信息化觀察網(wǎng)

英國(guó)政府的網(wǎng)絡(luò)安全中心 (NSCS) 已向各組織發(fā)出了嚴(yán)厲警告，建議他們需要在 DNS 劫持攻擊不斷增加的情況下實(shí)施額外的安全措施，否則將面臨慘痛的后果。

上周，NCSC發(fā)布警告稱，它已經(jīng)觀察到了各種利用不同層面的 DNS 系統(tǒng)的攻擊行為。自 1 月份 NCSC 發(fā)出警報(bào)以來，已經(jīng)出現(xiàn)了進(jìn)一步的 DNS 攻擊活動(dòng)，且在多個(gè)地區(qū)和部門中都發(fā)現(xiàn)了 DNS 劫持攻擊的受害者。

就在 NCSC 發(fā)布警告前的 5 月份，思科旗下的威脅情報(bào)組織 Talos 發(fā)布了一份安全報(bào)告，揭露了一起名為 “海龜” (Sea Turtle) 的網(wǎng)絡(luò)攻擊活動(dòng)。調(diào)查顯示，該攻擊活動(dòng)已經(jīng)從 2017 年 1 月持續(xù)到了 2019 年 3 月，在兩年多的時(shí)間里，攻擊者以 “DNS劫持” 為攻擊手段，以竊取網(wǎng)絡(luò)憑證、控制目標(biāo)網(wǎng)絡(luò)為最終目標(biāo)，對(duì)來自中東、北非等 13 個(gè)國(guó)家的至少 40 個(gè)組織進(jìn)行了攻擊。

據(jù)悉，此次攻擊活動(dòng)的主要目標(biāo)為國(guó)家安全組織、外交部和著名的能源組織，幾乎全部位于中東和北非，次要目標(biāo)為電信公司、DNS 注冊(cè)商和互聯(lián)網(wǎng)服務(wù)提供商等，攻擊者以次要目標(biāo)為跳板，以實(shí)現(xiàn)對(duì)主要目標(biāo)的信息竊取或訪問控制。

DNS 是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基本組成部分，起到了域名和 IP 地址的轉(zhuǎn)換作用，當(dāng)用戶希望訪問 Web 域時(shí)，DNS 就負(fù)責(zé)將每個(gè) Web 瀏覽器指向正確的 IP 地址。正是由于 DNS 應(yīng)用的這種普及性和不可替代性，使其成為網(wǎng)絡(luò)攻擊的一個(gè)主要途徑。

以惡意方式篡改 DNS 的行為稱為 “DNS劫持”。操縱 DNS 可以允許威脅行為者創(chuàng)建惡意 DNS 記錄，該記錄可用于在組織熟悉的域內(nèi)設(shè)置網(wǎng)絡(luò)釣魚網(wǎng)站。DNS 記錄也可用于獲取 SSL 證書，或者攻擊者可以簡(jiǎn)單地建立連接，將站點(diǎn)的所有流量重定向到自己的 IP 地址。

通過釣魚攻擊劫持 DNS 服務(wù)器是攻擊者慣用的伎倆。當(dāng)客戶端通過網(wǎng)絡(luò)釣魚或其他漏洞，與受感染或惡意的 DNS 服務(wù)器進(jìn)行交互時(shí)，正常的域名請(qǐng)求響應(yīng)可能因?yàn)?DNS 緩存投毒或 DNS 重定向而被劫持，引導(dǎo)至惡意網(wǎng)站或被惡意代碼感染，攻擊者進(jìn)而可以竊取用戶信息、獲取網(wǎng)絡(luò)憑證或進(jìn)一步控制目標(biāo)網(wǎng)絡(luò)。

在 IDC 發(fā)布的《2019 年全球 DNS 威脅報(bào)告》中，該研究結(jié)構(gòu)發(fā)現(xiàn)所有行業(yè)都容易受到 DNS 攻擊影響。

該報(bào)告還發(fā)現(xiàn)，82% 的企業(yè)經(jīng)歷了一次 DNS 攻擊；而63% 的企業(yè)則經(jīng)歷了設(shè)備宕機(jī)。每家企業(yè)平均遭受的 DNS 攻擊次數(shù)竟然高達(dá) 9.45 次；攻擊造成的平均成本損失為 107 萬美元。

網(wǎng)絡(luò)安全公司 Avast 最近也注意到一個(gè) “Netflix風(fēng)格” 的網(wǎng)絡(luò)釣魚攻擊，可以復(fù)制網(wǎng)站的登錄憑證。

什么是 “Netflix風(fēng)格” 的網(wǎng)絡(luò)釣魚攻擊？2017 年，火眼 (FireEye) 實(shí)驗(yàn)室發(fā)現(xiàn)了針對(duì) Netflix（一家在世界多國(guó)提供網(wǎng)絡(luò)視頻點(diǎn)播的公司）的一種新型網(wǎng)絡(luò)釣魚攻擊，該攻擊旨在竊取用戶的信用卡數(shù)據(jù)和其他個(gè)人信息。該新型攻擊的精妙之處在于攻擊者采用的逃避技術(shù)：

1. 釣魚網(wǎng)頁(yè)托管在合法但被攻破的 Web 服務(wù)器上；

2. 客戶端 HTML 代碼通過 AES 加密進(jìn)行混淆，以逃避基于文本的檢測(cè)；

3. 如果用戶 IP 地址的 DNS 解析到谷歌或 PhishTank（反釣魚網(wǎng)站）之類的公司，則不向該用戶顯示釣魚網(wǎng)頁(yè)；

其源代碼非常短，且顯示頁(yè)腳鏈接僅用于展示，而且當(dāng)鼠標(biāo)滾過時(shí)，只有一個(gè)格式化的項(xiàng)目列表表現(xiàn)類似于鏈接。該 action form 中包含一個(gè)名為 ‘get_pay.php’ 的 PHP 腳本，這是典型的網(wǎng)絡(luò)釣魚網(wǎng)站。

NCSC對(duì)于DNS攻擊給出的緩解建議

最常見的 DNS 劫持結(jié)果之一就是黑客獲得對(duì)注冊(cè)人賬戶的訪問權(quán)限。這一過程通常使用 “撞庫(kù)”（也就是憑據(jù)填塞攻擊/credential stuffing attacks）、網(wǎng)絡(luò)釣魚和社會(huì)工程等經(jīng)過測(cè)試和受信的攻擊方式完成。

為了避免這些類型的攻擊，NCSC 建議組織使用多因素身份驗(yàn)證機(jī)制，并定期對(duì)賬戶訪問進(jìn)行審計(jì)。

NCSC 還警告企業(yè)組織要警惕內(nèi)部人員攻擊的風(fēng)險(xiǎn)，它并不建議企業(yè)組織對(duì)任何域名聯(lián)系人使用個(gè)人電子郵件地址，因?yàn)檫@將為可能離職的內(nèi)部人員提供有效的訪問控制權(quán)限。對(duì)此，NCSC 建議組織應(yīng)該創(chuàng)建特定角色賬戶——例如 hostmaster @，以有效地降低此類安全風(fēng)險(xiǎn)。

有些域名注冊(cè)服務(wù)商也會(huì)提供域名或注冊(cè)表鎖定服務(wù)，這些收費(fèi)項(xiàng)目可以作為額外的安全防護(hù)層。因?yàn)檫@些服務(wù)一旦啟用，就可以防止域名注冊(cè)人和域名服務(wù)器被更改。

最后，NCSC 警告稱，組織需要保護(hù)自身的基礎(chǔ)架構(gòu)。如果企業(yè)組織運(yùn)行的是自己的 DNS 基礎(chǔ)架構(gòu)，那么一定要使用強(qiáng)大的更改控制流程來管理針對(duì)區(qū)域文件的任何更改行為。理想狀態(tài)下，組織應(yīng)該使用通過版本控制系統(tǒng)（例如 git）管理的 DNS 區(qū)域文件。它將提供 DNS 記錄備份，允許更改審核和輕松回滾。此外，組織還應(yīng)該實(shí)施組織審批級(jí)別，以便在更改行為實(shí)現(xiàn)前對(duì)其進(jìn)行監(jiān)控。