信息化觀察網(wǎng)

誰掌握了corp.com，誰就擁有了被動攻擊全球企業(yè)網(wǎng)絡(luò)的超級僵尸網(wǎng)絡(luò)，不計其數(shù)的企業(yè)內(nèi)部設(shè)備，瞬間都會主動投懷送抱，成為這個僵尸網(wǎng)絡(luò)的肉雞。是什么讓corp.com成為史上最危險的域名？其擁有者為何要出售這個“火云邪神”級別的域名？這對全球企業(yè)網(wǎng)絡(luò)安全意味著什么？近日網(wǎng)絡(luò)安全知名博主Krebs撰文深入分析此事。原文過于冗長，安全牛擇要為您扒一扒：

近日， corp.com的擁有者決定以170萬美元的價格出售該域名。這個消息不亞于一顆鉆地核彈，表面上云淡風(fēng)輕，但懂的人自然會尿。Corp.com這個域名為何會如此邪門？

我們先回顧一下Corp.com的前世今生。

做域名如買口罩，1994年，作為早期的域名投資者，美國版蔡文勝邁克·奧康納（Mike O’Connor）以白菜價將幾個國寶級珍稀域名據(jù)為己有，包括bar.com、cafes.com、grill.com、place.com、pub.com和Television.com等。26年來，奧康納時不時拋售個把域名，妥妥維持其億萬富翁的生活品質(zhì)。但26年間，corp.com這個域名一直是奧康納諱莫如深的、最神秘敏感的非賣品。準(zhǔn)確來說，這個域名不是奧康納不想賣，也不是沒買家，而是不敢賣！

Corp.com之所以敏感，是因為經(jīng)過多年的技術(shù)測試，這貨就是個“魔戒”，任何人擁有它，就可以訪問全球數(shù)十萬個企業(yè)信息系統(tǒng)中的海量的密碼流、電子郵件和其他專有數(shù)據(jù)流。

魔戒出水，只有微軟能壓得住

如今，年逾古稀，生死看淡，開始搞資產(chǎn)簡化“斷舍離”的奧康納，終于鼓足了勇氣不管不顧地宣布出售corp.com。170萬美元的定價對于如此高大上的四字母商務(wù)范頂級絕版域名來說，基本算是半賣半送了。沒有立馬成交的原因與價格無關(guān)，因為這玩意跟限量版百達(dá)翡麗手表和科尼賽克跑車類似，不是你想買就能買，也不是你加價到1500萬就能砸下來的。就是你搞關(guān)系買下來，這么兇的域名，也不是一般的肉體凡胎能“壓得住”的。

奧康納說，他希望微軟公司能收購它，如果這個域名落入網(wǎng)絡(luò)犯罪分子或者國家黑客的手中，后果不堪設(shè)想。

奧康納并非危言聳聽，他之所以直接點名微軟，是因為corp.com的巨大殺傷力不亞于網(wǎng)絡(luò)安全界的切爾諾貝利，一切都源于微軟的一個“歷史性錯誤”，也只有微軟能夠化解。

自從比爾·蓋茨創(chuàng)建Windows帝國以來，Windows系統(tǒng)都以一種獨特的方式處理本地網(wǎng)絡(luò)上的域名解析。公司內(nèi)網(wǎng)上的Windows計算機(jī)使用Active Directory（動態(tài)目錄）來驗證該網(wǎng)絡(luò)上的其他內(nèi)容，Active Directory是Windows環(huán)境中各種與身份相關(guān)的服務(wù)的統(tǒng)稱。系統(tǒng)要素彼此查找需要借助一個名為DNS名稱傳遞（DNS name devolution）的Windows功能，這是一種網(wǎng)絡(luò)速記方法，可以輕松查找其他計算機(jī)或服務(wù)器，而無需為這些資源指定完整的合法域名。

例如，如果一家公司運(yùn)行一個名為internalnetwork.example.com的內(nèi)部網(wǎng)絡(luò)，而該網(wǎng)絡(luò)上的員工希望訪問一個名為“drive1”的共享驅(qū)動器，則無需鍵入“drive1.internalnetwork.example.com”進(jìn)入Windows資源管理器，僅鍵入“\\drive1\”就足夠了，Windows會負(fù)責(zé)其余的工作。

但是，如果內(nèi)部Windows域無法映射回企業(yè)實際擁有和控制的二級域名，事情將變得不妙。不幸的是，在支持Active Directory的Windows的早期版本（例如Windows 2000 Server）中，默認(rèn)或示例Active Directory路徑被指定為“corp”，并且許多公司采用了此默認(rèn)設(shè)置，而沒有修改成自己公司的二級域名。

使事情更加復(fù)雜的是，一些公司隨后在這種錯誤的“郵政編碼”環(huán)境下建立（和/或整合）了龐大的企業(yè)網(wǎng)絡(luò)，一切都木已成舟，尾大不掉。

麻煩的根源來自名稱空間沖突（namespace collision），發(fā)生此類沖突時，原本只打算在公司內(nèi)部網(wǎng)絡(luò)上使用的域名最終與外部互聯(lián)網(wǎng)上正常解析的域名地址發(fā)生重疊，敏感數(shù)據(jù)瞬間流向外網(wǎng)，“分享”到了corp.com站點上，后果可想而知。

在90年代臺式機(jī)加顯示器重量普遍超過30斤的年代，員工不大可能捧著電腦到處轉(zhuǎn)悠，但在當(dāng)下的移動辦公時代，這個潛伏的安全問題被無限放大了。 想象一下，那些配置Active Directory默認(rèn)網(wǎng)絡(luò)路徑為corp的公司員工將公司筆記本電腦帶到本地星巴克時，會發(fā)生什么情況？

也許員工筆記本電腦上的某些資源仍會嘗試訪問該公司內(nèi)網(wǎng)的corp域名，但是由于Windows系統(tǒng)的“DNS名稱傳遞”功能， 電腦還會通過星巴克無線連接去互聯(lián)網(wǎng)上的“正牌”corp.com尋找相同的資源。

這意味著corp.com域名的控制者，可以“被動攔截”來自成千上萬臺計算機(jī)的私人通信，任何在企業(yè)內(nèi)網(wǎng)Active Directory中分配corp域名的企業(yè)員工，在外網(wǎng)遠(yuǎn)程辦公或者移動辦公時，都有可能會向corp.com“喂送”數(shù)據(jù)。是的，corp.com的擁有者什么都不用做，一行攻擊代碼都不用寫，就會有海量敏感企業(yè)數(shù)據(jù)踏破門檻“投懷送抱”。

開箱即用的超級企業(yè)僵尸網(wǎng)絡(luò)，有人要嗎？

安全專家杰夫·施密特（Jeff Schmidt）對DNS名稱空間沖突進(jìn)行過長期研究，其中部分研究得到了美國國土安全部的資助。作為分析的一部分，施密特說服奧康納推遲出售corp.com，這樣他和其他專業(yè)人士就可以更好地了解和記錄每天流向該域名的流量和類型。

在對2019年流向corp.com的企業(yè)內(nèi)部流量進(jìn)行的八個月分析中，施密特發(fā)現(xiàn)超過375,000臺Windows PC正在嘗試發(fā)送信息-包括嘗試登錄內(nèi)部公司網(wǎng)絡(luò)以及訪問網(wǎng)絡(luò)上的特定共享文件。

在測試期間，施密特的公司JAS Global Advisor一度模擬本地Windows網(wǎng)絡(luò)登錄和文件共享環(huán)境接管了對corp.com的連接請求。

結(jié)果嚇到了施密特。

這太可怕了。我們在15分鐘后就中斷了實驗，并銷毀了數(shù)據(jù)。

一位與JAS合作過的著名攻擊測試員指出：在實驗過程中，“泄露的證書如瓢潑大雨”，是平生未見之壯觀景象。

同樣，JAS也曾臨時將corp.com配置為接受傳入的電子郵件。

大約一個小時后，我們收到了超過1200萬封電子郵件，并中止了實驗。由于很多郵件都很敏感，無需進(jìn)一步分析就立刻銷毀了整個數(shù)據(jù)庫。

施密特說，他和其他人得出的結(jié)論是，最終控制corp.com的人可能會立即擁有一個開箱即用的遍布全球的企業(yè)計算機(jī)僵尸網(wǎng)絡(luò)。

成千上萬的企業(yè)計算機(jī)都將為你千里送人頭，一旦攻擊者進(jìn)入企業(yè)網(wǎng)絡(luò)，那么可橫向移動攻擊利用的電腦數(shù)量將更多。你想立刻在《福布斯全球2000強(qiáng)》 TOP30的企業(yè)網(wǎng)絡(luò)里立足嗎？買下 corp.com！

事實上奧康納本人也曾做過類似的“危險實驗”，出于好奇心，奧康納曾短暫地在corp.com上啟用了一個電子郵件服務(wù)器。結(jié)果立刻開始收到大量敏感電子郵件，甚至包括向美國證券交易委員會提交的公司財務(wù)文件的預(yù)發(fā)布稿、人力資源報告以及各種令人恐懼的信息。”奧康納說：“有一陣子，我會嘗試回信那些犯了這些錯誤的公司，但是大多數(shù)公司都不知道該怎么辦。所以我終于把郵件服務(wù)器關(guān)了。”

令人頭痛的“核廢料”清理

對于施密特的corp.com流量調(diào)查結(jié)果，微軟選擇回避媒體問詢。但是微軟的一位發(fā)言人發(fā)布了一份書面聲明，承認(rèn)“我們有時在命名文檔中將‘corp’作為標(biāo)簽使用。”

該聲明寫道：“我們建議客戶設(shè)置二級域名，以防止路由到互聯(lián)網(wǎng)。”該文章鏈接到Microsoft Technet上有關(guān)在Active Directory中設(shè)置域的最佳做法的文章。

多年來，Microsoft已發(fā)布了數(shù)個軟件更新，以幫助減少名稱空間沖突的可能性。

但是幾乎沒有任何易受攻擊的企業(yè)聽從微軟的建議部署這些修復(fù)程序。原因主要有兩點：首先，這樣做需要企業(yè)在一段時間內(nèi)同時關(guān)閉其整個Active Directory網(wǎng)絡(luò)。其次，根據(jù)微軟的說法，補(bǔ)丁程序可能會破壞或拖慢企業(yè)日常運(yùn)行所依賴的許多應(yīng)用程序。

面對這兩種情況中的任何一種，大多數(shù)受影響的公司都不可能為了消除這個紙面上的風(fēng)險去冒更大的風(fēng)險更新補(bǔ)丁。

奧康納說道:

根據(jù)微軟的補(bǔ)丁說明，企業(yè)要想更新修補(bǔ)程序又不影響其他功能正常運(yùn)行，就必須刪除整個網(wǎng)絡(luò)上的所有Active Directory服務(wù)，當(dāng)您在應(yīng)用補(bǔ)丁后將其備份時，很多服務(wù)器可能無法正常工作。

更加“詭異”的是，根據(jù)施密特提交給工作組的關(guān)于名稱空間沖突的報告，監(jiān)控corp.com的過程中收到了一些疑似來自微軟自己內(nèi)部網(wǎng)絡(luò)的查詢。感興趣的讀者可參閱安全牛之前的文章：“微軟的黑客天團(tuán)”。

施密特說：

我認(rèn)為這是微軟要解決的問題，因為幾年前在建立活動目錄時遵循微軟建議的人遇到了麻煩。

即使給Windows 10打上所有最新補(bǔ)丁對，但只要地址包含‘corp’的活動目錄存在，問題就將永遠(yuǎn)存在。實際上，如果corp.com落入壞人之手，那將意味著微軟需要為其企業(yè)客戶蒙受的巨額安全損失買單。

奧康納透露，數(shù)年前微軟曾出價2萬美元購買corp.com域名。任何一個有兩周以上互聯(lián)網(wǎng)從業(yè)經(jīng)驗的人知道，微軟的這個出價不是買，是搶。

當(dāng)有人問奧康納為什么不高風(fēng)亮節(jié)，干脆把corp.com送給微軟時，奧康納說，他認(rèn)為這家軟件巨頭應(yīng)該對其產(chǎn)品和錯誤負(fù)責(zé)。畢竟最初是微軟建議大家在內(nèi)網(wǎng)地址中統(tǒng)一使用corp，填坑還需挖坑人。

奧康納指出：“在我看來，微軟應(yīng)該站出來承擔(dān)自己犯的錯誤。”“但是他們對此并沒有表現(xiàn)出真正的興趣，因此我也沒有興趣將其贈送給微軟。我真的不需要錢。這域名基本就是核廢料堆，我不想將其傳遞給我的孩子并給他們增加負(fù)擔(dān)。我的挫敗感是：這么重要的一個域名，好人不關(guān)心，壞人擠破門。”