著名安全厂商 FOX-IT 证实遭中间人攻击

位于荷兰的著名安全厂商Fox-IT（Fox-IT 公司向全球的大型企业提供IT安全管理和威胁情报服务）今天披露称，一小部分 Fox-IT 用户遭受不知名黑客的中间人攻击。这起安全事件发生在9月19日且持续了10小时24分钟。Fox-IT 公司指出，一名攻击者劫持了公司的域名，随后用它以Fox-IT公司的名义获取SSL证书。之后，攻击者将域名指向受其控制的一个私有 VPS 服务器并进行了中间人攻击，接收到本来应流向 Fox-IT 域名的流量，在 SSL 证书的协助下读取了 HTTPS 连接的内容，随后将用户重定向至真正的 Fox-IT服务器上。

- 仅针对 Fox-IT 的用户门户网站 -

Fox-IT公司指出，攻击者仅对拦截该公司 ClientPortal 网站的流量感兴趣，攻击者拦截登录请求、凭证信息以及发送至ClientPortal网站的文件。攻击者总共拦截了9名用户的凭证信息以及12份文件，受影响用户数量少是因为 Fox-IT 公司在事件发生的最初5个小时内就检测到了域名劫持和中间人攻击活动并禁用了其双因素验证服务，从而有效地阻止了其它用户的登录操作以及其它关键文件和数据泄露。

Fox-IT 还快速通知受影响用户并重置了遭拦截的密码，不过遭拦截的密码不起作用是因为 Fox-IT 在登录过程中采用的是双因素验证。另外，Fox-IT 公司表示遭拦截的文件中不包含“机密”文件，也不包含敏感信息。在中间人的攻击，拦截的重要性不高的文件和数据包括一个手机号码、ClientPortal 用户的姓名和邮件地址子集，以及ClientPortal 账户名称。

- Fox-IT 在攻击发生10小时后检测到异常 -

Fox-IT 公司表示，行业平均检测威胁所需时间是几周，这次安全事件相对而言检测时间很短。该公司还表示已将事件告知荷兰执法部门。

具体时间轴如下：

2017年9月16日 攻击者针对公司的基础设施开展第一次侦察活动，包括常规端口扫描、漏洞扫描等扫描活动。

2017年9月19日, 00:38 攻击者更改了位于第三方提供商处的fox-it.com 域名的DNS记录。

2017年9月19日, 02:02 公司够判断出clientportal.fox-it.com仍然指向合法ClientPortal 服务器的最后时间点，也就是说CientPortal的流量尚未遭劫持。

2017年9月19日, 02:05-02:15 最长的10分钟窗口期，在此期间攻击者临时拦截了Fox-IT 邮件，目的是证明他们在为ClientPortal注册SSL证书时拥有公司域名。

2017年9月19日, 02:21 针对ClientPortal真正的中间人攻击启动。这时，clientportal.fox-it.com的虚假SSL证书和IP DNS记录指向位于国外的一个VPS提供商。

2017年9月19日, 07:25 我们判断出fox-it.com的域名服务器已遭重定向而这种更改并未经授权。我们将DNS设置更改回自己的域名服务器并更改了域名注册账户的密码。这种更改要完全生效需要时间，原因在于域名系统的缓存和分布式性质。

2017年9月19日, 12:45 我们禁用了ClientPortal登录认证系统的双因素验证（通过文本信息），有效地阻止了ClientPortal用户成功登录后流量遭拦截。此外，我们还保证ClientPortal功能正常，以免打草惊蛇同时也为自己争取调查时间。这时，从技术角度来讲中间人攻击仍然是活跃状态，不过无法拦截流量，因为用户无法执行双因素验证以及登录动作。

2017年9月19日-20日 我们开展了对事件的完整调查，同时通知了文件遭拦截的所有用户以及相关机构如荷兰数据保护局。警方正在开展调查。基于我们的调查结果，我们了解了事件的影响范围，并且攻击完全得到制止，我们打算重新启用CientPortal的双因素验证。

2017年9月20日, 15:38 ClientPortal恢复正常运行。我们的内部调查工作仍在继续。