2020年度安全指南:《DNS的「攻」守道》

全國黨媒信息公共平台 發佈 2020-01-08T13:05:44+00:00

來源:計算機世界域名解析系統(DNS)仍在不斷受到攻擊,而且威脅變得越來越複雜,勢頭絲毫也未減弱。IDC報告稱,過去一年,全球82%的企業都面臨著DNS攻擊。

來源:計算機世界

域名解析系統(DNS)仍在不斷受到攻擊,而且威脅變得越來越複雜,勢頭絲毫也未減弱。

IDC報告稱,過去一年,全球82%的企業都面臨著DNS攻擊。IDC最近發布了其第五期年度《全球DNS威脅報告》,該報告是基於IDC代表DNS安全供應商EfficientIP在2019年上半年對全球904家機構進行的一項調查得出的。

據IDC的研究,與一年前相比,DNS攻擊造成的平均成本上升了49%。在美國,DNS攻擊的平均成本超過了127萬美元。近一半的受訪者(48%)承認,他們經歷一次DNS攻擊就會損失50多萬美元,近10%的受訪者表示,他們每一次泄露事件都會損失500多萬美元。此外,很多美國企業也承認,他們要花一天多的時間來解決DNS攻擊問題。

IDC寫道:「令人擔憂的是,內部應用程式和雲應用程式都遭到了破壞,內部應用程式停機時間增長了100%以上,是目前最常見的受損方式。DNS攻擊正從純粹暴力攻擊轉向更老練的內部網絡攻擊。這將迫使企業使用智能緩解工具來應對內部威脅。」

「海龜」DNS劫持行動

「海龜」是一種正瘋狂蔓延的DNS劫持行動,也是當今DNS威脅形勢下出現的一個實例。

思科Talos安全研究人員指出,藏在「海龜」行動背後的人正忙於利用新的基礎設施改造他們的攻擊,尋找新的受害者。

今年4月,Talos發布了一份詳細描述「海龜」的報告,稱其為「已知的第一起域名註冊機構因網絡間諜活動而被攻破的案例」。Talos介紹說,正在進行的DNS威脅行動是由國家發起的攻擊,濫用DNS來獲取訪問敏感網絡和系統所需的證書,受害者檢測不到這種攻擊方式,這說明犯罪分子在怎樣操縱DNS方面有其獨到之處。

Talos報導說,通過獲得對受害者DNS的控制權,攻擊者可以更改或者偽造網際網路上的任何數據,並非法修改DNS域名記錄,將用戶指向犯罪分子控制的伺服器;而訪問這些站點的用戶永遠都不會知道。

在Talos 4月份的報告之後,「海龜」背後的黑客們似乎重整旗鼓,變本加厲地建設新的基礎設施——Talos研究人員發現這一舉動不同尋常,因此在7月份報導說:「很多攻擊者一般在被發現後都會放慢攻擊,而這一群體卻異乎尋常的厚顏無恥,一直毫不在乎地往前沖。」

此外,Talos聲稱,他們還發現了一種新的DNS劫持技術,我們對這種技術的評估相當有信心,它與「海龜」背後的犯罪分子有關。這種新技術類似於犯罪分子破壞域名伺服器記錄,並用偽造的A記錄響應DNS請求。

Talos寫道:「這種新技術只在一些非常有針對性的攻擊行動中被觀察到過。我們還發現了一批新的受害者,包括一個國家代碼頂級域(ccTLD)註冊中心,它負責管理使用該國代碼的每個域的DNS記錄;然後,將這些受害者作為跳板再去攻擊其他的政府機構。不幸的是,除非做出重大改進,讓DNS更安全,否則這類攻擊還會繼續下去。」

DNSpionage攻擊鳥槍換炮

DNS面臨的另一種新威脅是名為DNSpionage的攻擊行動。

DNSpionage最初利用了兩個包含招聘信息的惡意網站,通過嵌入宏精心製作的Microsoft Office文檔來攻擊目標。惡意軟體支持與攻擊者進行HTTP和DNS通信。攻擊者正在繼續開發新的攻擊技術。

Talos寫道,「犯罪分子對DNSpionage惡意軟體的持續開發表明,攻擊者一直在尋找新方法來避免被發現。DNS隧道是一些犯罪分子常用的一種防探測方法,最近的DNSpionage實例表明,我們必須保證DNS與企業的正常代理或者網絡日誌一樣受到密切監視。DNS本質上是網際網路電話簿,當它被篡改後,任何人都很難辨別他們在網上看到的內容是否合法。」

DNSpionage行動的目標是中東以及阿聯政府領域的各類企業。

Talos拓展主管Craig Williams介紹說:「DNS被攻擊或者說缺乏防範措施最大的問題就是自滿。」企業認為DNS是穩定的,不需要擔心。「但是,我們所看到的DNSpionage和「海龜」等攻擊恰恰相反,因為攻擊者已經知道怎樣利用這方面的漏洞來發揮其優勢——怎樣以某種方式破壞證書,對於「海龜」的情形,受害者甚至永遠不知道發生了什麼。這才真有可能出問題。」

例如,如果你知道自己的域名伺服器已被攻破,那麼你可以強制所有人更改密碼。Williams指出,但是如果轉而去追查註冊機構,而註冊機構則指向了犯罪分子的網站,那麼,你就永遠不會知道發生過什麼,因為你的任何東西都沒有被碰過——這就是為什麼這類新威脅如此邪惡的原因所在。

DNS物聯網風險

還有一個日益嚴重的風險是越來越多的物聯網設備。網際網路域名與數字地址分配機構(ICANN)曾經就物聯網給DNS帶來的風險撰寫過一篇論文。

ICANN指出:「物聯網之所以給DNS帶來了風險,是因為各種評估研究表明,物聯網設備可能會以我們以前從未見過的方式對DNS基礎設施造成壓力。例如,一台支持IP的常用物聯網設備進行軟體更新,會使該設備更頻繁地使用DNS(例如,定期查找隨機域名以檢查網絡可用性),當數百萬台設備同時自動安裝更新時,就會對某個網絡中的DNS造成壓力。」

雖然從單台設備的角度來看,這是一個編程錯誤,但從DNS基礎設施運營商的角度來看,這可能是一種重要的攻擊途徑。ICANN稱,已經出現了小規模的類似事件,但由於製造商生產的異構物聯網設備在不斷增長,而且這些物聯網設備配備了使用DNS的控制器,因此,未來此類事件可能會更頻繁地發生。

ICANN還指出,物聯網殭屍網絡對DNS運營商的威脅會越來越大。更加難以根除由物聯網殭屍機器造成的大規模的DDoS攻擊。目前殭屍網絡的規模大約為數十萬台機器。最著名的例子是Mirai殭屍網絡,它控制了40萬(穩態)到60萬(峰值)台受感染的物聯網設備。Hajime殭屍網絡控制了大約40萬台受感染的物聯網設備,但尚未發起任何DDoS攻擊。隨著物聯網的發展,這些攻擊可能會涉及數以百萬計的殭屍機器,從而導致更大規模的DDoS攻擊。

日益頻繁的DNS安全警告

英國國家網絡安全中心(NCSC)今年8月發出了關於正在進行的DNS攻擊的警告,特彆強調了DNS劫持。該中心列舉了與越來越多的DNS劫持相關的一些風險,包括:

創建惡意DNS記錄。例如,可以使用惡意DNS記錄在企業熟悉的域中創建網絡釣魚網站。這可以用於對員工或者客戶進行釣魚攻擊。

獲取SSL證書。域驗證SSL證書是基於DNS記錄的創建而頒發的。例如,攻擊者可以獲取域名的有效SSL證書,該證書可用於創建旨在看起來像真實網站的網絡釣魚網站。

透明代理。最近出現的一個非常嚴重的風險涉及到透明地代理數據流來攔截數據。攻擊者修改企業的已配置域區域條目(例如,「A」或者「CNAME」記錄),把數據流指向他們自己的IP位址,而這是他們管理的基礎設施。

NCSC寫道:「一家企業可能會失去對其域的完全控制,攻擊者通常會更改域所有權的詳細信息,使其難以恢復。」

這些新威脅,以及其他的危險,導致美國政府在今年早些時候發布了關於聯邦機構可能遭受DNS攻擊的警告。

國土安全部的網絡安全和基礎設施安全局(CISA)提醒所有聯邦機構,在面對一系列全球黑客活動時必須關閉DNS。

CISA在其緊急指令中說,它正在跟蹤一系列針對DNS基礎設施的事件。CISA寫道,「已經知道多個行政分支機構的域名受到了篡改活動的影響,並通知了維護這些域名的機構。」

CISA說,攻擊者已經成功攔截和重定向了網絡和郵件數據流,並可能瞄準其他網絡服務。該機構稱,攻擊首先會破壞一個可以更改DNS記錄帳戶的用戶證書。然後,攻擊者更改DNS記錄,例如,地址、郵件交換器或者域名伺服器記錄,將服務的合法地址替換為攻擊者控制的地址。

通過這些操作,攻擊者把用戶數據流引導到自己的基礎設施,以便在將其傳送給合法服務之前進行操作或者檢查(只要他們願意)。CISA指出,這就帶來了風險,這種風險在數據流重定向之後仍然存在。

CISA稱:「由於攻擊者能夠設置DNS記錄值,他們還可以獲取企業域名的有效加密證書。這允許對重定向的數據流進行解密,從而暴露用戶提交的所有數據。由於證書對域有效,因此,最終用戶不會收到錯誤警告。」

跟上DNSSEC大潮

DNS安全供應商NS1的聯合創始人兼執行長Kris Beevers評論說:「對於有可能成為攻擊目標的企業,特別是那些通過其應用程式採集或者公開用戶和公司數據的企業,應向其DNS和註冊機構供應商施壓,以方便實施DNSSEC(域名系統安全擴展)和其他域安全最佳實踐,並進行標準化。他們可以利用當今市場上的技術輕鬆實施DNSSEC簽名和其他域安全最佳實踐。至少,他們應該與供應商和安全部門一起審核其實施。」

DNSSEC今年年初出現在新聞中,當時為了應對越來越多的DNS攻擊,ICANN呼籲社區加強工作,安裝更強大的DNS安全技術。

具體來說,ICANN希望在所有不安全的域名上全面部署DNSSEC。DNSSEC在DNS之上添加了一個安全層。ICANN說,DNSSEC的全面部署可確保最終用戶連接到真實網站或者與特定域名相對應的其他服務。ICANN稱,「儘管這並不能解決網際網路的所有安全問題,但它確實保護了網際網路的一個關鍵環節——目錄查找,加強了其他技術,例如,保護『對話』的SSL(https:),提供平台以便於進一步開發安全措施等。」

據亞太區域網際網路地址註冊中心(APNIC)的數據,自2010年起,DNSSEC技術就已經出現了,但尚未得到廣泛部署,只有不到20%的全球DNS註冊機構部署了該技術。

NS1的Beevers說,DNSSEC的應用一直滯後,因為它被視為是可選的,需要在安全性和功能性之間進行權衡。

傳統的DNS威脅

儘管DNS劫持可能是一線攻擊方法,但其他更傳統的威脅仍然存在。

IDC/EfficientIP的研究發現,最流行的DNS威脅與去年相比已經有所變化。網絡釣魚(47%)現在比去年最流行的基於DNS的惡意軟體(39%)更受攻擊者歡迎,其次是DDoS攻擊(30%)、誤報觸發(26%)和鎖定域攻擊(26%)。

專家指出,DNS緩存中毒,以及DNS欺騙,也是相當常見的。利用緩存中毒,攻擊者把惡意數據注入DNS解析程序的緩存系統,試圖把用戶重定向到攻擊者的網站。然後他們就可以竊取個人信息或者其他情報。

DNS隧道是另一種攻擊威脅,它使用DNS提供隱藏的通信通道,然後繞過防火牆。

Palo Alto網絡公司第42部的安全研究人員詳細描述了最著名的DNS隧道攻擊:OilRig。

OilRig至少從2016年5月便開始提供特洛伊木馬,在攻擊中使用DNS隧道發出命令並進行控制,用於竊取數據。根據第42部關於OilRig的博客文章,從那時起,犯罪團伙已經在其工具集中引入了使用不同隧道協議的新工具。

第42部稱:「Oilrig團伙不停地使用DNS隧道作為他們的C2伺服器和許多工具之間通信的通道。」

DNS攻擊緩解

專家指出,企業可以採取很多措施來阻止這些攻擊。

Talos的Williams說,用戶最好的措施就是實施雙重身份驗證。「這很容易實現,所有人都明白它是什麼,沒有人會對此感到驚訝。企業還應該給任何面向公眾的網站打上補丁——我們絕不應該說,『好吧,但願他們找不到我們』,這是不行的。」

還有很多其他建議的DNS安全最佳實踐。我們在這裡彙編了一些,美國國土安全部的網絡安全和基礎設施安全局(CISA)也提供了一些。

CISA DNS最佳安全實踐包括以下建議:

▷更新DNS帳戶密碼。這將終止未經授權的犯罪分子對當前可能擁有的帳戶的訪問權限。

▷驗證DNS記錄,以確保它們按預期進行解析,而不是重定向到其他地方。這將有助於發現任何活動的DNS劫持。

▷審核公共DNS記錄,以驗證它們是否被解析到了預期的地方。

▷搜索與域相關的加密證書,吊銷任何欺詐性請求的證書。

▷對於代理未請求的已頒發證書,監視證書透明日誌。這將幫助防禦者注意到是否有人試圖模仿他們或者監視他們的用戶。

DNS安全供應商NS1建議在註冊中心/註冊機構中採取以下步驟:

▷確保在所有註冊機構或者註冊中心帳戶中啟用雙重因素身份驗證,並且密碼不容易被猜到,安全的存儲密碼,不在服務之間重複使用密碼。

▷攻擊者可能會嘗試利用帳戶恢復過程來獲取對域管理的訪問權限,因此,應確保聯繫詳細信息準確而且最新。這與DNS特別相關,因為在企業電子郵件帳戶可用之前註冊域名是很常見的。

▷很多註冊機構和註冊中心提供「鎖定」服務,需要額外的安全增強步驟才能進行更改。了解自己可以使用的任何「鎖定」服務,並考慮應用它們,尤其是應用於高價值域名。

▷確保啟用了任何可用的日誌記錄,以便能夠查看所做的更改。

DNS託管的步驟:

▷確保在所有DNS託管帳戶中啟用雙重因素身份驗證,並且密碼不容易被猜到,不在服務之間重複使用密碼。

▷確保對關鍵DNS域進行了備份,以便在出現泄露事件後進行恢復。

▷考慮使用「配置即代碼」方法來管理對DNS域的更改。

▷確保啟用了任何可用的日誌記錄,以便能夠查看所做的更改。

EfficientIP指出:

▷對DNS數據流進行實時行為威脅檢測,把合格的安全事件而不是日誌發送到SIEM。

▷使用實時DNS分析有助於檢測並阻止高級攻擊,例如,DGA惡意軟體和零日惡意域等。

▷在網絡安全編排過程中,把DNS與IP位址管理(IPAM)集成起來有助於實現管理安全策略的自動執行,使其保持最新、一致和可審核。

ICANN的DNS安全檢查條目如下:

▷確保所有系統安全補丁均已通過審查並已應用;

▷審查未經授權訪問系統的日誌文件,尤其是管理員訪問;

▷審查對管理員(「根」)訪問的內部控制措施;

▷驗證每條DNS記錄的完整性,以及這些記錄的更改歷史;

▷·強制讓密碼足夠複雜,特別是密碼長度;

▷確保不與其他用戶共享密碼;

▷確保從未以明文形式存儲或者傳輸密碼;

▷強制定期更改密碼;

▷強制執行密碼鎖定策略;

▷ 確保DNS區域記錄已由DNSSEC簽名,並且你的DNS解析程序執行了DNSSEC驗證;

▷理想情況下,確保電子郵件域具有基於域的消息身份驗證策略(使用SPF和/或DKIM),並在電子郵件系統上強制執行其他域提供的此類策略。

作者:Michael Cooney是《網絡世界》的高級編輯,25年來一直在撰寫IT領域的文章。

編譯:Charles

原文網址:https://www.networkworld.com/article/3409719/worst-dns-attacks-and-how-to-mitigate-them.html?nsdr=true

關鍵字: