全球性的DNS劫持活動:大規模DNS記錄操控
介紹
FireEye的Mandiant應急響應和情報團隊識別出了一波DNS劫持攻擊,這波攻擊影響了大量域名,其中包括中東、北非、歐洲和南美地區的政府機構、通信部門以及互聯網基礎設施。研究人員目前還無法識別此次活動背後的攻擊者身份,但初步研究表明,攻擊者與伊朗有關。與此同時,研究人員也在積極與相關受害者、安全組織以及執法機構密切合作,以儘可能緩解攻擊所帶來的影響。
雖然此次活動使用了很多傳統的攻擊策略,但它和其他利用了DNS劫持的伊朗攻擊活動有所不同,接下來我們一起看一看攻擊者都使用了那些新型的攻擊策略。
初步研究表明此次攻擊活動與伊朗有關
目前,針對此次活動的研究分析正在進行中。此次攻擊活動中涉及到的DNS記錄篡改操作非常的複雜,而且攻擊跨越了不同的時間段、基礎設施和服務提供商,因此完成此次攻擊活動的絕非一人。
1.該活動中涉及到多個攻擊集群,並從2017年1月份開始活躍至今。
2.攻擊活動涉及到了多個域名以及IP地址。
3.攻擊者使用了大量不同供應商的加密證書以及VPS主機。
根據初步研究所得到的技術證據,研究人員認為此次活動是在伊朗境內發動的,而且該活動的確符合伊朗政府的利益鏈。
技術細節
在接下來的分析中,樣本使用了victim[.]com來代表目標用戶域名,私人IP地址代表攻擊者控制的IP地址。
技術一、DNS的A記錄
攻擊者所使用的第一種方法就是修改DNS中的A記錄,如下圖所示:
1.攻擊者登錄PXY1(作為進行非屬性化瀏覽和其他基礎設施操作的代理);
2.攻擊者使用之前竊取來的憑證登錄DNS提供商的管理員界面;
3.A記錄(例如mail[.]victim[.]com)當前指向的是192.168.100.100;
4.攻擊者修改A記錄,並將其指向10.20.30.40(OP1);
5.攻擊者從PXY1切換至OP1:代理會監聽所有開放埠,並生成mail[.]victim[.]com的鏡像;負載平衡器會指向192.168.100.100 [mail[.]victim[.]com]來轉發用戶流量;
6.使用certbot來為mail[.]victim[.]com創建Let』s Encrypt證書;
7.當用戶訪問mail[.]victim[.]com時會被定向到OP1,Let』s Encrypt證書將允許瀏覽器建立通信連接。連接會被轉發至負載均衡器,並建立真正的mail[.]victim[.]com連接。在整個過程中,用戶不會感受到任何的網路延遲;
8.用戶名、密碼和域名證書將會被攻擊者截獲並存儲。
技術二、DNS的NS記錄
攻擊者所使用的第二種技術需要修改DNS的NS記錄,如下圖所示:
1.攻擊者再次登錄PXY1;
2.這一次,攻擊者將利用之前且渠道的ccTLD或註冊憑證;
3.域名伺服器記錄ns1[.]victim[.]com當前設置為192.168.100.200。攻擊者會修改NS記錄並將其指向ns1[.]baddomain[.]com [10.1.2.3]。當收到mail[.]victim[.]com請求後,這個域名伺服器會響應IP 10.20.30.40 (OP1),但如果請求的是www[.]victim[.]com,則會響應原始的IP 192.168.100.100。
4.攻擊者從PXY1切換至OP1:代理會監聽所有開放埠,並生成mail[.]victim[.]com的鏡像;負載平衡器會指向192.168.100.100 [mail[.]victim[.]com]來轉發用戶流量;
5.使用certbot來為mail[.]victim[.]com創建Let』s Encrypt證書;
6.當用戶訪問mail[.]victim[.]com時會被定向到OP1,Let』s Encrypt證書將允許瀏覽器建立通信連接。連接會被轉發至負載均衡器,並建立真正的mail[.]victim[.]com連接。在整個過程中,用戶不會感受到任何的網路延遲;
7.用戶名、密碼和域名證書將會被攻擊者截獲並存儲。
技術三、DNS重定向
除了上述兩種技術之外,攻擊者還會同時解和這兩者來實現攻擊。這裡就涉及到了DNS重定向技術,如下圖所示:
DNS重定向是由攻擊者控制的,它可以直接響應目標用戶的DNS請求。
1.指向mail[.]victim[.]com的DNS請求會被發送至OP2;
2.如果域名處於victim[.]com空間中,OP2會響應一個由攻擊者控制的IP地址,用戶會被重定向至攻擊者控制的基礎設施;
3.如果域名不處於victim[.]com空間內,OP2會向一個合法的DNS設施發送DNS請求,並獲取到IP地址,然後將合法的IP地址返回給用戶。
如何保護我們自己?
1.在我們的域名管理界面中啟用多因素身份驗證功能;
2.驗證A記錄和NS記錄的修改有效性;
3.搜索跟自己域名相關的SSL證書,回收所有的惡意證書;
4.驗證OWA/Exchanges日誌中的IP源地址;
5.對環境中的所有訪問許可權進行安全審計。
*
參考來源:fireeye,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM
TAG:FreeBuf |