全球DNS劫持事件:至少有三种不同的攻击方式来实现劫持DNS

2019-01-1514:17:19 发表评论

最近FireEye旗下的应急响应团队发现网上有一波DNS劫持事件,这个事件已经影响的大量的政府机构、电信设施和互联网基础设施,覆盖的范围非常广,包含了中东、北非、欧洲和北美。经过研究认为这起事件与伊朗有关。虽然攻击的方式是一些常见的的手法,但这次的DNS事件与以往的不同,黑客们利用这种技术作为基石,并通过多种不同的方式去利用它们。目前为止,至少发现了三种不同的攻击方式来实现劫持DNS。那么我们怎么防御这次事件呢?下面我们来看看这些不同攻击方式的例子:
下面用victim[.]com来代表受害者域名,私有IP地址代表攻击者控制的IP地址。
第一种攻击方式——DNS A记录
攻击者利用的第一个方法是改变DNS A记录,如图所示。
全球DNS劫持事件:至少有三种不同的攻击方式来实现劫持DNS
攻击者登入PXY1,PXY1是一个用来执行非属性浏览的代理盒子(Proxy box),也用作到其他基础设施的跳转盒子。
攻击者使用之前入侵使用的凭证登陆到DNS提供者的管理面板。
A记录(mail[.]victim[.]com)目前指向192.168.100.100。
攻击者将A记录修改后,指向10.20.30.40 (OP1)。
攻击者从PXY1登陆到OP1。
实现的代理会监听所有开放的端口,并镜像mail[.]victim[.]com。
负载均衡器指向192.168.100.100 [mail[.]victim[.]com] 来传递用户流量。
用certbot来为mail[.]victim[.]com创建Let’s Encrypt Certificate证书。
研究人员发现该攻击活动中使用了多个Domain Control Validation提供商。
用户现在访问mail[.]victim[.]com会被重定向到OP1。Let’s Encrypt Certificate允许浏览器在没有证书错误的情况下建立连接,因为Let's Encrypt Authority X3 是可信的。连接会被转发到与真实的mail[.]victim[.]com建立连接的负载均衡器。用户没有意识到任何改变,最多会发现有一点点的延迟。
用户名、密码和域名凭证都被窃取且保存了。

第二种攻击方式——DNS NS记录
攻击者利用的第二个方法是修改DNS NS记录,如图所示。
全球DNS劫持事件:至少有三种不同的攻击方式来实现劫持DNS
攻击者再次登入PXY1。
这次,攻击者利用了一个之前被黑的registrar或ccTLD。域名服务器记录ns1[.]victim[.]com现在被设置为192.168.100.200。攻击者修改了NS记录并将其指向ns1[.]baddomain[.]com [10.1.2.3]。当用户请求mail[.]victim[.]com时,域名服务器会响应IP 10.20.30.40 (OP1),但如果请求的是www[.]victim[.]com,就会响应原来的IP 192.168.100.100。
攻击者从PXY1登陆到OP1。
实现的代理会监听所有开放的端口,并镜像mail[.]victim[.]com。
负载均衡器指向192.168.100.100 [mail[.]victim[.]com] 来传递用户流量。
用certbot来为mail[.]victim[.]com创建Let’s Encrypt Certificate证书。
研究人员发现该攻击活动中使用了多个Domain Control Validation提供商。
用户现在访问mail[.]victim[.]com会被重定向到OP1。Let’s Encrypt Certificate允许浏览器在没有证书错误的情况下建立连接,因为Let's Encrypt Authority X3 是可信的。连接会被转发到与真实的mail[.]victim[.]com建立连接的负载均衡器。用户没有意识到任何改变,最多会发现有一点点的延迟。
用户名、密码和域名凭证都被窃取且保存了。

第三种攻击方式——DNS Redirector
攻击者使用了与第一种和第二种技术协调的第三种技术,即DNS重定向(Redirector),如所示。
全球DNS劫持事件:至少有三种不同的攻击方式来实现劫持DNS
DNS Redirector是一个响应DNS请求的攻击者操作盒子。
到mail[.]victim[.]com的DNS请求会基于之前修改的A记录或NS记录被发送到OP2。
如果域名是victim[.]com zone的一部分,OP2会响应一个攻击者控制的IP地址,用户会被重定向到攻击者控制的基础设施。
如果域名不是victim[.]com zone的一部分,OP2会返回一个到合法DNS的DNS请求来获取IP地址,合法IP地址返回给用户。

预防措施:
这类攻击是很难防御的。因为即使攻击者不能直接访问受害者的网络,但因此有价值的信息还是可以被窃取。其中增强企业安全性的措施有:
在域名管理网关上应用多因子认证;
验证A和NS记录修改;
寻找与域名相关的SSL证书,吊销恶意证书;
验证OWA/Exchange日志中的源IP地址;
验证攻击者是否可以获得企业网络的访问权限。

CE安全网
CE安全网广告位招租

发表评论

您必须登录才能发表评论!