新聞中心

當前位置: 首頁 > 新聞中心 > 新聞中心
海龜憑借“DNS劫持”進行攻擊,兇猛狠辣,絕不“慢吞吞”
發表時間:2019-04-29     瀏覽次數:555     來源:泰策

        近日,思科旗下的威脅情報組織Talos發布了新的安全報告,揭露了一起名為“海龜”(Sea Turtle)的網絡攻擊活動。調查顯示,該攻擊活動已經從2017年1月持續到了2019年3月,在兩年多的時間里,攻擊者以“DNS劫持”為攻擊手段,以竊取網絡憑證、控制目標網絡為最終目標,對來自中東、北非等13個國家的至少40個組織進行了攻擊。思科透露,這是一起背后由國家支持的攻擊行為。

 
        通過釣魚攻擊劫持DNS服務器是攻擊者慣用的伎倆。DNS是網絡基礎設施的基本組成部分,起到了域名和IP地址的轉換作用,因為DNS應用的這種普及性和不可替代性,使其成為網絡攻擊的一個主要攻擊途徑。本次海龜行動的主要攻擊手法為DNS劫持,即通過非法篡改DNS名稱記錄把網絡訪問引導至攻擊者控制的服務器,從而進一步控制目標網絡,獲得對感興趣的網絡和系統的訪問權。本次攻擊活動的主要目標為國家安全組織、外交部和著名的能源組織,幾乎全部位于中東和北非,次要目標為電信公司、DNS注冊商和互聯網服務提供商等,攻擊者以次要目標為跳板,以實現對主要目標的信息竊取或訪問控制。
 
如何修改DNS記錄
        海龜行動背后的攻擊者通過操縱和偽造域名空間不同級別的DNS記錄,成功地損害了目標實體的利益。
 
        那么如何修改DNS記錄呢?簡要來講有三種辦法:
        第一種方法是通過注冊商提供的注冊憑證,這也是最直接的方法。如果攻擊者能夠破壞一個組織的網絡管理員憑證,如賬號或密碼,則攻擊者就能夠隨意更改特定組織的DNS記錄。
 
        第二種方法是通過DNS注冊服務器。域名注冊商向公眾出售域名,并通過可拓展供應協議(Extensible Provisioning Protocol, EPP)訪問域名注冊中心來管理DNS記錄。若攻擊者能夠獲得這些EPP密鑰中的一個,他們就能夠修改域名注冊商管理的任何DNS記錄。
 
        第三種辦法是通過其中的一個注冊中心,這些注冊中心管理著現有的TLD(頂級通用域名)。DNS的域分為不同的等級,一般來說,頂級域包括如com、net、org的通用頂級域(gTLDs)和諸如cn、us等國家頂級域(ccTLDs),在頂級域之上,是DNS根服務器,根服務器主要用來管理互聯網的主目錄,存儲DNS體系中最高層次的ZONE FILE,包括各通用頂級域和國家頂級域的記錄信息。這些記錄信息被12個不同的組織所管理,全球共有13臺根服務器,例如Verisign管理與頂級域(TLD) “.com”關聯的所有實體以及13臺根服務器中的2臺(A與J),攻擊者可以針對根服務器直接修改記錄。在本次攻擊活動期間,沒有證據表明根服務器受到了攻擊或破壞。
 
感染媒介-DNS劫持
        當客戶端通過網絡釣魚或其他漏洞,與受感染或惡意的DNS服務器進行交互的時候,正常的域名請求響應可能因為DNS緩存投毒或DNS重定向而被劫持,引導至惡意網站或被惡意代碼感染,攻擊者進而可以竊取用戶信息、獲取網絡憑證或進一步控制目標網絡。
 
        思科Talos團隊指出,在本次攻擊行動中,攻擊者的最終目的是竊取網絡憑證,以獲得對目標網絡和系統的訪問權,攻擊者的目標通過以下三步得以實現:
        1.    建立了一種控制目標DNS記錄的方法;
        2.    修改DNS記錄,將目標的合法用戶指向攻擊者控制的服務器;
        3.  當用戶與這些攻擊者控制的服務器交互時捕獲合法的用戶憑據。
 
        美國國土安全部(DHS)在2019年1月24日曾發布了關于該活動的警告,警告稱攻擊者可能會重定向用戶流量,并獲取組織域名的有效加密證書。
 
本次攻擊特點
        Ø  攻擊范圍廣:在本次攻擊活動的典型案例中,攻擊者會修改目標組織的NS記錄,將用戶指向一個惡意DNS服務器。目標DNS記錄被劫持的時間從幾分鐘到幾天不等。這種類型的活動可以使攻擊者有能力重定向世界各地查詢該特定領域的任何受害者。
        Ø  威脅程度高:成功實施DNS劫持所必需的訪問級別表明,攻擊者技術“過硬”,手段狠辣,目標網絡所遭受的威脅程度較高。
        Ø  方式新穎-證書模擬:一旦用戶訪問了攻擊者控制的名稱服務器,它將使用偽造的“a”記錄進行響應,該記錄將提供攻擊者控制的MitM節點的IP地址,而不是合法服務的IP地址。攻擊者的下一步則是構建模擬合法服務的MitM服務器,這些攻擊者在他們的MitM服務器中使用Let's加密、Comodo、Sectigo和自簽名證書來獲得第一輪證書,捕獲這些憑證之后,用戶將被傳遞到合法的服務。就用戶感知來說,他們只是在獲取網絡服務的時候,有一段短暫的延遲,而攻擊者一旦進入網絡,他們就竊取組織的合法SSL證書。
        Ø  暴露時間短:目標DNS記錄被劫持的時間從幾分鐘到幾天不等,但為了減少暴露風險,在某些情況下,攻擊者將TTL修改為1秒,以盡量減少在受害者終端的DNS緩存記錄中的留存風險。
        Ø  厚顏無恥:在大多數情況下,一旦網絡攻擊活動被公開,攻擊者通過會停止或放慢他們的活動,但盡管公開報告全方面剖析了他們活動的各個方面,但攻擊行為已持續了兩年,且仍在繼續。
 
建議及反思
        Ø  對DNS流量的監控:大多數傳統的安全產品,如IDS和IPS系統,都不是用來監視和記錄DNS請求的,而很多組織也是在發生DNS攻擊之后,才對DNS系統安全加以重視。我們建相關組織對DNS流量加以監控,以更早更快地發現異常,這一點可以借由專業的DNS服務提供商來解決。
        Ø  啟動注冊鎖定服務或多種身份認證:建議企業或組織啟動注冊鎖定服務或多重身份認證,避免DNS記錄被篡改。
        Ø  重視密碼保護:一旦懷疑DNS記錄被篡改,盡量在全球范圍內更改相關密碼。
        Ø  修補漏洞:Talos團隊發現,在海龜行動中,至少利用了7個安全漏洞,分別針對phpMyAdmin、GNU bash系統、思科的交換機、路由器,以及執行Tomcat的Apache服務器,甚至開源建站系統Drupal等。

腾讯麻将官网下载 pk10前三杀号技巧 广东时时历史记录查询表 四肖三期必開 易胜博开大小球的特点 pk拾结果pk时间 陕西百宝彩快乐十分走势图 山西福彩快乐十分助手 四川时时走势图开奖结果 北京快3开奖走势图 秒速赛计划 快三玩法中奖多少钱 河北时时现场开奖结果 河北20选5开奖结果查询今天 福建时时下载手机版下载 泡泡糖app 四九主论坛