全球性的DNS劫持活动:大规模DNS记录操控

栏目: 服务器 · 发布时间: 5年前

内容简介:FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击,这波攻击影响了大量域名,其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份,但初步研究表明,攻击者与伊朗有关。与此同时,研究人员也在积极与相关受害者、安全组织以及执法机构密切合作,以尽可能缓解攻击所带来的影响。虽然此次活动使用了很多传统的攻击策略,但它和其他利用了DNS劫持的伊朗攻击活动有所不同,接下来我们一起看一看攻击者都使用了那些新型的攻击策略。

全球性的DNS劫持活动:大规模DNS记录操控

介绍

FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击,这波攻击影响了大量域名,其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份,但初步研究表明,攻击者与伊朗有关。与此同时,研究人员也在积极与相关受害者、安全组织以及执法机构密切合作,以尽可能缓解攻击所带来的影响。

虽然此次活动使用了很多传统的攻击策略,但它和其他利用了DNS劫持的伊朗攻击活动有所不同,接下来我们一起看一看攻击者都使用了那些新型的攻击策略。

初步研究表明此次攻击活动与伊朗有关

目前,针对此次活动的研究分析正在进行中。此次攻击活动中涉及到的DNS记录篡改操作非常的复杂,而且攻击跨越了不同的时间段、基础设施和服务提供商,因此完成此次攻击活动的绝非一人。

1.该活动中涉及到多个攻击集群,并从2017年1月份开始活跃至今。

2.攻击活动涉及到了多个域名以及IP地址。

3.攻击者使用了大量不同供应商的加密证书以及VPS主机。

根据初步研究所得到的技术证据,研究人员认为此次活动是在伊朗境内发动的,而且该活动的确符合伊朗政府的利益链。

技术细节

在接下来的分析中,样本使用了victim[.]com来代表目标用户域名,私人IP地址代表攻击者控制的IP地址。

技术一、DNS的A记录

攻击者所使用的第一种方法就是修改DNS中的A记录,如下图所示:

全球性的DNS劫持活动:大规模DNS记录操控 1.攻击者登录PXY1(作为进行非属性化浏览和其他基础设施操作的代理);

2.攻击者使用之前窃取来的凭证登录DNS提供商的管理员界面;

3.A记录(例如mail[.]victim[.]com)当前指向的是192.168.100.100;

4.攻击者修改A记录,并将其指向10.20.30.40(OP1);

5.攻击者从PXY1切换至OP1:代理会监听所有开放端口,并生成mail[.]victim[.]com的镜像;负载平衡器会指向192.168.100.100 [mail[.]victim[.]com]来转发用户流量;

6.使用certbot来为mail[.]victim[.]com创建Let’s Encrypt证书;

7.当用户访问mail[.]victim[.]com时会被定向到OP1,Let’s Encrypt证书将允许浏览器建立通信连接。连接会被转发至负载均衡器,并建立真正的mail[.]victim[.]com连接。在整个过程中,用户不会感受到任何的网络延迟;

8.用户名、密码和域名证书将会被攻击者截获并存储。

技术二、DNS的NS记录

攻击者所使用的第二种技术需要修改DNS的NS记录,如下图所示:

全球性的DNS劫持活动:大规模DNS记录操控

1.攻击者再次登录PXY1;

2.这一次,攻击者将利用之前且渠道的ccTLD或注册凭证;

3.域名服务器记录ns1[.]victim[.]com当前设置为192.168.100.200。攻击者会修改NS记录并将其指向ns1[.]baddomain[.]com [10.1.2.3]。当收到mail[.]victim[.]com请求后,这个域名服务器会响应IP 10.20.30.40 (OP1),但如果请求的是www[.]victim[.]com,则会响应原始的IP 192.168.100.100。

4.攻击者从PXY1切换至OP1:代理会监听所有开放端口,并生成mail[.]victim[.]com的镜像;负载平衡器会指向192.168.100.100 [mail[.]victim[.]com]来转发用户流量;

5.使用certbot来为mail[.]victim[.]com创建Let’s Encrypt证书;

6.当用户访问mail[.]victim[.]com时会被定向到OP1,Let’s Encrypt证书将允许浏览器建立通信连接。连接会被转发至负载均衡器,并建立真正的mail[.]victim[.]com连接。在整个过程中,用户不会感受到任何的网络延迟;

7.用户名、密码和域名证书将会被攻击者截获并存储。

技术三、DNS重定向

除了上述两种技术之外,攻击者还会同时解和这两者来实现攻击。这里就涉及到了DNS重定向技术,如下图所示:

全球性的DNS劫持活动:大规模DNS记录操控

DNS重定向是由攻击者控制的,它可以直接响应目标用户的DNS请求。

1.指向mail[.]victim[.]com的DNS请求会被发送至OP2;

2.如果域名处于victim[.]com空间中,OP2会响应一个由攻击者控制的IP地址,用户会被重定向至攻击者控制的基础设施;

3.如果域名不处于victim[.]com空间内,OP2会向一个合法的DNS设施发送DNS请求,并获取到IP地址,然后将合法的IP地址返回给用户。

如何保护我们自己?

1.在我们的域名管理界面中启用多因素身份验证功能;

2.验证A记录和NS记录的修改有效性;

3.搜索跟自己域名相关的SSL证书,回收所有的恶意证书;

4.验证OWA/Exchanges日志中的IP源地址;

5.对环境中的所有访问权限进行安全审计。

*参考来源: fireeye ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

创新者的窘境(全新修订版)

创新者的窘境(全新修订版)

克莱顿•克里斯坦森 / 胡建桥 / 中信出版社 / 2014-1-1 / 48.00元

全球商业领域中,许多企业曾叱咤风云,但面对市场变化及新技术的挑战,最终惨遭淘汰。究其原因,竟然是因为它们精于管理,信奉客户至上等传统商业观念。这就是所有企业如今都正面临的“创新者的窘境”。 在《创新者的窘境》中,管理大师克里斯坦森指出,一些看似很完美的商业动作——对主流客户所需、赢利能力最强的产品进行精准投资和技术研发——最终却很可能毁掉一家优秀的企业。他分析了计算机、汽车、钢铁等多个行业的......一起来看看 《创新者的窘境(全新修订版)》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

SHA 加密
SHA 加密

SHA 加密工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具