全球性的DNS劫持活動：大規模DNS記錄操控

新聞 02-25

介紹

FireEye的Mandiant應急響應和情報團隊識別出了一波DNS劫持攻擊，這波攻擊影響了大量域名，其中包括中東、北非、歐洲和南美地區的政府機構、通信部門以及互聯網基礎設施。研究人員目前還無法識別此次活動背後的攻擊者身份，但初步研究表明，攻擊者與伊朗有關。與此同時，研究人員也在積極與相關受害者、安全組織以及執法機構密切合作，以儘可能緩解攻擊所帶來的影響。

雖然此次活動使用了很多傳統的攻擊策略，但它和其他利用了DNS劫持的伊朗攻擊活動有所不同，接下來我們一起看一看攻擊者都使用了那些新型的攻擊策略。

初步研究表明此次攻擊活動與伊朗有關

目前，針對此次活動的研究分析正在進行中。此次攻擊活動中涉及到的DNS記錄篡改操作非常的複雜，而且攻擊跨越了不同的時間段、基礎設施和服務提供商，因此完成此次攻擊活動的絕非一人。

1.該活動中涉及到多個攻擊集群，並從2017年1月份開始活躍至今。

2.攻擊活動涉及到了多個域名以及IP地址。

3.攻擊者使用了大量不同供應商的加密證書以及VPS主機。

根據初步研究所得到的技術證據，研究人員認為此次活動是在伊朗境內發動的，而且該活動的確符合伊朗政府的利益鏈。

技術細節

在接下來的分析中，樣本使用了victim[.]com來代表目標用戶域名，私人IP地址代表攻擊者控制的IP地址。

技術一、DNS的A記錄

攻擊者所使用的第一種方法就是修改DNS中的A記錄，如下圖所示：

1.攻擊者登錄PXY1（作為進行非屬性化瀏覽和其他基礎設施操作的代理）；

2.攻擊者使用之前竊取來的憑證登錄DNS提供商的管理員界面；

3.A記錄（例如mail[.]victim[.]com）當前指向的是192.168.100.100；

4.攻擊者修改A記錄，並將其指向10.20.30.40（OP1）；

5.攻擊者從PXY1切換至OP1：代理會監聽所有開放埠，並生成mail[.]victim[.]com的鏡像；負載平衡器會指向192.168.100.100 [mail[.]victim[.]com]來轉發用戶流量；

6.使用certbot來為mail[.]victim[.]com創建Let』s Encrypt證書；

7.當用戶訪問mail[.]victim[.]com時會被定向到OP1，Let』s Encrypt證書將允許瀏覽器建立通信連接。連接會被轉發至負載均衡器，並建立真正的mail[.]victim[.]com連接。在整個過程中，用戶不會感受到任何的網路延遲；

8.用戶名、密碼和域名證書將會被攻擊者截獲並存儲。

技術二、DNS的NS記錄

攻擊者所使用的第二種技術需要修改DNS的NS記錄，如下圖所示：

1.攻擊者再次登錄PXY1；

2.這一次，攻擊者將利用之前且渠道的ccTLD或註冊憑證；

3.域名伺服器記錄ns1[.]victim[.]com當前設置為192.168.100.200。攻擊者會修改NS記錄並將其指向ns1[.]baddomain[.]com [10.1.2.3]。當收到mail[.]victim[.]com請求後，這個域名伺服器會響應IP 10.20.30.40 (OP1)，但如果請求的是www[.]victim[.]com，則會響應原始的IP 192.168.100.100。

4.攻擊者從PXY1切換至OP1：代理會監聽所有開放埠，並生成mail[.]victim[.]com的鏡像；負載平衡器會指向192.168.100.100 [mail[.]victim[.]com]來轉發用戶流量；

5.使用certbot來為mail[.]victim[.]com創建Let』s Encrypt證書；

6.當用戶訪問mail[.]victim[.]com時會被定向到OP1，Let』s Encrypt證書將允許瀏覽器建立通信連接。連接會被轉發至負載均衡器，並建立真正的mail[.]victim[.]com連接。在整個過程中，用戶不會感受到任何的網路延遲；

7.用戶名、密碼和域名證書將會被攻擊者截獲並存儲。

技術三、DNS重定向

除了上述兩種技術之外，攻擊者還會同時解和這兩者來實現攻擊。這裡就涉及到了DNS重定向技術，如下圖所示：