|
Morphus實驗室講述了這樣一個故事����,在某周六的早上,你作為一家大公司的CSO(首席安全官)����,突然開始收到了雪片般飛來的消息。他們告訴你有游客在訪問了你公司的網(wǎng)址后����,瀏覽到了各種惡意內(nèi)容。 這聽起來像是公司網(wǎng)站出現(xiàn)了混亂���,其實可能發(fā)生了更嚴重的的事情����。當你深入研究后會發(fā)現(xiàn)�����,公司整個域名都被黑客劫持了��,他們試圖從你們客戶那里竊取數(shù)據(jù)并且傳播惡意代碼����。在本文中��,我們會詳細介紹針對上述場景的應急響應方案�����。另外�����,這一威脅對信息安全策略和安全布局的顛覆�����,我們可以用一些簡單的方法進行緩解���。 DNS基礎(chǔ)知識 為了更好地理解到底發(fā)生了什么,我們需要了解一些DNS的基本概念��。 DNS即域名系統(tǒng)�����,是互聯(lián)網(wǎng)能夠正常運營的基礎(chǔ)����。我們每天使用的網(wǎng)站和其他網(wǎng)絡(luò)服務的名字�����,都需要借助因特網(wǎng)協(xié)議轉(zhuǎn)換為IP地址���,DNS服務器就在其間起一個翻譯的作用��。 DNS服務器以層級架構(gòu)的方式工作���,當解析請求傳遞給相應的DNS服務器時�,它會負責解決問題����。DNS服務器的根節(jié)點,可以比擬為任意網(wǎng)站域名最后看不見的一個點�,它們分布在全世界不同的地方。這些根DNS服務器必須知道控制頂級域名DNS服務器(比如”.com”)的IP地址�����。同樣��,“.com”DNS服務器也需要知道控制你公司域名的DNS服務器(比如“yourdomain.com”)的IP地址�。 舉個例子�����,有DNS請求需要解析“www.yourdomain.com”��,在請求包到達了根DNS服務器“.”之后����,反過來又會下放到“.com”服務器���,接著再到你公司的DNS服務器�����,最后它會解析“www”域名���,然后返回正確的地址給你。 這些頂級域名(比如”.com”)由域名注冊商把控��,這些域名注冊商也被稱作NIC(網(wǎng)絡(luò)信息中心)��。它們會管理自己負責的注冊域名����,同時專門配置DNS服務器的IP地址���,來負責解析如“yourdomain.com”等域名。 域名劫持 無論你在哪家域名注冊商注冊或者管理一個域名����,必須先在他們那里創(chuàng)建一個賬戶。這個賬戶可以把域名注冊商的DNS服務器IP地址���,指向你的網(wǎng)站或者email服務器的IP地址。 這樣一來��,域名注冊商網(wǎng)站的賬戶信息會顯得非常重要�����。一旦有不懷好意的人獲取到這些信息����,就能任意操作你的域名配置以及你DNS服務器的IP地址。簡而言之�����,他們可以將你們公司的域名和郵件劫持到他那兒��。 我們現(xiàn)在回過來看看,故事中到底發(fā)生了什么: 黑客盜竊了該公司在域名注冊網(wǎng)站的身份憑證����,登進去改變了主/次DNS服務器配置,將其指向了黑客自己的地址���。之后��,該公司的客戶訪問的都是黑客偽造的網(wǎng)站�,然后下載了黑客準備的惡意內(nèi)容�。我們可以猜測,罪犯的目的很可能是為了傳播惡意軟件�����。 事件響應 與大多數(shù)網(wǎng)絡(luò)事件一樣���,你只需要加載備份和配置就能恢復你的基礎(chǔ)設(shè)施����。在這個事件當中����,所有的服務器其實并沒有受到損害���。 在這些情況下,你有兩件事要做: 第一����,找回域名注冊網(wǎng)站上的登陸憑證。 第二�����,提醒你的客戶網(wǎng)站已經(jīng)被黑�,千萬不能再在上面下載任何內(nèi)容。 注意����,你這個時候千萬不能使用你公司的email去發(fā)送消息���,因為黑客很可能已經(jīng)控制了你們的email服務��,甚至正在竊聽你們公司所有的通信內(nèi)容�����。我們這里建議��,你可以通過公司的社交網(wǎng)絡(luò)賬戶或者其他渠道去發(fā)送這些通知�����。 我們認為��,黑客之所以選擇在周末進行襲擊�����,那是因為這時候是比較難恢復網(wǎng)絡(luò)環(huán)境的�����。這次事件發(fā)生在周六早上11點�,直到下午5點左右該公司才將DNS配置為正確的服務器。但是事情到了這里還沒完�����,由于黑客的惡意改動����,客戶在接下來幾個小時內(nèi)仍然訪問到的是偽造的網(wǎng)站,這一直持續(xù)到了因特網(wǎng)上DNS緩存進行了更新才結(jié)束。本來黑客為公司域名設(shè)置了24小時的TTL值����,這意味著DNS服務器會在接下來的24小時內(nèi)用黑客的IP來解析公司域名。 公司想要加快恢復的唯一途徑���,是聯(lián)系國內(nèi)負責主DNS服務器的網(wǎng)絡(luò)運營商�,然后請求他們刷新DNS配置�����。 當做好這一切后��,情況終于開始恢復�����。 網(wǎng)站憑證是如何失竊的 在這期間����,公司應急響應團隊中有一部分人員負責恢復網(wǎng)絡(luò)環(huán)境���,另一部分人員開始分析憑證失竊的原因�����。 在向負責此事的DNS管理員問詢后����,我們收集到一些值得注意的信息: 他在域名注冊商那里,綁定了一個Gmail賬戶����,這可以用來進行密碼找回。在這次事件發(fā)生之前�����,他的手機至少在4小時內(nèi)出現(xiàn)無服務的情況���,而重置Gmail密碼的短信正需要這臺手機��。 經(jīng)過公司調(diào)查人員的努力��,發(fā)現(xiàn)Gmail的密碼確實在那段時間被人通過手機進行了更改���。另外,根據(jù)收到的證據(jù)表明�,這只可能是因為手機被克隆了����。 目前�,這一假設(shè)是非常合理的,我們知道黑客可以通過SDR(軟件無線電)向GSM基礎(chǔ)設(shè)施發(fā)起攻擊��,截獲特定號碼的網(wǎng)絡(luò)消息和短信消息�����。 攻擊者的目標 這一事件中出現(xiàn)了很多的受害者�����,首先是被劫持域名的公司本身��,其次還有訪問黑客偽造的網(wǎng)站然后下載了惡意軟件的用戶們��。很明顯�,這種情況下的域名劫持只是為那些沒有太多警惕性的人準備的。黑客通過那些信任這家公司的人�����,去散播惡意軟件���,最終成功讓他們感染�。 根據(jù)初步分析����,這次事件的惡意軟件樣本是一個銀行木馬(Banload),它專門用于竊取巴西銀行用戶的憑證����。 漏洞和建議 黑客會利用不同的漏洞和攻擊策略來達到他們的目的,下面我們會討論一些預防和對抗措施�,來減輕類似攻擊帶來的風險。 雙因子身份認證 咱們現(xiàn)在在域名注冊商那里啟用雙因子驗證是非常有必要的��,這意味著你必須要提供至少兩種方法才能證明你的身份���,比如密碼�、硬件/軟件令牌�,甚至你自己的指紋。 在這次事件的分析中��,即使黑客可以重置于域名注冊商綁定的Gmail賬戶�,他們也無法獲得軟件令牌。這次的事件告訴我們����,千萬不要用短信作為第二重的身份驗證����,因為手機被盜或者被克隆后���,黑客就可以通過短信服務去獲取你的身份憑證�����。 分析與域名注冊商綁定的email賬戶 分析這個email賬戶是非常重要的����,通常它們可以用于重置網(wǎng)站的密碼����,所以經(jīng)常會成為許多釣魚者熱衷的目標。如果你偏愛使用email賬戶進行身份驗證的話�����,建議啟用雙因子身份認證����,這樣更不容易被黑�����。 建立事件響應計劃 你需要有一個針對這類事件的詳盡的應對措施,咱們總會有用到的時候���。 另外��,大家需要注意的是���,計劃中需要包括: 域名注冊商的緊急聯(lián)系方式(聯(lián)系人和電話號碼) 提醒客戶的另一個安全途徑(非email) 同域名注冊商建立常規(guī)應急通信流程(如模擬練習) * 參考來源:Linkedin和SA,F(xiàn)B小編dawner編譯�����,轉(zhuǎn)載請注明來自FreeBuf(FreeBuf.COM)
|
