全球性的DNS劫持活动:大规模DNS记录操控

  • A+
所属分类:未分类

1.jpg

介绍

FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击,这波攻击影响了大量域名,其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份,但初步研究表明,攻击者与伊朗有关。与此同时,研究人员也在积极与相关受害者、安全组织以及执法机构密切合作,以尽可能缓解攻击所带来的影响。

虽然此次活动使用了很多传统的攻击策略,但它和其他利用了DNS劫持的伊朗攻击活动有所不同,接下来我们一起看一看攻击者都使用了那些新型的攻击策略。

初步研究表明此次攻击活动与伊朗有关

目前,针对此次活动的研究分析正在进行中。此次攻击活动中涉及到的DNS记录篡改操作非常的复杂,而且攻击跨越了不同的时间段、基础设施和服务提供商,因此完成此次攻击活动的绝非一人。

1.该活动中涉及到多个攻击集群,并从2017年1月份开始活跃至今。

2.攻击活动涉及到了多个域名以及IP地址。

3.攻击者使用了大量不同供应商的加密证书以及VPS主机。

根据初步研究所得到的技术证据,研究人员认为此次活动是在伊朗境内发动的,而且该活动的确符合伊朗政府的利益链。

技术细节

在接下来的分析中,样本使用了victim[.]com来代表目标用户域名,私人IP地址代表攻击者控制的IP地址。

技术一、DNS的A记录

攻击者所使用的第一种方法就是修改DNS中的A记录,如下图所示:

2.png1.攻击者登录PXY1(作为进行非属性化浏览和其他基础设施操作的代理);

2.攻击者使用之前窃取来的凭证登录DNS提供商的管理员界面;

3.A记录(例如mail[.]victim[.]com)当前指向的是192.168.100.100;

4.攻击者修改A记录,并将其指向10.20.30.40(OP1);

5.攻击者从PXY1切换至OP1:代理会监听所有开放端口,并生成mail[.]victim[.]com的镜像;负载平衡器会指向192.168.100.100 [mail[.]victim[.]com]来转发用户流量;

6.使用certbot来为mail[.]victim[.]com创建Let’s Encrypt证书;

7.当用户访问mail[.]victim[.]com时会被定向到OP1,Let’s Encrypt证书将允许浏览器建立通信连接。连接会被转发至负载均衡器,并建立真正的mail[.]victim[.]com连接。在整个过程中,用户不会感受到任何的网络延迟;

8.用户名、密码和域名证书将会被攻击者截获并存储。

技术二、DNS的NS记录

攻击者所使用的第二种技术需要修改DNS的NS记录,如下图所示:

3.png

1.攻击者再次登录PXY1;

2.这一次,攻击者将利用之前且渠道的ccTLD或注册凭证;

3.域名服务器记录ns1[.]victim[.]com当前设置为192.168.100.200。攻击者会修改NS记录并将其指向ns1[.]baddomain[.]com [10.1.2.3]。当收到mail[.]victim[.]com请求后,这个域名服务器会响应IP 10.20.30.40 (OP1),但如果请求的是www[.]victim[.]com,则会响应原始的IP 192.168.100.100。

4.攻击者从PXY1切换至OP1:代理会监听所有开放端口,并生成mail[.]victim[.]com的镜像;负载平衡器会指向192.168.100.100 [mail[.]victim[.]com]来转发用户流量;

5.使用certbot来为mail[.]victim[.]com创建Let’s Encrypt证书;

6.当用户访问mail[.]victim[.]com时会被定向到OP1,Let’s Encrypt证书将允许浏览器建立通信连接。连接会被转发至负载均衡器,并建立真正的mail[.]victim[.]com连接。在整个过程中,用户不会感受到任何的网络延迟;

7.用户名、密码和域名证书将会被攻击者截获并存储。

技术三、DNS重定向

除了上述两种技术之外,攻击者还会同时解和这两者来实现攻击。这里就涉及到了DNS重定向技术,如下图所示:

4.png

DNS重定向是由攻击者控制的,它可以直接响应目标用户的DNS请求。

1.指向mail[.]victim[.]com的DNS请求会被发送至OP2;

2.如果域名处于victim[.]com空间中,OP2会响应一个由攻击者控制的IP地址,用户会被重定向至攻击者控制的基础设施;

3.如果域名不处于victim[.]com空间内,OP2会向一个合法的DNS设施发送DNS请求,并获取到IP地址,然后将合法的IP地址返回给用户。

如何保护我们自己?

1.在我们的域名管理界面中启用多因素身份验证功能;

2.验证A记录和NS记录的修改有效性;

3.搜索跟自己域名相关的SSL证书,回收所有的恶意证书;

4.验证OWA/Exchanges日志中的IP源地址;

5.对环境中的所有访问权限进行安全审计。

*参考来源:fireeye,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: