DNS威胁及缓解措施大盘点

DNS 劫持、隧道、网络钓鱼、缓存中毒、DDoS 攻击……诸多 DNS 威胁汹涌袭来。

域名系统 (DNS) 一直承受着各种攻击，随着黑客手段日趋复杂，DNS 攻击似乎永无尽头。

DNS 就好像互联网电话簿，将人们好记的域名与电脑访问网站或发送电子邮件所需的数串号码对应联系在一起。虽然 DNS 一直以来都是攻击者谋求各类企业及个人信息的突破目标，去年的 DNS 攻击情况却表明此类威胁越来越凶猛了。

国际数据公司 (IDC) 报告称，过去一年中，全球 82% 的公司遭遇过 DNS 攻击。该研究公司受 DNS 安全供应商 EfficientIP 委托，于 2019 年上半年对全球 904 家公司企业进行了问卷调查，并在此基础上于最近发布了其第五份年度《全球 DNS 威胁报告》。

IDC 的研究显示，与一年前相比，DNS 攻击相关平均损失上升了 49%。美国公司企业遭遇 DNS 攻击的平均损失超 127 万美元，为世界各地区最高。近一半 (48%) 受访者报告称，一次 DNS 攻击就可造成 50 万美元以上损失;近 10% 则称每次攻击令公司损失超 500 万美元。另外，大部分美国公司表示，缓解 DNS 攻击需一天以上。

令人担忧的是，内部应用和云应用都会遭到破坏，内部应用宕机时长翻了一倍多，成为公司企业当前遭遇的最普遍伤害。DNS 攻击正从纯暴力攻击转向由内部网络而起的复杂攻击，迫使公司企业运用智能缓解工具应对内部人威胁。

海龟 (Sea Turtle) DNS 劫持

名为 “海龟 (Sea Turtle) ” 的 DNS 劫持攻击活动如今仍在持续，生动反映出当今 DNS 威胁景象。

本月，思科 Talos 安全研究团队警告称，“海龟" 攻击行动背后的黑客团伙一直在改进自身攻击，纳入新基础设施，狩猎新受害者。

今年 4 月，Talos 发布详细揭秘 “海龟” 活动的报告，称之为 “域名注册机构被利用于网络间谍行动的首个案例”。Talos 称，该仍在持续的 DNS 威胁活动是国家支持的攻击，滥用 DNS 收割登录凭证，以受害者无法检测的方式获取敏感网络及系统访问权，展现了独特的 DNS 操纵手法。

通过获取受害者 DNS 控制权，攻击者可修改或伪造任意互联网数据，非法修改 DNS 域名记录，将用户指向自己控制下的服务器;访问这些站点的用户无从觉察。

4 月份 Talos 报告发布后，“海龟” 背后的黑客团伙似乎经历了重组，加倍重视新基础设施引入。Talos 研究人员认为这很不寻常：通常情况下，黑客组织被曝光后都会沉寂一段时间，“海龟” 却异常厚颜无耻，而且似乎不会被吓退，仍在开展攻击。

DNSpionage 工具升级

另一个更近期的 DNS 威胁是名为 DNSpionage 的攻击活动。

DNSpionage 最初利用两个包含招聘信息的恶意网站捕获目标，网站上放置有精心构造的微软 Office 文档——植入了恶意宏代码。该恶意软件支持通过 HTTP 和 DNS 协议与攻击者通信。且攻击者仍在继续开发新的攻击技术。

Talos 报告中写道：攻击者持续开发 DNSpionage 恶意软件的行为，显示出其不断找寻检测规避新方法的意图。DNS 隧道是一些攻击者常用的数据渗漏方法，最近的 DNSpionage 样本告诉我们：必须像监控公司常规代理或网络日志一样监视 DNS。DNS 基本上就是互联网电话簿，一旦遭到篡改，谁都难以识别自己浏览的网上内容是真是假。

DNSpionage 攻击活动的目标是中东地区公司企业和阿拉伯联合酋长国政府域名。

Talos 威胁情报外联经理 Craig Williams 称：

比如说，如果你知道自己的域名服务器被黑了，你还可以强制用户修改自身密码。但如果攻击者动的是域名注册机构，从根上将用户导引致攻击者控制下的域名，你完全发现不了发生了什么，因为你的所有东西都原封未动。这就是此类新威胁穷凶极恶的地方。

DNS 安全警告不断发出

英国国家网络安全中心 (NCSC) 本月发布警告，提请用户注意当前持续发生的 DNS 攻击，尤其是 DNS 劫持攻击。DNS 劫持攻击上升引发的风险包括：

1. 创建恶意 DNS 记录

恶意 DNS 记录可用于在公司常用域名上创建网络钓鱼网站。公司员工或客户都是此类网站的钓鱼对象。

2. 获取 SSL 凭证

域验证 SSL 凭证基于 DNS 记录颁发;因此攻击者可获取域名的有效 SSL 凭证，用于后续创建貌似真实网站的网络钓鱼站点。

3. 透明代理

最近冒头的一类严重威胁是透明代理流量，可被攻击者用来拦截数据。攻击者修改公司配置好的域条目(比如 “A” 或 “CNAME” 记录)，将流量导引至自己控制下的 IP 地址。

这些新威胁及其他危险促使美国政府于今年早些时候向联邦机构发布了一条关于 DNS 攻击的警告。

美国国土安全部 (DHS) 网络安全与基础设施安全局 (CISA) 指示各联邦机构守好自己的 DNS，做好面对一系列全球黑客活动的准备。

CISA 在其《紧急情况指令》中称，已检测到一系列针对 DNS 基础设施的事件。CISA 写道：多个行政分支机构域名受到 DNS 篡改活动影响，已通知相关机构做好维护工作。

CISA 表示，攻击者成功拦截并重定向了 Web 和电子邮件流量，可能染指其他联网服务。该机构认为，攻击者从盗取某具有 DNS 记录修改权限的用户账户凭证入手。接下来，攻击者篡改了 DNS 记录，比如 Addrss、Mail Exchanger、Name Server 记录，将这些服务的合法地址替换成了攻击者控制下的地址。

通过这些动作，攻击者可将用户流量导引到自己的基础设施上加以篡改或检查，然后再选择是否传给合法服务。CISA 声明，此类动作产生的风险，持续时间远不止流量重定向期间。

跟上域名系统安全扩展 (DNSSEC) 趋势

DNS 安全提供商 NS1 共同创始人兼首席执行官 Kris Beevers 称：身为潜在目标的企业，尤其是那些自身应用会获取或暴露用户及公司数据的企业，应听从 NSCS 的建议，敦促自己的 DNS 及注册供应商标准化 DNSSEC 及其他域名安全最佳实践，并使这些 DNS 安全操作便于实现。当前市场上的可用技术能够方便实现 DNSSEC 签名及其他域名安全最佳实践。公司企业应与提供商及自身安全团队协作，审计自己的 DNS 安全实现。

今年早些时候，为响应日渐增多的 DNS 攻击，互联网名称与数字地址分配机构 (ICANN) 呼吁业内加强健壮 DNS 安全技术的应用。当时 DNSSEC 便已频繁见诸报端。

（编辑：ASP站长网）