信息安全专家记录了私营和政府公司网站上
DNS劫持攻击的数量增加。 我们告诉您谁受伤了,以及如何保护自己。
/ Flickr / F Delventhal / CC BY /照片已更改发生什么事了
FireEye安全组织上个月
发布了一份报告,报告了对私营公司和政府组织的大规模攻击。 攻击者使用了DNS拦截技术或DNS劫持。 他们在受害者计算机上重叠了TCP / IP配置,并将所有请求都转移到了伪造的DNS服务器上。 这使他们可以将用户流量引导到自己的Web服务器,并使用它们来窃取个人数据。
据FireEye称,此类攻击的数量于2017年1月开始增长。 黑客针对来自欧洲,北美,中东和北非的域名。 至少有六个美国
联邦机构的域名和中东国家
政府的
网站受到了影响。
饼干使用什么方法?
FireEye专家在其报告中
指出攻击者使用的三种DNS欺骗方案。 思科信息安全部门
的员工Talos
描述了其中的第一个。 攻击者破解了DNS提供程序的系统(尚不确定如何),然后
更改 了 DNS A
记录 ,将真实域与IP黑客链接在一起。
结果,受害者最终被安置在外观与原貌相似的地方。 为了获得最大的相似性,
我们甚至为一个假站点制作了
“加密”证书。 同时,来自虚假资源的请求将重定向到原始资源。 伪造的页面返回了真实的答案,并且只有较长的页面加载才能发现欺骗。
该攻击方案被用来入侵阿联酋政府,黎巴嫩财政部和中东航空的站点。 黑客拦截了所有流量,并将其重定向到IP地址185.20.187.8。 根据Talos所说,攻击者从组织员工的邮箱中窃取了密码,并窃取了数据以访问VPN服务。
入侵者的第二种方案与NS域记录的DNS地址寄存器的更改相关。 她
不负责特定域的一页(例如:mail.victim.com),而是负责x.victim.com形式的所有链接。 否则,该方法类似于第一种方法:破解者创建了原始站点的副本,并将用户重定向到该站点,然后他们窃取了数据。
第三种方法通常与前两种方法结合使用。 网站访问者没有立即被发送到假页面。 首先,他们切换到其他服务-DNS重定向器。 它可以识别用户从何处发送DNS查询。 如果访问者从受害公司的网络访问了该页面,则将其重定向到该网站的伪造副本。 重定向器将真实的IP地址返回给其他用户,然后该人访问了原始资源。
他们对攻击有何看法
专家仍然
无法评估黑客造成的确切损失,因为即使在该报告发布后,新的黑客受害者也已广为人知。 因此,甚至美国国土安全部(DHS)也提请注意该问题。 该组织的专家发布了一项
指令,在其中汇编了其他联邦机构的强制性要求清单。 例如,DHS要求政府部门更新管理员帐户的密码,在DNS帐户中启用多因素身份验证,并验证所有DNS记录。
/ Wikimedia / ANIL KUMAR BOSE / CC BY-SA所有机构应在十个工作日内实施该指令的建议。 根据CyberScoop
出版物 ,在该部的文件中很少使用该术语。 这指示指令的“紧急”状态。
DNS服务器提供商的代表还呼吁进行一系列值得注意的黑客攻击。 根据NS1 DNS托管首席执行官Kris Beevers的说法
,最近的攻击最重要的结论是组织没有使用基本的安全功能。 从本质上讲,攻击非常简单,许多攻击本可以得到预防。
如何保护自己
FireEye专家在报告中提供了几种保护方法,可帮助组织防止DNS劫持攻击:
启用多因素身份验证(MFA)。 这是美国国土安全部对政府部门的要求之一。 多因素身份验证使攻击者使用DNS设置连接到控制面板的任务变得复杂。
例如,2FA可以防止网络犯罪分子在去年12月初欺骗Linux.org。 幸运的是,攻击
仅限于通过切换到DNS中的另一台服务器来破坏。
IaaS提供商1cloud.ru的开发部负责人Sergey Belkin表示:“双重身份验证是一种简单的安全措施,可以通过欺骗DNS服务器的响应来帮助防止攻击。” -云提供商可以提供保护。 特别是,免费DNS托管的用户可以按照准备好的说明快速连接2FA。 此外,客户可以在其配置文件中跟踪DNS记录中的所有更改,以确保其可靠性。”
检查证书日志。 信息安全专家建议管理员使用“
证书透明性”工具仔细检查证书。 这是一个IETF标准,是一个开放源代码项目,用于
存储有关为特定域颁发的所有证书的信息。
如果事实证明其中一些是伪造的,则您可以投诉证书并将其吊销。 特殊工具,例如
SSLMate ,将帮助您跟踪证书透明性日志中的更改。
切换到TLS上的DNS。 为了防止DNS拦截攻击,一些公司还使用
TLS上的DNS (DoT)。 它加密并检查对DNS服务器的用户请求,并且不允许攻击者欺骗数据。 例如,最近在Google Public DNS中
实现了协议支持。
前景展望
DNS拦截的攻击越来越多,黑客并不总是对用户数据感兴趣。 最近,包括Mozilla和Yelp在内的数十个被黑客入侵的域被
用来发送欺诈性电子邮件。 在这种情况下,黑客使用了不同的攻击方案-他们控制了公司停止使用但未从提供商的DNS记录中删除的域。
在大多数情况下,黑客应归咎于没有及时处理安全问题的公司。 云提供商可以帮助解决此问题。
通常,与公司系统不同,供应商DNS服务器
受可选的
DNSSEC协议
保护 。 它使用数字签名保护所有DNS记录,只能使用密钥创建数字签名。 黑客无法将任意数据输入这样的系统,因此替换来自服务器的响应变得更加困难。
我们来自企业博客的帖子: