社区为您汇总了《每月热点威胁》系列分享,点击查看思科《每月热点威胁》持续更新中……
DNS 作为一项保持互联网正常工作的基本技术,最近成了攻击者经常攻击的目标 。
2019 年 IDC 全球 DNS 威胁报告指出,全球 82% 的企业遭受过 DNS 攻击,63% 的企业因为 DNS 攻击导致业务中断,平均损失超过 100 万美金。此外,今年初,互联网名称与数字地址分配机构(ICANN)警告称互联网 DNS 基础设施的 “关键部分存在持续且重大的风险”,并呼吁采用更强大的安全措施。
在此期间,思科威胁研究团队 Talos 一直密切关注 DNS。Talos 发现很多攻击都是利用 DNS 劫持和操纵作为主要感染媒介,并且在发布相关研究结果后,引发了很多上述警告。
针对 DNS 的攻击非常令人担忧。但究竟 DNS 是什么?DNS 如何受到攻击?可以采取哪些措施防范这些攻击?
DNS 基础知识
DNS 工作原理
域查找标准流程较之以上描述要复杂一下,因为要涉及多个 DNS 服务器。系统访问的第一台服务器是 DNS 解析器,其与图书管理员非常相似。其中的流程通常如下所述:
1、解析器将向 DNS 根服务器询问网站所在位置,就像图书管理员通过查阅卡片目录了解某本书在图书馆中的位置一样。
2、根服务器将解析器发送至顶级域服务器 (TLD),也就是使用 .com、.net和 .org 等细分的 DNS 服务器。这就像数字化的杜威十进制图书分类法。
3、TLD 服务器将获知 DNS 名称服务器(即您要访问的域的官方 DNS 服务器)的位置,并将告知解析器该 IP 地址。名称服务器就如同书卡。
4、解析器告知计算机相应域的 IP 地址,然后计算机将转至该站点。这就如同印在书卡上的图书位置。
DNS 工作原理(详细信息)
DNS 攻击原理
DNS 攻击的问题在于,它不是直接对目标发起攻击,而是像通过攻击图书管理员来攻击图书借阅人一样实行间接攻击。这种攻击通常称为 “DNS 劫持” 或 “DNS 重定向”。
DNS 重定向
恶意行为者可通过多种方式入侵 DNS 记录,例如:
● 攻击者可能对 DNS 管理员实施网络钓鱼,诱使其泄露自己的凭证信息,从而利用该凭证登录 DNS 接口并更改站点 IP 地址。
● 攻击者可能入侵管理和更新 DNS 记录的 DNS 托管接口,从而更改相应域的记录。
● 攻击者可能入侵 DNS 请求链中的任何 DNS 服务器或基础设施,从而导致重定向。
重定向攻击十年回顾
虽然 DNS 系统中的各种缺陷和弱点早已为人所知,但第一批值得关注的 DNS 攻击开始于 2009 年。当时,攻击者设法将 twitter.com 的 DNS 记录短暂更改为指向伊朗网军的黑客组织网站。
接下来几年中,发生了众多与 DNS 相关的攻击:
● 2011 年,土耳其黑客设法将大约 186 个域重定向至指向 “您已遭黑客入侵” 类型页面。
● 叙利亚电子军设法将《纽约时报》、Twitter 和赫芬顿邮报重定向至黑客网站,然后在 2013 年和 2014 年对 Facebook 发动了同样的攻击。(Facebook 攻击得以制止的部分原因在于实施了多因素身份验证。)
● 2015 年,越南和马来西亚的 Google 区域站点遭到 DNS 重定向劫持。
● 加密货币公司 Blockchain 的 DNS 记录于 2016 年遭劫持。(幸运的是,OpenDNS 很快发现了记录变化并进行了恢复。)
在这 10 年时间里,此类攻击频发,有的成功了,有的成败了。然而,Talos 研究人员发现,在 2018 年末 DNS 攻击达到了全新水平。
DNSpionage 攻击
这次攻击始于一封 LinkedIn 邮件。DNS 管理员认为这是欣赏其工作能力的招聘人员发来的,于是点击了里面指向某文档的链接,他们以为可填写该文档来申请空缺职位。
DNSpionage 攻击中使用的恶意文档
然而,该文档实际上已感染恶意宏。结果,攻击者就入侵了管理员的计算机,从而得以窃取 DNS 登录信息。
在获得域控制权限后,攻击者将 webmail 服务器重定向至恶意 IP 地址,并注册有效证书以使重定向的域 “合法化”。访问该站点的人都完全不知道发生了异常。
DNSpionage 攻击过程
在调查 DNSpionage 攻击者策略、技术和程序的过程中,Talos 团队发现了另一种针对 TLD DNS 服务器的单独攻击,而且可以说这种攻击更令人担忧。
Sea Turtle 攻击
Sea Turtle 攻击最终目标与 DNSpionage 相似,即窃取信息,但它幕后的攻击者却是以托管 TLD 服务器的网络基础设施作为入口,利用这些服务器中的已知漏洞获得访问权限。在侥幸侵入了 TLD 服务器后,攻击者会修改特定域的名称服务器 IP 地址。
这种方法使攻击者能够更好地控制重定向。通过设置恶意名称服务器,攻击者可选择何时将对特定域的请求发送至合法站点或恶意站点。
Sea Turtle 攻击过程
与 DNSpionage 类似,Sea Turtle 还会更改 Webmail 服务器记录,从中拦截和窃取所需信息,并且在完成后将目标发送至合法系统。
其他相关攻击技术
攻击者还可以使用其他几种方式来利用 DNS 执行恶意活动。某些威胁(例如DNSpionage 和 DNSMessenger)使用 DNS 来与命令和控制 (C2) 系统进行通信。DNSMessenger 以及其他威胁还被发现通过 DNS 进行隧道传输以窃取数据。
最近值得关注的另一个领域是使用 DNS over HTTPS (DoH) 协议的威胁。此协议旨在提高 DNS 查询的安全性,以防止窃听和中间人攻击。但是,本月初,一种名为 Godlua 的恶意软件系列被发现使用该协议进行恶意通信。鉴于 DoH 能够屏蔽流量,因此可能会有更多此类威胁随之而来。
如何防范 DNS 攻击?
最后,如果您托管网站或域,请务必确认您的 DNS 提供程序采取了上述措施来保护安全。
每月热点威胁系列
如今,我们面临着巨大的安全威胁挑战,业内领先的威胁研究和情报团队思科 Talos 会收集分析大量有关威胁态势的数据,我们每个月都会依据思科 Talos 的最新发现,持续发布不同类别热点威胁的信息,帮助您了解最新的威胁信息和最佳防御实践方法。
文章来源:思科联天下
延展阅读:
高能“预警”!思科《每月热点威胁》第一弹:SMB与蠕虫的卷土重来
思科《每月热点威胁》第二弹:潜形匿迹的无文件恶意软件!
思科《每月热点威胁》第三弹:谋财又害命的数字勒索诈骗!
思科《每月热点威胁》第四弹:社交媒体和黑市
思科《每月热点威胁》第六弹:探究加密流量背后的重重威胁
思科《每月热点威胁》第七弹:恶意广告的乱象与防御
