亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

簡介

最近FireEye的Mandiant事件響應(yīng)和情報團隊發(fā)現(xiàn)了一波DNS劫持活動，該活動已經(jīng)影響到了中東、北非、歐洲和北美的政府、電信和互聯(lián)網(wǎng)設(shè)備實體的數(shù)十個域名。雖然我們目前還沒有找到與此攻擊活動有關(guān)系的受監(jiān)測組織，但最初研究表明攻擊者與伊朗有關(guān)系。該活動以幾乎前所未有的規(guī)模，針對了全球受害者并取得了很大的成功。數(shù)月來，我們一直在跟蹤這項活動，并且在試著去弄明白攻擊者部署的新策略，技術(shù)和程序（TTP）。我們還與受害者，安全組織以及執(zhí)法機構(gòu)密切合作，期望以此減輕攻擊帶來的影響并阻止后續(xù)攻擊帶來的進一步損失。

雖然此攻擊活動采用了一些傳統(tǒng)策略，但它與我們所看到的伊朗其他大規(guī)模利用DNS劫持的活動不同。攻擊者使用這些技術(shù)作為他們的初始立足點，之后再通過多種方式來利用。在這篇博文中，我們詳細(xì)介紹了檢測到的三種不同的通過操作DNS記錄實現(xiàn)攻擊的方式。

初步研究表明伊朗可能有支持此活動

此活動的歸因分析正在進行中。本文中描述的DNS記錄操作復(fù)雜且值得引起關(guān)注，該活動跨越了不同的時間范圍，設(shè)備架構(gòu)和服務(wù)提供商，因此它們可能不是由某個攻擊者或組織獨立發(fā)起的。

• 從2017年1月到2019年1月，該活動的多個集群一直處于活躍狀態(tài)。
• 此活動中使用了多個非重疊的攻擊者控制域和IP集群。
• 加密證書和VPS主機選自于大量不同的提供商。

根據(jù)初步技術(shù)證據(jù)，我們有一定的信心認(rèn)為該活動是和伊朗有關(guān)系的人發(fā)起的，并且該活動與伊朗政府的利益是保持一致的。

• FireEye情報部門檢測到伊朗的IP與攻擊中負(fù)責(zé)攔截、記錄以及轉(zhuǎn)發(fā)網(wǎng)絡(luò)流量的機器有聯(lián)系。雖然IP地址的地理位置是一個弱指標(biāo)，但這些IP地址是之前在對伊朗網(wǎng)絡(luò)間諜行為者的入侵行為的響應(yīng)中監(jiān)測到的。
• 該集團的目標(biāo)實體包括中東政府，其機密信息是伊朗政府感興趣的，而且其財務(wù)價值相對較低。

技術(shù)細(xì)節(jié)

下例使用victim[.]com來表示受害者的域名，以及私有IP地址來表示受攻擊者控制的IP地址。

技術(shù)細(xì)節(jié)1 – 域名A記錄(DNS A Record)

攻擊者利用的第一種方式是修改域名A記錄，如圖1所示。

圖1: 域名A記錄

1. 攻擊者登入至PXY1，PXY1是用來進行非歸屬瀏覽的代理框，并且作為跳轉(zhuǎn)框進入其他設(shè)備。
2. 攻擊者使用之前獲取到的憑據(jù)登錄DNS提供商的管理面板。
3. A記錄(例如mail[.]victim[.]com)當(dāng)前指向192.168.100.100。
4. 攻擊者將A記錄指向10.20.30.40(被操控的主機OP1)。
5. 攻擊者從PXY1登錄到OP1。
   • 設(shè)置一個監(jiān)聽所有開放端口的代理，鏡像到mail[.]victim[.]com
   • 設(shè)置一個負(fù)載均衡器指向192.168.100.100[mail[.]viatim[.]com]來傳遞用戶流量
6. 使用cerbot為mail[.]victim[.]com創(chuàng)建Let’s Encrypt證書。
   • 我們檢測到多個域控制驗證提供程序(DCV)被用于活動的一部分。
7. 現(xiàn)在一個用戶訪問mail[.]victim[.]com，被定向到OP1。因為Let’s Encrypt Authority X3是可信的，Let’s Encrypt證書允許瀏覽器在無證書錯誤的情況下建立連接。連接被轉(zhuǎn)發(fā)至負(fù)載均衡器，從而建立了與真正的mail[.]victim[.]com網(wǎng)站的連接。用戶發(fā)現(xiàn)不出任何變化，最多能感覺到輕微的延遲。
8. 收集并存儲用戶銘以及密碼和域憑據(jù)。

技術(shù)細(xì)節(jié)2 – 域名NS記錄(DNS NS Record)

攻擊者利用的第二種方式是修改NS記錄，如圖2所示。

圖2: 域名NS記錄

1. 攻擊者再次登錄PXY1。
2. 然而這次攻擊者利用了先前入侵的注冊商或ccTLD。
3. 名稱服務(wù)器中的記錄ns1[.]victim[.]com當(dāng)前設(shè)置為192.168.100.200。攻擊者將NS記錄指向ns1[.]baddomain[.]com [10.1.2.3]。當(dāng)收到mail[.]victim[.]com的解析請求時名稱服務(wù)器會返回10.20.30.40(OP1)，而如果是www[.]victim[.]com的話就會返回原來的IP192.168.100.100。
4. 攻擊者從PXY1登錄到OP1。
   • 實現(xiàn)代理偵聽所有開發(fā)端口，鏡像到mail[.]victim[.]com
   • 設(shè)置一個負(fù)載均衡器指向192.168.100.100[mail[.]viatim[.]com]來傳遞用戶流量
5. 使用cerbot為mail[.]victim[.]com創(chuàng)建Let’s Encrypt證書。
   • 我們檢測到多個域控制驗證提供程序(DCV)被用于活動的一部分。
6. 現(xiàn)在一個用戶訪問mail[.]victim[.]com，被定向到OP1。因為Let’s Encrypt Authority X3是可信的，Let’s Encrypt證書允許瀏覽器在無證書錯誤的情況下建立連接。連接被轉(zhuǎn)發(fā)至負(fù)載均衡器，從而建立了與真正的mail[.]victim[.]com網(wǎng)站的連接。用戶發(fā)現(xiàn)不出任何變化，最多能感覺到輕微的延遲。
7. 收集并存儲用戶銘以及密碼和域憑據(jù)。

技術(shù)細(xì)節(jié)3 – DNS重定向器

我們發(fā)現(xiàn)攻擊者還結(jié)合了圖1及圖2，實現(xiàn)了第三種攻擊方式。該方式涉及到DNS重定向，如圖3。

圖3： DNS操作框

攻擊者使用DNS重定向器來對DNS請求做出響應(yīng)。

1. OP2(基于先前修改的A記錄或NS記錄)收到mail[.]victim[.]com的DNS請求。
2. 如果該域隸屬于victim[.]com，OP2會返回一個受攻擊者控制的IP地址，于是用戶會被重定向至攻擊者控制的設(shè)備。
3. 如果該域不屬于victim[.]com的一部分(例如 google[.]com)，OP2則會向合法的DNS發(fā)出請求并將獲取的合法IP地址返回至用戶。

目標(biāo)

大量組織已經(jīng)被這種DNS記錄操控以及欺詐性SSL證書攻擊模式所影響。這些組織包括電信和ISP提供商，互聯(lián)網(wǎng)設(shè)備提供者，政府以及敏感商業(yè)實體。

根本原因仍在調(diào)查中

很難為每個記錄變化識別單個入侵矢量，并且攻擊者可能正在使用多種方法來獲取進入上述目標(biāo)的初始立足點。FireEye情報客戶之前已經(jīng)收到過描述了一次復(fù)雜的釣魚攻擊事件的報告，而那個攻擊者也同樣使用了DNS記錄操作攻擊手法。此外，盡管DNS記錄得以修改的確切方法仍不清楚，但我們認(rèn)為至少其中一些記錄是通過入侵受害者的域名注冊商賬戶而修改的。

預(yù)防策略

這類攻擊很難防御，因為就算攻擊者永遠(yuǎn)無法直接訪問您的組織的網(wǎng)絡(luò)，但也可能會竊取有價值的信息。您可以通過以下幾步來加強防御：

1. 在您的域管理門戶上實施多重身份驗證。
2. 驗證A記錄和NS記錄是否被修改。
3. 搜索與您的域相關(guān)的SSL證書并撤銷惡意證書。
4. 驗證OWA/Exchange日志中的源IP。
5. 進行內(nèi)部調(diào)查，以評估攻擊者是否可以訪問您的環(huán)境。

結(jié)論

該DNS劫持以及其被利用的規(guī)模均展示了伊朗的攻擊者在戰(zhàn)術(shù)上的持續(xù)演變。這是我們最近觀察到的一組TTP的概述。我們現(xiàn)在重點討論到這個，就是希望潛在的受害者可以采取一些適當(dāng)?shù)姆烙胧?/p>