全球性的DNS劫持活動:大規模DNS記錄操控
責編:gltian |2019-01-14 15:32:44簡介
最近FireEye的Mandiant事件響應和情報團隊發現了一波DNS劫持活動,該活動已經影響到了中東、北非、歐洲和北美的政府、電信和互聯網設備實體的數十個域名。雖然我們目前還沒有找到與此攻擊活動有關系的受監測組織,但最初研究表明攻擊者與伊朗有關系。該活動以幾乎前所未有的規模,針對了全球受害者并取得了很大的成功。數月來,我們一直在跟蹤這項活動,并且在試著去弄明白攻擊者部署的新策略,技術和程序(TTP)。我們還與受害者,安全組織以及執法機構密切合作,期望以此減輕攻擊帶來的影響并阻止后續攻擊帶來的進一步損失。
雖然此攻擊活動采用了一些傳統策略,但它與我們所看到的伊朗其他大規模利用DNS劫持的活動不同。攻擊者使用這些技術作為他們的初始立足點,之后再通過多種方式來利用。在這篇博文中,我們詳細介紹了檢測到的三種不同的通過操作DNS記錄實現攻擊的方式。
初步研究表明伊朗可能有支持此活動
此活動的歸因分析正在進行中。本文中描述的DNS記錄操作復雜且值得引起關注,該活動跨越了不同的時間范圍,設備架構和服務提供商,因此它們可能不是由某個攻擊者或組織獨立發起的。
- 從2017年1月到2019年1月,該活動的多個集群一直處于活躍狀態。
- 此活動中使用了多個非重疊的攻擊者控制域和IP集群。
- 加密證書和VPS主機選自于大量不同的提供商。
根據初步技術證據,我們有一定的信心認為該活動是和伊朗有關系的人發起的,并且該活動與伊朗政府的利益是保持一致的。
- FireEye情報部門檢測到伊朗的IP與攻擊中負責攔截、記錄以及轉發網絡流量的機器有聯系。雖然IP地址的地理位置是一個弱指標,但這些IP地址是之前在對伊朗網絡間諜行為者的入侵行為的響應中監測到的。
- 該集團的目標實體包括中東政府,其機密信息是伊朗政府感興趣的,而且其財務價值相對較低。
技術細節
下例使用victim[.]com來表示受害者的域名,以及私有IP地址來表示受攻擊者控制的IP地址。
技術細節1 – 域名A記錄(DNS A Record)
攻擊者利用的第一種方式是修改域名A記錄,如圖1所示。
圖1: 域名A記錄
- 攻擊者登入至PXY1,PXY1是用來進行非歸屬瀏覽的代理框,并且作為跳轉框進入其他設備。
- 攻擊者使用之前獲取到的憑據登錄DNS提供商的管理面板。
- A記錄(例如mail[.]victim[.]com)當前指向192.168.100.100。
- 攻擊者將A記錄指向10.20.30.40(被操控的主機OP1)。
- 攻擊者從PXY1登錄到OP1。
- 設置一個監聽所有開放端口的代理,鏡像到mail[.]victim[.]com
- 設置一個負載均衡器指向192.168.100.100[mail[.]viatim[.]com]來傳遞用戶流量
- 使用cerbot為mail[.]victim[.]com創建Let’s Encrypt證書。
- 我們檢測到多個域控制驗證提供程序(DCV)被用于活動的一部分。
- 現在一個用戶訪問mail[.]victim[.]com,被定向到OP1。因為Let’s Encrypt Authority X3是可信的,Let’s Encrypt證書允許瀏覽器在無證書錯誤的情況下建立連接。連接被轉發至負載均衡器,從而建立了與真正的mail[.]victim[.]com網站的連接。用戶發現不出任何變化,最多能感覺到輕微的延遲。
- 收集并存儲用戶銘以及密碼和域憑據。
技術細節2 – 域名NS記錄(DNS NS Record)
攻擊者利用的第二種方式是修改NS記錄,如圖2所示。
圖2: 域名NS記錄
- 攻擊者再次登錄PXY1。
- 然而這次攻擊者利用了先前入侵的注冊商或ccTLD。
- 名稱服務器中的記錄ns1[.]victim[.]com當前設置為192.168.100.200。攻擊者將NS記錄指向ns1[.]baddomain[.]com [10.1.2.3]。當收到mail[.]victim[.]com的解析請求時名稱服務器會返回10.20.30.40(OP1),而如果是www[.]victim[.]com的話就會返回原來的IP192.168.100.100。
- 攻擊者從PXY1登錄到OP1。
- 實現代理偵聽所有開發端口,鏡像到mail[.]victim[.]com
- 設置一個負載均衡器指向192.168.100.100[mail[.]viatim[.]com]來傳遞用戶流量
- 使用cerbot為mail[.]victim[.]com創建Let’s Encrypt證書。
- 我們檢測到多個域控制驗證提供程序(DCV)被用于活動的一部分。
- 現在一個用戶訪問mail[.]victim[.]com,被定向到OP1。因為Let’s Encrypt Authority X3是可信的,Let’s Encrypt證書允許瀏覽器在無證書錯誤的情況下建立連接。連接被轉發至負載均衡器,從而建立了與真正的mail[.]victim[.]com網站的連接。用戶發現不出任何變化,最多能感覺到輕微的延遲。
- 收集并存儲用戶銘以及密碼和域憑據。
技術細節3 – DNS重定向器
我們發現攻擊者還結合了圖1及圖2,實現了第三種攻擊方式。該方式涉及到DNS重定向,如圖3。
圖3: DNS操作框
攻擊者使用DNS重定向器來對DNS請求做出響應。
- OP2(基于先前修改的A記錄或NS記錄)收到mail[.]victim[.]com的DNS請求。
- 如果該域隸屬于victim[.]com,OP2會返回一個受攻擊者控制的IP地址,于是用戶會被重定向至攻擊者控制的設備。
- 如果該域不屬于victim[.]com的一部分(例如 google[.]com),OP2則會向合法的DNS發出請求并將獲取的合法IP地址返回至用戶。
目標
大量組織已經被這種DNS記錄操控以及欺詐性SSL證書攻擊模式所影響。這些組織包括電信和ISP提供商,互聯網設備提供者,政府以及敏感商業實體。
根本原因仍在調查中
很難為每個記錄變化識別單個入侵矢量,并且攻擊者可能正在使用多種方法來獲取進入上述目標的初始立足點。FireEye情報客戶之前已經收到過描述了一次復雜的釣魚攻擊事件的報告,而那個攻擊者也同樣使用了DNS記錄操作攻擊手法。此外,盡管DNS記錄得以修改的確切方法仍不清楚,但我們認為至少其中一些記錄是通過入侵受害者的域名注冊商賬戶而修改的。
預防策略
這類攻擊很難防御,因為就算攻擊者永遠無法直接訪問您的組織的網絡,但也可能會竊取有價值的信息。您可以通過以下幾步來加強防御:
- 在您的域管理門戶上實施多重身份驗證。
- 驗證A記錄和NS記錄是否被修改。
- 搜索與您的域相關的SSL證書并撤銷惡意證書。
- 驗證OWA/Exchange日志中的源IP。
- 進行內部調查,以評估攻擊者是否可以訪問您的環境。
結論
該DNS劫持以及其被利用的規模均展示了伊朗的攻擊者在戰術上的持續演變。這是我們最近觀察到的一組TTP的概述。我們現在重點討論到這個,就是希望潛在的受害者可以采取一些適當的防御措施。