《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > DNS漏洞使國家級間諜活動像注冊域一樣簡單

DNS漏洞使國家級間諜活動像注冊域一樣簡單

2021-08-15
來源:紅數(shù)位
關(guān)鍵詞: DNS漏洞 注冊域

  一種涉及使用特定名稱注冊域的新域名系統(tǒng) (DNS) 攻擊方法可用于研究人員所描述的“國家級間諜活動”。

  Wiz首席技術(shù)官Ami Luttwak和Shir Tamari于上周在拉斯維加斯舉行的Black Hat網(wǎng)絡(luò)安全會議上公布展示了他們發(fā)現(xiàn)的一類新漏洞,這些漏洞暴露了來自全球數(shù)百萬個端點的寶貴動態(tài)DNS數(shù)據(jù)。DNS(域名服務(wù))是互聯(lián)網(wǎng)的基礎(chǔ)之一,是一個極其復(fù)雜和分散的系統(tǒng),其核心是將可讀域名轉(zhuǎn)換為數(shù)字IP地址。

  Black Hat有一項令人自豪的DNS研究傳統(tǒng),最著名的是在2008年,已故偉大的丹·卡明斯基通過揭露互聯(lián)網(wǎng)的一些基本缺陷阻止了互聯(lián)網(wǎng)世界末日。一般來說,從那時起,DNS變得更加安全了。盡管如此,DNS漏洞通常很關(guān)鍵,因為它們使全球數(shù)十億設(shè)備處于危險之中。

  如今,托管DNS 提供商(例如 Amazon Route53、Google Cloud DNS 和 Akamai等)的興起以及遠程工作的無處不在,正在為這一為世界設(shè)計的數(shù)十年歷史的協(xié)議結(jié)構(gòu)中延伸并撕裂新的漏洞員工和服務(wù)器都在“本地”。

  我們收到了哪些流量?

  他們在對Amazon Route 53(一種提供給 AWS 用戶的云DNS Web服務(wù))進行分析時發(fā)現(xiàn)了這種攻擊方法。Route 53提供大約2000個DNS服務(wù)器,其名稱如ns-852.awsdns-42.net。Wiz研究人員發(fā)現(xiàn),如果他們將域鏈接到他們控制的服務(wù)器的IP地址,則注冊具有此類名稱的域并將其添加到Route 53中的具有相同名稱的DNS服務(wù)器會產(chǎn)生一些有趣的結(jié)果。

  研究人員解釋說:“每當(dāng)DNS客戶端向該名稱服務(wù)器查詢自身信息時(數(shù)千臺設(shè)備會自動更新其托管網(wǎng)絡(luò)中的IP地址),流量將直接發(fā)送到我們的IP地址。”在他們的Black Hat演講之后發(fā)表的一篇博文說道。

  他們聲稱已收到來自15000多個組織的DNS流量,其中包括財富500強公司、45個美國政府機構(gòu)和85個來自其他國家/地區(qū)的政府機構(gòu)。截獲的數(shù)據(jù)包括內(nèi)部和外部IP地址、計算機名稱、用戶名和辦公地點。

  此數(shù)據(jù)包含在來自Windows設(shè)備的動態(tài)DNS流量。據(jù)研究人員稱,該問題與 Windows設(shè)備IP地址更改時用于查找和更新主DNS服務(wù)器的算法有關(guān)。

  為什么我們會收到這樣的流量?

  簡短的回答是,Microsoft機器使用獨特的算法來查找和更新IP地址更改時的主DNS服務(wù)器。最終該算法將查詢被劫持的域名服務(wù)器以獲得它自己的地址。結(jié)果?由于我們已將該服務(wù)器定向到我們的惡意IP地址,因此我們開始接收所有查詢流量。

  為了更好地理解這一點,假設(shè)一名Wiz員工決定在家工作 - 就像我們大多數(shù)人最近一樣 - 并連接到他們的家庭WiFi。他們的工作筆記本電腦從他們的家用路由器獲得一個內(nèi)部IP地址,并會嘗試找到公司的本地主服務(wù)器以使用這個新地址更新它。

  最終,端點將嘗試更新主服務(wù)器,這是一個管理數(shù)千個客戶的AWS共享服務(wù)器。AWS名稱服務(wù)器不支持動態(tài)DNS更新,因此更新請求將失敗。

  到目前為止,Microsoft算法完全按預(yù)期工作,此時它應(yīng)該停止并放棄更新主服務(wù)器。但事實并非如此——這就是問題出現(xiàn)的地方。微軟并沒有放棄,而是嘗試以另一種方式找到主DNS服務(wù)器。下一步將檢查 Wiz 的名稱服務(wù)器是否有主服務(wù)器的記錄。

  AWS的名稱服務(wù)器使用我們提供的IP地址進行響應(yīng),在本例中為1.3.3.7。這是Windows端點發(fā)送動態(tài)更新的地方……無意中將其內(nèi)部 IP 地址、計算機名稱和其他信息泄露到我們的惡意DNS服務(wù)器。

  如何使用這些數(shù)據(jù)?

  “[泄露的流量]讓任何人都可以鳥瞰公司和政府內(nèi)部發(fā)生的事情。我們將其比作擁有民族國家級的間諜能力——而且獲得它就像注冊一個域一樣容易,”研究人員說。

  為了證明此類攻擊的潛在影響,他們使用收集到的數(shù)據(jù)根據(jù)從40000多臺計算機收到的流量繪制了一家大型服務(wù)公司員工的位置圖。

  他們聲稱,這種位置映射還使他們能夠確定一家大型商品貿(mào)易公司和一家大型信用合作社的子公司顯然在受美國制裁的國家/地區(qū)擁有員工,這將違反這些制裁。

  誰負(fù)責(zé)解決問題?

  在得知這個問題后,亞馬遜和谷歌實施了修復(fù),但Wiz認(rèn)為其他DNS提供商也可能存在漏洞,這意味著此類攻擊仍然可能發(fā)生。

  微軟也收到了通知,但這家科技巨頭表示,這是“組織使用外部DNS解析器時發(fā)生的已知錯誤配置”,而不是漏洞。

  Wiz表示,雖然服務(wù)提供商可以采取一些措施來防止此類事件發(fā)生,但組織可以通過確保正確配置DNS解析器以防止動態(tài)DNS更新離開內(nèi)部網(wǎng)絡(luò)來防止此類數(shù)據(jù)泄漏。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。