是谁发动了全球 DNS 劫持攻击?
作者:Lindsey O'Donnell
编译:360代码卫士团队
火眼公司的研究人员表示,针对北美、欧洲、中东和北非的 DNS 劫持攻击和伊朗存在关联。该攻击已持续两年的时间,并且“以较高的成功概率”捕获了目标的凭证。
研究人员指出,攻击主要针对的是政府机构、电信机构和互联网基础设施公司。攻击牵涉从公司拦截流量,目的是捕获受害者的用户名、密码和域名凭证。
研究人员认为,幕后黑手是基于伊朗的网络间谍组织,“虽然我们目前并未将该攻击活动和任何被追踪的黑客组织关联在一起,但初步研究显示该黑客或黑客组织和伊朗有关。”
研究人员在上周指出,攻击发生在2017年1月至2019年1月期间,“这次攻击的规模之大前所未有。很多组织机构受这种 DNS 记录操纵和欺诈性 SSL 证书模式的影响。”
火眼公司的 Mandiant MEA 负责人 Alister Shepherd 表示,该攻击活动正在进行,但尚不知晓遭捕获的凭证数量。研究人员识别出三种攻击变体,每种都影响数十个域名。
攻击技术
DNS 劫持是一种恶意攻击,攻击者通过覆盖计算机的传输控制协议/网际协议 (TCP/IP) 设置(通常是修改服务器的设置),将查询重定向到域名服务器。
研究人员指出,虽然这次攻击使用了一些传统技术,“但和我们之前见过的大规模利用 DNS 劫持的其它伊朗攻击活动不同。攻击者使用这种技术站稳脚跟,之后通过多种方式实施利用。”具体而言,攻击者使用了三种执行 DNS 劫持的方法。
在第一种技术中,攻击者通过此前遭攻陷的凭证登录至 DNS 提供商的管理面板,之后修改 DNS A 记录拦截流量。A 记录 (A Record) 是一种 DNS 记录(用于控制互联网上的资源位置),将一个逻辑域名指向该域名主机服务器的 IP 地址。
在第二种技术中,攻击者使用了类似方法(使用受攻陷的凭证)登录到管理面板,之后侵入受害者的域名注册账户并更改 DNS NS 记录。NS 记录说明的是为该域名提供 DNS 服务的服务器,因此通过更改这些 NS 记录,攻击者能将流量重定向至其他受攻击者控制的服务器。
在第三种方法中,攻击者使用 DNS 重定向器即响应 DNS 请求(以及被修改的A 和 NS 记录)的攻击者操作盒子,将受害者流量重定向至由攻击者维护的基础设施中。
在所有的攻击中,攻击者使用的都是 Let’s Encrypt 证书。该证书是一款免费、自动化和开放的证书颁发机构,因证书受信任,允许浏览器在无需触发任何证书错误的情况下建立连接。这有助于攻击者在受害者未意识到任何变化而只是发现有所延迟的情况下实施攻击。
攻击归属问题
虽然研究人员表示还在判断幕后黑手的身份,但他们“以温和的信心”认为,该活动是由位于伊朗的某个黑客组织或多个黑客组织发动的,而且该攻击活动和伊朗政府的利益一致。
研究人员做出这样判断的原因是他们发现被用于访问机器的伊朗的IP 地址随后被用于拦截并重定向网络流量。另外,遭攻击的受害者包括中东政府在内,而这些政府机构的机密信息和伊朗政府的利益有关。
研究人员表示,“虽然IP地址的地理位置是一个较弱的指标,但这些 IP 地址此前曾出现在由伊朗网络间谍组织实施的攻击响应中。”
此前发动的攻击活动
研究人员强调称,最近发生的 DNS 劫持活动“表明伊朗威胁者的技术正在持续发展。这是对我们最近观测到的影响多个实体的 TTPs (战术、技术和程序)的概括。”
该基础设施和思科安全团队在去年11月发布的攻击者相关。11月,思科 Talos 团队的研究人员详细说明了他们观测到的针对黎巴嫩和阿联酋以及一家黎巴嫩私人航空公司的攻击活动情况。攻击者使用了同样的 IP 地重定向和发的 .gov 和私营公司域名的 DNS。在每次 DNS 攻陷中,攻击者都仔细地为重定向域名生成了 Let’s Encrypt 证书。
该攻击活动使用了两个虚假的恶意的包含职位信息的网站,这些职位信息通过嵌入式宏的恶意 Office 文档攻陷目标。
Shepherd 表示,“根据11月份博客中提供的攻击者指标,我们能够确认和报告中所报告的有限的攻击活动之间存在重叠,但我们无法就 Talos 公布的受害者详情进行评论。”
说到防御措施,研究人员督促潜在受害者在域名的管理门户上实现多因素认证,验证 DNS A 和 NS 记录的变化,并且搜索和撤销任何和域名有关的恶意证书。
推荐阅读
原文链接
https://threatpost.com/unprecedented-dns-hijacking-attacks-linked-to-iran/140737/
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士 www.codesafe.cn”。