DNS威胁及缓解措施大盘点
DNS 劫持、隧道、网络钓鱼、缓存中毒、DDoS 攻击……诸多 DNS 威胁汹涌袭来。
域名系统 (DNS) 一直承受着各种攻击,随着黑客手段日趋复杂,DNS 攻击似乎永无尽头。
DNS 就好像互联网电话簿,将人们好记的域名与电脑访问网站或发送电子邮件所需的数串号码对应联系在一起。虽然 DNS 一直以来都是攻击者谋求各类企业及个人信息的突破目标,去年的 DNS 攻击情况却表明此类威胁越来越凶猛了。
国际数据公司 (IDC) 报告称,过去一年中,全球 82% 的公司遭遇过 DNS 攻击。该研究公司受 DNS 安全供应商 EfficientIP 委托,于 2019 年上半年对全球 904 家公司企业进行了问卷调查,并在此基础上于最近发布了其第五份年度《全球 DNS 威胁报告》。
IDC 的研究显示,与一年前相比,DNS 攻击相关平均损失上升了 49%。美国公司企业遭遇 DNS 攻击的平均损失超 127 万美元,为世界各地区最高。近一半 (48%) 受访者报告称,一次 DNS 攻击就可造成 50 万美元以上损失;近 10% 则称每次攻击令公司损失超 500 万美元。另外,大部分美国公司表示,缓解 DNS 攻击需一天以上。
海龟 (Sea Turtle) DNS 劫持
名为 “海龟 (Sea Turtle) ” 的 DNS 劫持攻击活动如今仍在持续,生动反映出当今 DNS 威胁景象。
本月,思科 Talos 安全研究团队警告称,“海龟” 攻击行动背后的黑客团伙一直在改进自身攻击,纳入新基础设施,狩猎新受害者。
今年 4 月,Talos 发布详细揭秘 “海龟” 活动的报告,称之为 “域名注册机构被利用于网络间谍行动的首个案例”。Talos 称,该仍在持续的 DNS 威胁活动是国家支持的攻击,滥用 DNS 收割登录凭证,以受害者无法检测的方式获取敏感网络及系统访问权,展现了独特的 DNS 操纵手法。
通过获取受害者 DNS 控制权,攻击者可修改或伪造任意互联网数据,非法修改 DNS 域名记录,将用户指向自己控制下的服务器;访问这些站点的用户无从觉察。
4 月份 Talos 报告发布后,“海龟” 背后的黑客团伙似乎经历了重组,加倍重视新基础设施引入。Talos 研究人员认为这很不寻常:通常情况下,黑客组织被曝光后都会沉寂一段时间,“海龟” 却异常厚颜无耻,而且似乎不会被吓退,仍在开展攻击。
DNSpionage 工具升级
另一个更近期的 DNS 威胁是名为 DNSpionage 的攻击活动。
DNSpionage 最初利用两个包含招聘信息的恶意网站捕获目标,网站上放置有精心构造的微软 Office 文档——植入了恶意宏代码。该恶意软件支持通过 HTTP 和 DNS 协议与攻击者通信。且攻击者仍在继续开发新的攻击技术。
Talos 报告中写道:攻击者持续开发 DNSpionage 恶意软件的行为,显示出其不断找寻检测规避新方法的意图。DNS 隧道是一些攻击者常用的数据渗漏方法,最近的 DNSpionage 样本告诉我们:必须像监控公司常规代理或网络日志一样监视 DNS。DNS 基本上就是互联网电话簿,一旦遭到篡改,谁都难以识别自己浏览的网上内容是真是假。
DNSpionage 攻击活动的目标是中东地区公司企业和阿拉伯联合酋长国政府域名。
Talos 威胁情报外联经理 Craig Williams 称:
比如说,如果你知道自己的域名服务器被黑了,你还可以强制用户修改自身密码。但如果攻击者动的是域名注册机构,从根上将用户导引致攻击者控制下的域名,你完全发现不了发生了什么,因为你的所有东西都原封未动。这就是此类新威胁穷凶极恶的地方。
DNS 安全警告不断发出
英国国家网络安全中心 (NCSC) 本月发布警告,提请用户注意当前持续发生的 DNS 攻击,尤其是 DNS 劫持攻击。DNS 劫持攻击上升引发的风险包括:
创建恶意 DNS 记录
恶意 DNS 记录可用于在公司常用域名上创建网络钓鱼网站。公司员工或客户都是此类网站的钓鱼对象。
获取 SSL 凭证
域验证 SSL 凭证基于 DNS 记录颁发;因此攻击者可获取域名的有效 SSL 凭证,用于后续创建貌似真实网站的网络钓鱼站点。
透明代理
最近冒头的一类严重威胁是透明代理流量,可被攻击者用来拦截数据。攻击者修改公司配置好的域条目(比如 “A” 或 “CNAME” 记录),将流量导引至自己控制下的 IP 地址。
这些新威胁及其他危险促使美国政府于今年早些时候向联邦机构发布了一条关于 DNS 攻击的警告。
美国国土安全部 (DHS) 网络安全与基础设施安全局 (CISA) 指示各联邦机构守好自己的 DNS,做好面对一系列全球黑客活动的准备。
CISA 在其《紧急情况指令》中称,已检测到一系列针对 DNS 基础设施的事件。CISA 写道:多个行政分支机构域名受到 DNS 篡改活动影响,已通知相关机构做好维护工作。
CISA 表示,攻击者成功拦截并重定向了 Web 和电子邮件流量,可能染指其他联网服务。该机构认为,攻击者从盗取某具有 DNS 记录修改权限的用户账户凭证入手。接下来,攻击者篡改了 DNS 记录,比如 Addrss、Mail Exchanger、Name Server 记录,将这些服务的合法地址替换成了攻击者控制下的地址。
通过这些动作,攻击者可将用户流量导引到自己的基础设施上加以篡改或检查,然后再选择是否传给合法服务。CISA 声明,此类动作产生的风险,持续时间远不止流量重定向期间。
跟上域名系统安全扩展 (DNSSEC) 趋势
DNS 安全提供商 NS1 共同创始人兼首席执行官 Kris Beevers 称:身为潜在目标的企业,尤其是那些自身应用会获取或暴露用户及公司数据的企业,应听从 NSCS 的建议,敦促自己的 DNS 及注册供应商标准化 DNSSEC 及其他域名安全最佳实践,并使这些 DNS 安全操作便于实现。当前市场上的可用技术能够方便实现 DNSSEC 签名及其他域名安全最佳实践。公司企业应与提供商及自身安全团队协作,审计自己的 DNS 安全实现。
今年早些时候,为响应日渐增多的 DNS 攻击,互联网名称与数字地址分配机构 (ICANN) 呼吁业内加强健壮 DNS 安全技术的应用。当时 DNSSEC 便已频繁见诸报端。
ICANN 希望在所有不安全域名上全面部署 DNSSEC。DNSSEC 在 DNS 基础上又添一层安全。全面部署 DNSSEC 可确保终端用户连接与特定域名绑定的真实网站或其他服务。ICANN 声明道:尽管不能解决互联网所有安全问题,但 DNSSEC 确实保护了互联网关键部分——目录查找功能,补充了 SSL (https:) 等保护 “会话” 的其他技术,并为有待开发的安全改善铺平了道路。
DNSSEC 技术自 2010 年左右便已有之,但并未广泛部署。亚太地区互联网地址注册机构亚太网络信息中心 (APNIC) 指出,全球 DNS 注册机构中只有不到 20% 部署了 DNSSEC。
DNSSEC 采用滞后使因为该功能只是可选项,且需要在安全与功能性上做取舍。
固有DNS威胁
DNS 劫持固然是最前沿的攻击方法,但其他历史更为悠久的威胁依然存在。
前面提及的 IDC/EfficientIP 调查研究发现,相比去年,大多数 DNS 威胁都已发生了改变。基于 DNS 的恶意软件 (39%) 是去年黑客最爱,但今年被网络钓鱼 (47%) 超越,紧跟其后的是 DDoS 攻击 (30%)、误报触发 (26%) 和 域名锁定攻击 (26%)。
专家称,DNS 缓存中毒,或者说 DNS 欺骗,也依然十分普遍。攻击者可运用缓存中毒技术将恶意数据注入 DNS 解析服务器的缓存系统中,尝试将用户重定向至攻击者的站点。然后便可盗取个人信息或其他情报了。
DNS 隧道运用 DNS 协议构建隐藏通信信道绕过防火墙,是另一种形式的攻击威胁。
Palo Alto 安全团队 Unit 42 详细描述了著名 DNS 隧道攻击 OilRig:
至少从 2016 年 5 月开始,OilRig 便通过利用 DNS 隧道进行命令与控制通信的木马来盗取数据。Unit 42 在关于 OilRig 的博客文章中称,该威胁组织不断引入利用不同隧道协议的新工具。
Unit 42 指出:使用 DNS 隧道的主要缺点在于,需发送大量 DNS 查询请求才能在工具与 C2 服务器之间来回传输数据,这在监视网络 DNS 活动的机构面前无所遁形。
DNS攻击缓解
专家表示,企业可采取一些措施防止 DNS 攻击。
Talos 安全专家 William 称,双因子身份验证 (2FA) 是用户可采取的便利防御手段。2FA 很容易实现,大家现在都理解什么叫双因子身份验证了,不再对此大惊小怪。公司企业应及时更新面向公众的站点,现在早已过了可以寄希望于黑客不会找到自己头上的时代。
DNS 安全最佳实践建议也是车载斗量。我们不妨从美国国土安全部网络安全与基础设施安全局 (CISA) 的安全建议开始。
CISA DNS 最佳安全实践包括:
更新 DNS 账户密码。更新密码可终止未授权黑客目前可能持有的账户访问权。
审查验证 DNS 记录,确保按既定地址解析而不是重定向到别的地方。这有益于发现活跃 DNS 劫持。
审计公开 DNS 记录,验证是否解析至既定位置。
搜索与域名相关联的加密凭证,撤销所有非法请求的证书。
监视证书透明性日志,查找机构未请求却颁发的证书。这有助于防御者知晓是否有人尝试假冒自身或监视其用户。
DNS 安全供应商 NS1 建议对域名注册机构采取以下措施:
确保每个注册机构账户都开启了 2FA,且口令不易猜解,存放安全,不跨多个服务重复使用。
攻击者可能会尝试走账户恢复程序来获取域名管理权限,所以,要确保联系人信息准确且及时更新。这对 DNS 安全而言非常重要,因为域名往往在公司电子邮件账户可用前就注册了。
很多域名注册机构提供“锁定”服务,要求额外的安全强化步骤才可以修改域名信息。最好了解自己都有哪些“锁定”服务可用,考虑应用此类服务,尤其是要用到高价值域名上。
启用日志功能,以便审查做过的任何修改。
DNS 托管可采取的措施:
所有 DNS 托管账户均开启 2FA,采用强密码:不易猜解,不跨服务重用。
备份关键 DNS 域,以便万一发生安全事件时可以恢复。
考虑采用配置即代码 (configuration-as-code) 方法管理 DNS 域变动。
启用日志功能,以便审查做过的任何修改。
EfficientIP 建议:
实现 DNS 流量实时行为威胁检测,这可使发送到安全信息与事件管理 (SIEM) 的不再是杂乱日志而是有用安全事件。
采用实时 DNS 分析技术,有助于检测并挫败域名生成算法 (DGA) 恶意软件和零日恶意域名之类高级攻击。
网络安全编排过程中集成 DNS 与 IP 地址管理 (IPAM),辅助自动化安全策略管理,保持策略更新、一致与可审计。
ICANN 的 DNS 安全检查清单如下:
确保所有系统安全补丁均经过审查并已应用;
检查日志文件,查找系统未授权访问,尤其是未授权管理员访问;
审查对管理员 (“root”) 权限的内部控制;
验证每条 DNS 记录的完整性及其修改历史;
强制要求足够的密码复杂度,尤其是密码长度;
确保密码不与其他用户共享;
保证密码从不以明文存储或传输;
实施定期密码修改策略;
实施密码输错锁定策略;
确保 DNS 域记录经 DNSSEC 签名,DNS 解析服务器执行 DNSSEC 验证;
确保电子邮件域名具备以发送方策略框架 (SPF) 和/或 域名密钥识别邮件 (DKIM) 协议实现的域消息身份验证机制,并保证实施了自身电子邮件系统上其他域名提供的此类策略。
IDC 《全球 DNS 威胁报告》:
https://www.efficientip.com/resources/idc-dns-threat-report-2019/
Talos “海龟” 4 月报告:
https://blog.talosintelligence.com/2019/04/seaturtle.html
Talos “海龟” 7 月报告:
https://blog.talosintelligence.com/2019/07/sea-turtle-keeps-on-swimming.html
Talos DNSpionage 博客文章:
https://blog.talosintelligence.com/2019/04/dnspionage-brings-out-karkoff.html
英国国家网络安全中心 (NCSC) 本月发布的 DNS 攻击警告:
https://www.ncsc.gov.uk/news/ongoing-dns-hijacking-and-mitigation-advice
CISA《紧急情况指令》:
https://cyber.dhs.gov/ed/19-01/
Unit 42 OilRig 博客文章:
