美国政府和一些领先的信息安全公司最近警告了一系列非常复杂且广泛的DNS劫持攻击,据称这些攻击使伊朗的黑客能够从数个政府和私人公司中获取大量的电子邮件密码和其他敏感数据。 但是到目前为止,有关事件的细节和受害者名单仍是秘密的。
在本文中,我们将尝试评估攻击的范围,并从一开始就跟踪这一极其成功的网络间谍活动,直至关键的互联网基础设施提供商的一系列失败。
在深入研究之前,回顾一下公开披露的事实非常有用。 2018年11月27日,思科公司Talos研究部门
发布了一份报告,描述了一项称为
DNSpionage的高级网络间谍活动。
DNS代表
域名系统 :一种用作互联网电话簿的域名系统,它将便捷的网站名称(example.com)转换为计算机数字IP地址。
Talos专家写道,由于DNSpionage攻击,攻击者能够通过更改DNS记录从黎巴嫩和阿拉伯联合酋长国的许多政府组织和私人公司获得电子邮件和其他服务凭据,从而使所有电子邮件和虚拟专用网络(VPN)流量都可以重定向到网络犯罪分子控制的IP地址。
Talos说,由于DNS劫持,黑客能够为目标域(包括webmail.finance.gov.lb)获得SSL加密证书,从而使他们能够解密来自电子邮件帐户和VPN的流量。
在2019年1月9日,FireEye安全服务提供商
发布了其报告 “全球DNS捕获活动:DNS记录的大规模处理”,其中包含有关如何执行该操作的更多技术细节,但有关受害者的细节却很少。
大约在同一时间,美国国土安全部发布了一项罕见的紧急指令,该指令
要求所有美国联邦民用机构保护Internet上的凭据。 作为此任务的一部分,DHS发布了DNSpionage活动中使用的域名和Internet地址的简短列表,尽管该列表没有超出Cisco Talos和FireEye先前报告的范围。
这种情况在2019年1月25日发生了变化,当时CrowdStrike的信息安全专家
发布了今天在黑客操作中使用的几乎所有IP地址
的列表。 本故事的其余部分基于我们进行的开放数据和访谈,以期进一步阐明这种非凡攻击的真实规模,这一现象一直持续到今天。
被动DNS
首先,我使用了CrowdStrike报告中提到的所有IP地址,并在
Farsight Security和
SecurityTrails服务中对其进行了检查,该服务可被动地收集与全球数千万个域相关的DNS记录更改的数据。
重新检查这些IP地址可确保在2018年的最后几个月中,DNSpionage黑客成功入侵了50多家中东公司和政府机构的关键DNS基础架构组件,其中包括阿尔巴尼亚,塞浦路斯,埃及,伊拉克,约旦,科威特,黎巴嫩,利比亚,沙特阿拉伯和阿联酋。
例如,此“被动数据”表示攻击者能够拦截
mail.gov.ae域的DNS记录,该域为阿联酋政府机构的电子邮件提供服务。 以下是在操作过程中成功破坏的其他一些有趣的域:
-nsa.gov.iq:伊拉克国家安全委员会
-webmail.mofa.gov.ae:来自阿联酋外交部的电子邮件
-shish.gov.al:阿尔巴尼亚国家情报局
-mail.mfa.gov.eg:埃及外交部邮件服务器
-mod.gov.eg:埃及国防部
-大使馆:利比亚大使馆
-owa.e-albania.al:阿尔巴尼亚的Outlook Web Access电子政务门户
-mail.dgca.gov.kw:科威特民航局邮件服务器
-gid.gov.jo:约旦总情报局
-adpvpn.adpolice.gov.ae:阿布扎比警察VPN服务
-mail.asp.gov.al:阿尔巴尼亚州警察的电子邮件
-owa.gov.cy:塞浦路斯政府的Microsoft Outlook Web Access门户
-webmail.finance.gov.lb:黎巴嫩财政部邮件
-mail.petroleum.gov.eg:埃及石油部
-mail.cyta.com.cy:塞浦路斯电信和互联网提供商Cyta
-mail.mea.com.lb:中东航空邮件服务器
当这些域中的每个域都被“捕获”时,来自Farsight和SecurityTrails的被动DNS数据也提供了线索。 在大多数情况下,攻击者显然更改了这些域的DNS记录(稍后我们将告诉您如何完成),以便他们指向欧洲控制下的服务器。
攻击开始后不久-有时数周,有时数天或数小时-攻击者能够从
Comodo和/或
Let's Encrypt证书颁发机构获取这些域的SSL证书。 多种攻击的准备活动可以追溯到
crt.sh :所有具有搜索功能的新SSL证书的基础。
让我们更详细地考虑一个示例。 CrowdStrike报告提到IP地址
139.59.134 [。] 216 (参见上文),据
Farsight称 ,这些年来已托管了七个不同的域。 但是在2018年12月,两个新的域名出现在了这个地址上,其中包括黎巴嫩的域名以及奇怪的是瑞典的域名。
其中第一个是
ns0.idm.net.lb-黎巴嫩Internet提供商
IDM的服务器。 从2014年初到2018年12月,ns0.idm.net.lb条目指向黎巴嫩的IP地址
194.126.10 [。] 18 。 但是以下Farsight的屏幕截图显示,在2018年12月18日,此Internet提供商的DNS记录已更改,方法是将发往IDM的流量重定向到德国的托管提供商(地址139.59.134 [。] 216)。
根据Farsight的说明,请注意哪些其他域与IDM域一起位于此IP地址139.59.134 [。] 216上:
12月的
sa1.dnsnode.net和
fork.sth.dnsnode.net域的DNS记录也从其合法的瑞典地址更改为德国托管人的IP。 这些域由瑞典最大的全球DNS提供商
Netnod Internet Exchange拥有。 Netnod还管理
13台根DNS服务器之一 :这是全球DNS系统的重要资源。
让我们稍后再返回Netnod。 但是首先,让我们看一下CrowdStrike报告中提供的另一个IP地址,它是受DNSpionage攻击影响的基础结构的一部分:
82.196.11 [。] 127 。 该荷兰地址还托管域
mmfasi [。] Com 。 根据CrowdStrike的说法,这是被用作某些被劫持域的DNS服务器的攻击者域之一。
如您所见,82.196.11 [。] 127临时托管了另一对Netnod DNS服务器以及
ns.anycast.woodynet.net服务器。 他的绰号是
Packet Clearing House(PCH)执行董事
Bill Woodcock 。
PCH是北加州的一家非营利组织,它还管理着全球DNS基础结构的很大一部分,包括为500多个顶级域名和受DNSpionage运营影响的多个中东顶级域名提供服务。
攻击注册商
2月14日,我们联系了Netnod首席执行官Lars Michael Yogback。 他确认,在攻击者获得对注册服务商帐户的访问权限后,Netnod DNS基础结构的一部分在2018年12月下旬和2019年1月初被劫持。
Yogbek提到
了 2月5日发布
的公司
声明 。 它说Netnod在1月2日得知自己参与了这次攻击,此后,在整个过程中,Netnod一直与所有感兴趣的各方和客户保持联系。
声明说:“作为国际安全合作的参与者,Netnod于2019年1月2日意识到我们卷入了这一系列攻击,并受到一种MiTM(中间人)的攻击。” -Netnod不是黑客的最终目标。 根据现有信息,他们的目标是收集瑞典以外国家/地区的Internet服务凭据。”
2月15日,PCH Bill Woodcock在一次采访中向我承认,他组织的部分基础架构也遭到了破坏。
获得未经授权的访问后,黑客将pch.net和dnsnode.net域的记录复制到德国域名注册机构Key-Systems GmbH和瑞典Frobbit.se公司的同一服务器上。 后者是Key Systems的经销商,并且它们共享相同的Internet基础结构。
伍德科克说,网络钓鱼黑客欺骗了PCH用于发送信令消息的凭据,称为
可扩展配置协议(EPP)或“可扩展信息协议”。 这是一个鲜为人知的界面,是全球DNS系统的一种后端,该界面允许域注册商将域记录的更改(包括新域的注册,更改和转让)通知区域注册机构(例如,Verisign)。
“在1月初,Key-Systems宣布窃取凭据的未经授权的人使用了他们的EPP界面,” Woodcock说。
Key-Systems拒绝对此事发表评论。 她说她没有在讨论经销商客户的业务细节。
Netnod的
正式攻击
声明进一步向安全总监PatrickVeltström提出了要求,后者也是Frobbit.se的共同所有人。
Veltstrom在与我们的通信中说,黑客设法代表Frobbit和Key Systems向各个注册表发送了EPP指令。
“从我的角度来看,这显然是对EPP未来重大攻击的早期版本,”Feltström写道。 -也就是说,目标是向注册表发送正确的EPP命令。 就个人而言,我非常担心将来会发生什么。 注册管理机构应该信任注册服务商的所有团队吗? 我们将永远有脆弱的注册商,对吗?”
域名系统
这些攻击最有趣的方面之一是Netnod和PCH是
DNSSEC的重要支持者和追随者,
DNSSEC是一种专门防御DNSpionage黑客设法使用的攻击的技术。
DNSSEC通过要求给定域或一组域的所有DNS查询都需要数字签名来保护应用程序免于伪造DNS数据。 如果名称服务器确定该域的地址记录在传输过程中未更改,它将解析并允许用户访问该站点。 但是,如果记录有所更改或与请求的域不匹配,则DNS服务器将阻止访问。
根据亚太地区互联网注册商APNIC的一项
研究,尽管DNSSEC可以成为缓解此类攻击的有效工具,但全球仅约20%的主要网络和站点都包括对该协议的支持。
Yogbek说,作为DNSpionage运营的一部分,Netnod基础设施遭受了3次攻击。 前两个发生在2018年12月14日至2019年1月2日之间的两周时间间隔内,并且针对不受DNSSEC保护的服务器。
但是,在12月29日至1月2日之间,在
受 DNSSEC
保护并为其内部电子邮件网络提供服务的Netnod基础设施上进行了第三次攻击。 由于攻击者已经可以访问注册系统,因此他们设法关闭了一段时间的保护-至少这次足以获取
两个 Netnod 邮件 服务器的SSL证书。
攻击者获得证书后,便会在目标服务器上重新启动DNSSEC,这可能是为攻击的第二阶段做准备-将邮件流量重定向到其服务器。 但是Yogbek说,由于某种原因,攻击者在开始重定向流量时并未再次关闭DNSSEC。
他说:“对我们来说幸运的是,他们忘记了MiTM攻击开始时将其关闭。” “如果他们更有资格,他们本可以将DNSSEC从域中删除。”
伍德科克说,PCH在整个基础架构中检查DNSSEC,但并非该公司的所有客户都已配置了可以完全实施该技术的系统。 对于受到DNSpionage攻击目标的中东国家/地区的客户而言尤其如此。
伍德考克表示,从2018年12月13日到2019年1月2日,PCH基础设施遭到DNSpionage攻击四次。 每次,黑客使用工具拦截具有凭据的流量大约一小时,然后将其最小化,并使网络恢复到原始状态。
监视一个小时以上将是多余的,因为大多数现代智能手机都配置为不断检查电子邮件。 因此,在短短一个小时内,黑客就能够收集大量凭据。
2019年1月2日-发生在对Netnod内部邮件服务器的攻击的同一天-黑客直接从PCH攻击了PCH,他们从
两个 PCH
域获得了Comodo SSL证书,该公司的内部邮件也通过这些
域 。
伍德科克说,由于有了DNSSEC,攻击几乎被完全抵消,但是黑客能够获得当时正在休假的两名员工的电子邮件凭证。 他们的移动设备通过酒店的WiFi下载邮件,因此(根据WiFi服务的条款),他们使用酒店的DNS服务器,而不是启用PCH的DNNSEC系统。
伍德考克说:“当时两个受害者都在用iPhone度假,当他们接收邮件时,他们必须经过受损的门户。” “当他们访问时,他们必须断开我们的名称服务器,在此期间,他们的邮件客户端检查新邮件。 除此之外,DNSSEC还使我们免于全部捕获。”
由于PCH通过DNSSEC保护其域,因此黑客入侵邮件基础设施的实际效果是,大约一个小时以来,只有两个远程员工没有人收到信件。
伍德考克说:“实际上,对于我们所有的用户来说,邮件服务器在短时间内都无法使用。” -人们只是看了看电话,没有看到新来信,心想:奇怪,我待会儿再检查。 当他们下次检查时,一切正常。 我们的一群员工注意到了邮件服务的短期关闭,但这对于开始讨论或登记机票并没有太大的问题。”
但是DNSpionage黑客并未阻止它。 PCH在给客户的新闻稿中说,调查是在1月24日用一个用户数据库入侵了一个网站。 该数据库包含用户名,bcrypt密码哈希,电子邮件,地址和公司名称。
报告说:“我们没有证据表明攻击者已经访问了数据库。” “因此,我们报告此信息是出于透明和谨慎的考虑,而不是因为我们认为数据已泄露。”
高级水平
我们就此故事接受采访的几位专家提到了组织在保护DNS流量方面的长期问题。 许多人认为它是给定的,不保留日志,也不监视域记录中的更改。
即使对于试图监视其DNS基础结构是否存在可疑更改的公司,某些监视服务也会被动地或每天仅一次检查DNS记录。 伍德考克证实,PCH依赖于不少于三个监控系统,但是没有一个人警告每小时都会破坏PCH系统的DNS记录。
伍德考克说,从那时起,PCH每小时实施几次自己的DNS基础结构监视系统,该系统会立即警告任何更改。
Yogbek表示,Netnod还加强了监控,并加倍努力以实施所有可用的域基础结构安全性选项。 例如,在一家公司未
阻止其所有域的记录之前。 在对记录进行任何更改之前,此保护会提供其他身份验证。
Yogbek表示:“很遗憾,我们没有为客户提供最大的保护,但我们自己却成为一系列攻击的受害者。” -抢劫之后,您可以建立最好的城堡,并希望现在重复这种事情会变得更加困难。 我真的可以说,通过成为这次攻击的受害者,我们学到了很多东西,现在我们比以前更加自信。”
伍德科克担心,负责实施新协议和其他基础结构服务的人员没有认真对待DNS攻击的全球威胁。 他相信DNSpionage黑客将在未来几个月和几年内破解更多公司和组织。
他说:“战斗现在就在眼前。” “伊朗人不是在短期内进行这些袭击。” 他们试图深入渗透Internet基础架构,以随时完成所需的工作。 他们希望在将来为自己提供尽可能多的机动选择。”
推荐建议
约翰·克兰(John Crane)是ICANN的安全性,稳定性和弹性主管,这是一个非营利性组织,负责监管全球域名行业。 他说,十年来,许多使攻击者难以接管域或DNS基础结构的预防和保护方法已广为人知。
“很多事情归结为数据卫生,”克雷恩说。
-大型组织或最小的企业都没有注意一些非常简单的安全方法,例如多因素身份验证。如今,如果您的保护不够理想,您将被黑。这就是今天的现实。我们在互联网上看到了更加老练的对手,如果您不提供基本的保护,他们将打击您。”组织的一些最佳安全实践是: