全球DNS劫持运动:大规模DNS记录操纵 | 申博官网
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

全球DNS劫持运动:大规模DNS记录操纵

Sunbet_新闻事件 申博 354次浏览 已收录 0个评论

前言

FireEye的mediane紧急响应团队在网上发起了一波DNS劫持浪潮,影响了中东、北非、欧洲和北美的许多政府部门、电信设备和互联网基础设施。尽管FireEye没有将劫持行动与任何已知团队联系起来,但该组织的讨论能够假定,劫持行动是在伊朗进行的,或者与伊朗有关。这一人质几乎是前所未有的普遍受益者,其袭击的成功率非常高。几个月来,我们一直在跟踪这些行动,并尝试理解和再现攻击者的策略、手法和序列。我们还与受益机构、平安团队和执法机构合作,减少攻击的影响,为未来的攻击做好准备。

尽管攻击者使用了一些不同寻常的策略,但这一次他们与伊朗提出的更广泛的DNS制度存在分歧。这些攻击者使用这种工艺作为他们的基石,并以各种方式使用它。停止,直到这篇文章宣布,我们已经发明了三种不同的攻击模式来完成DNS记录劫持。

开端研讨以为与伊朗有关

针对此次的DNS挟制的剖析仍在继承中。虽然在本文中所形貌的DNS纪录操纵既主要又庞杂,然则由于此次运动的持续时候很长,这些并不肯定是单一的进击者所实行在毫无联系关系的时候、设备和受益效劳上。

·自2017年1月至2019年1月,该运动的多个集群一向处于活泼状况。

·在此次挟制中,他们运用了大批的不反复的域名和IP举行挟制。

·他们挑选了大批效劳商来供应VPS效劳器和证书

开端手艺剖析后的效果使我们以为此次挟制运动是由伊朗的职员提议,而且是与伊朗当局好处保持一致。

·FireEye的引擎发明有来自伊朗的IP曾被运用于阻拦、纪录与转发收集流量。虽然经由过程IP举行物理定位不是很正确,然则这些IP地点曾经在监测伊朗收集特务行动中被发明运用过。

·那些被进击的目的实体(包孕中东国家当局)都是具有一些伊朗当局有兴致并具有肯定经济价值的秘要信息。

概况

下面的例子顶用victim[.]com来代表受益者域名,私有IP地点代表进击者掌握的IP地点。

手艺1 – DNS A纪录

进击者运用的第一个要领是转变DNS A纪录,如图1所示。

全球DNS劫持运动:大规模DNS记录操纵

图1: DNS A纪录

进击者登入PXY1,PXY1是一个用来实行非属性阅读的署理盒子(Proxy box),也用作到其他基础设备的跳转盒子。

进击者运用之前入侵运用的凭据上岸到DNS供应者的治理面板。

A纪录(mail[.]victim[.]com)如今指向192.168.100.100。

进击者将A纪录修正后,指向10.20.30.40 (OP1)。

进击者从PXY1上岸到OP1。

完成的署理会监听一切开放的端口,并镜像mail[.]victim[.]com。

负载均衡器指向192.168.100.100 [mail[.]victim[.]com] 来通报用户流量。

用certbot来为mail[.]victim[.]com竖立Let’s Encrypt Certificate证书。

研讨职员发明该进击运动中运用了多个Domain Control Validation供应商。

用户如今接见mail[.]victim[.]com会被重定向到OP1。Let’s Encrypt Certificate许可阅读器在没有证书毛病的情况下竖立衔接,由于Let’s Encrypt Authority X3 是可托的。衔接会被转发到与实在的mail[.]victim[.]com竖立衔接的负载均衡器。用户没有意想到任何转变,最多会发明有一点点的耽误。

用户名、暗码和域名凭据都被盗取且生存了。

手艺2:DNS NS纪录

进击者运用的第二个要领是修正DNS NS纪录,如图2所示。

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

全球DNS劫持运动:大规模DNS记录操纵图2: DNS NS纪录

进击者再次登入PXY1。

此次,进击者运用了一个之前被黑的registrar或ccTLD。域名效劳器纪录ns1[.]victim[.]com如今被设置为192.168.100.200。进击者修正了NS纪录并将其指向ns1[.]baddomain[.]com [10.1.2.3]。当用户要求mail[.]victim[.]com时,域名效劳器会相应IP 10.20.30.40 (OP1),但若是要求的是www[.]victim[.]com,就会相应本来的IP 192.168.100.100。

进击者从PXY1上岸到OP1。

完成的署理会监听一切开放的端口,并镜像mail[.]victim[.]com。

负载均衡器指向192.168.100.100 [mail[.]victim[.]com] 来通报用户流量。

用certbot来为mail[.]victim[.]com竖立Let’s Encrypt Certificate证书。

研讨职员发明该进击运动中运用了多个Domain Control Validation供应商。

用户如今接见mail[.]victim[.]com会被重定向到OP1。Let’s Encrypt Certificate许可阅读器在没有证书毛病的情况下竖立衔接,由于Let’s Encrypt Authority X3 是可托的。衔接会被转发到与实在的mail[.]victim[.]com竖立衔接的负载均衡器。用户没有意想到任何转变,最多会发明有一点点的耽误。

用户名、暗码和域名凭据都被盗取且生存了。

手艺3:DNS Redirector

研讨职员还发明进击者运用了与图1和图2所示手艺谐和的第三种手艺,即DNS重定向(Redirector),如图3所示。

全球DNS劫持运动:大规模DNS记录操纵图3: DNS操纵盒

DNS Redirector是一个相应DNS要求的进击者操纵盒子。

到mail[.]victim[.]com的DNS要求会基于之前修正的A纪录或NS纪录被发送到OP2。

若是域名是victim[.]com zone的一部分,OP2会相应一个进击者掌握的IP地点,用户会被重定向到进击者掌握的基础设备。

若是域名不是victim[.]com zone的一部分,OP2会返回一个到正当DNS的DNS要求来猎取IP地点,正当IP地点返回给用户。

进击目的

大批企业和构造遭到此类DNS纪录修正和欺骗性的SSL证书的影响。包孕电信和ISP供应商、互联网基础设备供应商、当局和贸易实体。

原由还在观察中

关于每一个纪录转变,很难识别出单一的入侵单位,极可能进击者(们)运用了多种入侵手艺来入侵进击目的。研讨职员之前也收到过一份形貌进击者在庞杂的垂纶进击者运用DNS纪录修正的申报。虽然之前DNS纪录修正的机制还不清晰,但研讨职员以为最少一些被修正的纪录是经由过程入侵受益者域名注册者的账号来完成的。

防备手艺

这类进击是很难防备的。由于纵然进击者不克不及直接接见受益者的收集,但因此有价值的信息照样能够被盗取。个中加强企业平安性的步伐有:

在域名治理网关上运用多因子认证;

考证A和NS纪录修正;

寻觅与域名相干的SSL证书,撤消歹意证书;

考证OWA/Exchange日记中的源IP地点;

考证进击者是不是能够获得企业收集的接见权限。

结论

DNS挟制和其被运用的范围,注解其手艺还在赓续的发展中。本文是研讨职员近来发明的影响多个实体的TTPs鸠合概览。研讨职员愿望经由过程此篇文章相干潜在被进击目的能够接纳恰当的防护步伐。


Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明全球DNS劫持运动:大规模DNS记录操纵
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址