• slider image 51
  • slider image 52
  • slider image 53
:::
緊急 張峯認 - 事件通告 | 2019-01-17 | 點閱數: 2021
風險等級: 高度威脅
摘  要: 【弱點說明】

DNS / infrastructure hijacking

美國資訊安全和基礎設施安全局 (CISA) 中的國家網路安全與通訊整合中心 (NCCIC),關注到全球域名系統(DNS)的基礎設施劫持活動。攻擊者藉由使用偽造的憑證,可以成功地修改組織的域名資源解析的位置,這使攻擊者能夠 將用戶流量重定向到攻擊者控制的基礎設施,並獲取組織域名的有效加密憑證,從而實現中間人攻擊。

【影響範圍】

  • Microsoft Windows, Unix Linux, Apple iOS

【細節描述】

由 Cisco Talos 和 FireEye 團隊發現近期大規模利用DNS劫持活動,攻擊者以攻擊戰術流程 (TTP; Tactics, Techniques and Procedures),使用這種技術作為初始立足點,然後可以通過各種方式進行利用,即操作 DNS 記錄以實現受害者妥協。攻擊者主要三種不同方式:

(1)改變 DNS A 記錄 (DNS A Records)。
1. 攻擊者登錄 PXY1,一個用於進行非歸屬瀏覽的代理框,以及作為其他基礎設施的跳轉框。
2. 攻擊者使用以前受到破壞的憑證登錄 DNS 供應商的管理平台。
3. A 記錄 (例如 mail.victim.com) 當前指向192.168.100.100。
4. 攻擊者更改 A 記錄並將其指向10.20.30.40 (OP1)。
5. 攻擊者從 PXY1 登錄到 OP1。
(1)實現代理以偵聽所有打開的端口,鏡像郵件 mail.victim.com。
(2)負載均衡器指向192.168.100.100 [mail.victim.com] 以傳遞用戶流量。
6. certbot 用於為 mail.victim.com 創建 Let 的加密憑證。
(1)觀察到多個域控制驗證提供程序被用作此活動的一部分。
7. 用戶現在存取 mail.victim.com 並被定向到 OP1。 Let''s Encrypt 憑證允許瀏覽器在沒有任何認證錯誤的情況下建立連接,因為Let''s Encrypt Authority X3 是可信任的。連接被轉發到負載平衡設備,負載平衡設備與真實 mail.victim.com 建立連接。用戶不知道有任何變化,可能只會發現輕微的延遲。
8.收集並儲存用戶名稱,密碼和網域憑證。

(2)利用涉及改變 DNS NS 記錄 (DNS NS Records),包括創建 Let 的加密證書和更改 A 記錄。
1. 攻擊者再次登錄 PXY1。
2. 但是,這一次,攻擊者利用了之前被入侵的註冊商或 ccTLD。
3. 名稱服務器記錄 ns1.victim.com 當前設置為192.168.100.200。攻擊者更改 NS 記錄並將其指向 ns1.baddomain.com [10.1.2.3]。當請求 mail.victim.com 時,該名稱服務器將以 IP:10.20.30.40 (OP1) 作出響應,但如果是 www.victim.com,則使用原始IP:192.168.100.100。
4. 攻擊者從 PXY1 登錄到 OP1。
(1)實現代理以偵聽所有打開的端口,鏡像 mail.victim.com。
(2)負載平衡設備指向 192.168.100.100 [mail.victim.com] 以傳遞用戶流量。
5. certbot用於為 mail.victim.com 創建 Let 的加密憑證。
(1)我們觀察到在此廣告系列中使用了多個域控制驗證提供程序。
6. 用戶存取 mail.victim.com 並被定向到 OP1。 Let''s Encrypt 憑證允許瀏覽器在沒有任何認證錯誤的情況下建立連接,因為 Let''s Encrypt Authority X3 是可信任的。連接被轉發到負載平衡設備,負載平衡設備與真實 www.victim.com 建立連接。用戶不知道有任何變化,可能只會發現輕微的延遲。
7. 收集並儲存用戶名稱,密碼和網域憑證。

(3)使用第三種技術結合前2種手法作觀察,此涉及 DNS 重定向器 (DNS Redirector)。
DNS重定向器是一個回應 DNS 請求的攻擊者操作框。
1. mail.victim.com 的 DNS 請求被發送到 OP2 (基於先前更改的 A 記錄 或 NS 記錄)。
2. 若網域是 victim.com 區域的一部分,則 OP2 以攻擊者控制的 IP 位址進行回應,並且用戶被重定向到攻擊者控制的基礎結構。
3. 若網域不是 victim.com 區域的一部分 (如:google.com),則 OP2 向合法 DNS 發出 DNS 請求以獲取 IP 位址,並將合法 IP 地址返回給用戶。

目前已知影響了中東和北非,歐洲和北美的政府,電信和互聯網基礎設施實體的數十個域名,Cisco Talos 亦發現了一個針對黎巴嫩和阿拉伯聯合酋長國(阿聯酋)的新活動,影響.gov 域名,以及一家私營的黎巴嫩航空公司。

【建議措施】

NCCIC鼓勵管理者查看有關資訊,並建議採用以下最佳做法來幫助保護網路免受此威脅:
1.在域名註冊供應商的帳戶或用於修改 DNS 記錄的其他系統上實施多因素身份驗證。
2.驗證 DNS 基礎結構(second-level domains、sub-domains 和相關資源記錄)是否指向正確的 Internet 協議地址或主機名。
3.搜索與網域相關的加密憑證並撤銷任何具欺騙性請求的憑證。

【更新紀錄】 

  • v1.0 (2019/01/15):發佈事件通告。  
 
參考資訊:

US-CERT (2019/01/11)
(FireEye) Global DNS Hijacking Campaign: DNS Record Manipulation at Scale (2018/01/09)
(Cisco) DNSpionage Campaign Targets Middle East (2018/11/27)

網友個人意見,不代表本站立場,對於發言內容,由發表者自負責任。

:::

PCHappy相關服務

好站推薦

[ more... ]

線上用戶

5人線上 (1人在瀏覽本站消息)

會員: 0

訪客: 5

更多…

本站統計資料

版權聲明
Creative Commons License
PageRank:
Check PageRank
資助本站:

本站信息

管理員