網絡安全的“核臟彈”:史上最危險域名即將出售
責編:gltian |2020-02-14 17:24:27誰掌握了corp.com,誰就擁有了被動攻擊全球企業網絡的超級僵尸網絡,不計其數的企業內部設備,瞬間都會主動投懷送抱,成為這個僵尸網絡的肉雞。是什么讓corp.com成為史上最危險的域名?其擁有者為何要出售這個“火云邪神”級別的域名?這對全球企業網絡安全意味著什么?近日網絡安全知名博主Krebs撰文深入分析此事。原文過于冗長,安全牛擇要為您扒一扒:
近日, corp.com的擁有者決定以170萬美元的價格出售該域名。這個消息不亞于一顆鉆地核彈,表面上云淡風輕,但懂的人自然會尿。Corp.com這個域名為何會如此邪門?
我們先回顧一下Corp.com的前世今生。
做域名如買口罩,1994年,作為早期的域名投資者,美國版蔡文勝邁克·奧康納(Mike O’Connor)以白菜價將幾個國寶級珍稀域名據為己有,包括bar.com、cafes.com、grill.com、place.com、pub.com和Television.com等。26年來,奧康納時不時拋售個把域名,妥妥維持其億萬富翁的生活品質。但26年間,corp.com這個域名一直是奧康納諱莫如深的、最神秘敏感的非賣品。準確來說,這個域名不是奧康納不想賣,也不是沒買家,而是不敢賣!
Corp.com之所以敏感,是因為經過多年的技術測試,這貨就是個“魔戒”,任何人擁有它,就可以訪問全球數十萬個企業信息系統中的海量的密碼流、電子郵件和其他專有數據流。
魔戒出水,只有微軟能壓得住
如今,年逾古稀,生死看淡,開始搞資產簡化“斷舍離”的奧康納,終于鼓足了勇氣不管不顧地宣布出售corp.com。170萬美元的定價對于如此高大上的四字母商務范頂級絕版域名來說,基本算是半賣半送了。沒有立馬成交的原因與價格無關,因為這玩意跟限量版百達翡麗手表和科尼賽克跑車類似,不是你想買就能買,也不是你加價到1500萬就能砸下來的。就是你搞關系買下來,這么兇的域名,也不是一般的肉體凡胎能“壓得住”的。
奧康納說,他希望微軟公司能收購它,如果這個域名落入網絡犯罪分子或者國家黑客的手中,后果不堪設想。
奧康納并非危言聳聽,他之所以直接點名微軟,是因為corp.com的巨大殺傷力不亞于網絡安全界的切爾諾貝利,一切都源于微軟的一個“歷史性錯誤”,也只有微軟能夠化解。
自從比爾·蓋茨創建Windows帝國以來,Windows系統都以一種獨特的方式處理本地網絡上的域名解析。公司內網上的Windows計算機使用Active Directory(動態目錄)來驗證該網絡上的其他內容,Active Directory是Windows環境中各種與身份相關的服務的統稱。系統要素彼此查找需要借助一個名為DNS名稱傳遞(DNS name devolution)的Windows功能,這是一種網絡速記方法,可以輕松查找其他計算機或服務器,而無需為這些資源指定完整的合法域名。
例如,如果一家公司運行一個名為internalnetwork.example.com的內部網絡,而該網絡上的員工希望訪問一個名為“drive1”的共享驅動器,則無需鍵入“drive1.internalnetwork.example.com”進入Windows資源管理器,僅鍵入“\\drive1\”就足夠了,Windows會負責其余的工作。
但是,如果內部Windows域無法映射回企業實際擁有和控制的二級域名,事情將變得不妙。不幸的是,在支持Active Directory的Windows的早期版本(例如Windows 2000 Server)中,默認或示例Active Directory路徑被指定為“corp”,并且許多公司采用了此默認設置,而沒有修改成自己公司的二級域名。
使事情更加復雜的是,一些公司隨后在這種錯誤的“郵政編碼”環境下建立(和/或整合)了龐大的企業網絡,一切都木已成舟,尾大不掉。
麻煩的根源來自名稱空間沖突(namespace collision),發生此類沖突時,原本只打算在公司內部網絡上使用的域名最終與外部互聯網上正常解析的域名地址發生重疊,敏感數據瞬間流向外網,“分享”到了corp.com站點上,后果可想而知。
在90年代臺式機加顯示器重量普遍超過30斤的年代,員工不大可能捧著電腦到處轉悠,但在當下的移動辦公時代,這個潛伏的安全問題被無限放大了。 想象一下,那些配置Active Directory默認網絡路徑為corp的公司員工將公司筆記本電腦帶到本地星巴克時,會發生什么情況?
也許員工筆記本電腦上的某些資源仍會嘗試訪問該公司內網的corp域名,但是由于Windows系統的“DNS名稱傳遞”功能, 電腦還會通過星巴克無線連接去互聯網上的“正牌”corp.com尋找相同的資源。
這意味著corp.com域名的控制者,可以“被動攔截”來自成千上萬臺計算機的私人通信,任何在企業內網Active Directory中分配corp域名的企業員工,在外網遠程辦公或者移動辦公時,都有可能會向corp.com“喂送”數據。是的,corp.com的擁有者什么都不用做,一行攻擊代碼都不用寫,就會有海量敏感企業數據踏破門檻“投懷送抱”。
開箱即用的超級企業僵尸網絡,有人要嗎?
安全專家杰夫·施密特(Jeff Schmidt)對DNS名稱空間沖突進行過長期研究,其中部分研究得到了美國國土安全部的資助。作為分析的一部分,施密特說服奧康納推遲出售corp.com,這樣他和其他專業人士就可以更好地了解和記錄每天流向該域名的流量和類型。
在對2019年流向corp.com的企業內部流量進行的八個月分析中,施密特發現超過375,000臺Windows PC正在嘗試發送信息-包括嘗試登錄內部公司網絡以及訪問網絡上的特定共享文件。
在測試期間,施密特的公司JAS Global Advisor一度模擬本地Windows網絡登錄和文件共享環境接管了對corp.com的連接請求。
結果嚇到了施密特。
這太可怕了。我們在15分鐘后就中斷了實驗,并銷毀了數據。
一位與JAS合作過的著名攻擊測試員指出:在實驗過程中,“泄露的證書如瓢潑大雨”,是平生未見之壯觀景象。
同樣,JAS也曾臨時將corp.com配置為接受傳入的電子郵件。
大約一個小時后,我們收到了超過1200萬封電子郵件,并中止了實驗。由于很多郵件都很敏感,無需進一步分析就立刻銷毀了整個數據庫。
施密特說,他和其他人得出的結論是,最終控制corp.com的人可能會立即擁有一個開箱即用的遍布全球的企業計算機僵尸網絡。
成千上萬的企業計算機都將為你千里送人頭,一旦攻擊者進入企業網絡,那么可橫向移動攻擊利用的電腦數量將更多。你想立刻在《福布斯全球2000強》 TOP30的企業網絡里立足嗎?買下 corp.com!
事實上奧康納本人也曾做過類似的“危險實驗”,出于好奇心,奧康納曾短暫地在corp.com上啟用了一個電子郵件服務器。結果立刻開始收到大量敏感電子郵件,甚至包括向美國證券交易委員會提交的公司財務文件的預發布稿、人力資源報告以及各種令人恐懼的信息。”奧康納說:“有一陣子,我會嘗試回信那些犯了這些錯誤的公司,但是大多數公司都不知道該怎么辦。所以我終于把郵件服務器關了。”
令人頭痛的“核廢料”清理
對于施密特的corp.com流量調查結果,微軟選擇回避媒體問詢。但是微軟的一位發言人發布了一份書面聲明,承認“我們有時在命名文檔中將‘corp’作為標簽使用。”
該聲明寫道:“我們建議客戶設置二級域名,以防止路由到互聯網。”該文章鏈接到Microsoft Technet上有關在Active Directory中設置域的最佳做法的文章。
多年來,Microsoft已發布了數個軟件更新,以幫助減少名稱空間沖突的可能性。
但是幾乎沒有任何易受攻擊的企業聽從微軟的建議部署這些修復程序。原因主要有兩點:首先,這樣做需要企業在一段時間內同時關閉其整個Active Directory網絡。其次,根據微軟的說法,補丁程序可能會破壞或拖慢企業日常運行所依賴的許多應用程序。
面對這兩種情況中的任何一種,大多數受影響的公司都不可能為了消除這個紙面上的風險去冒更大的風險更新補丁。
奧康納說道:
根據微軟的補丁說明,企業要想更新修補程序又不影響其他功能正常運行,就必須刪除整個網絡上的所有Active Directory服務,當您在應用補丁后將其備份時,很多服務器可能無法正常工作。
更加“詭異”的是,根據施密特提交給工作組的關于名稱空間沖突的報告,監控corp.com的過程中收到了一些疑似來自微軟自己內部網絡的查詢。感興趣的讀者可參閱安全牛之前的文章:“微軟的黑客天團”。
施密特說:
我認為這是微軟要解決的問題,因為幾年前在建立活動目錄時遵循微軟建議的人遇到了麻煩。
即使給Windows 10打上所有最新補丁對,但只要地址包含‘corp’的活動目錄存在,問題就將永遠存在。實際上,如果corp.com落入壞人之手,那將意味著微軟需要為其企業客戶蒙受的巨額安全損失買單。
奧康納透露,數年前微軟曾出價2萬美元購買corp.com域名。任何一個有兩周以上互聯網從業經驗的人知道,微軟的這個出價不是買,是搶。
當有人問奧康納為什么不高風亮節,干脆把corp.com送給微軟時,奧康納說,他認為這家軟件巨頭應該對其產品和錯誤負責。畢竟最初是微軟建議大家在內網地址中統一使用corp,填坑還需挖坑人。
奧康納指出:“在我看來,微軟應該站出來承擔自己犯的錯誤。”“但是他們對此并沒有表現出真正的興趣,因此我也沒有興趣將其贈送給微軟。我真的不需要錢。這域名基本就是核廢料堆,我不想將其傳遞給我的孩子并給他們增加負擔。我的挫敗感是:這么重要的一個域名,好人不關心,壞人擠破門。”
參考資料:
危險域名corp.com公開銷售:
https://krebsonsecurity.com/2020/02/dangerous-domain-corp-com-goes-up-for-sale/#more-50407
緩解DNS名稱空間沖突
https://www.icann.org/en/system/files/files/name-collision-mitigation-study-06jun14-en.pdf
DECON21演講:DNS對你的健康有害
https://www.youtube.com/watch?v=ZPbyDSvGasw
緩解基于名稱沖突的中間人攻擊:
https://www.verisign.com/assets/labs/MitM-Attack-by-Name-Collision-Cause-Analysis-and-WPAD-Vulnerability-Assessment-in-the-New-gTLD-Era.pdf
上一篇:2020全球網絡威脅全景報告
下一篇:五個值得關注的網絡戰模擬工具