南宫28


 

南宫28深化了解最近普遍存在的DNS绑架进犯

日期:2021-07-02 13:45:48 浏览次数:47 分类:下一代DNS 来源:ng28南宫娱乐官网 作者:ng28南宫娱乐注册

  最近一些抢先的安全公司都发布正告,一系列高度杂乱和广泛的进犯进犯行为,这些进犯正以史无前例的规划绑架归于多个政府和私营公司的域名,盗取了来自多个政府和私营公司的很多电子邮件暗码和其他灵敏数据。但到目前为止,这次突击究竟是怎么产生突击以及谁被击中的细节依然笼罩在保密之中。

  周一,由KrebsOnSecurity记者Brian Krebs宣布的一份具体的陈述供给了新的细节,协助解说了广泛的DNS绑架怎么以及为何答应进犯者盗取很多电子邮件和其他登录凭证。记载了这些进犯的程度,并将这一活动的来源追溯到要害互联网根底设施供给商的一系列连锁违规行为。

  在曩昔的几个月里,所谓DNSpionage活动背面的进犯者现已损坏了50多家中东公司和政府安排的DNS根底设施要害组件。被以为坐落伊朗的进犯者也操控了两个极具影响力的西方服务范畴,瑞典的Netnod互联网交流中心和北加州的数据整理中心。经过操控域,黑客能够生成有用的TLS证书,答应他们建议阻拦灵敏凭证和其他数据的中间人进犯。

  在2018年11月27日,思科的Talos研讨部分宣布了一篇文章,概述了一项名为“ DNSpionage ” 的杂乱网络间谍活动的概括。

  该称号的DNS部分是“ DomainNameSystem ”域名体系的缩写,经过将人类可读的域名转换为一台计算机经过全球网络定位其他计算机所需的IP地址,成为互联网最基本的服务之一。DNS绑架的作业原理是假造DNS记载,使域指向由黑客而不是域的合法所有者操控的IP地址。DNSpionage现已将DNS绑架带到了新的高度,这在很大程度上是经过损坏公司和政府依靠的要害服务来为其站点和电子邮件服务器供给域查找。

  作为对互联网功用至关重要的13个根称号服务器之一的运营商,Netnod Internet Exchange这家坐落瑞典的首要全球DNS供给商,当然有资历成为DNSpionage支撑其大规划绑架狂潮的要害支柱。18年12月底和19年1月初,在黑客取得Netnod域名注册商账户后,部分瑞典服务的DNS根底设施,特别是sth.dnsnode.net被绑架。

  “作为世界安全协作的参与者,Netnod在2019年1月2日意识到咱们现已陷入了这波浪潮中,咱们阅历了MITM(中间人)进犯。”Netnod在声明中写道,“Netnod不是突击的最终方针。该方针被以为是在瑞典以外的国家捕获互联网服务的登录具体信息。“

  而在2月15日与作者的访谈中,PCH的伍德科克供认,在DNSpionage黑客乱用未经授权的域名注册商拜访后,其安排的部分根底设施遭到了损坏。

  Packet Clearing House与NetNod遭受相同办法的进犯。dnsnode.net的注册商记载都指向Key-Systems GmbH(一家德国的批发域名注册商和注册服务供给商)和瑞典零售域名注册商Frobbit.se来注册其域名。Frobbit是Key Systems的经销商,两家公司同享一些相同的在线资源。未经授权拜访Frobbit和Key Systems之间的装备界面,进犯者能够更改两个安排的DNS称号服务器记载。

  Packet Clearing House也在互联网运作方法中发挥着要害作用,其是一家坐落加利福尼亚州北部的非营利性实体,它还办理着世界上很多的DNS根底设施,官方查询超越500个尖端域名是该根底架构的一部分,包含DNSpionage所针对的中东地区的许多域名。

  伍德科克标明,黑客现已破获了PCH的注册商用于发送称为可扩展供给协议(EPP)的信令音讯的凭证 。EPP是一个不为人知的界面,可作为全球DNS体系的一种后端,答应域名注册商告诉区域注册安排(如Verisign)有关域记载的更改,包含新域名注册,修正和搬运。

  “1月初Key-Systems标明,他们信任他们的EPP界面已被乱用有用证件的人乱用。”伍德科克说。

  “从我的视点来看,这次进犯明显是严峻的EPP进犯的前期版别。”他写道,“也就是说,方针是将正确的EPP指令发送到注册办理安排。关于未来的揣度,我个人十分严峻。注册办理安排是否答应任何EPP指令来自注册商?咱们总会有一些弱的注册商,对吧?“

  星期一陈述中胪陈的绑架事情突出了DNSSEC的有用性和缺陷,DNSSEC是一种旨在经过要求对DNS记载进行数字签名来打败DNS绑架的维护措施。假如记载被或人无法拜访私有DNSSEC签名密钥修正,因而该记载与区域所有者发布的信息不匹配并在威望DNS服务器上供给,则称号服务器将阻挠完毕用户连接到欺诈性地址。

  Krebs报导了Netnod的三次进犯中有两次成功,因为所触及的服务器不受DNSSEC的维护。第三次进犯是针对受DNSSEC维护的Netnod内部电子邮件网络的根底架构,强调了安全措施的局限性。因为进犯者现已能够拜访Netnod注册商的体系,因而黑客能够长时间禁用DNSSEC,以便为Netnod的两个电子邮件服务器生成有用的TLS证书。

  Netnod首席执行官LarsMichaelJogbck标明:一旦进犯者取得了这些证书,他们就会为公司的方针服务器从头启用DNSSEC,一起明显预备发动第二阶段的进犯,将流经其邮件服务器的流量搬运到进犯者操控的机器上。但不管出于何种原因,进犯者在今后测验吸收互联网流量之前都疏忽了运用未经授权的拜访其注册商来禁用DNSSEC。

  “对咱们来说走运的是,当他们建议他们的中间人进犯时,他们忘了删去它。”“假如他们更娴熟,他们就会删去域名上的DNSSEC,这是他们本能够做到的。”

  在2019年1月2日DNSpionage黑客不只追寻Netnod的内部电子邮件体系,他们还直接针对PCH,从Comodo取得两个处理该公司内部电子邮件的PCH域的SSL证书。

  伍德科克标明,PCH对DNSSEC的依靠简直彻底阻挠了这次进犯,但它设法为其时游览的两名职工搜集电子邮件凭证。这些职工的移动设备经过酒店无线网络下载公司电子邮件,作为运用无线服务的先决条件,强制他们的设备运用酒店的DNS服务器,而不是PCH的支撑DNSSEC的体系。

  跟着DNSSEC最大极限地减少了绑架数据包铲除所邮件服务器的影响,DNSpionage进犯者采用了新的战略。上个月末,Packet Clearing House向客户发送了一封信,告诉他们持有用户数据库的服务器已遭到侵略。数据库存储用户名,受bcrypt哈希函数维护的暗码、电子邮件、地址和安排称号。Packet Clearing House官员标明,他们没有依据标明进犯者拜访或泄露了用户数据库,但他们供给的信息是透明度和预防措施。

  依据美国疆土安全部上个月发布的紧迫指令,“多个行政分支安排域名”遭到了绑架活动的冲击。到目前为止,关于触及哪些安排或许哪些数据被盗的公共信息很少。

  针对这个事情承受采访的多位专家标明,根据DNS的进犯存在的一个长时间问题是,许多安排倾向于将其大部分DNS根底架构视为天经地义。例如,许多实体甚至不记载其DNS流量,也不亲近重视对其域记载所做的任何更改。忧虑互联网决策者和其他根底设施供给商不会严峻或火急地对全球DNS构成威胁,DNSpionage黑客将在未来数月和数年内有很多其他受害者进犯和使用。

  周一的陈述依然没有答复一些要害的DNSpionage问题。尽管如此,该陈述依然是最新的提示,说明晰确定DNS根底设施以避免此类进犯的重要性。


南宫28