域名劫持事件發(fā)生后的應(yīng)急響應(yīng)策略

Morphus實(shí)驗(yàn)室講述了這樣一個故事，在某周六的早上，你作為一家大公司的CSO（首席安全官），突然開始收到了雪片般飛來的消息。他們告訴你有游客在訪問了你公司的網(wǎng)址后，瀏覽到了各種惡意內(nèi)容。

這聽起來像是公司網(wǎng)站出現(xiàn)了混亂，其實(shí)可能發(fā)生了更嚴(yán)重的的事情。當(dāng)你深入研究后會發(fā)現(xiàn)，公司整個域名都被黑客劫持了，他們試圖從你們客戶那里竊取數(shù)據(jù)并且傳播惡意代碼。在本文中，我們會詳細(xì)介紹針對上述場景的應(yīng)急響應(yīng)方案。另外，這一威脅對信息安全策略和安全布局的顛覆，我們可以用一些簡單的方法進(jìn)行緩解。

DNS基礎(chǔ)知識

為了更好地理解到底發(fā)生了什么，我們需要了解一些DNS的基本概念。

DNS即域名系統(tǒng)，是互聯(lián)網(wǎng)能夠正常運(yùn)營的基礎(chǔ)。我們每天使用的網(wǎng)站和其他網(wǎng)絡(luò)服務(wù)的名字，都需要借助因特網(wǎng)協(xié)議轉(zhuǎn)換為IP地址，DNS服務(wù)器就在其間起一個翻譯的作用。

DNS服務(wù)器以層級架構(gòu)的方式工作，當(dāng)解析請求傳遞給相應(yīng)的DNS服務(wù)器時，它會負(fù)責(zé)解決問題。DNS服務(wù)器的根節(jié)點(diǎn)，可以比擬為任意網(wǎng)站域名最后看不見的一個點(diǎn)，它們分布在全世界不同的地方。這些根DNS服務(wù)器必須知道控制頂級域名DNS服務(wù)器（比如”.com”）的IP地址。同樣，“.com”DNS服務(wù)器也需要知道控制你公司域名的DNS服務(wù)器（比如“yourdomain.com”）的IP地址。舉個例子，有DNS請求需要解析“www.yourdomain.com”，在請求包到達(dá)了根DNS服務(wù)器“.”之后，反過來又會下放到“.com”服務(wù)器，接著再到你公司的DNS服務(wù)器，最后它會解析“www”域名，然后返回正確的地址給你。

這些頂級域名（比如”.com”）由域名注冊商把控，這些域名注冊商也被稱作NIC（網(wǎng)絡(luò)信息中心）。它們會管理自己負(fù)責(zé)的注冊域名，同時專門配置DNS服務(wù)器的IP地址，來負(fù)責(zé)解析如“yourdomain.com”等域名。

域名劫持

無論你在哪家域名注冊商注冊或者管理一個域名，必須先在他們那里創(chuàng)建一個賬戶。這個賬戶可以把域名注冊商的DNS服務(wù)器IP地址，指向你的網(wǎng)站或者email服務(wù)器的IP地址。

這樣一來，域名注冊商網(wǎng)站的賬戶信息會顯得非常重要。一旦有不懷好意的人獲取到這些信息，就能任意操作你的域名配置以及你DNS服務(wù)器的IP地址。簡而言之，他們可以將你們公司的域名和郵件劫持到他那兒。

我們現(xiàn)在回過來看看，故事中到底發(fā)生了什么：

黑客盜竊了該公司在域名注冊網(wǎng)站的身份憑證，登進(jìn)去改變了主/次DNS服務(wù)器配置，將其指向了黑客自己的地址。之后，該公司的客戶訪問的都是黑客偽造的網(wǎng)站，然后下載了黑客準(zhǔn)備的惡意內(nèi)容。我們可以猜測，罪犯的目的很可能是為了傳播惡意軟件。

事件響應(yīng)

與大多數(shù)網(wǎng)絡(luò)事件一樣，你只需要加載備份和配置就能恢復(fù)你的基礎(chǔ)設(shè)施。在這個事件當(dāng)中，所有的服務(wù)器其實(shí)并沒有受到損害。

在這些情況下，你有兩件事要做：

第一，找回域名注冊網(wǎng)站上的登陸憑證。

第二，提醒你的客戶網(wǎng)站已經(jīng)被黑，千萬不能再在上面下載任何內(nèi)容。注意，你這個時候千萬不能使用你公司的email去發(fā)送消息，因?yàn)楹诳秃芸赡芤呀?jīng)控制了你們的email服務(wù)，甚至正在竊聽你們公司所有的通信內(nèi)容。我們這里建議，你可以通過公司的社交網(wǎng)絡(luò)賬戶或者其他渠道去發(fā)送這些通知。

我們認(rèn)為，黑客之所以選擇在周末進(jìn)行襲擊，那是因?yàn)檫@時候是比較難恢復(fù)網(wǎng)絡(luò)環(huán)境的。這次事件發(fā)生在周六早上11點(diǎn)，直到下午5點(diǎn)左右該公司才將DNS配置為正確的服務(wù)器。但是事情到了這里還沒完，由于黑客的惡意改動，客戶在接下來幾個小時內(nèi)仍然訪問到的是偽造的網(wǎng)站，這一直持續(xù)到了因特網(wǎng)上DNS緩存進(jìn)行了更新才結(jié)束。本來黑客為公司域名設(shè)置了24小時的TTL值，這意味著DNS服務(wù)器會在接下來的24小時內(nèi)用黑客的IP來解析公司域名。

公司想要加快恢復(fù)的唯一途徑，是聯(lián)系國內(nèi)負(fù)責(zé)主DNS服務(wù)器的網(wǎng)絡(luò)運(yùn)營商，然后請求他們刷新DNS配置。

當(dāng)做好這一切后，情況終于開始恢復(fù)。

網(wǎng)站憑證是如何失竊的

在這期間，公司應(yīng)急響應(yīng)團(tuán)隊中有一部分人員負(fù)責(zé)恢復(fù)網(wǎng)絡(luò)環(huán)境，另一部分人員開始分析憑證失竊的原因。

在向負(fù)責(zé)此事的DNS管理員問詢后，我們收集到一些值得注意的信息：

他在域名注冊商那里，綁定了一個Gmail賬戶，這可以用來進(jìn)行密碼找回。在這次事件發(fā)生之前，他的手機(jī)至少在4小時內(nèi)出現(xiàn)無服務(wù)的情況，而重置Gmail密碼的短信正需要這臺手機(jī)。

經(jīng)過公司調(diào)查人員的努力，發(fā)現(xiàn)Gmail的密碼確實(shí)在那段時間被人通過手機(jī)進(jìn)行了更改。另外，根據(jù)收到的證據(jù)表明，這只可能是因?yàn)槭謾C(jī)被克隆了。

目前，這一假設(shè)是非常合理的，我們知道黑客可以通過SDR（軟件無線電）向GSM基礎(chǔ)設(shè)施發(fā)起攻擊，截獲特定號碼的網(wǎng)絡(luò)消息和短信消息。

攻擊者的目標(biāo)

這一事件中出現(xiàn)了很多的受害者，首先是被劫持域名的公司本身，其次還有訪問黑客偽造的網(wǎng)站然后下載了惡意軟件的用戶們。很明顯，這種情況下的域名劫持只是為那些沒有太多警惕性的人準(zhǔn)備的。黑客通過那些信任這家公司的人，去散播惡意軟件，最終成功讓他們感染。

根據(jù)初步分析，這次事件的惡意軟件樣本是一個銀行木馬（Banload），它專門用于竊取巴西銀行用戶的憑證。

漏洞和建議

黑客會利用不同的漏洞和攻擊策略來達(dá)到他們的目的，下面我們會討論一些預(yù)防和對抗措施，來減輕類似攻擊帶來的風(fēng)險。

雙因子身份認(rèn)證

咱們現(xiàn)在在域名注冊商那里啟用雙因子驗(yàn)證是非常有必要的，這意味著你必須要提供至少兩種方法才能證明你的身份，比如密碼、硬件/軟件令牌，甚至你自己的指紋。

在這次事件的分析中，即使黑客可以重置于域名注冊商綁定的Gmail賬戶，他們也無法獲得軟件令牌。這次的事件告訴我們，千萬不要用短信作為第二重的身份驗(yàn)證，因?yàn)槭謾C(jī)被盜或者被克隆后，黑客就可以通過短信服務(wù)去獲取你的身份憑證。

分析與域名注冊商綁定的email賬戶

分析這個email賬戶是非常重要的，通常它們可以用于重置網(wǎng)站的密碼，所以經(jīng)常會成為許多釣魚者熱衷的目標(biāo)。如果你偏愛使用email賬戶進(jìn)行身份驗(yàn)證的話，建議啟用雙因子身份認(rèn)證，這樣更不容易被黑。

建立事件響應(yīng)計劃

你需要有一個針對這類事件的詳盡的應(yīng)對措施，咱們總會有用到的時候。

另外，大家需要注意的是，計劃中需要包括：

域名注冊商的緊急聯(lián)系方式（聯(lián)系人和電話號碼）

提醒客戶的另一個安全途徑（非email）

同域名注冊商建立常規(guī)應(yīng)急通信流程（如模擬練習(xí)）

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。