全球性的DNS劫持活动:大规模DNS记录操控

栏目: 服务器 · 发布时间: 5年前

内容简介:FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击,这波攻击影响了大量域名,其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份,但初步研究表明,攻击者与伊朗有关。与此同时,研究人员也在积极与相关受害者、安全组织以及执法机构密切合作,以尽可能缓解攻击所带来的影响。虽然此次活动使用了很多传统的攻击策略,但它和其他利用了DNS劫持的伊朗攻击活动有所不同,接下来我们一起看一看攻击者都使用了那些新型的攻击策略。

全球性的DNS劫持活动:大规模DNS记录操控

介绍

FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击,这波攻击影响了大量域名,其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份,但初步研究表明,攻击者与伊朗有关。与此同时,研究人员也在积极与相关受害者、安全组织以及执法机构密切合作,以尽可能缓解攻击所带来的影响。

虽然此次活动使用了很多传统的攻击策略,但它和其他利用了DNS劫持的伊朗攻击活动有所不同,接下来我们一起看一看攻击者都使用了那些新型的攻击策略。

初步研究表明此次攻击活动与伊朗有关

目前,针对此次活动的研究分析正在进行中。此次攻击活动中涉及到的DNS记录篡改操作非常的复杂,而且攻击跨越了不同的时间段、基础设施和服务提供商,因此完成此次攻击活动的绝非一人。

1.该活动中涉及到多个攻击集群,并从2017年1月份开始活跃至今。

2.攻击活动涉及到了多个域名以及IP地址。

3.攻击者使用了大量不同供应商的加密证书以及VPS主机。

根据初步研究所得到的技术证据,研究人员认为此次活动是在伊朗境内发动的,而且该活动的确符合伊朗政府的利益链。

技术细节

在接下来的分析中,样本使用了victim[.]com来代表目标用户域名,私人IP地址代表攻击者控制的IP地址。

技术一、DNS的A记录

攻击者所使用的第一种方法就是修改DNS中的A记录,如下图所示:

全球性的DNS劫持活动:大规模DNS记录操控 1.攻击者登录PXY1(作为进行非属性化浏览和其他基础设施操作的代理);

2.攻击者使用之前窃取来的凭证登录DNS提供商的管理员界面;

3.A记录(例如mail[.]victim[.]com)当前指向的是192.168.100.100;

4.攻击者修改A记录,并将其指向10.20.30.40(OP1);

5.攻击者从PXY1切换至OP1:代理会监听所有开放端口,并生成mail[.]victim[.]com的镜像;负载平衡器会指向192.168.100.100 [mail[.]victim[.]com]来转发用户流量;

6.使用certbot来为mail[.]victim[.]com创建Let’s Encrypt证书;

7.当用户访问mail[.]victim[.]com时会被定向到OP1,Let’s Encrypt证书将允许浏览器建立通信连接。连接会被转发至负载均衡器,并建立真正的mail[.]victim[.]com连接。在整个过程中,用户不会感受到任何的网络延迟;

8.用户名、密码和域名证书将会被攻击者截获并存储。

技术二、DNS的NS记录

攻击者所使用的第二种技术需要修改DNS的NS记录,如下图所示:

全球性的DNS劫持活动:大规模DNS记录操控

1.攻击者再次登录PXY1;

2.这一次,攻击者将利用之前且渠道的ccTLD或注册凭证;

3.域名服务器记录ns1[.]victim[.]com当前设置为192.168.100.200。攻击者会修改NS记录并将其指向ns1[.]baddomain[.]com [10.1.2.3]。当收到mail[.]victim[.]com请求后,这个域名服务器会响应IP 10.20.30.40 (OP1),但如果请求的是www[.]victim[.]com,则会响应原始的IP 192.168.100.100。

4.攻击者从PXY1切换至OP1:代理会监听所有开放端口,并生成mail[.]victim[.]com的镜像;负载平衡器会指向192.168.100.100 [mail[.]victim[.]com]来转发用户流量;

5.使用certbot来为mail[.]victim[.]com创建Let’s Encrypt证书;

6.当用户访问mail[.]victim[.]com时会被定向到OP1,Let’s Encrypt证书将允许浏览器建立通信连接。连接会被转发至负载均衡器,并建立真正的mail[.]victim[.]com连接。在整个过程中,用户不会感受到任何的网络延迟;

7.用户名、密码和域名证书将会被攻击者截获并存储。

技术三、DNS重定向

除了上述两种技术之外,攻击者还会同时解和这两者来实现攻击。这里就涉及到了DNS重定向技术,如下图所示:

全球性的DNS劫持活动:大规模DNS记录操控

DNS重定向是由攻击者控制的,它可以直接响应目标用户的DNS请求。

1.指向mail[.]victim[.]com的DNS请求会被发送至OP2;

2.如果域名处于victim[.]com空间中,OP2会响应一个由攻击者控制的IP地址,用户会被重定向至攻击者控制的基础设施;

3.如果域名不处于victim[.]com空间内,OP2会向一个合法的DNS设施发送DNS请求,并获取到IP地址,然后将合法的IP地址返回给用户。

如何保护我们自己?

1.在我们的域名管理界面中启用多因素身份验证功能;

2.验证A记录和NS记录的修改有效性;

3.搜索跟自己域名相关的SSL证书,回收所有的恶意证书;

4.验证OWA/Exchanges日志中的IP源地址;

5.对环境中的所有访问权限进行安全审计。

*参考来源: fireeye ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

腾讯传

腾讯传

吴晓波 / 浙江大学出版社 / 2017-1-1 / 58.00元

腾讯官方唯一授权的权威传记 著名财经作家吴晓波倾力之作 当市值最高的中国互联网公司,遇上中国财经界最冷静的一双眼睛 读懂腾讯,读懂中国互联网 . 内容简介 本书全景式地记录了腾讯崛起的经历,并以互联网的视角重新诠释了中国在融入全球化进程中的曲折与独特性。 从1998年开始创业到成为世界级互联网巨头,腾讯以即时通信工具起步,逐渐进入社交网络、互动娱乐、网络媒......一起来看看 《腾讯传》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具