信息來源：4hou

簡介

FireEye旗下的麥迪安應(yīng)急響應(yīng)團隊發(fā)現(xiàn)網(wǎng)上有一波DNS劫持活動，這個活動已經(jīng)影響了大量的政府機構(gòu)、電信設(shè)施和互聯(lián)網(wǎng)基礎(chǔ)設(shè)施，劫持活動覆蓋了中東、北非、歐洲和北美。雖然FireEye沒有將本次劫持活動與任何已知的團隊聯(lián)系起來，但是整體的研究結(jié)果卻可以認(rèn)為此次活動的實施或執(zhí)行是與伊朗有關(guān)。本次的劫持以幾乎前所未有的規(guī)模對全球的受害者進行了極高成功率的攻擊。我們已經(jīng)連續(xù)數(shù)月跟蹤這些活動，并且嘗試去理解和復(fù)現(xiàn)攻擊者部署的策略、技術(shù)和程序。我們同時與受害組織、安全團隊和執(zhí)法機構(gòu)合作去減少攻擊帶來的影響并預(yù)防未來的攻擊。

雖然攻擊方運用了一些常見的手法，但此次與以往遇到過的由伊朗方面發(fā)起的大規(guī)模DNS劫持不同。這些攻擊者使用這種技術(shù)作為他們的基石，并通過多種方式去利用它。截止至本稿件發(fā)布，我們發(fā)現(xiàn)了三種不同的攻擊方式來實現(xiàn)劫持DNS記錄。

初步研究認(rèn)為與伊朗有關(guān)

針對此次的DNS劫持的分析仍在繼續(xù)中。雖然在本文中所描述的DNS記錄操作既重要又復(fù)雜，但是由于這次活動的持續(xù)時間很長，這些并不一定是單一的攻擊者所實施在毫無關(guān)聯(lián)的時間、設(shè)施和受害服務(wù)上。

·自2017年1月至2019年1月，該活動的多個集群一直處于活躍狀態(tài)。

·在此次劫持中，他們使用了大量的不重復(fù)的域名和IP進行劫持。

·他們選擇了大量服務(wù)商來提供VPS服務(wù)器和證書

初步技術(shù)分析后的結(jié)果使我們認(rèn)為這次劫持活動是由伊朗的人員發(fā)起，并且是與伊朗當(dāng)局利益保持一致。

·FireEye的引擎發(fā)現(xiàn)有來自伊朗的IP曾被利用于攔截、記錄與轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量。雖然通過IP進行物理定位不是很準(zhǔn)確，但是這些IP地址曾經(jīng)在監(jiān)測伊朗網(wǎng)絡(luò)間諜行為中被發(fā)現(xiàn)使用過。

·那些被攻擊的目標(biāo)實體（包括中東國家政府）都是擁有一些伊朗政府有興趣并具有一定經(jīng)濟價值的機密信息。

詳情

下面的例子中用victim[.]com來代表受害者域名，私有IP地址代表攻擊者控制的IP地址。

技術(shù)1 – DNS A記錄

攻擊者利用的第一個方法是改變DNS A記錄，如圖1所示。

圖1: DNS A記錄

攻擊者登入PXY1，PXY1是一個用來執(zhí)行非屬性瀏覽的代理盒子（Proxy box），也用作到其他基礎(chǔ)設(shè)施的跳轉(zhuǎn)盒子。

攻擊者使用之前入侵使用的憑證登陸到DNS提供者的管理面板。

A記錄（mail[.]victim[.]com）目前指向192.168.100.100。

攻擊者將A記錄修改后，指向10.20.30.40 (OP1)。

攻擊者從PXY1登陸到OP1。

實現(xiàn)的代理會監(jiān)聽所有開放的端口，并鏡像mail[.]victim[.]com。

負(fù)載均衡器指向192.168.100.100 [mail[.]victim[.]com] 來傳遞用戶流量。

用certbot來為mail[.]victim[.]com創(chuàng)建Let’s Encrypt Certificate證書。

研究人員發(fā)現(xiàn)該攻擊活動中使用了多個Domain Control Validation提供商。

用戶現(xiàn)在訪問mail[.]victim[.]com會被重定向到OP1。Let’s Encrypt Certificate允許瀏覽器在沒有證書錯誤的情況下建立連接，因為Let's Encrypt Authority X3 是可信的。連接會被轉(zhuǎn)發(fā)到與真實的mail[.]victim[.]com建立連接的負(fù)載均衡器。用戶沒有意識到任何改變，最多會發(fā)現(xiàn)有一點點的延遲。

用戶名、密碼和域名憑證都被竊取且保存了。

技術(shù)2：DNS NS記錄

攻擊者利用的第二個方法是修改DNS NS記錄，如圖2所示。

圖2: DNS NS記錄

攻擊者再次登入PXY1。

這次，攻擊者利用了一個之前被黑的registrar或ccTLD。域名服務(wù)器記錄ns1[.]victim[.]com現(xiàn)在被設(shè)置為192.168.100.200。攻擊者修改了NS記錄并將其指向ns1[.]baddomain[.]com [10.1.2.3]。當(dāng)用戶請求mail[.]victim[.]com時，域名服務(wù)器會響應(yīng)IP 10.20.30.40 (OP1)，但如果請求的是www[.]victim[.]com，就會響應(yīng)原來的IP 192.168.100.100。

攻擊者從PXY1登陸到OP1。

實現(xiàn)的代理會監(jiān)聽所有開放的端口，并鏡像mail[.]victim[.]com。

負(fù)載均衡器指向192.168.100.100 [mail[.]victim[.]com] 來傳遞用戶流量。

用certbot來為mail[.]victim[.]com創(chuàng)建Let’s Encrypt Certificate證書。

研究人員發(fā)現(xiàn)該攻擊活動中使用了多個Domain Control Validation提供商。

用戶現(xiàn)在訪問mail[.]victim[.]com會被重定向到OP1。Let’s Encrypt Certificate允許瀏覽器在沒有證書錯誤的情況下建立連接，因為Let's Encrypt Authority X3 是可信的。連接會被轉(zhuǎn)發(fā)到與真實的mail[.]victim[.]com建立連接的負(fù)載均衡器。用戶沒有意識到任何改變，最多會發(fā)現(xiàn)有一點點的延遲。

用戶名、密碼和域名憑證都被竊取且保存了。

技術(shù)3：DNS Redirector

研究人員還發(fā)現(xiàn)攻擊者使用了與圖1和圖2所示技術(shù)協(xié)調(diào)的第三種技術(shù)，即DNS重定向（Redirector），如圖3所示。

圖3: DNS操作盒

DNS Redirector是一個響應(yīng)DNS請求的攻擊者操作盒子。

到mail[.]victim[.]com的DNS請求會基于之前修改的A記錄或NS記錄被發(fā)送到OP2。

如果域名是victim[.]com zone的一部分，OP2會響應(yīng)一個攻擊者控制的IP地址，用戶會被重定向到攻擊者控制的基礎(chǔ)設(shè)施。

如果域名不是victim[.]com zone的一部分，OP2會返回一個到合法DNS的DNS請求來獲取IP地址，合法IP地址返回給用戶。

攻擊目標(biāo)

大量企業(yè)和組織受到此類DNS記錄修改和欺騙性的SSL證書的影響。包括電信和ISP提供商、互聯(lián)網(wǎng)基礎(chǔ)設(shè)施提供商、政府和商業(yè)實體。

起因還在調(diào)查中

對于每個記錄變化，很難識別出單一的入侵單元，很可能攻擊者（們）使用了多種入侵技術(shù)來入侵攻擊目標(biāo)。研究人員之前也收到過一份描述攻擊者在復(fù)雜的釣魚攻擊者使用DNS記錄修改的報告。雖然之前DNS記錄修改的機制還不清楚，但研究人員認(rèn)為至少一些被修改的記錄是通過入侵受害者域名注冊者的賬號來完成的。

預(yù)防技術(shù)

這類攻擊是很難防御的。因為即使攻擊者不能直接訪問受害者的網(wǎng)絡(luò)，但因此有價值的信息還是可以被竊取。其中增強企業(yè)安全性的措施有：

在域名管理網(wǎng)關(guān)上應(yīng)用多因子認(rèn)證；

驗證A和NS記錄修改；

尋找與域名相關(guān)的SSL證書，吊銷惡意證書；

驗證OWA/Exchange日志中的源IP地址；

驗證攻擊者是否可以獲得企業(yè)網(wǎng)絡(luò)的訪問權(quán)限。

結(jié)論

DNS劫持和其被利用的規(guī)模，表明其技術(shù)還在不斷的發(fā)展中。本文是研究人員最近發(fā)現(xiàn)的影響多個實體的TTPs集合概覽。研究人員希望通過此篇文章相關(guān)潛在被攻擊目標(biāo)可以采取適當(dāng)?shù)姆雷o措施。