新闻中心

当前位置: 首页 > 新闻中心 > 新闻中心
海龟凭借“DNS劫持”进行攻击,凶猛狠辣,绝不“慢吞吞”
发表时间:2019-04-29     浏览次数:355     来源:泰策

        近日,思科旗下的威胁情报组织Talos发布了新的安全报告,揭露了一起名为“海龟”(Sea Turtle)的网络攻击活动。调查显示,该攻击活动已经从2017年1月持续到了2019年3月,在两年多的时间里,攻击者以“DNS劫持”为攻击手段,以窃取网络凭证、控制目标网络为最终目标,对来自中东、北非等13个国家的至少40个组织进行了攻击。思科透露,这是一起背后由国家支持的攻击行为。

 
        通过钓鱼攻击劫持DNS服务器是攻击者惯用的伎俩。DNS是网络基础设施的基本组成部分,起到了域名和IP地址的转换作用,因为DNS应用的这种普及性和不可替代性,使其成为网络攻击的一个主要攻击途径。本次海龟行动的主要攻击手法为DNS劫持,即通过非法篡改DNS名称记录把网络访问引导至攻击者控制的服务器,从而进一步控制目标网络,获得对感兴趣的网络和系统的访问权。本次攻击活动的主要目标为国家安全组织、外交部和著名的能源组织,几乎全部位于中东和北非,次要目标为电信公司、DNS注册商和互联网服务提供商等,攻击者以次要目标为跳板,以实现对主要目标的信息窃取或访问控制。
 
如何修改DNS记录
        海龟行动背后的攻击者通过操纵和伪造域名空间不同级别的DNS记录,成功地损害了目标实体的利益。
 
        那么如何修改DNS记录呢?简要来讲有三种办法:
        第一种方法是通过注册商提供的注册凭证,这也是最直接的方法。如果攻击者能够破坏一个组织的网络管理员凭证,如账号或密码,则攻击者就能够随意更改特定组织的DNS记录。
 
        第二种方法是通过DNS注册服务器。域名注册商向公众出售域名,并通过可拓展供应协议(Extensible Provisioning Protocol, EPP)访问域名注册中心来管理DNS记录。若攻击者能够获得这些EPP密钥中的一个,他们就能够修改域名注册商管理的任何DNS记录。
 
        第三种办法是通过其中的一个注册中心,这些注册中心管理着现有的TLD(顶级通用域名)。DNS的域分为不同的等级,一般来说,顶级域包括如com、net、org的通用顶级域(gTLDs)和诸如cn、us等国家顶级域(ccTLDs),在顶级域之上,是DNS根服务器,根服务器主要用来管理互联网的主目录,存储DNS体系中最高层次的ZONE FILE,包括各通用顶级域和国家顶级域的记录信息。这些记录信息被12个不同的组织所管理,全球共有13台根服务器,例如Verisign管理与顶级域(TLD) “.com”关联的所有实体以及13台根服务器中的2台(A与J),攻击者可以针对根服务器直接修改记录。在本次攻击活动期间,没有证据表明根服务器受到了攻击或破坏。
 
感染媒介-DNS劫持
        当客户端通过网络钓鱼或其他漏洞,与受感染或恶意的DNS服务器进行交互的时候,正常的域名请求响应可能因为DNS缓存投毒或DNS重定向而被劫持,引导至恶意网站或被恶意代码感染,攻击者进而可以窃取用户信息、获取网络凭证或进一步控制目标网络。
 
        思科Talos团队指出,在本次攻击行动中,攻击者的最终目的是窃取网络凭证,以获得对目标网络和系统的访问权,攻击者的目标通过以下三步得以实现:
        1.    建立了一种控制目标DNS记录的方法;
        2.    修改DNS记录,将目标的合法用户指向攻击者控制的服务器;
        3.  当用户与这些攻击者控制的服务器交互时捕获合法的用户凭据。
 
        美国国土安全部(DHS)在2019年1月24日曾发布了关于该活动的警告,警告称攻击者可能会重定向用户流量,并获取组织域名的有效加密证书。
 
本次攻击特点
        Ø  攻击范围广:在本次攻击活动的典型案例中,攻击者会修改目标组织的NS记录,将用户指向一个恶意DNS服务器。目标DNS记录被劫持的时间从几分钟到几天不等。这种类型的活动可以使攻击者有能力重定向世界各地查询该特定领域的任何受害者。
        Ø  威胁程度高:成功实施DNS劫持所必需的访问级别表明,攻击者技术“过硬”,手段狠辣,目标网络所遭受的威胁程度较高。
        Ø  方式新颖-证书模拟:一旦用户访问了攻击者控制的名称服务器,它将使用伪造的“a”记录进行响应,该记录将提供攻击者控制的MitM节点的IP地址,而不是合法服务的IP地址。攻击者的下一步则是构建模拟合法服务的MitM服务器,这些攻击者在他们的MitM服务器中使用Let's加密、Comodo、Sectigo和自签名证书来获得第一轮证书,捕获这些凭证之后,用户将被传递到合法的服务。就用户感知来说,他们只是在获取网络服务的时候,有一段短暂的延迟,而攻击者一旦进入网络,他们就窃取组织的合法SSL证书。
        Ø  暴露时间短:目标DNS记录被劫持的时间从几分钟到几天不等,但为了减少暴露风险,在某些情况下,攻击者将TTL修改为1秒,以尽量减少在受害者终端的DNS缓存记录中的留存风险。
        Ø  厚颜无耻:在大多数情况下,一旦网络攻击活动被公开,攻击者通过会停止或放慢他们的活动,但尽管公开报告全方面剖析了他们活动的各个方面,但攻击行为已持续了两年,且仍在继续。
 
建议及反思
        Ø  对DNS流量的监控:大多数传统的安全产品,如IDS和IPS系统,都不是用来监视和记录DNS请求的,而很多组织也是在发生DNS攻击之后,才对DNS系统安全加以重视。我们建相关组织对DNS流量加以监控,以更早更快地发现异常,这一点可以借由专业的DNS服务提供商来解决。
        Ø  启动注册锁定服务或多种身份认证:建议企业或组织启动注册锁定服务或多重身份认证,避免DNS记录被篡改。
        Ø  重视密码保护:一旦怀疑DNS记录被篡改,尽量在全球范围内更改相关密码。
        Ø  修补漏洞:Talos团队发现,在海龟行动中,至少利用了7个安全漏洞,分别针对phpMyAdmin、GNU bash系统、思科的交换机、路由器,以及执行Tomcat的Apache服务器,甚至开源建站系统Drupal等。