Michael Cooney

域名解析系統(tǒng)（DNS）仍在不斷受到攻擊，而且威脅變得越來越復(fù)雜，勢頭絲毫也未減弱。

IDC報告稱，過去一年，全球82%的企業(yè)都面臨著DNS攻擊。IDC最近發(fā)布了其第五期年度《全球DNS威脅報告》，該報告是基于IDC代表DNS安全供應(yīng)商EfficientIP在2019年上半年對全球904家機(jī)構(gòu)進(jìn)行的一項調(diào)查得出的。

據(jù)IDC的研究，與一年前相比，DNS攻擊造成的平均成本上升了49%。在美國，DNS攻擊的平均成本超過了127萬美元。近一半的受訪者（48%）承認(rèn)，他們經(jīng)歷一次DNS攻擊就會損失50多萬美元，近10%的受訪者表示，他們每一次泄露事件都會損失500多萬美元。此外，很多美國企業(yè)也承認(rèn)，他們要花一天多的時間來解決DNS攻擊問題。

IDC寫道：“令人擔(dān)憂的是，內(nèi)部應(yīng)用程序和云應(yīng)用程序都遭到了破壞，內(nèi)部應(yīng)用程序停機(jī)時間增長了100%以上，是目前最常見的受損方式。DNS攻擊正從純粹暴力攻擊轉(zhuǎn)向更老練的內(nèi)部網(wǎng)絡(luò)攻擊。這將迫使企業(yè)使用智能緩解工具來應(yīng)對內(nèi)部威脅。”

“海龜”DNS劫持行動

“海龜”是一種正瘋狂蔓延的DNS劫持行動，也是當(dāng)今DNS威脅形勢下出現(xiàn)的一個實例。

思科Talos安全研究人員指出，藏在“海龜”行動背后的人正忙于利用新的基礎(chǔ)設(shè)施改造他們的攻擊，尋找新的受害者。

今年4月，Talos發(fā)布了一份詳細(xì)描述“海龜”的報告，稱其為“已知的第一起域名注冊機(jī)構(gòu)因網(wǎng)絡(luò)間諜活動而被攻破的案例”。Talos介紹說，正在進(jìn)行的DNS威脅行動是由國家發(fā)起的攻擊，濫用DNS來獲取訪問敏感網(wǎng)絡(luò)和系統(tǒng)所需的證書，受害者檢測不到這種攻擊方式，這說明犯罪分子在怎樣操縱DNS方面有其獨(dú)到之處。

Talos報道說，通過獲得對受害者DNS的控制權(quán)，攻擊者可以更改或者偽造互聯(lián)網(wǎng)上的任何數(shù)據(jù)，并非法修改DNS域名記錄，將用戶指向犯罪分子控制的服務(wù)器;而訪問這些站點(diǎn)的用戶永遠(yuǎn)都不會知道。

在Talos 4月份的報告之后，“海龜”背后的黑客們似乎重整旗鼓，變本加厲地建設(shè)新的基礎(chǔ)設(shè)施——Talos研究人員發(fā)現(xiàn)這一舉動不同尋常，因此在7月份報道說：“很多攻擊者一般在被發(fā)現(xiàn)后都會放慢攻擊，而這一群體卻異乎尋常的厚顏無恥，一直毫不在乎地往前沖?！?/p>

此外，Talos聲稱，他們還發(fā)現(xiàn)了一種新的DNS劫持技術(shù)，我們對這種技術(shù)的評估相當(dāng)有信心，它與“海龜”背后的犯罪分子有關(guān)。這種新技術(shù)類似于犯罪分子破壞域名服務(wù)器記錄，并用偽造的A記錄響應(yīng)DNS請求。

Talos寫道：“這種新技術(shù)只在一些非常有針對性的攻擊行動中被觀察到過。我們還發(fā)現(xiàn)了一批新的受害者，包括一個國家代碼頂級域（ccTLD）注冊中心，它負(fù)責(zé)管理使用該國代碼的每個域的DNS記錄;然后，將這些受害者作為跳板再去攻擊其他的政府機(jī)構(gòu)。不幸的是，除非做出重大改進(jìn)，讓DNS更安全，否則這類攻擊還會繼續(xù)下去。”

DNSpionage攻擊鳥槍換炮

DNS面臨的另一種新威脅是名為DNSpionage的攻擊行動。

DNSpionage最初利用了兩個包含招聘信息的惡意網(wǎng)站，通過嵌入宏精心制作的Microsoft Office文檔來攻擊目標(biāo)。惡意軟件支持與攻擊者進(jìn)行HTTP和DNS通信。攻擊者正在繼續(xù)開發(fā)新的攻擊技術(shù)。

Talos寫道，“犯罪分子對DNSpionage惡意軟件的持續(xù)開發(fā)表明，攻擊者一直在尋找新方法來避免被發(fā)現(xiàn)。DNS隧道是一些犯罪分子常用的一種防探測方法，最近的DNSpionage實例表明，我們必須保證DNS與企業(yè)的正常代理或者網(wǎng)絡(luò)日志一樣受到密切監(jiān)視。DNS本質(zhì)上是互聯(lián)網(wǎng)電話簿，當(dāng)它被篡改后，任何人都很難辨別他們在網(wǎng)上看到的內(nèi)容是否合法?！?/p>

DNSpionage行動的目標(biāo)是中東以及阿聯(lián)酋政府領(lǐng)域的各類企業(yè)。

Talos拓展主管Craig Williams介紹說：“DNS被攻擊或者說缺乏防范措施最大的問題就是自滿?！逼髽I(yè)認(rèn)為DNS是穩(wěn)定的，不需要擔(dān)心?！暗?，我們所看到的DNSpionage和“海龜”等攻擊恰恰相反，因為攻擊者已經(jīng)知道怎樣利用這方面的漏洞來發(fā)揮其優(yōu)勢——怎樣以某種方式破壞證書，對于“海龜”的情形，受害者甚至永遠(yuǎn)不知道發(fā)生了什么。這才真有可能出問題?！?/p>

例如，如果你知道自己的域名服務(wù)器已被攻破，那么你可以強(qiáng)制所有人更改密碼。Williams指出，但是如果轉(zhuǎn)而去追查注冊機(jī)構(gòu)，而注冊機(jī)構(gòu)則指向了犯罪分子的網(wǎng)站，那么，你就永遠(yuǎn)不會知道發(fā)生過什么，因為你的任何東西都沒有被碰過——這就是為什么這類新威脅如此邪惡的原因所在。

DNS物聯(lián)網(wǎng)風(fēng)險

還有一個日益嚴(yán)重的風(fēng)險是越來越多的物聯(lián)網(wǎng)設(shè)備?；ヂ?lián)網(wǎng)域名與數(shù)字地址分配機(jī)構(gòu)（ICANN）曾經(jīng)就物聯(lián)網(wǎng)給DNS帶來的風(fēng)險撰寫過一篇論文。

ICANN指出：“物聯(lián)網(wǎng)之所以給DNS帶來了風(fēng)險，是因為各種評估研究表明，物聯(lián)網(wǎng)設(shè)備可能會以我們以前從未見過的方式對DNS基礎(chǔ)設(shè)施造成壓力。例如，一臺支持IP的常用物聯(lián)網(wǎng)設(shè)備進(jìn)行軟件更新，會使該設(shè)備更頻繁地使用DNS（例如，定期查找隨機(jī)域名以檢查網(wǎng)絡(luò)可用性），當(dāng)數(shù)百萬臺設(shè)備同時自動安裝更新時，就會對某個網(wǎng)絡(luò)中的DNS造成壓力?！?/p>

雖然從單臺設(shè)備的角度來看，這是一個編程錯誤，但從DNS基礎(chǔ)設(shè)施運(yùn)營商的角度來看，這可能是一種重要的攻擊途徑。ICANN稱，已經(jīng)出現(xiàn)了小規(guī)模的類似事件，但由于制造商生產(chǎn)的異構(gòu)物聯(lián)網(wǎng)設(shè)備在不斷增長，而且這些物聯(lián)網(wǎng)設(shè)備配備了使用DNS的控制器，因此，未來此類事件可能會更頻繁地發(fā)生。

ICANN還指出，物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)對DNS運(yùn)營商的威脅會越來越大。更加難以根除由物聯(lián)網(wǎng)僵尸機(jī)器造成的大規(guī)模的DDoS攻擊。目前僵尸網(wǎng)絡(luò)的規(guī)模大約為數(shù)十萬臺機(jī)器。最著名的例子是Mirai僵尸網(wǎng)絡(luò)，它控制了40萬（穩(wěn)態(tài)）到60萬（峰值）臺受感染的物聯(lián)網(wǎng)設(shè)備。Hajime僵尸網(wǎng)絡(luò)控制了大約40萬臺受感染的物聯(lián)網(wǎng)設(shè)備，但尚未發(fā)起任何DDoS攻擊。隨著物聯(lián)網(wǎng)的發(fā)展，這些攻擊可能會涉及數(shù)以百萬計的僵尸機(jī)器，從而導(dǎo)致更大規(guī)模的DDoS攻擊。

日益頻繁的DNS安全警告

英國國家網(wǎng)絡(luò)安全中心（NCSC）今年8月發(fā)出了關(guān)于正在進(jìn)行的DNS攻擊的警告，特別強(qiáng)調(diào)了DNS劫持。該中心列舉了與越來越多的DNS劫持相關(guān)的一些風(fēng)險，包括：

創(chuàng)建惡意DNS記錄。例如，可以使用惡意DNS記錄在企業(yè)熟悉的域中創(chuàng)建網(wǎng)絡(luò)釣魚網(wǎng)站。這可以用于對員工或者客戶進(jìn)行釣魚攻擊。

獲取SSL證書。域驗證SSL證書是基于DNS記錄的創(chuàng)建而頒發(fā)的。例如，攻擊者可以獲取域名的有效SSL證書，該證書可用于創(chuàng)建旨在看起來像真實網(wǎng)站的網(wǎng)絡(luò)釣魚網(wǎng)站。

透明代理。最近出現(xiàn)的一個非常嚴(yán)重的風(fēng)險涉及到透明地代理數(shù)據(jù)流來攔截數(shù)據(jù)。攻擊者修改企業(yè)的已配置域區(qū)域條目（例如，“A”或者“CNAME”記錄），把數(shù)據(jù)流指向他們自己的IP地址，而這是他們管理的基礎(chǔ)設(shè)施。

NCSC寫道：“一家企業(yè)可能會失去對其域的完全控制，攻擊者通常會更改域所有權(quán)的詳細(xì)信息，使其難以恢復(fù)。”

這些新威脅，以及其他的危險，導(dǎo)致美國政府在今年早些時候發(fā)布了關(guān)于聯(lián)邦機(jī)構(gòu)可能遭受DNS攻擊的警告。

國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）提醒所有聯(lián)邦機(jī)構(gòu)，在面對一系列全球黑客活動時必須關(guān)閉DNS。

CISA在其緊急指令中說，它正在跟蹤一系列針對DNS基礎(chǔ)設(shè)施的事件。CISA寫道，“已經(jīng)知道多個行政分支機(jī)構(gòu)的域名受到了篡改活動的影響，并通知了維護(hù)這些域名的機(jī)構(gòu)。”

CISA說，攻擊者已經(jīng)成功攔截和重定向了網(wǎng)絡(luò)和郵件數(shù)據(jù)流，并可能瞄準(zhǔn)其他網(wǎng)絡(luò)服務(wù)。該機(jī)構(gòu)稱，攻擊首先會破壞一個可以更改DNS記錄賬戶的用戶證書。然后，攻擊者更改DNS記錄，例如，地址、郵件交換器或者域名服務(wù)器記錄，將服務(wù)的合法地址替換為攻擊者控制的地址。

通過這些操作，攻擊者把用戶數(shù)據(jù)流引導(dǎo)到自己的基礎(chǔ)設(shè)施，以便在將其傳送給合法服務(wù)之前進(jìn)行操作或者檢查（只要他們愿意）。CISA指出，這就帶來了風(fēng)險，這種風(fēng)險在數(shù)據(jù)流重定向之后仍然存在。

CISA稱：“由于攻擊者能夠設(shè)置DNS記錄值，他們還可以獲取企業(yè)域名的有效加密證書。這允許對重定向的數(shù)據(jù)流進(jìn)行解密，從而暴露用戶提交的所有數(shù)據(jù)。由于證書對域有效，因此，最終用戶不會收到錯誤警告?！?h3>跟上DNSSEC大潮

DNS安全供應(yīng)商N(yùn)S1的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Kris Beevers評論說：“對于有可能成為攻擊目標(biāo)的企業(yè)，特別是那些通過其應(yīng)用程序采集或者公開用戶和公司數(shù)據(jù)的企業(yè)，應(yīng)向其DNS和注冊機(jī)構(gòu)供應(yīng)商施壓，以方便實施DNSSEC（域名系統(tǒng)安全擴(kuò)展）和其他域安全最佳實踐，并進(jìn)行標(biāo)準(zhǔn)化。他們可以利用當(dāng)今市場上的技術(shù)輕松實施DNSSEC簽名和其他域安全最佳實踐。至少，他們應(yīng)該與供應(yīng)商和安全部門一起審核其實施?！?/p>

DNSSEC今年年初出現(xiàn)在新聞中，當(dāng)時為了應(yīng)對越來越多的DNS攻擊，ICANN呼吁社區(qū)加強(qiáng)工作，安裝更強(qiáng)大的DNS安全技術(shù)。

具體來說，ICANN希望在所有不安全的域名上全面部署DNSSEC。DNSSEC在DNS之上添加了一個安全層。ICANN說，DNSSEC的全面部署可確保最終用戶連接到真實網(wǎng)站或者與特定域名相對應(yīng)的其他服務(wù)。ICANN稱，“盡管這并不能解決互聯(lián)網(wǎng)的所有安全問題，但它確實保護(hù)了互聯(lián)網(wǎng)的一個關(guān)鍵環(huán)節(jié)——目錄查找，加強(qiáng)了其他技術(shù)，例如，保護(hù)‘對話的SSL（https：），提供平臺以便于進(jìn)一步開發(fā)安全措施等?！?/p>

據(jù)亞太區(qū)域互聯(lián)網(wǎng)地址注冊中心（APNIC）的數(shù)據(jù)，自2010年起，DNSSEC技術(shù)就已經(jīng)出現(xiàn)了，但尚未得到廣泛部署，只有不到20%的全球DNS注冊機(jī)構(gòu)部署了該技術(shù)。

NS1的Beevers說，DNSSEC的應(yīng)用一直滯后，因為它被視為是可選的，需要在安全性和功能性之間進(jìn)行權(quán)衡。

傳統(tǒng)的DNS威脅

盡管DNS劫持可能是一線攻擊方法，但其他更傳統(tǒng)的威脅仍然存在。

IDC/EfficientIP的研究發(fā)現(xiàn)，最流行的DNS威脅與去年相比已經(jīng)有所變化。網(wǎng)絡(luò)釣魚（47%）現(xiàn)在比去年最流行的基于DNS的惡意軟件（39%）更受攻擊者歡迎，其次是DDoS攻擊（30%）、誤報觸發(fā)（26%）和鎖定域攻擊（26%）。

專家指出，DNS緩存中毒，以及DNS欺騙，也是相當(dāng)常見的。利用緩存中毒，攻擊者把惡意數(shù)據(jù)注入DNS解析程序的緩存系統(tǒng)，試圖把用戶重定向到攻擊者的網(wǎng)站。然后他們就可以竊取個人信息或者其他情報。

DNS隧道是另一種攻擊威脅，它使用DNS提供隱藏的通信通道，然后繞過防火墻。

Palo Alto網(wǎng)絡(luò)公司第42部的安全研究人員詳細(xì)描述了最著名的DNS隧道攻擊：OilRig。

OilRig至少從2016年5月便開始提供特洛伊木馬，在攻擊中使用DNS隧道發(fā)出命令并進(jìn)行控制，用于竊取數(shù)據(jù)。根據(jù)第42部關(guān)于OilRig的博客文章，從那時起，犯罪團(tuán)伙已經(jīng)在其工具集中引入了使用不同隧道協(xié)議的新工具。

第42部稱：“Oilrig團(tuán)伙不停地使用DNS隧道作為他們的C2服務(wù)器和許多工具之間通信的通道?！?h3>DNS攻擊緩解

專家指出，企業(yè)可以采取很多措施來阻止這些攻擊。

Talos的Williams說，用戶最好的措施就是實施雙重身份驗證?！斑@很容易實現(xiàn)，所有人都明白它是什么，沒有人會對此感到驚訝。企業(yè)還應(yīng)該給任何面向公眾的網(wǎng)站打上補(bǔ)丁——我們絕不應(yīng)該說，‘好吧，但愿他們找不到我們，這是不行的。”

還有很多其他建議的DNS安全最佳實踐。我們在這里匯編了一些，美國國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）也提供了一些。

CISA DNS最佳安全實踐包括以下建議：

· 更新DNS賬戶密碼。這將終止未經(jīng)授權(quán)的犯罪分子對當(dāng)前可能擁有的賬戶的訪問權(quán)限。

· 驗證DNS記錄，以確保它們按預(yù)期進(jìn)行解析，而不是重定向到其他地方。這將有助于發(fā)現(xiàn)任何活動的DNS劫持。

· 審核公共DNS記錄，以驗證它們是否被解析到了預(yù)期的地方。

· 搜索與域相關(guān)的加密證書，吊銷任何欺詐性請求的證書。

· 對于代理未請求的已頒發(fā)證書，監(jiān)視證書透明日志。這將幫助防御者注意到是否有人試圖模仿他們或者監(jiān)視他們的用戶。

DNS安全供應(yīng)商N(yùn)S1建議在注冊中心/注冊機(jī)構(gòu)中采取以下步驟：

· 確保在所有注冊機(jī)構(gòu)或者注冊中心賬戶中啟用雙重因素身份驗證，并且密碼不容易被猜到，安全的存儲密碼，不在服務(wù)之間重復(fù)使用密碼。

· 攻擊者可能會嘗試?yán)觅~戶恢復(fù)過程來獲取對域管理的訪問權(quán)限，因此，應(yīng)確保聯(lián)系詳細(xì)信息準(zhǔn)確而且最新。這與DNS特別相關(guān)，因為在企業(yè)電子郵件賬戶可用之前注冊域名是很常見的。

· 很多注冊機(jī)構(gòu)和注冊中心提供“鎖定”服務(wù)，需要額外的安全增強(qiáng)步驟才能進(jìn)行更改。了解自己可以使用的任何“鎖定”服務(wù)，并考慮應(yīng)用它們，尤其是應(yīng)用于高價值域名。

· 確保啟用了任何可用的日志記錄，以便能夠查看所做的更改。

DNS托管的步驟：

· 確保在所有DNS托管賬戶中啟用雙重因素身份驗證，并且密碼不容易被猜到，不在服務(wù)之間重復(fù)使用密碼。

· 確保對關(guān)鍵DNS域進(jìn)行了備份，以便在出現(xiàn)泄露事件后進(jìn)行恢復(fù)。

· 考慮使用“配置即代碼”方法來管理對DNS域的更改。

· 確保啟用了任何可用的日志記錄，以便能夠查看所做的更改。

EfficientIP指出：

· 對DNS數(shù)據(jù)流進(jìn)行實時行為威脅檢測，把合格的安全事件而不是日志發(fā)送到SIEM。

· 使用實時DNS分析有助于檢測并阻止高級攻擊，例如，DGA惡意軟件和零日惡意域等。

· 在網(wǎng)絡(luò)安全編排過程中，把DNS與IP地址管理（IPAM）集成起來有助于實現(xiàn)管理安全策略的自動執(zhí)行，使其保持最新、一致和可審核。

ICANN的DNS安全檢查條目如下：

· 確保所有系統(tǒng)安全補(bǔ)丁均已通過審查并已應(yīng)用;

· 審查未經(jīng)授權(quán)訪問系統(tǒng)的日志文件，尤其是管理員訪問;

· 審查對管理員（“根”）訪問的內(nèi)部控制措施;

· 驗證每條DNS記錄的完整性，以及這些記錄的更改歷史;

· 強(qiáng)制讓密碼足夠復(fù)雜，特別是密碼長度;

· 確保不與其他用戶共享密碼;

· 確保從未以明文形式存儲或者傳輸密碼;

· 強(qiáng)制定期更改密碼;

· 強(qiáng)制執(zhí)行密碼鎖定策略;

· 確保DNS區(qū)域記錄已由DNSSEC簽名，并且你的DNS解析程序執(zhí)行了DNSSEC驗證;

· 理想情況下，確保電子郵件域具有基于域的消息身份驗證策略（使用SPF和/或DKIM），并在電子郵件系統(tǒng)上強(qiáng)制執(zhí)行其他域提供的此類策略。

Michael Cooney是《網(wǎng)絡(luò)世界》的高級編輯，25年來一直在撰寫IT領(lǐng)域的文章。

原文網(wǎng)址

https：//www.networkworld.com/article/3409719/worst-dns-attacks-and-how-to-mitigate-them.html？nsdr=true