英國政府的網(wǎng)絡(luò)安全中心 (NSCS) 已向各組織發(fā)出了嚴(yán)厲警告����,建議他們需要在 DNS 劫持攻擊不斷增加的情況下實(shí)施額外的安全措施���,否則將面臨慘痛的后果���。
上周,NCSC發(fā)布警告稱�����,它已經(jīng)觀察到了各種利用不同層面的 DNS 系統(tǒng)的攻擊行為����。自 1 月份 NCSC 發(fā)出警報(bào)以來�,已經(jīng)出現(xiàn)了進(jìn)一步的 DNS 攻擊活動����,且在多個地區(qū)和部門中都發(fā)現(xiàn)了 DNS 劫持攻擊的受害者�。
就在 NCSC 發(fā)布警告前的 5 月份,思科旗下的威脅情報(bào)組織 Talos 發(fā)布了一份安全報(bào)告�����,揭露了一起名為 “海龜” (Sea Turtle) 的網(wǎng)絡(luò)攻擊活動���。調(diào)查顯示�����,該攻擊活動已經(jīng)從 2017 年 1 月持續(xù)到了 2019 年 3 月�����,在兩年多的時間里���,攻擊者以 “DNS劫持” 為攻擊手段���,以竊取網(wǎng)絡(luò)憑證、控制目標(biāo)網(wǎng)絡(luò)為最終目標(biāo)����,對來自中東、北非等 13 個國家的至少 40 個組織進(jìn)行了攻擊��。
據(jù)悉�,此次攻擊活動的主要目標(biāo)為國家安全組織、外交部和著名的能源組織����,幾乎全部位于中東和北非,次要目標(biāo)為電信公司��、DNS 注冊商和互聯(lián)網(wǎng)服務(wù)提供商等�,攻擊者以次要目標(biāo)為跳板,以實(shí)現(xiàn)對主要目標(biāo)的信息竊取或訪問控制��。
DNS 是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基本組成部分����,起到了域名和 IP 地址的轉(zhuǎn)換作用,當(dāng)用戶希望訪問 Web 域時��,DNS 就負(fù)責(zé)將每個 Web 瀏覽器指向正確的 IP 地址。正是由于 DNS 應(yīng)用的這種普及性和不可替代性����,使其成為網(wǎng)絡(luò)攻擊的一個主要途徑。
以惡意方式篡改 DNS 的行為稱為 “DNS劫持”���。操縱 DNS 可以允許威脅行為者創(chuàng)建惡意 DNS 記錄����,該記錄可用于在組織熟悉的域內(nèi)設(shè)置網(wǎng)絡(luò)釣魚網(wǎng)站����。DNS 記錄也可用于獲取 SSL 證書���,或者攻擊者可以簡單地建立連接����,將站點(diǎn)的所有流量重定向到自己的 IP 地址�。
通過釣魚攻擊劫持 DNS 服務(wù)器是攻擊者慣用的伎倆。當(dāng)客戶端通過網(wǎng)絡(luò)釣魚或其他漏洞����,與受感染或惡意的 DNS 服務(wù)器進(jìn)行交互時��,正常的域名請求響應(yīng)可能因?yàn)?DNS 緩存投毒或 DNS 重定向而被劫持����,引導(dǎo)至惡意網(wǎng)站或被惡意代碼感染����,攻擊者進(jìn)而可以竊取用戶信息、獲取網(wǎng)絡(luò)憑證或進(jìn)一步控制目標(biāo)網(wǎng)絡(luò)��。
在 IDC 發(fā)布的《2019 年全球 DNS 威脅報(bào)告》中�,該研究結(jié)構(gòu)發(fā)現(xiàn)所有行業(yè)都容易受到 DNS 攻擊影響。
該報(bào)告還發(fā)現(xiàn)���,82% 的企業(yè)經(jīng)歷了一次 DNS 攻擊�;而63% 的企業(yè)則經(jīng)歷了設(shè)備宕機(jī)��。每家企業(yè)平均遭受的 DNS 攻擊次數(shù)竟然高達(dá) 9.45 次����;攻擊造成的平均成本損失為 107 萬美元。
網(wǎng)絡(luò)安全公司 Avast 最近也注意到一個 “Netflix風(fēng)格” 的網(wǎng)絡(luò)釣魚攻擊�,可以復(fù)制網(wǎng)站的登錄憑證。
什么是 “Netflix風(fēng)格” 的網(wǎng)絡(luò)釣魚攻擊?2017 年��,火眼 (FireEye) 實(shí)驗(yàn)室發(fā)現(xiàn)了針對 Netflix(一家在世界多國提供網(wǎng)絡(luò)視頻點(diǎn)播的公司)的一種新型網(wǎng)絡(luò)釣魚攻擊����,該攻擊旨在竊取用戶的信用卡數(shù)據(jù)和其他個人信息。該新型攻擊的精妙之處在于攻擊者采用的逃避技術(shù):
1. 釣魚網(wǎng)頁托管在合法但被攻破的 Web 服務(wù)器上�;
2. 客戶端 HTML 代碼通過 AES 加密進(jìn)行混淆,以逃避基于文本的檢測��;
3. 如果用戶 IP 地址的 DNS 解析到谷歌或 PhishTank(反釣魚網(wǎng)站)之類的公司���,則不向該用戶顯示釣魚網(wǎng)頁�;
最常見的 DNS 劫持結(jié)果之一就是黑客獲得對注冊人賬戶的訪問權(quán)限。這一過程通常使用 “撞庫”(也就是憑據(jù)填塞攻擊/credential stuffing attacks)���、網(wǎng)絡(luò)釣魚和社會工程等經(jīng)過測試和受信的攻擊方式完成����。
為了避免這些類型的攻擊�����,NCSC 建議組織使用多因素身份驗(yàn)證機(jī)制�����,并定期對賬戶訪問進(jìn)行審計(jì)���。
NCSC 還警告企業(yè)組織要警惕內(nèi)部人員攻擊的風(fēng)險(xiǎn)�����,它并不建議企業(yè)組織對任何域名聯(lián)系人使用個人電子郵件地址�,因?yàn)檫@將為可能離職的內(nèi)部人員提供有效的訪問控制權(quán)限�。對此,NCSC 建議組織應(yīng)該創(chuàng)建特定角色賬戶——例如 hostmaster @,以有效地降低此類安全風(fēng)險(xiǎn)�。
有些域名注冊服務(wù)商也會提供域名或注冊表鎖定服務(wù),這些收費(fèi)項(xiàng)目可以作為額外的安全防護(hù)層����。因?yàn)檫@些服務(wù)一旦啟用,就可以防止域名注冊人和域名服務(wù)器被更改�����。
最后�����,NCSC 警告稱�����,組織需要保護(hù)自身的基礎(chǔ)架構(gòu)��。如果企業(yè)組織運(yùn)行的是自己的 DNS 基礎(chǔ)架構(gòu)�����,那么一定要使用強(qiáng)大的更改控制流程來管理針對區(qū)域文件的任何更改行為�。理想狀態(tài)下,組織應(yīng)該使用通過版本控制系統(tǒng)(例如 git)管理的 DNS 區(qū)域文件�����。它將提供 DNS 記錄備份�����,允許更改審核和輕松回滾��。此外����,組織還應(yīng)該實(shí)施組織審批級別,以便在更改行為實(shí)現(xiàn)前對其進(jìn)行監(jiān)控����。
400-001-9776
