DNS劫持,隧道,网络钓鱼,缓存中毒,DDoS攻击.许多DNS威胁即将来临。
域名系统(DNS)受到多次攻击,随着黑客攻击方法变得越来越复杂,DNS攻击似乎无穷无尽。
DNS就像是一个互联网电话簿,它将人们友好的域名与计算机访问网站或发送电子邮件所需的号码数量联系起来。虽然DNS一直是寻求各种企业和个人信息的攻击者的创新目标,但去年的DNS攻击表明这种威胁变得越来越激烈。
据国际数据公司(IDC)称,全球82%的公司在过去一年中都经历过DNS攻击。 DNS安全提供商EfficientIP委托该研究公司在2019年上半年对全球904家公司进行了调查,并在此基础上最近推出了第五期年度版《全球 DNS 威胁报告》。
IDC的研究表明,与一年前相比,与DNS攻击相关的平均损失增加了49%。一家美国公司的DNS攻击平均损失超过127万美元,是世界上所有地区中最高的。近一半(48%)的受访者表示DNS攻击可能花费超过50万美元;近10%的受访者表示该公司每次攻击损失超过500万美元。此外,大多数美国公司表示,缓解DNS攻击需要一天以上的时间。
令人担忧的是,云中的内部应用程序和应用程序受到破坏,内部应用程序的停机时间增加了一倍以上,这使其成为公司目前面临的最常见的损害。 DNS攻击正在从纯粹的暴力攻击转变为内部网络的复杂攻击,迫使企业使用智能缓解工具来应对内部威胁。
海龟DNS的隔离
今天,名为“海龟”的DNS劫持活动仍在继续,生动地反映了当前的DNS威胁。
本月,思科Talos安全调查小组警告说,“海龟”袭击背后的黑客组织一直在改进其攻击,整合新的基础设施并寻找新的受害者。
今年4月,Talos发布了一份关于“海龟”活动的详细报告,该活动被称为“第一个在网络间谍活动中使用域名注册的案例”。 Talos表示,正在进行的DNS威胁活动是一种攻击状态的攻击,该攻击滥用DNS收集登录凭据以访问敏感网络并以受害者无法检测到的方式访问系统,它演示了独特的DNS操作实践。通过获取受害者的DNS控制,攻击者可以修改或伪造任何互联网数据,非法修改DNS域名注册并将用户指向其控制下的服务器;访问这些网站的用户不知道。
Talos报告于4月发布后,“海龟”背后的黑客团伙似乎已经进行了重组,并强调引入新的基础设施。 Talos研究人员认为这是不寻常的:在正常情况下,黑客组织在暴露之后会保持沉默一段时间。 “乌龟”非常厚颜无耻,似乎并不害怕并继续攻击。
我们发现了一种新的DNS劫持技术,基本上被认为与“海龟”组织有关。新技术类似于“海龟”,它处理域名服务器记录并使用虚假A记录响应用户的DNS请求。迄今为止,这种新技术仅在一些高度针对性的攻击中被发现。我们还确定了新的受害者浪潮,包括国家代码顶级域名注册商(ccTLD)。该机构管理使用此特定国家/地区代码的所有域名,并且更多政府实体在被黑客攻击后遭受损失。不幸的是,除非为改进DNS安全性做出重要更改,否则此类攻击将继续存在。
DNSpionage工具更新
另一个更新的DNS威胁是名为DNSpionage的攻击。
DNSpionage最初使用包含招聘信息的两个恶意网站捕获目标,并且恶意构建的宏文件嵌入到网站中,其中包含精心构建的Microsoft Office——文档。此恶意软件支持通过HTTP和DNS协议与攻击者进行通信。攻击者继续开发新的攻击技术。
Talos报告指出,DNSpionage恶意软件攻击者的持续发展表明,它一直在寻求寻找绕过它的新方法的意图。 DNS隧道是攻击者常见的数据泄漏方法。 DNS基本上是一个互联网电话簿。一旦改变,任何人都很难确定他们正在浏览的在线内容是真是假。
DNSpionage攻击的目标是中东的公司名称和阿拉伯联合酋长国政府的名称。
Talos Threat Intelligence Reach Manager的Craig Williams说:
DNS攻击或DNS保护的最大问题之一是自满。该公司始终认为DNS非常稳定,不必担心任何问题。但是像DNSpionage和“海龟”这样的攻击的现实与这种认知完全相反,因为攻击者已经知道如何使用DNS——来窃取凭据而不需要用户知道,正如“乌龟”攻击所显示的那样。就是这样。这是一个非常现实的潜在问题。例如,如果您知道您的域名服务器被黑客攻击,则可以强制用户更改其密码。但是如果攻击者是域名注册商,从根源到用户指向攻击者控制下的域名,他就无法找到发生的事情,因为他拥有的一切都是完整的。这是新威胁非常恶劣的地方。
一旦攻击者公开使用这种方法,效果很好,其他黑客就会跟随:嘿?为什么我不使用这个技巧在感兴趣的网站上获得许多登录凭据?
DNS安全警告不断发布
国家网络安全中心(NCSC)本月发出警告,提请注意当前正在进行的DNS攻击,特别是DNS劫持攻击。不断增长的DNS劫持攻击带来的风险包括:
1.创建恶意DNS记录
恶意DNS记录可用于在公司域名中创建网络钓鱼站点。公司的员工或客户是这些网站的目标。
2.获取SSL证书
SSL域验证凭据基于DNS记录发布;因此,攻击者可以获取域名的有效SSL凭据,以便随后创建看起来像真实网站的网络钓鱼站点。
3.透明代理
最近出现的一个严重威胁是透明代理流量,攻击者可以使用它来拦截数据。攻击者修改公司配置的域条目(例如“A”或“CNAME”记录),以将流量引导到其控制下的IP地址。
公司可以完全失去对自己域名的控制权,攻击者经常会修改域名所有者的信息,以阻碍公司的恢复。
这些新威胁和其他危险导致美国政府在今年早些时候向联邦机构发出关于DNS攻击的警告。
美国国土安全部(DHS)的网络安全和基础设施局(CISA)指示联邦机构维护其DNS并为全球范围内的各种黑客活动做好准备。
CISA在其《紧急情况指令》中指出,已经检测到DNS基础设施的一系列事件。 CISA写道,几个行政分支域名受到DNS操纵活动的影响,并已通知相关机构进行维护工作。
CISA表示,攻击者成功拦截并重定向了网络和电子邮件流量,可能涉及其他网络服务。该机构认为,攻击者可以通过窃取具有修改DNS记录权限的用户帐户凭据开始。接下来,攻击者操纵DNS记录,例如Addrss,Mail Exchanger和Name Server,用攻击者控制下的地址替换这些服务的合法地址。
通过这些操作,攻击者可以将用户流量引导到其基础架构来操纵或验证它,然后选择是否将其转移到合法服务。 CISA表示,此类行为带来的风险比流量重定向时要长得多。由于攻击者可以建立DNS记录的内容并获得公司域名的有效加密证书,因此它还可以将重定向的流量解密到自己的基础架构并获取用户发送的数据。最终用户不受任何错误指示的影响,因为证书有效。
了解域名系统安全扩展(DNSSEC)的趋势
DNS安全提供商NS1的联合创始人兼首席执行官Kris Beevers表示,作为潜在目标的公司,尤其是那些使用自己的应用程序来捕获或公开用户和公司数据的公司,应该遵循NSCS的建议并敦促他们DNS和注册提供商可以标准化DNSSEC和其他最佳域名安全实践,并使这些DNS安全操作易于实施。当今市场上可用的技术有助于实现DNSSEC签名和域名安全的其他最佳实践。企业公司应与供应商及其自己的安全团队合作,审核自己的DNS安全实施。
今年早些时候,为响应越来越多的DNS攻击,ICANN要求业界加强对强大DNS安全技术的使用。那时,DNSSEC经常看报纸。
ICANN希望在所有不安全的域名中全面实施DNSSEC。 DNSSEC为DNS添加了另一个安全层。 DNSSEC的全面实施可确保最终用户连接到真实网站或链接到特定域名的其他服务。 ICANN声明虽然它没有解决所有互联网安全问题,但DNSSEC保护互联网的关键部分免受——目录搜索功能的影响,补充了其他技术,如SSL(https:),保护“会话”并为之铺平道路开发了安全性改进。这条路
DNSSEC技术自2010年开始存在,但尚未得到广泛实施。亚太地区的互联网地址注册商亚太网络信息中心(APNIC)指出,全球DNS记录中只有不到20%实施了DNSSEC。
DNSSEC使用延迟,因为此功能仅是可选的,需要在安全性和功能之间进行补偿。
DNS固有的威胁
DNS劫持无疑是最先进的攻击方法,但还存在其他较老的威胁。
上面提到的IDC/EfficientIP调查发现,与去年相比,大多数DNS威胁发生了变化。去年基于DNS的恶意软件(39%)是黑客的最爱,但今年它被网络钓鱼(47%),DDoS攻击(30%),误报(26%)和攻击所超越域锁(26%)。专家表示,DNS缓存中毒或DNS模拟仍然很常见。攻击者可以使用缓存中毒技术将恶意数据注入DNS解析服务器的缓存系统,并尝试将用户重定向到攻击者的站点。然后,您可以窃取个人信息或其他信息。
DNS隧道使用DNS协议构建隐藏的通信通道以避免防火墙,防火墙是另一种形式的攻击威胁。
Palo Alto安全团队的第42单元详细介绍了着名的OilRig DNS隧道攻击:
至少自2016年5月以来,OilRig通过使用DNS隧道订购和控制通信的特洛伊木马窃取数据。在一篇关于OilRig的博客文章中,42号机构表示威胁组织不断推出利用不同隧道协议的新工具。
OilRig组织反复使用DNS隧道作为其命令和控制服务器(C2)与许多其他工具之间的通信通道。
第42单元指出,使用DNS隧道的主要缺点是必须发送大量DNS查询请求以在工具和C2服务器之间将数据从一侧传输到另一侧,这对于监视组织是不可见的网络的DNS活动。
DNS攻击缓解
专家表示,公司可以采取措施防止DNS攻击。
Talos安全专家William表示,双因素身份验证(2FA)是用户可以采取的便捷防御措施。 2FA易于实施,现在每个人都了解双因素身份验证是什么,他们不再关心它。公司必须及时更新他们的公共网站,现在是时候期待黑客找不到自己的时间了。
还集成了DNS安全最佳实践建议。我们可能希望从美国国土安全部网络安全和基础设施安全局(CISA)的安全建议开始。 UU。
1. CISA DNS安全最佳实践包括:
更新DNS帐户密码。密码更新取消了未经授权的黑客当前可以拥有的帐户的访问权限。
检查并验证DNS记录,以确保它们在某个地址解析,而不是重定向到另一个位置。这有助于发现主动DNS劫持。
审核公共DNS记录以验证它们是否在特定位置得到解析。
搜索与域名关联的加密凭据并撤消所有非法请求的证书。
监视证书透明度注册表以查找组织未请求的证书。这有助于防御者知道是否有人试图冒充自己或监视他的用户。
2. DNS安全提供商NS1建议采用以下域名注册措施:
确保为每个注册帐户启用2FA,并且密码不容易猜测,存储安全且不会在多个服务中重复使用。攻击者可以尝试使用帐户恢复程序来获取域名管理权限,因此请确保联系信息准确无误并且是最新的。这对DNS安全非常重要,因为域名通常在公司的电子邮件帐户可用之前注册。
许多域名注册商提供“阻止”服务,需要额外的安全性强化步骤来修改域名信息。了解您可用的“阻止”服务是个好主意,并考虑使用这些服务,尤其是对于高价值域名。
启用注册以查看您所做的任何更改。
3. DNS托管的可能措施:
使用强密码为所有DNS托管帐户启用2FA:不容易猜测,它不会在所有服务中分发。
制作关键DNS域的备份副本,以便在发生安全事件时可以恢复。
将配置方法视为管理DNS域更改的代码。
启用注册以查看您所做的任何更改。
4. EfficientIP建议:
检测DNS流量的实时行为威胁,这使得它不再是发送到安全信息和事件管理(SIEM)的混乱记录,而是一个有用的安全事件。
实时DNS分析技术有助于检测和破坏高级攻击,例如域名生成算法(DGA)恶意软件和恶意零日域名。
在网络安全协调期间对DNS和IP地址(IPAM)进行集成管理,协助自动管理安全策略,保持策略更新的一致性和可审计性。
5. ICANN DNS安全检查表如下:
务必检查并应用所有系统安全补丁;
检查日志文件以查找系统未经授权的访问,尤其是未经授权的管理员;
检查管理员权限的内部控制(“root”);
验证每个DNS记录的完整性及其更改历史记录;
应用足够的密码复杂性,尤其是密码长度
确保密码不与其他用户共享;
确保密码永远不会以明文形式存储或传输;
实施常规密码修改策略;
中文
电话咨询
微信咨询
公众号
