一波DNS劫持浪潮正以幾乎空前的規模向大批公司襲來！

巧妙的花招讓攻擊者得以獲取被劫持域名的有效TLS證書。

聯邦政府和私營公司的研究人員近日向眾多公司發出預警：一波域名劫持攻擊利用比較新穎的手法，以幾乎前所未有的規模攻擊目標。

安全公司FireEye聲稱，自2017年1月以來攻擊一直處於活躍狀態，使用三種不同的方法來操縱域名系統（DNS）記錄，這些記錄讓計算機得以找到一家公司在互聯網上的計算機。只要把example.com等域名的合法IP地址換成布置了陷阱的地址，攻擊者就可以使example.com執行各種惡意活動，包括獲取用戶的登錄信息。FireEye檢測到的手法特別有效，因為它們讓攻擊者得以獲取有效的TLS證書，從而阻止瀏覽器檢測劫持活動。

FireEye的三名研究人員Muks Hirani、Sarah Jones和Ben Read在周四發表的一份報告（https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html）中寫道：「大量的組織已受到這種DNS記錄操縱模式和欺詐性SSL證書的影響，它們包括電信公司、互聯網服務提供商（ISP）、政府和敏感的商業實體。」他們補充道，這次攻擊活動正在全球各地肆虐，「幾乎空前的規模，成功率很高。」

一種DNS劫持手法涉及改變所謂的DNS A記錄。只要攻擊者之前以某種方式獲取攻擊目標的DNS提供商的管理面板的登錄信息，它就會得逞。然後，攻擊者將目標域的IP地址改成他們控制的IP地址。如果能控制域，攻擊者隨後使用自動化的Let』s Encrypt服務為該域生成有效的TLS證書。思科的Talos團隊之前描述過這種方法。

之後，訪問目標域的人訪問不了合法伺服器。相反，他們訪問的是攻擊者控制的伺服器，該伺服器連回到合法伺服器，讓訪問者誤以為沒有任何異常。然後攻擊者收集用戶名和密碼。最終用戶不會收到任何警告，也不會留意自己訪問的網站有任何差異，可能除了延遲比平常更久外。

第二種手法大同小異，只不過它利用之前中招的域名註冊機構或ccTLD來更改名稱伺服器記錄。

第三種手法結合DNS重定向器與上述兩種方法中的一種。

FireEye表示，攻擊者正在利用這些手法劫持屬於北美、歐洲、中東和北非眾多組織的大批域名。該公司建議管理員採取諸多措施，包括如下：

確保自己使用多因子驗證來保護域的管理面板

核查A記錄和NS記錄有效

搜索透明度日誌，查找涵蓋其域的未授權TLS證書

進行內部調查，評估網路是否已受到了破壞

從攻擊者使用的IP地址來看，研究人員比較有把握地認為攻擊者與伊朗有著關聯。

周四的報告得出了結論：「這起DNS劫持活動及被利用的規模表明，來自伊朗的攻擊者採用的策略在不斷變化。這只是概述了我們最近觀察到的影響多個組織的一套[戰術、手法和程序]。我們現在披露這起事件，以便潛在的攻擊目標可以採取適當的防禦措施。」

美國國家網路安全和通信整合中心已發布了一份聲明，鼓勵管理員閱讀FireEye的這份報告。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！