DNS威脅及緩解措施大盤點
責編:gltian |2019-07-31 17:51:25DNS 劫持、隧道、網絡釣魚、緩存中毒、DDoS 攻擊……諸多 DNS 威脅洶涌襲來。
域名系統 (DNS) 一直承受著各種攻擊,隨著黑客手段日趨復雜,DNS 攻擊似乎永無盡頭。
DNS 就好像互聯網電話簿,將人們好記的域名與電腦訪問網站或發送電子郵件所需的數串號碼對應聯系在一起。雖然 DNS 一直以來都是攻擊者謀求各類企業及個人信息的突破目標,去年的 DNS 攻擊情況卻表明此類威脅越來越兇猛了。
國際數據公司 (IDC) 報告稱,過去一年中,全球 82% 的公司遭遇過 DNS 攻擊。該研究公司受 DNS 安全供應商 EfficientIP 委托,于 2019 年上半年對全球 904 家公司企業進行了問卷調查,并在此基礎上于最近發布了其第五份年度《全球 DNS 威脅報告》。
IDC 的研究顯示,與一年前相比,DNS 攻擊相關平均損失上升了 49%。美國公司企業遭遇 DNS 攻擊的平均損失超 127 萬美元,為世界各地區最高。近一半 (48%) 受訪者報告稱,一次 DNS 攻擊就可造成 50 萬美元以上損失;近 10% 則稱每次攻擊令公司損失超 500 萬美元。另外,大部分美國公司表示,緩解 DNS 攻擊需一天以上。
令人擔憂的是,內部應用和云應用都會遭到破壞,內部應用宕機時長翻了一倍多,成為公司企業當前遭遇的最普遍傷害。DNS 攻擊正從純暴力攻擊轉向由內部網絡而起的復雜攻擊,迫使公司企業運用智能緩解工具應對內部人威脅。
海龜 (Sea Turtle) DNS 劫持
名為 “海龜 (Sea Turtle) ” 的 DNS 劫持攻擊活動如今仍在持續,生動反映出當今 DNS 威脅景象。
本月,思科 Talos 安全研究團隊警告稱,“海龜” 攻擊行動背后的黑客團伙一直在改進自身攻擊,納入新基礎設施,狩獵新受害者。
今年 4 月,Talos 發布詳細揭秘 “海龜” 活動的報告,稱之為 “域名注冊機構被利用于網絡間諜行動的首個案例”。Talos 稱,該仍在持續的 DNS 威脅活動是國家支持的攻擊,濫用 DNS 收割登錄憑證,以受害者無法檢測的方式獲取敏感網絡及系統訪問權,展現了獨特的 DNS 操縱手法。
通過獲取受害者 DNS 控制權,攻擊者可修改或偽造任意互聯網數據,非法修改 DNS 域名記錄,將用戶指向自己控制下的服務器;訪問這些站點的用戶無從覺察。
4 月份 Talos 報告發布后,“海龜” 背后的黑客團伙似乎經歷了重組,加倍重視新基礎設施引入。Talos 研究人員認為這很不尋常:通常情況下,黑客組織被曝光后都會沉寂一段時間,“海龜” 卻異常厚顏無恥,而且似乎不會被嚇退,仍在開展攻擊。
我們發現了一種新的 DNS 劫持技術,基本確信與 ‘海龜’ 組織有關。該新技術類似 ‘海龜’ 篡改域名服務器記錄并以虛假 A 記錄響應用戶 DNS 請求的手法。迄今為止,這種新技術尚僅見于少數高針對性攻擊行動中。我們還識別出了新一波受害者,包括一家國家代碼頂級域 (ccTLD) 注冊機構。該機構管理著使用此特定國家代碼的所有域名,被黑后更多政府實體由此遭殃。不幸的是,除非做出重大改變加強 DNS 安全,否則此類攻擊仍將十分普遍。
DNSpionage 工具升級
另一個更近期的 DNS 威脅是名為 DNSpionage 的攻擊活動。
DNSpionage 最初利用兩個包含招聘信息的惡意網站捕獲目標,網站上放置有精心構造的微軟 Office 文檔——植入了惡意宏代碼。該惡意軟件支持通過 HTTP 和 DNS 協議與攻擊者通信。且攻擊者仍在繼續開發新的攻擊技術。
Talos 報告中寫道:攻擊者持續開發 DNSpionage 惡意軟件的行為,顯示出其不斷找尋檢測規避新方法的意圖。DNS 隧道是一些攻擊者常用的數據滲漏方法,最近的 DNSpionage 樣本告訴我們:必須像監控公司常規代理或網絡日志一樣監視 DNS。DNS 基本上就是互聯網電話簿,一旦遭到篡改,誰都難以識別自己瀏覽的網上內容是真是假。
DNSpionage 攻擊活動的目標是中東地區公司企業和阿拉伯聯合酋長國政府域名。
Talos 威脅情報外聯經理 Craig Williams 稱:
DNS 攻擊,或者說 DNS 防護缺乏最大的問題之一,是自滿情緒。公司企業總覺得 DNS 非常穩定,不用擔心會出什么問題。但 DNSpionage 和 ‘海龜’ 之類的攻擊反映出的現實與這種認知恰恰相反,因為攻擊者已經知道怎么利用 DNS 了——在用戶無從覺察的情況下盜取憑證,正如 ‘海龜’ 攻擊所展示的那樣。這是個很現實的潛在問題。
比如說,如果你知道自己的域名服務器被黑了,你還可以強制用戶修改自身密碼。但如果攻擊者動的是域名注冊機構,從根上將用戶導引致攻擊者控制下的域名,你完全發現不了發生了什么,因為你的所有東西都原封未動。這就是此類新威脅窮兇極惡的地方。
一旦有攻擊者開始公開使用這種方法,而且效果很好,其他黑客就會跟進:誒?我為嘛不用這招把感興趣的網站登錄憑證搞上一批呢?
DNS 安全警告不斷發出
英國國家網絡安全中心 (NCSC) 本月發布警告,提請用戶注意當前持續發生的 DNS 攻擊,尤其是 DNS 劫持攻擊。DNS 劫持攻擊上升引發的風險包括:
創建惡意 DNS 記錄
惡意 DNS 記錄可用于在公司常用域名上創建網絡釣魚網站。公司員工或客戶都是此類網站的釣魚對象。
獲取 SSL 憑證
域驗證 SSL 憑證基于 DNS 記錄頒發;因此攻擊者可獲取域名的有效 SSL 憑證,用于后續創建貌似真實網站的網絡釣魚站點。
透明代理
最近冒頭的一類嚴重威脅是透明代理流量,可被攻擊者用來攔截數據。攻擊者修改公司配置好的域條目(比如 “A” 或 “CNAME” 記錄),將流量導引至自己控制下的 IP 地址。
公司可能會完全失去對自身域名的控制,攻擊者常會修改域名擁有者信息,令公司更難恢復。
這些新威脅及其他危險促使美國政府于今年早些時候向聯邦機構發布了一條關于 DNS 攻擊的警告。
美國國土安全部 (DHS) 網絡安全與基礎設施安全局 (CISA) 指示各聯邦機構守好自己的 DNS,做好面對一系列全球黑客活動的準備。
CISA 在其《緊急情況指令》中稱,已檢測到一系列針對 DNS 基礎設施的事件。CISA 寫道:多個行政分支機構域名受到 DNS 篡改活動影響,已通知相關機構做好維護工作。
CISA 表示,攻擊者成功攔截并重定向了 Web 和電子郵件流量,可能染指其他聯網服務。該機構認為,攻擊者從盜取某具有 DNS 記錄修改權限的用戶賬戶憑證入手。接下來,攻擊者篡改了 DNS 記錄,比如 Addrss、Mail Exchanger、Name Server 記錄,將這些服務的合法地址替換成了攻擊者控制下的地址。
通過這些動作,攻擊者可將用戶流量導引到自己的基礎設施上加以篡改或檢查,然后再選擇是否傳給合法服務。CISA 聲明,此類動作產生的風險,持續時間遠不止流量重定向期間。
因為攻擊者可設置 DNS 記錄內容,也能獲得公司域名有效加密憑證,也就能解密重定向到自己基礎設施的流量,獲取用戶提交的任意數據。由于證書有效,終端用戶不會受到任何出錯提示。
跟上域名系統安全擴展 (DNSSEC) 趨勢
DNS 安全提供商 NS1 共同創始人兼首席執行官 Kris Beevers 稱:身為潛在目標的企業,尤其是那些自身應用會獲取或暴露用戶及公司數據的企業,應聽從 NSCS 的建議,敦促自己的 DNS 及注冊供應商標準化 DNSSEC 及其他域名安全最佳實踐,并使這些 DNS 安全操作便于實現。當前市場上的可用技術能夠方便實現 DNSSEC 簽名及其他域名安全最佳實踐。公司企業應與提供商及自身安全團隊協作,審計自己的 DNS 安全實現。
今年早些時候,為響應日漸增多的 DNS 攻擊,互聯網名稱與數字地址分配機構 (ICANN) 呼吁業內加強健壯 DNS 安全技術的應用。當時 DNSSEC 便已頻繁見諸報端。
ICANN 希望在所有不安全域名上全面部署 DNSSEC。DNSSEC 在 DNS 基礎上又添一層安全。全面部署 DNSSEC 可確保終端用戶連接與特定域名綁定的真實網站或其他服務。ICANN 聲明道:盡管不能解決互聯網所有安全問題,但 DNSSEC 確實保護了互聯網關鍵部分——目錄查找功能,補充了 SSL (https:) 等保護 “會話” 的其他技術,并為有待開發的安全改善鋪平了道路。
DNSSEC 技術自 2010 年左右便已有之,但并未廣泛部署。亞太地區互聯網地址注冊機構亞太網絡信息中心 (APNIC) 指出,全球 DNS 注冊機構中只有不到 20% 部署了 DNSSEC。
DNSSEC 采用滯后使因為該功能只是可選項,且需要在安全與功能性上做取舍。
固有DNS威脅
DNS 劫持固然是最前沿的攻擊方法,但其他歷史更為悠久的威脅依然存在。
前面提及的 IDC/EfficientIP 調查研究發現,相比去年,大多數 DNS 威脅都已發生了改變。基于 DNS 的惡意軟件 (39%) 是去年黑客最愛,但今年被網絡釣魚 (47%) 超越,緊跟其后的是 DDoS 攻擊 (30%)、誤報觸發 (26%) 和 域名鎖定攻擊 (26%)。
專家稱,DNS 緩存中毒,或者說 DNS 欺騙,也依然十分普遍。攻擊者可運用緩存中毒技術將惡意數據注入 DNS 解析服務器的緩存系統中,嘗試將用戶重定向至攻擊者的站點。然后便可盜取個人信息或其他情報了。
DNS 隧道運用 DNS 協議構建隱藏通信信道繞過防火墻,是另一種形式的攻擊威脅。
Palo Alto 安全團隊 Unit 42 詳細描述了著名 DNS 隧道攻擊 OilRig:
至少從 2016 年 5 月開始,OilRig 便通過利用 DNS 隧道進行命令與控制通信的木馬來盜取數據。Unit 42 在關于 OilRig 的博客文章中稱,該威脅組織不斷引入利用不同隧道協議的新工具。
OilRig 組織反復使用 DNS 隧道作為其命令與控制服務器 (C2) 和其他很多工具之間的通信信道。
Unit 42 指出:使用 DNS 隧道的主要缺點在于,需發送大量 DNS 查詢請求才能在工具與 C2 服務器之間來回傳輸數據,這在監視網絡 DNS 活動的機構面前無所遁形。
DNS攻擊緩解
專家表示,企業可采取一些措施防止 DNS 攻擊。
Talos 安全專家 William 稱,雙因子身份驗證 (2FA) 是用戶可采取的便利防御手段。2FA 很容易實現,大家現在都理解什么叫雙因子身份驗證了,不再對此大驚小怪。公司企業應及時更新面向公眾的站點,現在早已過了可以寄希望于黑客不會找到自己頭上的時代。
DNS 安全最佳實踐建議也是車載斗量。我們不妨從美國國土安全部網絡安全與基礎設施安全局 (CISA) 的安全建議開始。
CISA DNS 最佳安全實踐包括:
- 更新 DNS 賬戶密碼。更新密碼可終止未授權黑客目前可能持有的賬戶訪問權。
- 審查驗證 DNS 記錄,確保按既定地址解析而不是重定向到別的地方。這有益于發現活躍 DNS 劫持。
- 審計公開 DNS 記錄,驗證是否解析至既定位置。
- 搜索與域名相關聯的加密憑證,撤銷所有非法請求的證書。
- 監視證書透明性日志,查找機構未請求卻頒發的證書。這有助于防御者知曉是否有人嘗試假冒自身或監視其用戶。
DNS 安全供應商 NS1 建議對域名注冊機構采取以下措施:
- 確保每個注冊機構賬戶都開啟了 2FA,且口令不易猜解,存放安全,不跨多個服務重復使用。
- 攻擊者可能會嘗試走賬戶恢復程序來獲取域名管理權限,所以,要確保聯系人信息準確且及時更新。這對 DNS 安全而言非常重要,因為域名往往在公司電子郵件賬戶可用前就注冊了。
- 很多域名注冊機構提供“鎖定”服務,要求額外的安全強化步驟才可以修改域名信息。最好了解自己都有哪些“鎖定”服務可用,考慮應用此類服務,尤其是要用到高價值域名上。
- 啟用日志功能,以便審查做過的任何修改。
DNS 托管可采取的措施:
- 所有 DNS 托管賬戶均開啟 2FA,采用強密碼:不易猜解,不跨服務重用。
- 備份關鍵 DNS 域,以便萬一發生安全事件時可以恢復。
- 考慮采用配置即代碼 (configuration-as-code) 方法管理 DNS 域變動。
- 啟用日志功能,以便審查做過的任何修改。
EfficientIP 建議:
- 實現 DNS 流量實時行為威脅檢測,這可使發送到安全信息與事件管理 (SIEM) 的不再是雜亂日志而是有用安全事件。
- 采用實時 DNS 分析技術,有助于檢測并挫敗域名生成算法 (DGA) 惡意軟件和零日惡意域名之類高級攻擊。
- 網絡安全編排過程中集成 DNS 與 IP 地址管理 (IPAM),輔助自動化安全策略管理,保持策略更新、一致與可審計。
ICANN 的 DNS 安全檢查清單如下:
- 確保所有系統安全補丁均經過審查并已應用;
- 檢查日志文件,查找系統未授權訪問,尤其是未授權管理員訪問;
- 審查對管理員 (“root”) 權限的內部控制;
- 驗證每條 DNS 記錄的完整性及其修改歷史;
- 強制要求足夠的密碼復雜度,尤其是密碼長度;
- 確保密碼不與其他用戶共享;
- 保證密碼從不以明文存儲或傳輸;
- 實施定期密碼修改策略;
- 實施密碼輸錯鎖定策略;
- 確保 DNS 域記錄經 DNSSEC 簽名,DNS 解析服務器執行 DNSSEC 驗證;
- 確保電子郵件域名具備以發送方策略框架 (SPF) 和/或 域名密鑰識別郵件 (DKIM) 協議實現的域消息身份驗證機制,并保證實施了自身電子郵件系統上其他域名提供的此類策略。
IDC 《全球 DNS 威脅報告》:
https://www.efficientip.com/resources/idc-dns-threat-report-2019/
Talos “海龜” 4 月報告:
https://blog.talosintelligence.com/2019/04/seaturtle.html
Talos “海龜” 7 月報告:
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming.html
Talos DNSpionage 博客文章:
https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html
英國國家網絡安全中心 (NCSC) 本月發布的 DNS 攻擊警告:
https://www.ncsc.gov.uk/news/ongoing-dns-hijacking-and-mitigation-advice
CISA《緊急情況指令》:
https://cyber.dhs.gov/ed/19-01/
Unit 42 OilRig 博客文章:
DNS Tunneling in the Wild: Overview of OilRig’s DNS Tunneling