- A+
针对若干国家的重新定向交通和收获证书的攻击与伊朗有关。
针对北美,欧洲,中东和北非受害者的DNS劫持攻击浪潮与伊朗有关。 研究人员表示,过去两年来一直在进行的这些袭击事件已经“取得了很大的成功”。
FireEye的研究人员表示,这些攻击主要针对政府,电信和互联网基础设施公司。 攻击涉及拦截来自公司的流量,目的是收集受害者的用户名,密码和域名凭据。
研究人员认为,袭击背后的对手是伊朗的网络间谍演员。 “虽然我们目前没有将这项活动与任何被跟踪的团体联系起来,但最初的研究表明,负责的演员或行为者与伊朗有关系,”FireEye研究人员Muks Hirani,Sarah Jones和Ben Read说道,他们是该报告的共同作者。
研究人员在周三对袭击事件的分析中表示,这些攻击已于2017年1月至2019年1月间在集群中发现。
FireEye表示,“此次活动已经以几乎前所未有的规模针对全球受害者。” “许多组织都受到这种DNS记录操作模式和欺诈性SSL证书的影响。”
FireEye的Mandiant主任,Alister Shepherd告诉Threatpost,该活动正在进行中 - 但目前尚无迹象显示已收获了多少凭据。 研究人员发现了三种攻击类型,每种攻击都影响到数十个域。
技术
DNS劫持是一种恶意攻击,其中个人通过覆盖计算机的传输控制协议/网际协议(TCP / IP)设置将查询重定向到域名服务器 - 通常通过修改服务器的设置。
虽然这项运动采用了一些传统的策略,“它与我们通过大规模利用DNS劫持看到的其他伊朗活动不同,”研究人员表示。 “攻击者将这种技术用于他们的初始立足点,然后可以通过各种方式加以利用。”
具体来说,攻击者使用三种不同的方法来执行DNS劫持攻击。
在第一种技术中,他们使用以前受到破坏的凭据登录DNS提供商的管理面板(可能通过网络钓鱼技术等获取)。 然后,他们更改DNS A记录以拦截流量。 A记录是一种DNS记录(用于控制互联网上资源的位置),它将逻辑域名指向该域的托管服务器的IP地址。
在第二种技术中,攻击者使用类似的方法(先前受到破坏的凭据)登录管理面板,然后从那里入侵受害者的域名注册商帐户并更改DNS NS记录。 NS记录指定为该域名提供DNS服务的服务器,因此在更改它们时,攻击者可以将流量重定向到其他受攻击者控制的服务器。
在第三种方法中,攻击者使用DNS重定向器,攻击者操作盒响应DNS请求(以及更改的A和NS记录)以将受害者流量重定向到攻击者维护的基础结构。
在所有情况下,攻击者都使用Let's Encrypt Certificate,这是一个免费,自动化和开放的证书颁发机构,允许浏览器建立连接而不会出现任何证书错误,因为证书可以信任。 这有助于攻击者在没有通知的情况下溜走,因为受害者不知道任何变化,并且可能只会发现轻微的延迟。
归因
虽然研究人员表示,该活动的归属仍在进行中,但他们“以温和的信心”评估该活动是由伊朗的一个或多个团体进行的,并且该活动与伊朗政府的利益保持一致。
这是因为他们发现伊朗的IP被用来访问那些用于拦截和重定向网络流量的机器。 此外,目标受害者包括中东政府,其机密信息将受到伊朗政府的关注。
研究人员说:“虽然IP地址的地理位置是一个弱指标,但这些IP地址以前是在对伊朗网络间谍行为者入侵的反应中发现的。”
以前的广告系列
FireEye的研究人员强调,这次最近的DNS劫持活动“展示了来自伊朗演员的策略的不断演变”。 “这是我们最近观察到的影响多个实体的一组TTP的概述。”
根据思科Talos的研究员Paul Rascagneres的说法,所使用的基础设施与思科Talos研究人员11月份报告的攻击者有关。
有趣的是, @ FireEye发布了一些关于攻击者使用的基础设施的详细信息,用于我们的#DNSpionage帖子中提到的DNS重定向: https : //t.co/AomVXwnvOF (我们的上下文帖子: https : //t.co/EzOcfXyznK )
- PaulRascagnères(@ r00tbsd) ,2019年1月10日
早在去年11月, Talos的研究人员详细介绍了他们发现的针对黎巴嫩和阿拉伯联合酋长国以及私人Labense航空公司的活动。
在该活动期间,攻击者使用相同的IP来重定向合法.gov和私有公司域的DNS。 在每次DNS妥协期间,演员都为重定向的域仔细生成了Let的加密证书。
该活动特别使用了两个虚假的恶意网站,其中包含用于通过带有嵌入式宏的恶意Microsoft Office文档来破坏目标的作业发布。
Shepherd告诉Threatpost,“基于11月博客中提供的攻击者指标,我们可以确认与其中报道的有限活动重叠,但我们无法对Talos透露的受害者详情发表评论。”
在预防方面,研究人员敦促潜在受害者在域管理门户上实施多因素身份验证,验证DNS A和NS记录的更改,并搜索和撤销与其域相关的任何恶意证书。