ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全新闻 → 全球DNS劫持事件:至少有三种不同的攻击方式来实现劫持DNS

全球DNS劫持事件:至少有三种不同的攻击方式来实现劫持DNS

时间:2019-01-15 14:17:19人气:作者:本站作者我要评论

最近FireEye旗下的应急响应团队发现网上有一波DNS劫持事件,这个事件已经影响的大量的政府机构、电信设施和互联网基础设施,覆盖的范围非常广,包含了中东、北非、欧洲和北美。经过研究认为这起事件与伊朗有关。虽然攻击的方式是一些常见的的手法,但这次的DNS事件与以往的不同,黑客们利用这种技术作为基石,并通过多种不同的方式去利用它们。目前为止,至少发现了三种不同的攻击方式来实现劫持DNS。那么我们怎么防御这次事件呢?下面我们来看看这些不同攻击方式的例子:
下面用victim[.]com来代表受害者域名,私有IP地址代表攻击者控制的IP地址。
第一种攻击方式——DNS A记录
攻击者利用的第一个方法是改变DNS A记录,如图所示。
全球DNS劫持事件:至少有三种不同的攻击方式来实现劫持DNS
攻击者登入PXY1,PXY1是一个用来执行非属性浏览的代理盒子(Proxy box),也用作到其他基础设施的跳转盒子。
攻击者使用之前入侵使用的凭证登陆到DNS提供者的管理面板。
A记录(mail[.]victim[.]com)目前指向192.168.100.100。
攻击者将A记录修改后,指向10.20.30.40 (OP1)。
攻击者从PXY1登陆到OP1。
实现的代理会监听所有开放的端口,并镜像mail[.]victim[.]com。
负载均衡器指向192.168.100.100 [mail[.]victim[.]com] 来传递用户流量。
用certbot来为mail[.]victim[.]com创建Let’s Encrypt Certificate证书。
研究人员发现该攻击活动中使用了多个Domain Control Validation提供商。
用户现在访问mail[.]victim[.]com会被重定向到OP1。Let’s Encrypt Certificate允许浏览器在没有证书错误的情况下建立连接,因为Let's Encrypt Authority X3 是可信的。连接会被转发到与真实的mail[.]victim[.]com建立连接的负载均衡器。用户没有意识到任何改变,最多会发现有一点点的延迟。
用户名、密码和域名凭证都被窃取且保存了。

第二种攻击方式——DNS NS记录
攻击者利用的第二个方法是修改DNS NS记录,如图所示。
全球DNS劫持事件:至少有三种不同的攻击方式来实现劫持DNS
攻击者再次登入PXY1。
这次,攻击者利用了一个之前被黑的registrar或ccTLD。域名服务器记录ns1[.]victim[.]com现在被设置为192.168.100.200。攻击者修改了NS记录并将其指向ns1[.]baddomain[.]com [10.1.2.3]。当用户请求mail[.]victim[.]com时,域名服务器会响应IP 10.20.30.40 (OP1),但如果请求的是www[.]victim[.]com,就会响应原来的IP 192.168.100.100。
攻击者从PXY1登陆到OP1。
实现的代理会监听所有开放的端口,并镜像mail[.]victim[.]com。
负载均衡器指向192.168.100.100 [mail[.]victim[.]com] 来传递用户流量。
用certbot来为mail[.]victim[.]com创建Let’s Encrypt Certificate证书。
研究人员发现该攻击活动中使用了多个Domain Control Validation提供商。
用户现在访问mail[.]victim[.]com会被重定向到OP1。Let’s Encrypt Certificate允许浏览器在没有证书错误的情况下建立连接,因为Let's Encrypt Authority X3 是可信的。连接会被转发到与真实的mail[.]victim[.]com建立连接的负载均衡器。用户没有意识到任何改变,最多会发现有一点点的延迟。
用户名、密码和域名凭证都被窃取且保存了。

第三种攻击方式——DNS Redirector
攻击者使用了与第一种和第二种技术协调的第三种技术,即DNS重定向(Redirector),如所示。
全球DNS劫持事件:至少有三种不同的攻击方式来实现劫持DNS
DNS Redirector是一个响应DNS请求的攻击者操作盒子。
到mail[.]victim[.]com的DNS请求会基于之前修改的A记录或NS记录被发送到OP2。
如果域名是victim[.]com zone的一部分,OP2会响应一个攻击者控制的IP地址,用户会被重定向到攻击者控制的基础设施。
如果域名不是victim[.]com zone的一部分,OP2会返回一个到合法DNS的DNS请求来获取IP地址,合法IP地址返回给用户。

预防措施:
这类攻击是很难防御的。因为即使攻击者不能直接访问受害者的网络,但因此有价值的信息还是可以被窃取。其中增强企业安全性的措施有:
在域名管理网关上应用多因子认证;
验证A和NS记录修改;
寻找与域名相关的SSL证书,吊销恶意证书;
验证OWA/Exchange日志中的源IP地址;
验证攻击者是否可以获得企业网络的访问权限。

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网