介绍
FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击,这波攻击影响了大量域名,其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份,但初步研究表明,攻击者与伊朗有关。与此同时,研究人员也在积极与相关受害者、安全组织以及执法机构密切合作,以尽可能缓解攻击所带来的影响。
虽然此次活动使用了很多传统的攻击策略,但它和其他利用了DNS劫持的伊朗攻击活动有所不同,接下来我们一起看一看攻击者都使用了那些新型的攻击策略。
初步研究表明此次攻击活动与伊朗有关
目前,针对此次活动的研究分析正在进行中。此次攻击活动中涉及到的DNS记录篡改操作非常的复杂,而且攻击跨越了不同的时间段、基础设施和服务提供商,因此完成此次攻击活动的绝非一人。
1.该活动中涉及到多个攻击集群,并从2017年1月份开始活跃至今。
2.攻击活动涉及到了多个域名以及IP地址。
3.攻击者使用了大量不同供应商的加密证书以及VPS主机。
根据初步研究所得到的技术证据,研究人员认为此次活动是在伊朗境内发动的,而且该活动的确符合伊朗政府的利益链。
技术细节
在接下来的分析中,样本使用了victim[.]com来代表目标用户域名,私人IP地址代表攻击者控制的IP地址。
技术一、DNS的A记录
攻击者所使用的第一种方法就是修改DNS中的A记录,如下图所示:
1.攻击者登录PXY1(作为进行非属性化浏览和其他基础设施操作的代理);
2.攻击者使用之前窃取来的凭证登录DNS提供商的管理员界面;
3.A记录(例如mail[.]victim[.]com)当前指向的是192.168.100.100;
4.攻击者修改A记录,并将其指向10.20.30.40(OP1);
5.攻击者从PXY1切换至OP1:代理会监听所有开放端口,并生成mail[.]victim[.]com的镜像;负载平衡器会指向192.168.100.100 [mail[.]victim[.]com]来转发用户流量;
6.使用certbot来为mail[.]victim[.]com创建Let’s Encrypt证书;
7.当用户访问mail[.]victim[.]com时会被定向到OP1,Let’s Encrypt证书将允许浏览器建立通信连接。连接会被转发至负载均衡器,并建立真正的mail[.]victim[.]com连接。在整个过程中,用户不会感受到任何的网络延迟;
8.用户名、密码和域名证书将会被攻击者截获并存储。
技术二、DNS的NS记录
攻击者所使用的第二种技术需要修改DNS的NS记录,如下图所示:
1.攻击者再次登录PXY1;
2.这一次,攻击者将利用之前且渠道的ccTLD或注册凭证;
3.域名服务器记录ns1[.]victim[.]com当前设置为192.168.100.200。攻击者会修改NS记录并将其指向ns1[.]baddomain[.]com [10.1.2.3]。当收到mail[.]victim[.]com请求后,这个域名服务器会响应IP 10.20.30.40 (OP1),但如果请求的是www[.]victim[.]com,则会响应原始的IP 192.168.100.100。
4.攻击者从PXY1切换至OP1:代理会监听所有开放端口,并生成mail[.]victim[.]com的镜像;负载平衡器会指向192.168.100.100 [mail[.]victim[.]com]来转发用户流量;
5.使用certbot来为mail[.]victim[.]com创建Let’s Encrypt证书;
6.当用户访问mail[.]victim[.]com时会被定向到OP1,Let’s Encrypt证书将允许浏览器建立通信连接。连接会被转发至负载均衡器,并建立真正的mail[.]victim[.]com连接。在整个过程中,用户不会感受到任何的网络延迟;
7.用户名、密码和域名证书将会被攻击者截获并存储。
技术三、DNS重定向
除了上述两种技术之外,攻击者还会同时解和这两者来实现攻击。这里就涉及到了DNS重定向技术,如下图所示:
DNS重定向是由攻击者控制的,它可以直接响应目标用户的DNS请求。
1.指向mail[.]victim[.]com的DNS请求会被发送至OP2;
2.如果域名处于victim[.]com空间中,OP2会响应一个由攻击者控制的IP地址,用户会被重定向至攻击者控制的基础设施;
3.如果域名不处于victim[.]com空间内,OP2会向一个合法的DNS设施发送DNS请求,并获取到IP地址,然后将合法的IP地址返回给用户。
如何保护我们自己?
1.在我们的域名管理界面中启用多因素身份验证功能;
2.验证A记录和NS记录的修改有效性;
3.搜索跟自己域名相关的SSL证书,回收所有的恶意证书;
4.验证OWA/Exchanges日志中的IP源地址;
5.对环境中的所有访问权限进行安全审计。
*参考来源:fireeye,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM