DNS威脅及緩解措施大盤點
責(zé)編:gltian |2019-07-31 17:51:25DNS 劫持、隧道、網(wǎng)絡(luò)釣魚、緩存中毒、DDoS 攻擊……諸多 DNS 威脅洶涌襲來。
域名系統(tǒng) (DNS) 一直承受著各種攻擊,隨著黑客手段日趨復(fù)雜,DNS 攻擊似乎永無盡頭。
DNS 就好像互聯(lián)網(wǎng)電話簿,將人們好記的域名與電腦訪問網(wǎng)站或發(fā)送電子郵件所需的數(shù)串號碼對應(yīng)聯(lián)系在一起。雖然 DNS 一直以來都是攻擊者謀求各類企業(yè)及個人信息的突破目標(biāo),去年的 DNS 攻擊情況卻表明此類威脅越來越兇猛了。
國際數(shù)據(jù)公司 (IDC) 報告稱,過去一年中,全球 82% 的公司遭遇過 DNS 攻擊。該研究公司受 DNS 安全供應(yīng)商 EfficientIP 委托,于 2019 年上半年對全球 904 家公司企業(yè)進(jìn)行了問卷調(diào)查,并在此基礎(chǔ)上于最近發(fā)布了其第五份年度《全球 DNS 威脅報告》。
IDC 的研究顯示,與一年前相比,DNS 攻擊相關(guān)平均損失上升了 49%。美國公司企業(yè)遭遇 DNS 攻擊的平均損失超 127 萬美元,為世界各地區(qū)最高。近一半 (48%) 受訪者報告稱,一次 DNS 攻擊就可造成 50 萬美元以上損失;近 10% 則稱每次攻擊令公司損失超 500 萬美元。另外,大部分美國公司表示,緩解 DNS 攻擊需一天以上。
令人擔(dān)憂的是,內(nèi)部應(yīng)用和云應(yīng)用都會遭到破壞,內(nèi)部應(yīng)用宕機(jī)時長翻了一倍多,成為公司企業(yè)當(dāng)前遭遇的最普遍傷害。DNS 攻擊正從純暴力攻擊轉(zhuǎn)向由內(nèi)部網(wǎng)絡(luò)而起的復(fù)雜攻擊,迫使公司企業(yè)運用智能緩解工具應(yīng)對內(nèi)部人威脅。
海龜 (Sea Turtle) DNS 劫持
名為 “海龜 (Sea Turtle) ” 的 DNS 劫持攻擊活動如今仍在持續(xù),生動反映出當(dāng)今 DNS 威脅景象。
本月,思科 Talos 安全研究團(tuán)隊警告稱,“海龜” 攻擊行動背后的黑客團(tuán)伙一直在改進(jìn)自身攻擊,納入新基礎(chǔ)設(shè)施,狩獵新受害者。
今年 4 月,Talos 發(fā)布詳細(xì)揭秘 “海龜” 活動的報告,稱之為 “域名注冊機(jī)構(gòu)被利用于網(wǎng)絡(luò)間諜行動的首個案例”。Talos 稱,該仍在持續(xù)的 DNS 威脅活動是國家支持的攻擊,濫用 DNS 收割登錄憑證,以受害者無法檢測的方式獲取敏感網(wǎng)絡(luò)及系統(tǒng)訪問權(quán),展現(xiàn)了獨特的 DNS 操縱手法。
通過獲取受害者 DNS 控制權(quán),攻擊者可修改或偽造任意互聯(lián)網(wǎng)數(shù)據(jù),非法修改 DNS 域名記錄,將用戶指向自己控制下的服務(wù)器;訪問這些站點的用戶無從覺察。
4 月份 Talos 報告發(fā)布后,“海龜” 背后的黑客團(tuán)伙似乎經(jīng)歷了重組,加倍重視新基礎(chǔ)設(shè)施引入。Talos 研究人員認(rèn)為這很不尋常:通常情況下,黑客組織被曝光后都會沉寂一段時間,“海龜” 卻異常厚顏無恥,而且似乎不會被嚇退,仍在開展攻擊。
我們發(fā)現(xiàn)了一種新的 DNS 劫持技術(shù),基本確信與 ‘海龜’ 組織有關(guān)。該新技術(shù)類似 ‘海龜’ 篡改域名服務(wù)器記錄并以虛假 A 記錄響應(yīng)用戶 DNS 請求的手法。迄今為止,這種新技術(shù)尚僅見于少數(shù)高針對性攻擊行動中。我們還識別出了新一波受害者,包括一家國家代碼頂級域 (ccTLD) 注冊機(jī)構(gòu)。該機(jī)構(gòu)管理著使用此特定國家代碼的所有域名,被黑后更多政府實體由此遭殃。不幸的是,除非做出重大改變加強(qiáng) DNS 安全,否則此類攻擊仍將十分普遍。
DNSpionage 工具升級
另一個更近期的 DNS 威脅是名為 DNSpionage 的攻擊活動。
DNSpionage 最初利用兩個包含招聘信息的惡意網(wǎng)站捕獲目標(biāo),網(wǎng)站上放置有精心構(gòu)造的微軟 Office 文檔——植入了惡意宏代碼。該惡意軟件支持通過 HTTP 和 DNS 協(xié)議與攻擊者通信。且攻擊者仍在繼續(xù)開發(fā)新的攻擊技術(shù)。
Talos 報告中寫道:攻擊者持續(xù)開發(fā) DNSpionage 惡意軟件的行為,顯示出其不斷找尋檢測規(guī)避新方法的意圖。DNS 隧道是一些攻擊者常用的數(shù)據(jù)滲漏方法,最近的 DNSpionage 樣本告訴我們:必須像監(jiān)控公司常規(guī)代理或網(wǎng)絡(luò)日志一樣監(jiān)視 DNS。DNS 基本上就是互聯(lián)網(wǎng)電話簿,一旦遭到篡改,誰都難以識別自己瀏覽的網(wǎng)上內(nèi)容是真是假。
DNSpionage 攻擊活動的目標(biāo)是中東地區(qū)公司企業(yè)和阿拉伯聯(lián)合酋長國政府域名。
Talos 威脅情報外聯(lián)經(jīng)理 Craig Williams 稱:
DNS 攻擊,或者說 DNS 防護(hù)缺乏最大的問題之一,是自滿情緒。公司企業(yè)總覺得 DNS 非常穩(wěn)定,不用擔(dān)心會出什么問題。但 DNSpionage 和 ‘海龜’ 之類的攻擊反映出的現(xiàn)實與這種認(rèn)知恰恰相反,因為攻擊者已經(jīng)知道怎么利用 DNS 了——在用戶無從覺察的情況下盜取憑證,正如 ‘海龜’ 攻擊所展示的那樣。這是個很現(xiàn)實的潛在問題。
比如說,如果你知道自己的域名服務(wù)器被黑了,你還可以強(qiáng)制用戶修改自身密碼。但如果攻擊者動的是域名注冊機(jī)構(gòu),從根上將用戶導(dǎo)引致攻擊者控制下的域名,你完全發(fā)現(xiàn)不了發(fā)生了什么,因為你的所有東西都原封未動。這就是此類新威脅窮兇極惡的地方。
一旦有攻擊者開始公開使用這種方法,而且效果很好,其他黑客就會跟進(jìn):誒?我為嘛不用這招把感興趣的網(wǎng)站登錄憑證搞上一批呢?
DNS 安全警告不斷發(fā)出
英國國家網(wǎng)絡(luò)安全中心 (NCSC) 本月發(fā)布警告,提請用戶注意當(dāng)前持續(xù)發(fā)生的 DNS 攻擊,尤其是 DNS 劫持攻擊。DNS 劫持攻擊上升引發(fā)的風(fēng)險包括:
創(chuàng)建惡意 DNS 記錄
惡意 DNS 記錄可用于在公司常用域名上創(chuàng)建網(wǎng)絡(luò)釣魚網(wǎng)站。公司員工或客戶都是此類網(wǎng)站的釣魚對象。
獲取 SSL 憑證
域驗證 SSL 憑證基于 DNS 記錄頒發(fā);因此攻擊者可獲取域名的有效 SSL 憑證,用于后續(xù)創(chuàng)建貌似真實網(wǎng)站的網(wǎng)絡(luò)釣魚站點。
透明代理
最近冒頭的一類嚴(yán)重威脅是透明代理流量,可被攻擊者用來攔截數(shù)據(jù)。攻擊者修改公司配置好的域條目(比如 “A” 或 “CNAME” 記錄),將流量導(dǎo)引至自己控制下的 IP 地址。
公司可能會完全失去對自身域名的控制,攻擊者常會修改域名擁有者信息,令公司更難恢復(fù)。
這些新威脅及其他危險促使美國政府于今年早些時候向聯(lián)邦機(jī)構(gòu)發(fā)布了一條關(guān)于 DNS 攻擊的警告。
美國國土安全部 (DHS) 網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 指示各聯(lián)邦機(jī)構(gòu)守好自己的 DNS,做好面對一系列全球黑客活動的準(zhǔn)備。
CISA 在其《緊急情況指令》中稱,已檢測到一系列針對 DNS 基礎(chǔ)設(shè)施的事件。CISA 寫道:多個行政分支機(jī)構(gòu)域名受到 DNS 篡改活動影響,已通知相關(guān)機(jī)構(gòu)做好維護(hù)工作。
CISA 表示,攻擊者成功攔截并重定向了 Web 和電子郵件流量,可能染指其他聯(lián)網(wǎng)服務(wù)。該機(jī)構(gòu)認(rèn)為,攻擊者從盜取某具有 DNS 記錄修改權(quán)限的用戶賬戶憑證入手。接下來,攻擊者篡改了 DNS 記錄,比如 Addrss、Mail Exchanger、Name Server 記錄,將這些服務(wù)的合法地址替換成了攻擊者控制下的地址。
通過這些動作,攻擊者可將用戶流量導(dǎo)引到自己的基礎(chǔ)設(shè)施上加以篡改或檢查,然后再選擇是否傳給合法服務(wù)。CISA 聲明,此類動作產(chǎn)生的風(fēng)險,持續(xù)時間遠(yuǎn)不止流量重定向期間。
因為攻擊者可設(shè)置 DNS 記錄內(nèi)容,也能獲得公司域名有效加密憑證,也就能解密重定向到自己基礎(chǔ)設(shè)施的流量,獲取用戶提交的任意數(shù)據(jù)。由于證書有效,終端用戶不會受到任何出錯提示。
跟上域名系統(tǒng)安全擴(kuò)展 (DNSSEC) 趨勢
DNS 安全提供商 NS1 共同創(chuàng)始人兼首席執(zhí)行官 Kris Beevers 稱:身為潛在目標(biāo)的企業(yè),尤其是那些自身應(yīng)用會獲取或暴露用戶及公司數(shù)據(jù)的企業(yè),應(yīng)聽從 NSCS 的建議,敦促自己的 DNS 及注冊供應(yīng)商標(biāo)準(zhǔn)化 DNSSEC 及其他域名安全最佳實踐,并使這些 DNS 安全操作便于實現(xiàn)。當(dāng)前市場上的可用技術(shù)能夠方便實現(xiàn) DNSSEC 簽名及其他域名安全最佳實踐。公司企業(yè)應(yīng)與提供商及自身安全團(tuán)隊協(xié)作,審計自己的 DNS 安全實現(xiàn)。
今年早些時候,為響應(yīng)日漸增多的 DNS 攻擊,互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu) (ICANN) 呼吁業(yè)內(nèi)加強(qiáng)健壯 DNS 安全技術(shù)的應(yīng)用。當(dāng)時 DNSSEC 便已頻繁見諸報端。
ICANN 希望在所有不安全域名上全面部署 DNSSEC。DNSSEC 在 DNS 基礎(chǔ)上又添一層安全。全面部署 DNSSEC 可確保終端用戶連接與特定域名綁定的真實網(wǎng)站或其他服務(wù)。ICANN 聲明道:盡管不能解決互聯(lián)網(wǎng)所有安全問題,但 DNSSEC 確實保護(hù)了互聯(lián)網(wǎng)關(guān)鍵部分——目錄查找功能,補(bǔ)充了 SSL (https:) 等保護(hù) “會話” 的其他技術(shù),并為有待開發(fā)的安全改善鋪平了道路。
DNSSEC 技術(shù)自 2010 年左右便已有之,但并未廣泛部署。亞太地區(qū)互聯(lián)網(wǎng)地址注冊機(jī)構(gòu)亞太網(wǎng)絡(luò)信息中心 (APNIC) 指出,全球 DNS 注冊機(jī)構(gòu)中只有不到 20% 部署了 DNSSEC。
DNSSEC 采用滯后使因為該功能只是可選項,且需要在安全與功能性上做取舍。
固有DNS威脅
DNS 劫持固然是最前沿的攻擊方法,但其他歷史更為悠久的威脅依然存在。
前面提及的 IDC/EfficientIP 調(diào)查研究發(fā)現(xiàn),相比去年,大多數(shù) DNS 威脅都已發(fā)生了改變。基于 DNS 的惡意軟件 (39%) 是去年黑客最愛,但今年被網(wǎng)絡(luò)釣魚 (47%) 超越,緊跟其后的是 DDoS 攻擊 (30%)、誤報觸發(fā) (26%) 和 域名鎖定攻擊 (26%)。
專家稱,DNS 緩存中毒,或者說 DNS 欺騙,也依然十分普遍。攻擊者可運用緩存中毒技術(shù)將惡意數(shù)據(jù)注入 DNS 解析服務(wù)器的緩存系統(tǒng)中,嘗試將用戶重定向至攻擊者的站點。然后便可盜取個人信息或其他情報了。
DNS 隧道運用 DNS 協(xié)議構(gòu)建隱藏通信信道繞過防火墻,是另一種形式的攻擊威脅。
Palo Alto 安全團(tuán)隊 Unit 42 詳細(xì)描述了著名 DNS 隧道攻擊 OilRig:
至少從 2016 年 5 月開始,OilRig 便通過利用 DNS 隧道進(jìn)行命令與控制通信的木馬來盜取數(shù)據(jù)。Unit 42 在關(guān)于 OilRig 的博客文章中稱,該威脅組織不斷引入利用不同隧道協(xié)議的新工具。
OilRig 組織反復(fù)使用 DNS 隧道作為其命令與控制服務(wù)器 (C2) 和其他很多工具之間的通信信道。
Unit 42 指出:使用 DNS 隧道的主要缺點在于,需發(fā)送大量 DNS 查詢請求才能在工具與 C2 服務(wù)器之間來回傳輸數(shù)據(jù),這在監(jiān)視網(wǎng)絡(luò) DNS 活動的機(jī)構(gòu)面前無所遁形。
DNS攻擊緩解
專家表示,企業(yè)可采取一些措施防止 DNS 攻擊。
Talos 安全專家 William 稱,雙因子身份驗證 (2FA) 是用戶可采取的便利防御手段。2FA 很容易實現(xiàn),大家現(xiàn)在都理解什么叫雙因子身份驗證了,不再對此大驚小怪。公司企業(yè)應(yīng)及時更新面向公眾的站點,現(xiàn)在早已過了可以寄希望于黑客不會找到自己頭上的時代。
DNS 安全最佳實踐建議也是車載斗量。我們不妨從美國國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局 (CISA) 的安全建議開始。
CISA DNS 最佳安全實踐包括:
- 更新 DNS 賬戶密碼。更新密碼可終止未授權(quán)黑客目前可能持有的賬戶訪問權(quán)。
- 審查驗證 DNS 記錄,確保按既定地址解析而不是重定向到別的地方。這有益于發(fā)現(xiàn)活躍 DNS 劫持。
- 審計公開 DNS 記錄,驗證是否解析至既定位置。
- 搜索與域名相關(guān)聯(lián)的加密憑證,撤銷所有非法請求的證書。
- 監(jiān)視證書透明性日志,查找機(jī)構(gòu)未請求卻頒發(fā)的證書。這有助于防御者知曉是否有人嘗試假冒自身或監(jiān)視其用戶。
DNS 安全供應(yīng)商 NS1 建議對域名注冊機(jī)構(gòu)采取以下措施:
- 確保每個注冊機(jī)構(gòu)賬戶都開啟了 2FA,且口令不易猜解,存放安全,不跨多個服務(wù)重復(fù)使用。
- 攻擊者可能會嘗試走賬戶恢復(fù)程序來獲取域名管理權(quán)限,所以,要確保聯(lián)系人信息準(zhǔn)確且及時更新。這對 DNS 安全而言非常重要,因為域名往往在公司電子郵件賬戶可用前就注冊了。
- 很多域名注冊機(jī)構(gòu)提供“鎖定”服務(wù),要求額外的安全強(qiáng)化步驟才可以修改域名信息。最好了解自己都有哪些“鎖定”服務(wù)可用,考慮應(yīng)用此類服務(wù),尤其是要用到高價值域名上。
- 啟用日志功能,以便審查做過的任何修改。
DNS 托管可采取的措施:
- 所有 DNS 托管賬戶均開啟 2FA,采用強(qiáng)密碼:不易猜解,不跨服務(wù)重用。
- 備份關(guān)鍵 DNS 域,以便萬一發(fā)生安全事件時可以恢復(fù)。
- 考慮采用配置即代碼 (configuration-as-code) 方法管理 DNS 域變動。
- 啟用日志功能,以便審查做過的任何修改。
EfficientIP 建議:
- 實現(xiàn) DNS 流量實時行為威脅檢測,這可使發(fā)送到安全信息與事件管理 (SIEM) 的不再是雜亂日志而是有用安全事件。
- 采用實時 DNS 分析技術(shù),有助于檢測并挫敗域名生成算法 (DGA) 惡意軟件和零日惡意域名之類高級攻擊。
- 網(wǎng)絡(luò)安全編排過程中集成 DNS 與 IP 地址管理 (IPAM),輔助自動化安全策略管理,保持策略更新、一致與可審計。
ICANN 的 DNS 安全檢查清單如下:
- 確保所有系統(tǒng)安全補(bǔ)丁均經(jīng)過審查并已應(yīng)用;
- 檢查日志文件,查找系統(tǒng)未授權(quán)訪問,尤其是未授權(quán)管理員訪問;
- 審查對管理員 (“root”) 權(quán)限的內(nèi)部控制;
- 驗證每條 DNS 記錄的完整性及其修改歷史;
- 強(qiáng)制要求足夠的密碼復(fù)雜度,尤其是密碼長度;
- 確保密碼不與其他用戶共享;
- 保證密碼從不以明文存儲或傳輸;
- 實施定期密碼修改策略;
- 實施密碼輸錯鎖定策略;
- 確保 DNS 域記錄經(jīng) DNSSEC 簽名,DNS 解析服務(wù)器執(zhí)行 DNSSEC 驗證;
- 確保電子郵件域名具備以發(fā)送方策略框架 (SPF) 和/或 域名密鑰識別郵件 (DKIM) 協(xié)議實現(xiàn)的域消息身份驗證機(jī)制,并保證實施了自身電子郵件系統(tǒng)上其他域名提供的此類策略。
IDC 《全球 DNS 威脅報告》:
https://www.efficientip.com/resources/idc-dns-threat-report-2019/
Talos “海龜” 4 月報告:
https://blog.talosintelligence.com/2019/04/seaturtle.html
Talos “海龜” 7 月報告:
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming.html
Talos DNSpionage 博客文章:
https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html
英國國家網(wǎng)絡(luò)安全中心 (NCSC) 本月發(fā)布的 DNS 攻擊警告:
https://www.ncsc.gov.uk/news/ongoing-dns-hijacking-and-mitigation-advice
CISA《緊急情況指令》:
https://cyber.dhs.gov/ed/19-01/
Unit 42 OilRig 博客文章:
DNS Tunneling in the Wild: Overview of OilRig’s DNS Tunneling