专栏首页FreeBuf域名劫持事件发生后的应急响应策略

域名劫持事件发生后的应急响应策略

Morphus实验室讲述了这样一个故事,在某周六的早上,你作为一家大公司的CSO(首席安全官),突然开始收到了雪片般飞来的消息。他们告诉你有游客在访问了你公司的网址后,浏览到了各种恶意内容。

这听起来像是公司网站出现了混乱,其实可能发生了更严重的的事情。当你深入研究后会发现,公司整个域名都被黑客劫持了,他们试图从你们客户那里窃取数据并且传播恶意代码。在本文中,我们会详细介绍针对上述场景的应急响应方案。另外,这一威胁对信息安全策略和安全布局的颠覆,我们可以用一些简单的方法进行缓解。

DNS基础知识

为了更好地理解到底发生了什么,我们需要了解一些DNS的基本概念。

DNS即域名系统,是互联网能够正常运营的基础。我们每天使用的网站和其他网络服务的名字,都需要借助因特网协议转换为IP地址,DNS服务器就在其间起一个翻译的作用。 DNS服务器以层级架构的方式工作,当解析请求传递给相应的DNS服务器时,它会负责解决问题。DNS服务器的根节点,可以比拟为任意网站域名最后看不见的一个点,它们分布在全世界不同的地方。这些根DNS服务器必须知道控制顶级域名DNS服务器(比如”.com”)的IP地址。同样,“.com”DNS服务器也需要知道控制你公司域名的DNS服务器(比如“yourdomain.com”)的IP地址。

举个例子,有DNS请求需要解析“www.yourdomain.com”,在请求包到达了根DNS服务器“.”之后,反过来又会下放到“.com”服务器,接着再到你公司的DNS服务器,最后它会解析“www”域名,然后返回正确的地址给你。

这些顶级域名(比如”.com”)由域名注册商把控,这些域名注册商也被称作NIC(网络信息中心)。它们会管理自己负责的注册域名,同时专门配置DNS服务器的IP地址,来负责解析如“yourdomain.com”等域名。

域名劫持

无论你在哪家域名注册商注册或者管理一个域名,必须先在他们那里创建一个账户。这个账户可以把域名注册商的DNS服务器IP地址,指向你的网站或者email服务器的IP地址。

这样一来,域名注册商网站的账户信息会显得非常重要。一旦有不怀好意的人获取到这些信息,就能任意操作你的域名配置以及你DNS服务器的IP地址。简而言之,他们可以将你们公司的域名和邮件劫持到他那儿。

我们现在回过来看看,故事中到底发生了什么:

黑客盗窃了该公司在域名注册网站的身份凭证,登进去改变了主/次DNS服务器配置,将其指向了黑客自己的地址。之后,该公司的客户访问的都是黑客伪造的网站,然后下载了黑客准备的恶意内容。我们可以猜测,罪犯的目的很可能是为了传播恶意软件。

事件响应

与大多数网络事件一样,你只需要加载备份和配置就能恢复你的基础设施。在这个事件当中,所有的服务器其实并没有受到损害。

在这些情况下,你有两件事要做:

第一,找回域名注册网站上的登陆凭证。 第二,提醒你的客户网站已经被黑,千万不能再在上面下载任何内容。

注意,你这个时候千万不能使用你公司的email去发送消息,因为黑客很可能已经控制了你们的email服务,甚至正在窃听你们公司所有的通信内容。我们这里建议,你可以通过公司的社交网络账户或者其他渠道去发送这些通知。

我们认为,黑客之所以选择在周末进行袭击,那是因为这时候是比较难恢复网络环境的。这次事件发生在周六早上11点,直到下午5点左右该公司才将DNS配置为正确的服务器。但是事情到了这里还没完,由于黑客的恶意改动,客户在接下来几个小时内仍然访问到的是伪造的网站,这一直持续到了因特网上DNS缓存进行了更新才结束。本来黑客为公司域名设置了24小时的TTL值,这意味着DNS服务器会在接下来的24小时内用黑客的IP来解析公司域名。

公司想要加快恢复的唯一途径,是联系国内负责主DNS服务器的网络运营商,然后请求他们刷新DNS配置。

当做好这一切后,情况终于开始恢复。

网站凭证是如何失窃的

在这期间,公司应急响应团队中有一部分人员负责恢复网络环境,另一部分人员开始分析凭证失窃的原因。

在向负责此事的DNS管理员问询后,我们收集到一些值得注意的信息:

他在域名注册商那里,绑定了一个Gmail账户,这可以用来进行密码找回。在这次事件发生之前,他的手机至少在4小时内出现无服务的情况,而重置Gmail密码的短信正需要这台手机。

经过公司调查人员的努力,发现Gmail的密码确实在那段时间被人通过手机进行了更改。另外,根据收到的证据表明,这只可能是因为手机被克隆了。

目前,这一假设是非常合理的,我们知道黑客可以通过SDR(软件无线电)向GSM基础设施发起攻击,截获特定号码的网络消息和短信消息。

攻击者的目标

这一事件中出现了很多的受害者,首先是被劫持域名的公司本身,其次还有访问黑客伪造的网站然后下载了恶意软件的用户们。很明显,这种情况下的域名劫持只是为那些没有太多警惕性的人准备的。黑客通过那些信任这家公司的人,去散播恶意软件,最终成功让他们感染。

根据初步分析,这次事件的恶意软件样本是一个银行木马(Banload),它专门用于窃取巴西银行用户的凭证。

漏洞和建议

黑客会利用不同的漏洞和攻击策略来达到他们的目的,下面我们会讨论一些预防和对抗措施,来减轻类似攻击带来的风险。

双因子身份认证

咱们现在在域名注册商那里启用双因子验证是非常有必要的,这意味着你必须要提供至少两种方法才能证明你的身份,比如密码、硬件/软件令牌,甚至你自己的指纹。

在这次事件的分析中,即使黑客可以重置于域名注册商绑定的Gmail账户,他们也无法获得软件令牌。这次的事件告诉我们,千万不要用短信作为第二重的身份验证,因为手机被盗或者被克隆后,黑客就可以通过短信服务去获取你的身份凭证。

分析与域名注册商绑定的email账户

分析这个email账户是非常重要的,通常它们可以用于重置网站的密码,所以经常会成为许多钓鱼者热衷的目标。如果你偏爱使用email账户进行身份验证的话,建议启用双因子身份认证,这样更不容易被黑。

建立事件响应计划

你需要有一个针对这类事件的详尽的应对措施,咱们总会有用到的时候。

另外,大家需要注意的是,计划中需要包括:

域名注册商的紧急联系方式(联系人和电话号码) 提醒客户的另一个安全途径(非email) 同域名注册商建立常规应急通信流程(如模拟练习)

* 参考来源:Linkedin和SA,FB小编dawner编译,转载请注明来自FreeBuf(FreeBuf.COM)

本文分享自微信公众号 - FreeBuf(freebuf),作者:dawner

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-11-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 利用DNS隧道构建隐蔽C&C信道

    无论是高级持续性威胁(APT)、僵尸网络(Botnet),还是勒索软件、后门等,命令与控制信道(C&C)都是其重要组成部分,尤其是APT和僵尸网络中的C&C信道...

    FB客服
  • 基于DNS隐蔽信道的攻击与检测

    企业网络经常面临网络攻击者窃取有价值和敏感数据的威胁。复杂的攻击者越来越多地利用DNS通道来泄露数据,以及维护恶意软件的隧道C&C(命令和控制)通信。这是因为D...

    FB客服
  • 使用Adidnsdump转储Active Directory DNS

    DNS域传送漏洞是在黑客常用的一种漏洞攻击手段。要实现域传送漏洞,就需要一个不安全配置的DNS服务器,允许匿名用户传输所有记录并收集有关网络中主机的信息。然后网...

    FB客服
  • Mac下实现超快捷切换DNS

    在有些情况下,我们需要切换DNS来实现一些处理。但是频繁的进入设置-网络 的确很麻烦,于是再次朝着脚本的思路想了想,发现还是可以实现的。下面的脚本就能便捷的实现...

    技术小黑屋
  • linux 修改DNS解析

    最主要是nameserver关键字,如果没指定nameserver就找不到DNS服务器,其它关键字是可选的。

    solate
  • 关于8月31日维基解密被攻击的观察与分析

    十几天前,维基解密遭受了一次攻击,导致很多访问者看到了“OurMine”的声明,他们声称已经获取了维基解密服务器的控制权。这次攻击之后,很多人(包括维基解密的粉...

    FB客服
  • Linux 系统中 resolv.conf 文件详解

    resolv.conf是resolver类库使用的配置文件,每当一个程序需要通过域名来访问internet上面的其它主机时,需要利用该类库将域名转换成对应的IP...

    一个会写诗的程序员
  • 我国首个IPv6公共DNS正式发布

    下一代互联网国家工程中心正式宣布推出IPv6公共DNS:240c::6666。通过免费提供性能优异的公共DNS服务,为广大IPv6互联网用户打造安全、稳定、高速...

    laulzgoay
  • 腾讯云:基于腾讯云搭建WordPress(领取腾讯云优惠券)

    前言 首先注册一个域名,腾讯云域名购买入口,不过也可以从万网、阿里云处去购买域名和服务器

    主机优惠教程
  • 家用路由器,已遭黑客攻击!

    大数据文摘

扫码关注云+社区

领取腾讯云代金券