攻击dns瘫痪

CiscoBlog>安全安全DNS攻击BenNahorney2019年7月25日-4条评论您可能已听闻相关案例:作为一项保持互联网正常工作的基本技术,DNS最近成了攻击者经常攻击的目标.
本月初,英国国家网络安全中心(NationalCyberSecurityCentre)发布了一份公告,警告称在多个地区和行业都出现了DNS劫持攻击.
(这是他们在六个月内发布的第二个此类公告.
)上个月,在其2019年全球DNS威胁报告中,IDC重点介绍了日益增长的DNS攻击数量以及由此造成的损失.
此外,今年初,ICANN警告称互联网DNS基础设施的"关键部分存在持续且重大的风险",并呼吁采用更强大的安全措施.
在此期间,思科威胁情报团队思科Talos一直密切关注DNS.
Talos发现很多攻击都是利用DNS劫持和操纵作为主要感染媒介,并且在发布相关研究结果后,引发了很多上述警告.
针对DNS的攻击非常令人担忧.
但究竟DNS是什么DNS如何受到攻击可以采取哪些措施防范这些攻击DNS基础知识首先让我们简要介绍一下这项技术.
域名系统(DNS)是将用户定向至互联网上不同网站和其他位置的核心技术.
这种定向就像请图书管理员帮我们找书一样,只不过您要找的不是书,而是特定的网站.
DNS会检查其记录,然后告知您的计算机网站所在位置.
DNS也用作各种转换器.
它需要人类可读的域名(例如www.
example.
com)并将其与站点的IP地址匹配,IP地址是计算机用于识别域位置的数字.
简而言之,用户问:"此域的IP地址是什么",DNS便会告诉用户.
图1-DNS工作原理域查找标准流程较之以上描述要复杂一下,因为要涉及多个DNS服务器.
系统访问的第一台服务器是DNS解析器,其与图书管理员非常相似.
其中的流程通常如下所述:1.
解析器将向DNS根服务器询问网站所在位置,就像图书管理员通过查阅卡片目录了解某本书在图书馆中的位置一样.
2.
根服务器将解析器发送至顶级域服务器(TLD),也就是使用.
com、.
net和.
org等细分的DNS服务器.
这就像数字化的杜威十进制图书分类法.
3.
TLD服务器将获知DNS名称服务器(即您要访问的域的官方DNS服务器)的位置,并将告知解析器该IP地址.
名称服务器就如同书卡.
4.
解析器告知计算机相应域的IP地址,然后计算机将转至该站点.
这就如同印在书卡上的图书位置.
图2-DNS工作原理(详细信息)DNS攻击原理DNS攻击的问题在于,它不是直接对目标发起攻击,而是像通过攻击图书管理员来攻击图书借阅人一样实行间接攻击.
这种攻击通常称为"DNS劫持"或"DNS重定向".
假设您向图书管理员询问某本图书的位置,但图书管理员的信息已遭篡改.
结果图书管理员没有将您指向这本书所在的正确位置,而是将您指向了图书馆里一个布满蜘蛛网的阴暗角落.
甚至您从书架上拿下来的书可能也看起来就像您想要的那本,但实际上完全不同,比如所谓的儿童读物竟然变成了《无政府主义者食谱》.
这种攻击关键在于篡改通往合法网站的路由,使其通向恶意网站,最终危害其攻击目标.
在这种情况下,虽然您请求访问的是特定域的IP地址,但DNS记录已遭篡改,所以系统会将您定向到篡改后的恶意IP地址.
图3–DNS重定向恶意行为者可通过多种方式入侵DNS记录,例如:攻击者可能对DNS管理员实施网络钓鱼,诱使其泄露自己的凭证信息,从而利用该凭证登录DNS接口并更改站点IP地址.
攻击者可能入侵管理和更新DNS记录的DNS托管接口,从而更改相应域的记录.
攻击者可能入侵DNS请求链中的任何DNS服务器或基础设施,从而导致重定向.
重定向攻击十年回顾虽然DNS系统中的各种缺陷和弱点早已为人所知,但第一批值得关注的DNS攻击开始于2009年.
当时,攻击者设法将twitter.
com的DNS记录短暂更改为指向伊朗网军的黑客组织网站.
接下来几年中,发生了众多与DNS相关的攻击:2011年,土耳其黑客设法将大约186个域重定向至指向"您已遭黑客入侵"类型页面.
叙利亚电子军设法将《纽约时报》、Twitter和赫芬顿邮报重定向至黑客网站,然后在2013年和2014年对Facebook发动了同样的攻击.
(Facebook攻击得以制止的部分原因在于实施了多因素身份验证.
)2015年,越南和马来西亚的Google区域站点遭到DNS重定向劫持.
加密货币公司Blockchain的DNS记录于2016年遭劫持.
(幸运的是,OpenDNS很快发现了记录变化并进行了恢复.
)在这10年时间里,此类攻击频发,有的成功了,有的成败了.
然而,Talos研究人员发现,在2018年末DNS攻击达到了全新水平.
DNSpionage攻击这次攻击始于一封LinkedIn邮件.
DNS管理员认为这是欣赏其工作能力的招聘人员发来的,于是点击了里面指向某文档的链接,他们以为可填写该文档来申请空缺职位.
图4–DNSpionage攻击中使用的恶意文档然而,该文档实际上已感染恶意宏.
结果,攻击者就入侵了管理员的计算机,从而得以窃取DNS登录信息.
在获得域控制权限后,攻击者将webmail服务器重定向至恶意IP地址,并注册有效证书以使重定向的域"合法化".
访问该站点的人都完全不知道发生了异常.
图5–DNSpionage攻击过程在调查DNSpionage攻击者策略、技术和程序的过程中,Talos情报团队发现了另一种针对TLDDNS服务器的单独攻击,而且可以说这种攻击更令人担忧.
SeaTurtle攻击SeaTurtle攻击最终目标与DNSpionage相似,即窃取信息,但它幕后的攻击者却是以托管TLD服务器的网络基础设施作为入口,利用这些服务器中的已知漏洞获得访问权限.
在侥幸侵入了TLD服务器后,攻击者会修改特定域的名称服务器IP地址.
这种方法使攻击者能够更好地控制重定向.
通过设置恶意名称服务器,攻击者可选择何时将对特定域的请求发送至合法站点或恶意站点.
图6-SeaTurtle攻击过程与DNSpionage类似,SeaTurtle还会更改Webmail服务器记录,从中拦截和窃取所需信息,并且在完成后将目标发送至合法系统.
其他相关攻击技术在这篇博客中,我们重点关注各种DNS重定向攻击和技术.
现实中存在的攻击远不止这些.
Talos已发布多篇关于这种攻击的博客,其中包括攻击者使用的负载和恶意技术的详细信息.
下面"补充阅读"部分列出了这些博客的链接.
攻击者还可以使用其他几种方式来利用DNS执行恶意活动.
某些威胁(例如DNSpionage和DNSMessenger)使用DNS来与命令和控制(C2)系统进行通信.
DNSMessenger以及其他威胁还被发现通过DNS进行隧道传输以窃取数据.
最近值得关注的另一个领域是使用DNSoverHTTPS(DoH)协议的威胁.
此协议旨在提高DNS查询的安全性,以防止窃听和中间人攻击.
但是,本月初,一种名为Godlua的恶意软件系列被发现使用该协议进行恶意通信.
鉴于DoH能够屏蔽流量,因此可能会有更多此类威胁随之而来.
如何防范DNS攻击遗憾的是,作为DNS攻击的最终目标,用户往往无能为力.
从用户角度来看,访问网站的DNS通信似乎合法,特别是攻击者在入侵DNS记录后为恶意站点创建了有效证书时.
在此情况下,防御的责任就落到了管理和托管DNS服务的人员身上.
幸运的是,在此层面上可采取一些以下措施.
监控DNS记录.
通过UmbrellaInvestigate等工具,快速查找对DNS记录的更改.
要求需进行多因素身份验证(MFA)才能更改DNS记录.
MFA解决方案(例如CiscoDuo提供的此类解决方案)可防止在未经身份验证的情况下对您的记录进行任意更改.
使用BGPmon或CrossworkNetworkInsights监控DNS劫持尝试监控程序、TLD记录更改或流量重定向和拦截.
及时给系统打上最新补丁.
以SeaTurtle攻击为例,攻击者就是通过利用漏洞实现入侵,其中一些漏洞历经10年都未打补丁.
在您的环境中实施DNSSEC.
DNSSEC将全数字化签名添加至DNS通信,允许原始身份验证并确保请求尚未更改.
最后,如果您托管网站或域,请务必确认您的DNS提供程序采取了上述措施来保护安全.
补充阅读DNSpionage活动对中东发起针对性攻击DNSpionage带出KarkoffDNS劫持滥用对核心互联网服务的信任SeaTurtle继续活动,寻找新的受害者以实施DNS劫持隐蔽通道和不良决策:DNSMessenger的故事欺骗性SEC邮件分发经过演变的DNSMessenger变体检测DNS数据泄漏喜欢这篇博客吗请订阅每月热点威胁博客系列,即可在下一篇博客发布时收到提醒.
标签:DNS安全专题安全每月热点威胁