黑客攻擊 思科Talos團(tuán)隊(duì) DNS劫持 “海龜”(Sea Turtle)

英國(guó)政府的網(wǎng)絡(luò)安全中心 (NSCS) 已向各組織發(fā)出了嚴(yán)厲警告，建議他們需要在 DNS 劫持攻擊不斷增加的情況下實(shí)施額外的安全措施，否則將面臨慘痛的后果。

上周，NCSC發(fā)布警告稱(chēng)，它已經(jīng)觀察到了各種利用不同層面的 DNS 系統(tǒng)的攻擊行為。自 1 月份 NCSC 發(fā)出警報(bào)以來(lái)，已經(jīng)出現(xiàn)了進(jìn)一步的 DNS 攻擊活動(dòng)，且在多個(gè)地區(qū)和部門(mén)中都發(fā)現(xiàn)了 DNS 劫持攻擊的受害者。

就在 NCSC 發(fā)布警告前的 5 月份，思科旗下的威脅情報(bào)組織 Talos 發(fā)布了一份安全報(bào)告，揭露了一起名為 “海龜” (Sea Turtle) 的網(wǎng)絡(luò)攻擊活動(dòng)。調(diào)查顯示，該攻擊活動(dòng)已經(jīng)從 2017 年 1 月持續(xù)到了 2019 年 3 月，在兩年多的時(shí)間里，攻擊者以 “DNS劫持” 為攻擊手段，以竊取網(wǎng)絡(luò)憑證、控制目標(biāo)網(wǎng)絡(luò)為最終目標(biāo)，對(duì)來(lái)自中東、北非等 13 個(gè)國(guó)家的至少 40 個(gè)組織進(jìn)行了攻擊。

據(jù)悉，此次攻擊活動(dòng)的主要目標(biāo)為國(guó)家安全組織、外交部和著名的能源組織，幾乎全部位于中東和北非，次要目標(biāo)為電信公司、DNS 注冊(cè)商和互聯(lián)網(wǎng)服務(wù)提供商等，攻擊者以次要目標(biāo)為跳板，以實(shí)現(xiàn)對(duì)主要目標(biāo)的信息竊取或訪問(wèn)控制。

DNS 是網(wǎng)絡(luò)基礎(chǔ)設(shè)施的基本組成部分，起到了域名和 IP 地址的轉(zhuǎn)換作用，當(dāng)用戶希望訪問(wèn) Web 域時(shí)，DNS 就負(fù)責(zé)將每個(gè) Web 瀏覽器指向正確的 IP 地址。正是由于 DNS 應(yīng)用的這種普及性和不可替代性，使其成為網(wǎng)絡(luò)攻擊的一個(gè)主要途徑。

以惡意方式篡改 DNS 的行為稱(chēng)為 “DNS劫持”。操縱 DNS 可以允許威脅行為者創(chuàng)建惡意 DNS 記錄，該記錄可用于在組織熟悉的域內(nèi)設(shè)置網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。DNS 記錄也可用于獲取 SSL 證書(shū)，或者攻擊者可以簡(jiǎn)單地建立連接，將站點(diǎn)的所有流量重定向到自己的 IP 地址。

通過(guò)釣魚(yú)攻擊劫持 DNS 服務(wù)器是攻擊者慣用的伎倆。當(dāng)客戶端通過(guò)網(wǎng)絡(luò)釣魚(yú)或其他漏洞，與受感染或惡意的 DNS 服務(wù)器進(jìn)行交互時(shí)，正常的域名請(qǐng)求響應(yīng)可能因?yàn)?DNS 緩存投毒或 DNS 重定向而被劫持，引導(dǎo)至惡意網(wǎng)站或被惡意代碼感染，攻擊者進(jìn)而可以竊取用戶信息、獲取網(wǎng)絡(luò)憑證或進(jìn)一步控制目標(biāo)網(wǎng)絡(luò)。

在 IDC 發(fā)布的《2019 年全球 DNS 威脅報(bào)告》中，該研究結(jié)構(gòu)發(fā)現(xiàn)所有行業(yè)都容易受到 DNS 攻擊影響。

該報(bào)告還發(fā)現(xiàn)，82% 的企業(yè)經(jīng)歷了一次 DNS 攻擊；而63% 的企業(yè)則經(jīng)歷了設(shè)備宕機(jī)。每家企業(yè)平均遭受的 DNS 攻擊次數(shù)竟然高達(dá) 9.45 次；攻擊造成的平均成本損失為 107 萬(wàn)美元。

網(wǎng)絡(luò)安全公司 Avast 最近也注意到一個(gè) “Netflix風(fēng)格” 的網(wǎng)絡(luò)釣魚(yú)攻擊，可以復(fù)制網(wǎng)站的登錄憑證。

什么是 “Netflix風(fēng)格” 的網(wǎng)絡(luò)釣魚(yú)攻擊？2017 年，火眼 (FireEye) 實(shí)驗(yàn)室發(fā)現(xiàn)了針對(duì) Netflix（一家在世界多國(guó)提供網(wǎng)絡(luò)視頻點(diǎn)播的公司）的一種新型網(wǎng)絡(luò)釣魚(yú)攻擊，該攻擊旨在竊取用戶的信用卡數(shù)據(jù)和其他個(gè)人信息。該新型攻擊的精妙之處在于攻擊者采用的逃避技術(shù)：

1. 釣魚(yú)網(wǎng)頁(yè)托管在合法但被攻破的 Web 服務(wù)器上；

2. 客戶端 HTML 代碼通過(guò) AES 加密進(jìn)行混淆，以逃避基于文本的檢測(cè)；

3. 如果用戶 IP 地址的 DNS 解析到谷歌或 PhishTank（反釣魚(yú)網(wǎng)站）之類(lèi)的公司，則不向該用戶顯示釣魚(yú)網(wǎng)頁(yè)；

NCSC對(duì)于DNS攻擊給出的緩解建議

最常見(jiàn)的 DNS 劫持結(jié)果之一就是黑客獲得對(duì)注冊(cè)人賬戶的訪問(wèn)權(quán)限。這一過(guò)程通常使用 “撞庫(kù)”（也就是憑據(jù)填塞攻擊/credential stuffing attacks）、網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程等經(jīng)過(guò)測(cè)試和受信的攻擊方式完成。

為了避免這些類(lèi)型的攻擊，NCSC 建議組織使用多因素身份驗(yàn)證機(jī)制，并定期對(duì)賬戶訪問(wèn)進(jìn)行審計(jì)。

NCSC 還警告企業(yè)組織要警惕內(nèi)部人員攻擊的風(fēng)險(xiǎn)，它并不建議企業(yè)組織對(duì)任何域名聯(lián)系人使用個(gè)人電子郵件地址，因?yàn)檫@將為可能離職的內(nèi)部人員提供有效的訪問(wèn)控制權(quán)限。對(duì)此，NCSC 建議組織應(yīng)該創(chuàng)建特定角色賬戶——例如 hostmaster @，以有效地降低此類(lèi)安全風(fēng)險(xiǎn)。

有些域名注冊(cè)服務(wù)商也會(huì)提供域名或注冊(cè)表鎖定服務(wù)，這些收費(fèi)項(xiàng)目可以作為額外的安全防護(hù)層。因?yàn)檫@些服務(wù)一旦啟用，就可以防止域名注冊(cè)人和域名服務(wù)器被更改。

最后，NCSC 警告稱(chēng)，組織需要保護(hù)自身的基礎(chǔ)架構(gòu)。如果企業(yè)組織運(yùn)行的是自己的 DNS 基礎(chǔ)架構(gòu)，那么一定要使用強(qiáng)大的更改控制流程來(lái)管理針對(duì)區(qū)域文件的任何更改行為。理想狀態(tài)下，組織應(yīng)該使用通過(guò)版本控制系統(tǒng)（例如 git）管理的 DNS 區(qū)域文件。它將提供 DNS 記錄備份，允許更改審核和輕松回滾。此外，組織還應(yīng)該實(shí)施組織審批級(jí)別，以便在更改行為實(shí)現(xiàn)前對(duì)其進(jìn)行監(jiān)控。