Sea turtle:滥用可托的中心互联网效劳举行DNS挟制 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Sea turtle:滥用可托的中心互联网效劳举行DNS挟制

申博_新闻事件 申博 89次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

DNS是互联网的基本手艺,修正DNS体系可能会下降用户在收集上的信托感。对DNS体系的信托和DNS体系的稳定是基本。Cisco Talos研究人员发明一同名为Sea Turtle的收集要挟运动,重要进击位于中东和北非的包孕国度安全构造在内的公司实体。该进击运动从2017年1月最先一向延续到2019年1季度。研究人员剖析发明至少有13个国度的40个构造受到影响。研究人员以为这是一同由国度在背地支撑的APT进击,目的是为了延续接见敏感收集和体系。

进击者重要应用DNS挟制来完成进击目的。研究人员一共发明2类受害者,第一类是国度安全构造、外交部、重要的动力构造等;进击者经由过程进击为这些构造供应效劳的第三方实体来猎取接见。第二类受害者是DNS注册商、电信企业和互联网效劳供应商。

Sea Turtle DNS挟制要领

DNS挟制是一种到达进击目的的有用手腕。经由过程剖析进击行为,研究人员置信进击者最终会盗取凭据来接见收集和相干体系。为此,进击者:

· 建立了掌握目的DNS纪录的要领;

· 修正DNS纪录来将指向正当用户的DNS纪录修正为进击者掌握的效劳器;

· 当用户与进击者掌握的效劳器交互时猎取用户正当凭据。

下图说清楚明了进击者怎样应用DNS挟制来完成最终目的:

Sea turtle:滥用可托的中心互联网效劳举行DNS挟制

重定向进击流图

进击运动剖析

初始接见

进击者经由过程应用已知破绽或发送鱼叉式垂纶邮件来猎取初始接见权限。Talos研究人员剖析以为进击者应用的CVE破绽有:

· CVE-2009-1151:影响phpMyAdmin的PHP代码注入破绽

· CVE-2014-6271:影响GNU bash体系的RCE破绽

· CVE-2017-3881:CISCO路由器非受权用户权限提拔RCE破绽

· CVE-2017-6736: Cisco集成效劳交换机2811 RCE破绽

· CVE-2017-12617: 影响运转Tomcat的Apache web效劳器的RCE破绽

· CVE-2018-0296:许可对Cisco Adaptive Security Appliances (ASAs)和防火墙举行非受权接见的目次遍历破绽

· CVE-2018-7600: Drupalgeddon,基于Drupal的web站点的RCE破绽

DNS挟制作为沾染向量

深入理解Glibc堆的实现(上)

在阅读本文之前,建议大家先读一下这篇文章,其中讨论了一个过时的但很重要的内存损坏漏洞,我将之称为“堆栈缓冲区溢出”。除此之外,我还假设如果我作为攻击者如何利用这些漏洞来控制远程程序并使其运行恶意shellcode。 在测试中,我发

在进击中,进击者会修正对目的构造的NS纪录,将用户指向歹意DNS效劳器,对一切的DNS查询供应进击者掌握的相应。目的DNS纪录被挟制的时候多是几分钟也多是几天。这类运动能够让进击者重定向受害者。当进击者掌握的域名效劳器被查询时,会相应一个毛病的A纪录,以供应进击者掌握的MITM节点的IP地点而不是正当接见的IP地点。在一些例子中,进击者会将TTL值修正为1秒。这多是为了将受害者及其的DNS纪录生存的时候最小化,以削减被发明的风险

2019年,研究人员发明以下域名效劳器被用于支撑Sea Turtle进击运动:

Sea turtle:滥用可托的中心互联网效劳举行DNS挟制

凭据盗取

进击者接见域名的DNS纪录后,下一步就是在进击者掌握的效劳器上设置mitm框架。

下一步就是搭建MITM效劳器来看管正当效劳以猎取用户凭据。猎取用户凭据后,用户就会被传递给正当的效劳。为了绕过检测,进击者会实行certificate impersonation(证书模仿),这是一种从其他效劳商处猎取目的域名的x.509证书的手艺。
当受害者在进击者捏造的web页面上输入暗码后,进击者就会猎取这些暗码。而用户感受到的只是一个耽误。

经由过程被黑的SSL证书猎取凭据

进击者接见收集后,就会盗取构造的SSL证书。然后进击者能够用进击者掌握的效劳器上的证书来实行其他mitm操纵来猎取其他凭据。该进击运动的一个重要方面就是模仿VPN应用来实行mitm进击,好比Cisco Adaptive Security Appliance (ASA)产物。这里,研究人员以为进击者并非应用了新的ASA破绽,而是滥用了与ASA SSL证书相干的信托干系来猎取VPN凭据以猎取到受害者收集的长途接见权限。

进击者还能够入侵注册商,好比NetNod。如许进击者就能够修正sa1[.]dnsnode[.]net的DNS纪录。

进击目的

研究人员剖析发明有40个分歧的构造成为进击者的目的。

Sea turtle:滥用可托的中心互联网效劳举行DNS挟制

受害者能够分为2类,一类是位于中东和北非的重要进击目的,包孕:

· 外交部

· 军事构造

· 情报机构

· 动力构造

第二类受害者是用来资助进击重要目的的。这些构造位于天下断绝,但重要也位于中东和北非。包孕:

· 电信企业

· 互联网效劳供应商

· 信息手艺企业

· 注册机构

总结

Sea Turtle进击运动和其进击者才能是异常强的,举行了为期2年的进击运动而没有被发明。这也是第一同域名注册机构被黑并被用于收集监控运动的事宜。

OceanLotus隐写术分析报告

简介 OceanLotus APT,也称为APT32和APT-C-00,是从2012年开始活跃的间谍组织。BlackBerry Cylance研究人员近期发现该组指的一个新的payload加载器,其中使用隐写术来读取隐藏在.png图像文件中的加密payload。隐写算法使用了最低有效位(


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Sea turtle:滥用可托的中心互联网效劳举行DNS挟制
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址