全球DNS劫持活動：規模化DNS批量劫持

簡介

FireEye旗下的麥迪安應急響應團隊發現網上有一波DNS劫持活動，這個活動已經影響了大量的政府機構、電信設施和互聯網基礎設施，劫持活動覆蓋了中東、北非、歐洲和北美。雖然FireEye沒有將本次劫持活動與任何已知的團隊聯繫起來，但是整體的研究結果卻可以認為此次活動的實施或執行是與伊朗有關。本次的劫持以幾乎前所未有的規模對全球的受害者進行了極高成功率的攻擊。我們已經連續數月跟蹤這些活動，並且嘗試去理解和復現攻擊者部署的策略、技術和程序。我們同時與受害組織、安全團隊和執法機構合作去減少攻擊帶來的影響並預防未來的攻擊。

雖然攻擊方運用了一些常見的手法，但此次與以往遇到過的由伊朗方面發起的大規模DNS劫持不同。這些攻擊者使用這種技術作為他們的基石，並通過多種方式去利用它。截止至本稿件發布，我們發現了三種不同的攻擊方式來實現劫持DNS記錄。

初步研究認為與伊朗有關

針對此次的DNS劫持的分析仍在繼續中。雖然在本文中所描述的DNS記錄操作既重要又複雜，但是由於這次活動的持續時間很長，這些並不一定是單一的攻擊者所實施在毫無關聯的時間、設施和受害服務上。

·自2017年1月至2019年1月，該活動的多個集群一直處於活躍狀態。

·在此次劫持中，他們使用了大量的不重複的域名和IP進行劫持。

·他們選擇了大量服務商來提供VPS伺服器和證書

初步技術分析後的結果使我們認為這次劫持活動是由伊朗的人員發起，並且是與伊朗當局利益保持一致。

·FireEye的引擎發現有來自伊朗的IP曾被利用於攔截、記錄與轉發網路流量。雖然通過IP進行物理定位不是很準確，但是這些IP地址曾經在監測伊朗網路間諜行為中被發現使用過。

·那些被攻擊的目標實體（包括中東國家政府）都是擁有一些伊朗政府有興趣並具有一定經濟價值的機密信息。

詳情

下面的例子中用victim[.]com來代表受害者域名，私有IP地址代表攻擊者控制的IP地址。

技術1 – DNS A記錄

攻擊者利用的第一個方法是改變DNS A記錄，如圖1所示。

圖1: DNS A記錄

攻擊者登入PXY1，PXY1是一個用來執行非屬性瀏覽的代理盒子（Proxy box），也用作到其他基礎設施的跳轉盒子。

攻擊者使用之前入侵使用的憑證登陸到DNS提供者的管理面板。

A記錄（mail[.]victim[.]com）目前指向192.168.100.100。

攻擊者將A記錄修改後，指向10.20.30.40 (OP1)。

攻擊者從PXY1登陸到OP1。

實現的代理會監聽所有開放的埠，並鏡像mail[.]victim[.]com。

負載均衡器指向192.168.100.100 [mail[.]victim[.]com] 來傳遞用戶流量。

用certbot來為mail[.]victim[.]com創建Let』s Encrypt Certificate證書。

研究人員發現該攻擊活動中使用了多個Domain Control Validation提供商。

用戶現在訪問mail[.]victim[.]com會被重定向到OP1。Let』s Encrypt Certificate允許瀏覽器在沒有證書錯誤的情況下建立連接，因為Let"s Encrypt Authority X3 是可信的。連接會被轉發到與真實的mail[.]victim[.]com建立連接的負載均衡器。用戶沒有意識到任何改變，最多會發現有一點點的延遲。

用戶名、密碼和域名憑證都被竊取且保存了。

技術2：DNS NS記錄

攻擊者利用的第二個方法是修改DNS NS記錄，如圖2所示。

圖2: DNS NS記錄

攻擊者再次登入PXY1。

這次，攻擊者利用了一個之前被黑的registrar或ccTLD。域名伺服器記錄ns1[.]victim[.]com現在被設置為192.168.100.200。攻擊者修改了NS記錄並將其指向ns1[.]baddomain[.]com [10.1.2.3]。當用戶請求mail[.]victim[.]com時，域名伺服器會響應IP 10.20.30.40 (OP1)，但如果請求的是www[.]victim[.]com，就會響應原來的IP 192.168.100.100。

攻擊者從PXY1登陸到OP1。

實現的代理會監聽所有開放的埠，並鏡像mail[.]victim[.]com。

負載均衡器指向192.168.100.100 [mail[.]victim[.]com] 來傳遞用戶流量。

用certbot來為mail[.]victim[.]com創建Let』s Encrypt Certificate證書。

研究人員發現該攻擊活動中使用了多個Domain Control Validation提供商。

用戶現在訪問mail[.]victim[.]com會被重定向到OP1。Let』s Encrypt Certificate允許瀏覽器在沒有證書錯誤的情況下建立連接，因為Let"s Encrypt Authority X3 是可信的。連接會被轉發到與真實的mail[.]victim[.]com建立連接的負載均衡器。用戶沒有意識到任何改變，最多會發現有一點點的延遲。

用戶名、密碼和域名憑證都被竊取且保存了。

技術3：DNS Redirector

研究人員還發現攻擊者使用了與圖1和圖2所示技術協調的第三種技術，即DNS重定向（Redirector），如圖3所示。

圖3: DNS操作盒

DNS Redirector是一個響應DNS請求的攻擊者操作盒子。

到mail[.]victim[.]com的DNS請求會基於之前修改的A記錄或NS記錄被發送到OP2。

如果域名是victim[.]com zone的一部分，OP2會響應一個攻擊者控制的IP地址，用戶會被重定向到攻擊者控制的基礎設施。

如果域名不是victim[.]com zone的一部分，OP2會返回一個到合法DNS的DNS請求來獲取IP地址，合法IP地址返回給用戶。

攻擊目標

大量企業和組織受到此類DNS記錄修改和欺騙性的SSL證書的影響。包括電信和ISP提供商、互聯網基礎設施提供商、政府和商業實體。

起因還在調查中

對於每個記錄變化，很難識別出單一的入侵單元，很可能攻擊者（們）使用了多種入侵技術來入侵攻擊目標。研究人員之前也收到過一份描述攻擊者在複雜的釣魚攻擊者使用DNS記錄修改的報告。雖然之前DNS記錄修改的機制還不清楚，但研究人員認為至少一些被修改的記錄是通過入侵受害者域名註冊者的賬號來完成的。

預防技術

這類攻擊是很難防禦的。因為即使攻擊者不能直接訪問受害者的網路，但因此有價值的信息還是可以被竊取。其中增強企業安全性的措施有：

在域名管理網關上應用多因子認證；

驗證A和NS記錄修改；

尋找與域名相關的SSL證書，吊銷惡意證書；

驗證OWA/Exchange日誌中的源IP地址；

驗證攻擊者是否可以獲得企業網路的訪問許可權。

結論

DNS劫持和其被利用的規模，表明其技術還在不斷的發展中。本文是研究人員最近發現的影響多個實體的TTPs集合概覽。研究人員希望通過此篇文章相關潛在被攻擊目標可以採取適當的防護措施。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！