原因仍在调查中

很难为每个记录变化识别单个入侵矢量,并且攻击者可能正在使用多种方法来获取进入上述目标的初始立足点。FireEye情报客户之前已经收到过描述了一次复杂的钓鱼攻击事件的报告,而那个攻击者也同样使用了DNS记录操作攻击手法。此外,尽管DNS记录得以修改的确切方法仍不清楚,但我们认为至少其中一些记录是通过入侵受害者的域名注册商账户而修改的。

预防策略

这类攻击很难防御,因为就算攻击者永远无法直接访问您的组织的网络,但也可能会窃取有价值的信息。您可以通过以下几步来加强防御:

  1. 在您的域管理门户上实施多重身份验证。
  2. 验证A记录和NS记录是否被修改。
  3. 搜索与您的域相关的SSL证书并撤销恶意证书。
  4. 验证OWA/Exchange日志中的源IP。
  5. 进行内部调查,以评估攻击者是否可以访问您的环境。

结论

该DNS劫持以及其被利用的规模均展示了伊朗的攻击者在战术上的持续演变。这是我们最近观察到的一组TTP的概述。我们现在重点讨论到这个,就是希望潜在的受害者可以采取一些适当的防御措施。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

激荡十年,水大鱼大

激荡十年,水大鱼大

吴晓波 / 中信出版社 / 2017-11-1 / CNY 58.00

【编辑推荐】 知名财经作者吴晓波新作,畅销十年、销量超过两百万册的《激荡三十年》续篇,至此完成改革开放四十年企业史完整记录。 作为时代记录者,吴晓波有意识地从1978年中国改革开放伊始,记录中国翻天覆地的变化和对我们影响至深的人物与事件,串成一部我们每个人的时代激荡史。而最新的这十年,无疑更壮观,也更扑朔迷离。 很多事情,在当时并未有很深很透的感受,回过头来再看,可能命运的轨迹就......一起来看看 《激荡十年,水大鱼大》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器