全球DNS劫持活动疑似与伊朗有关
作者:互联网
美国网络安全公司FireEye发现了一个非常复杂的黑客攻击活动,在此期间,一个可疑的伊朗团体通过他们自己的恶意服务器重定向全球各地公司的流量,记录公司凭证以备将来的攻击。
受影响的组织包括中东,北非,欧洲和北美的电信,ISP,互联网基础设施提供商,政府和敏感商业实体。
FireEye分析师认为,一个伊朗组织支持这一攻击,尽管目前还没有确切归属的明确证据。FireEye提供了对这些攻击的见解,这些攻击自2017年1月以来一直在发生。
该报告背后的FireEye分析师将此活动在Twitter上的范围和影响描述为“ 巨大的”。
像大多数网络间谍组织一样,攻击者不仅仅是长矛钓鱼者收集电子邮件凭据,而是修改了公司IT资源的DNS记录,以重塑组织内部的互联网流量并劫持他们想要的部分。
FireEye表示,它确定了三种不同的技术用于这些攻击,每种技术都与下一次一样复杂:
技巧1:攻击者更改受害者邮件服务器的DNS记录,将其重定向到自己的电子邮件服务器。攻击者还使用Let的加密证书来支持HTTPS流量,并使用负载均衡器将受害者从他们的影子服务器上的受害者收集登录凭据后重定向回真实的电子邮件服务器。
技术2:与第一个相同,但不同之处在于公司的合法DNS记录正在被修改。在第一种技术中,攻击者通过托管DNS提供商的帐户更改了DNS A记录,而在此技术中,攻击者通过TLD(域名)提供商帐户更改了DNS NS记录。
技术3:有时也作为前两种技术的一部分进行部署。这依赖于部署“攻击者操作盒”,该“响应操作盒”响应对被劫持的DNS记录的DNS请求。如果DNS请求(对于公司的邮件服务器)来自公司内部,则用户被重定向到攻击者操作的恶意服务器,但如果请求来自公司外部,则请求被定向到真实的电子邮件服务器。
所有这些攻击都依赖于攻击者改变公司DNS记录的能力,公司内部很少有人能够做到这一点。
这通常需要访问域名注册商,提供托管DNS服务的公司或公司可能正在运行的内部DNS服务器上的帐户。
“虽然改变DNS记录的确切机制尚不清楚,但我们认为至少有一些记录是通过破坏受害者的域名注册商帐户而改变的,”FireEye说,并澄清其对此全球黑客攻击活动的调查仍在进行中。
这家美国网络安全公司还指出,这类攻击很难防范,因为攻击者在大多数情况下都没有访问公司的内部网络,也不太可能通过本地安全软件触发警报。
增强企业安全性的措施
1.在我们的域名管理界面中启用多因素身份验证功能;
2.验证A记录和NS记录的修改有效性;
3.搜索跟自己域名相关的SSL证书,吊销所有的恶意证书;
4.验证OWA/Exchanges日志中的IP源地址;
5.对环境中的所有访问权限进行安全审计。
目前HTTPS是现行网络架构下最安全的解决方案。基于SSL加密层,用户可以将网站由HTTP切换到HTTPS,从而保证网络数据传输的安全。有了HTTPS加密,可以防止网站流量劫持,保护用户隐私,还可以保障企业的利益不受损害。为用户隐私保驾护航,将网络攻击风险扼杀在摇篮。
建议企业赶快向数安时代申请权威可信SSL证书吧!提升网站安全防护能力,保护用户的数据安全。数安时代是全国三家经过WEBTRUST国际认证CA机构的其中一家,拥有15年丰富的行业经验和专业的7*24小时一对一技术支持团队,随时为您解决难题。如果对部署SSL证书或者对HTTPS有什么疑惑可以随时到官网咨询客服。
标签:劫持,HTTPS,记录,FireEye,疑似,DNS,攻击者,服务器 来源: https://blog.csdn.net/Trustauth/article/details/88874398