黑客发起DNS劫持攻击或将影响扩向全球

时间 : 2019-04-24 编辑 : DNS智能解析专家 分享 : 

近期,思科Talos团队安全研究人员发现一起DNS劫持攻击活动,将其幕后组织命名为"海龟"(seaturtle),该组织通过DNS劫持攻击窃取全球范围内企业实体的数据信息和凭证。攻击活动最早于2017年1月开始,并持续到2019年第一季度,其中13个国家的至少40个公共和私营组织受到了损害。

1

域名系统(DNS)是允许我们通过在浏览器的地址栏中键入域名而不是IP地址来访问网站的服务。它将名称转换为托管我们要加载的网页的服务器的数字目标。访问DNS记录使攻击者能够替换目标名称服务器的地址,以便他们指向自己的基础结构。一旦控制了负责处理与Web域相关的IP地址请求的名称服务器,威胁参与者就可以将受害者引导到恶意服务器上的内容。


两类受害者

海龟行动专注于使用DNS劫持作为实现其最终目标的机制。当攻击者可以非法修改DNS名称记录以将用户指向攻击者控制的服务器时,就会发生DNS劫持。美国国土安全部(DHS)于2019年1月24日发布了有关此活动的警报,警告攻击者可以重定向用户流量并获取组织域名的有效加密证书。

海龟行动的受害者主要位于中东和北非。其主要目标是外交部、军事组织、情报机构以及著名的能源公司。

1 

(主要和次要受害者)

为了访问敏感网络,海龟背后的威胁行为者破坏了负责响应域名空间各个级别的目标网络资产的DNS查询的第三方实体。

次要目标包括电信公司、互联网服务提供商(ISP)、IT公司、域名注册商和一个DNS注册管理机构。


海龟行动的DNS劫持方法

DNS劫持仅仅是攻击者实现其主要目标的手段。海龟行动背后的角色最终打算通过以下方式窃取凭据以获取对网络和系统的访问权限:

1、建立了一种控制目标DNS记录的方法。

2、修改DNS记录,将目标的合法用户指向actor控制的服务器。

3、当用户与这些actor控制的服务器交互时,捕获合法用户凭据。

下图说明了我们如何相信海龟行动背后的角色使用DNS劫持来实现其最终目标。

1

(重定向攻击方法图)


鱼叉式网络钓鱼和旧漏洞

海龟活动背后的威胁行为者通过利用已知漏洞或发送鱼叉式网络钓鱼电子邮件获得了初始访问权限。Talos认为,威胁参与者利用多个已知的CVE获得初始访问权限或在受影响的组织内横向移动。

(已知漏洞)

在更改DNS记录后,海龟运营商建立了一个中间人(MitM)框架,该框架模仿受害者使用的合法服务,目的是窃取登录凭据。

为了逃避检测,参与者执行了“证书模拟”,即攻击者从另一个提供者获得证书授权签署的X.509证书,该证书用于模仿目标组织已经使用的域的同一域。例如,如果DigiCert证书保护网站,则威胁参与者将获得同一域的证书。但来自其他提供商,这种策略会使检测MitM攻击变得更加困难,因为用户的Web浏览器仍会在URL栏中显示预期的“SSL挂锁”。

当受害者将密码输入攻击者的欺骗网页时,该角色将捕获这些凭据以供将来使用。受害者收到的唯一指示是用户输入信息与获得服务访问权之间的短暂延迟。这也几乎没有证据表明网络防御者可以发现,因为合法的网络凭证被用来访问帐户。

除了先前报告中发布的MitM服务器IP地址之外,Talos还确定了在观察到的攻击期间由演员利用的16个额外服务器。已知恶意IP地址的完整列表位于下面的“妥协指标(IOC)”部分。


缓解策略

海龟行动非常成功,首先,参与者采用独特的方法来访问目标网络。大多数传统安全产品(如IDS和IPS系统)不是为监控和记录DNS请求而设计的。威胁参与者能够取得这样的成功,因为DNS域空间系统将安全性作为事后的想法添加到等式中。如果更多ccTLD实施了注册商锁等安全功能,攻击者将无法重定向目标域。

尽管采用了复杂的妥协目标方法,但仍有办法使他们的工作更加困难。建议可使用DNSSEC(签名区域和验证响应),或者使用注册表锁定服务,该服务在组织的DNS记录发生任何更改之前需要带外消息。如果您的注册商未提供注册表锁定服务,建议您实施多重身份验证以访问您组织的DNS记录。如果您怀疑此类活动入侵是您的目标,建议您使用受信任网络上的计算机进行网络范围的密码重置。如果使用密码,请使用唯一密码和密码管理器。最后,建议应用补丁,特别是在面向互联网的机器上。网络管理员还可以监控其域上的被动DNS记录,以检查异常情况。


来源:https://www.bleepingcomputer.com/news/security/sea-turtle-campaign-focuses-on-dns-hijacking-to-compromise-targets/