全球性的DNS劫持活动：大规模DNS记录操控

简介

最近FireEye的Mandiant事件响应和情报团队发现了一波DNS劫持活动，该活动已经影响到了中东、北非、欧洲和北美的政府、电信和互联网设备实体的数十个域名。虽然我们目前还没有找到与此攻击活动有关系的受监测组织，但最初研究表明攻击者与伊朗有关系。该活动以几乎前所未有的规模，针对了全球受害者并取得了很大的成功。数月来，我们一直在跟踪这项活动，并且在试着去弄明白攻击者部署的新策略，技术和程序（TTP）。我们还与受害者，安全组织以及执法机构密切合作，期望以此减轻攻击带来的影响并阻止后续攻击带来的进一步损失。

虽然此攻击活动采用了一些传统策略，但它与我们所看到的伊朗其他大规模利用DNS劫持的活动不同。攻击者使用这些技术作为他们的初始立足点，之后再通过多种方式来利用。在这篇博文中，我们详细介绍了检测到的三种不同的通过操作DNS记录实现攻击的方式。

初步研究表明伊朗可能有支持此活动

此活动的归因分析正在进行中。本文中描述的DNS记录操作复杂且值得引起关注，该活动跨越了不同的时间范围，设备架构和服务提供商，因此它们可能不是由某个攻击者或组织独立发起的。

• 从2017年1月到2019年1月，该活动的多个集群一直处于活跃状态。
• 此活动中使用了多个非重叠的攻击者控制域和IP集群。
• 加密证书和VPS主机选自于大量不同的提供商。

根据初步技术证据，我们有一定的信心认为该活动是和伊朗有关系的人发起的，并且该活动与伊朗政府的利益是保持一致的。

• FireEye情报部门检测到伊朗的IP与攻击中负责拦截、记录以及转发网络流量的机器有联系。虽然IP地址的地理位置是一个弱指标，但这些IP地址是之前在对伊朗网络间谍行为者的入侵行为的响应中监测到的。
• 该集团的目标实体包括中东政府，其机密信息是伊朗政府感兴趣的，而且其财务价值相对较低。

技术细节

下例使用victim[.]com来表示受害者的域名，以及私有IP地址来表示受攻击者控制的IP地址。

技术细节1 – 域名A记录(DNS A Record)

攻击者利用的第一种方式是修改域名A记录，如图1所示。

图1: 域名A记录

1. 攻击者登入至PXY1，PXY1是用来进行非归属浏览的代理框，并且作为跳转框进入其他设备。
2. 攻击者使用之前获取到的凭据登录DNS提供商的管理面板。
3. A记录(例如mail[.]victim[.]com)当前指向192.168.100.100。
4. 攻击者将A记录指向10.20.30.40(被操控的主机OP1)。
5. 攻击者从PXY1登录到OP1。
   • 设置一个监听所有开放端口的代理，镜像到mail[.]victim[.]com
   • 设置一个负载均衡器指向192.168.100.100[mail[.]viatim[.]com]来传递用户流量
6. 使用cerbot为mail[.]victim[.]com创建Let’s Encrypt证书。
   • 我们检测到多个域控制验证提供程序(DCV)被用于活动的一部分。
7. 现在一个用户访问mail[.]victim[.]com，被定向到OP1。因为Let’s Encrypt Authority X3是可信的，Let’s Encrypt证书允许浏览器在无证书错误的情况下建立连接。连接被转发至负载均衡器，从而建立了与真正的mail[.]victim[.]com网站的连接。用户发现不出任何变化，最多能感觉到轻微的延迟。
8. 收集并存储用户铭以及密码和域凭据。

技术细节2 – 域名NS记录(DNS NS Record)

攻击者利用的第二种方式是修改NS记录，如图2所示。

图2: 域名NS记录

1. 攻击者再次登录PXY1。
2. 然而这次攻击者利用了先前入侵的注册商或ccTLD。
3. 名称服务器中的记录ns1[.]victim[.]com当前设置为192.168.100.200。攻击者将NS记录指向ns1[.]baddomain[.]com [10.1.2.3]。当收到mail[.]victim[.]com的解析请求时名称服务器会返回10.20.30.40(OP1)，而如果是www[.]victim[.]com的话就会返回原来的IP192.168.100.100。
4. 攻击者从PXY1登录到OP1。
   • 实现代理侦听所有开发端口，镜像到mail[.]victim[.]com
   • 设置一个负载均衡器指向192.168.100.100[mail[.]viatim[.]com]来传递用户流量
5. 使用cerbot为mail[.]victim[.]com创建Let’s Encrypt证书。
   • 我们检测到多个域控制验证提供程序(DCV)被用于活动的一部分。
6. 现在一个用户访问mail[.]victim[.]com，被定向到OP1。因为Let’s Encrypt Authority X3是可信的，Let’s Encrypt证书允许浏览器在无证书错误的情况下建立连接。连接被转发至负载均衡器，从而建立了与真正的mail[.]victim[.]com网站的连接。用户发现不出任何变化，最多能感觉到轻微的延迟。
7. 收集并存储用户铭以及密码和域凭据。

技术细节3 – DNS重定向器

我们发现攻击者还结合了图1及图2，实现了第三种攻击方式。该方式涉及到DNS重定向，如图3。

图3： DNS操作框

攻击者使用DNS重定向器来对DNS请求做出响应。

1. OP2(基于先前修改的A记录或NS记录)收到mail[.]victim[.]com的DNS请求。
2. 如果该域隶属于victim[.]com，OP2会返回一个受攻击者控制的IP地址，于是用户会被重定向至攻击者控制的设备。
3. 如果该域不属于victim[.]com的一部分(例如 google[.]com)，OP2则会向合法的DNS发出请求并将获取的合法IP地址返回至用户。

目标

大量组织已经被这种DNS记录操控以及欺诈性SSL证书攻击模式所影响。这些组织包括电信和ISP提供商，互联网设备提供者，政府以及敏感商业实体。

根本原因仍在调查中

很难为每个记录变化识别单个入侵矢量，并且攻击者可能正在使用多种方法来获取进入上述目标的初始立足点。FireEye情报客户之前已经收到过描述了一次复杂的钓鱼攻击事件的报告，而那个攻击者也同样使用了DNS记录操作攻击手法。此外，尽管DNS记录得以修改的确切方法仍不清楚，但我们认为至少其中一些记录是通过入侵受害者的域名注册商账户而修改的。

预防策略

这类攻击很难防御，因为就算攻击者永远无法直接访问您的组织的网络，但也可能会窃取有价值的信息。您可以通过以下几步来加强防御：

1. 在您的域管理门户上实施多重身份验证。
2. 验证A记录和NS记录是否被修改。
3. 搜索与您的域相关的SSL证书并撤销恶意证书。
4. 验证OWA/Exchange日志中的源IP。
5. 进行内部调查，以评估攻击者是否可以访问您的环境。

结论

该DNS劫持以及其被利用的规模均展示了伊朗的攻击者在战术上的持续演变。这是我们最近观察到的一组TTP的概述。我们现在重点讨论到这个，就是希望潜在的受害者可以采取一些适当的防御措施。