刚刚,美国国土安全部紧急下令联邦机构检查是否遭 DNS 劫持攻击
编译:代码卫士团队
美国国土安全部 (DHS) 紧急下令,所有运行 .gov 域名或机构管理域名的机构审计 DNS 记录和服务器,验证是否解析至正确的 IP 地址。DHS 还要求这些机构加固和 DNS 账户和密码相关的安全性。
互联网上的每台计算机都可经由 IP 地址(4个3位数字组成的序列号)访问。由于很难记住所访问的每个站点的 IP地址,因此我们使用 DNS(域名系统)进行关联,便于记住 IP 地址(如 172.217.7.164)的主机名(如www.google.com)。
DHS表示正在监控攻击者试图篡改 DNS 基础设施的一起攻击活动,攻击者窃取 DNS 管理员的凭证并借此将政府机构的主机名重定向至受攻击者控制的 IP 地址。攻击者就可将合法流量重定向至钓鱼站点,从而窃取更多的凭证或者将邮件发送至攻击者的邮件服务器。
从这份紧急指令的概述页面来看,这些攻击和思科 Talos 团队在去年12月份和火眼公司在今年1月份报道的 DNS 劫持有关。报告称,和伊朗存在关联的攻击者正在劫持中东政府域名的 DNS 记录。
DHS 今天发布的紧急指令由网络安全和基础设施安全局 (CISA) 的局长 Christopher C. Krebs 签发,紧急指令指出,CISA 注意到多个分支机构的域名受这些 DNS 篡改攻击的影响。
这份紧急指令指出,“DHS 和 CISA 正在和政府以及行业合作伙伴追踪一些涉及 DNS 基础设施篡改的安全事件。CISA 注意到多个行政分支机构的域名受此影响,并已通知维护这些机构的相关人员。攻击者通过如下技术,重定向并拦截 web 以及邮件流量,而且也可借此影响其它联网服务。”
这份紧急指令指出,攻击通过攻陷负责政府 DNS 域名的管理员账户开展。一旦攻击者获取对管理员账户的访问权限,攻击者就会创建新纪录,将流量重定向至攻击者的服务器。这份紧急指令还进一步指出,这种方法允许攻击者获取对域名密钥的访问权限,进而解密遭重定向的流量并获取对更多账户凭证的访问权限。
这份紧急指令要求美国政府机构在10个工作日内采取如下措施:
审计和政府域名相关的 DNS 记录,验证是否遭篡改以及是否解析至正确的 IP 地址。
更改负责修改 DNS 记录的 DNS 管理员账户密码。
向所有 DNS 域名账户增加多因素认证措施。
开始监控机构域名的证书透明度日志,DHS 将在10个工作日内提供这些日志。
这些新措施目前尚未规定终止日,将在下一份命令发布前一直持续进行。
推荐阅读
原文链接
https://www.bleepingcomputer.com/news/security/dhs-issues-emergency-directive-to-prevent-dns-hijacking-attacks/
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。