IDC报告称,2018年,全球82%的企业都遭遇着DNS攻击。IDC公布了其第五期年度《全球DNS威胁报告》,该报告是基于IDC代表DNS安全提供商EfficientIP在2019年上半年对全球904家机构进行的一项调研得到的。
据IDC的研究,与2018年对比,2019年DNS攻击造成的均值成本增加了49%。
“海龟”DNS劫持行动
“海龟”是一种正瘋狂扩散的DNS劫持行动,也是现如今DNS威胁局势下出现的一个实例。
2019年4月,Talos公布了一份详细描述“海龟”的报告,称其为“己知的第一起注册域名机构因网络间谍罪而被攻克的实例”。
Talos详细介绍说:正在进行的DNS威胁行动是由国家发起的攻击,乱用DNS来获得浏览敏感网络和系统所需的证书,受害者检测不到这类攻击方式,这表明犯罪分子在怎样控制DNS层面有其独到见解。
除此之外,Talos宣称,他们还发现了一种新的DNS劫持技术,我们对这类技术的评定非常有信心,它与“海龟”身后的犯罪分子相关。这类新技术应用类似犯罪分子破坏域名服务器记录,并用伪造的A记录回应DNS请求。
DNSpionage攻击鸟枪换炮
DNS遭遇的另一种新威胁是名叫DNSpionage的攻击行动。
DNSpionage最初利用了两个包含招聘信息的恶意网站,根据嵌入宏精心制作的MicrosoftOffice文档来攻击目标。恶意软件适用与攻击者进行HTTP和DNS通信。攻击者正在再次开发的攻击技术。
Talos写到,“犯罪分子对DNSpionage恶意软件的不断开发表明,攻击者一直在找寻新方式来防止被发现。DNS隧道施工是一些犯罪分子常见的一种防检测方式,近期的DNSpionage实例表明,我们务必确保DNS与企业的正常代理或是网络日志一样受到密切监视。DNS实质上是互联网电话簿,当它被伪造后,所有人都很难辨别他们在网上看到的內容是不是合法。”
Talos拓展主管CraigWilliams详细介绍说:“DNS被攻击或者说缺乏防范措施较大的难题就是自满。”企业认为DNS是平稳的,不用担忧。“可是,我们所看到的DNSpionage和“海龟”等攻击正好相反,由于攻击者早已了解怎样利用这方面的漏洞来充分发挥其优点——怎样以某种方式破坏证书,针对“海龟”的情况,受害者甚至永远不知道发生了什么。这才真有可能出难题。”
DNS物联网风险
还有一个日益严重的风险是越来越多的物联网设备。互联网域名与数字地址分派机构(ICANN)以前就物联网给DNS产生的风险编写过一篇毕业论文。
ICANN还指出,物联网僵尸网络对DNS营运商的威胁会越来越大。更为难以根除由物联网僵尸机器造成的规模性的ddos攻击。现阶段僵尸网络的规模大概为数十万台机器。最知名的事例是Mirai僵尸网络,它操纵了40万(恒定)到60万(峰值)台受感柒的物联网设备。Hajime僵尸网络操纵了大概40万台受感柒的物联网设备,但并未发起任何DDoS攻击。随着物联网的发展,这种攻击很有可能会涉及到数以百万计的僵尸机器,进而造成更规模性的DDoS攻击。
日益频繁的DNS安全警告
英国国家网络安全中心(NCSC)2019年8月传出了有关正在进行的DNS攻击的警示,特别强调了DNS劫持。
该中心例举了与越来越多的DNS劫持有关的一些风险包含:
1、创建故意DNS记录
比如:能够 使用故意DNS记录在企业了解的域中创建网络钓鱼网站。这能够 用以对职工或是顾客进行中间人攻击。
2、获得SSL证书
域认证SSL证书是基于DNS记录的创建而授予的。比如:攻击者能够 获得域名的合理SSL证书,该证书可用以创建致力于看上去像真实网站的网络钓鱼网站。
3、透明代理
近期出现的一个十分比较严重的风险牵涉到透明地代理数据流来阻拦数据。攻击者改动企业的已配备域地区内容,把数据流偏向他们自己的IP地址,而它是他们管理的基础设施。
国土安全部的网络安全和基础设施安全局(CISA)提示所有联邦机构,在应对一系列全球黑客活动时务必关掉DNS。
CISA说:攻击者早已成功阻拦和跳转了网络和电子邮件数据流,并很有可能看准其他互联网服务。该机构称,攻击最先会破坏一个能够 变更DNS记录账户的客户证书。随后,攻击者变更DNS记录,比如,地址、电子邮件空调交换器或是域名服务器记录,将服务的合法地址更换为攻击者操纵的地址。
跟上DNSSEC大潮
DNS安全提供商NS1的联合创始人兼CEOKrisBeevers评价说:“针对有可能变成攻击目标的企业,非常是这些根据其应用程序采集或是公开客户和公司数据的企业,需向其DNS和注册机构提供商施压,以方便执行DNSSEC(域名系统安全拓展)和其他域安全最佳实践,并进行规范化。他们能够 利用现如今销售市场上的技术轻松执行DNSSEC签字和其他域安全最佳实践。最少,他们应当与提供商和安全部门一起审核其执行。”
DNSSEC2019年初出现在新闻中,当时以便解决越来越多的DNS攻击,ICANN号召小区加强工作,安装更强大的DNS安全技术。
ICANN期待在所有不安全的域名上全面部署DNSSEC。DNSSEC在DNS以上加上了一个安全层。
据亚太区域互联网地址注册中心(APNIC)的数据,自2010年起,DNSSEC技术就早已出现了,但并未获得普遍布署,仅有不到20%的全球DNS注册机构布署了该技术。
NS1的Beevers说,DNSSEC的运用一直落后,因为它被视作是可选择的,一定要在安全性和多功能性中间进行衡量。
传统的DNS威胁
虽然DNS劫持可能是一线攻击方式,但其他更传统的威胁依然存有。
专家指出:DNS缓存中毒,及其DNS欺骗,也是非常普遍的。利用缓存中毒,攻击者把故意数据引入DNS分析程序的缓存系统,尝试把客户跳转到攻击者的网站。随后他们就可以盗取个人信息或是其他资源。
DNS隧道施工是另一种攻击威胁,它使用DNS提供掩藏的通信通道,随后绕过防火墙。
PaloAlto网络公司第42部的安全研究人员详细描述了最知名的DNS隧道施工攻击:OilRig。
OilRig最少从2016年五月便刚开始提供特洛伊木马,在攻击中使用DNS隧道施工传出指令并进行操纵,用以盗取数据。依据第42部有关OilRig的网络文章,从那以后,犯罪团伙早已在其工具集中引进了使用不同隧道施工协议书的新工具。
DNS攻击减轻
Talos的Williams说,客户最好是的对策就是执行双重身份认证。“这很容易完成,任何人都搞清楚它是啥,沒有人会对于此事觉得诧异。企业还应当给任何朝向群众的网站打上补丁——我们决不应当说,‘行吧,只愿他们找不着我们’,它是不好的。”
CISADNS最好安全实践包含下列建议:
1、更新DNS账户密码
这将停止没经受权的犯罪分子对当今很有可能有着的账户的访问限制。
2、认证DNS记录
以确保他们按预估进行分析,而不是跳转到其他地区。这将有助于发现任何活动的DNS劫持。
3、审核公共DNS记录
以认证他们是不是被分析来到预估的地区。
4、搜索与域有关的加密证书
注销任何欺骗性请求的证书。
5、针对代理未请求的已授予证书
监视证书透明日志。这将协助防御者注意到是不是有些人尝试效仿他们或是监视他们的客户。
DNS安全提供商NS1建议在认证中心/注册机构中采用下列流程:
1、确保在所有注册机构或是认证中心账户中开启双重因素身份验证,而且密码不易被猜中,安全的储存密码,没有服务中间多次重复使用密码。
2、攻击者很有可能会试着利用账户修复过程来获得对域管理的访问限制,因而,应确保联络详细信息精确并且最新。这与DNS非常有关,由于在企业电子邮箱账户能用以前域名注册是很普遍的。
3、许多注册机构和认证中心提供“锁住”服务,一定要附加的安全提高流程才可以进行变更。认识自己能够 使用的任何“锁住”服务,并考虑到运用他们,尤其是运用于高使用价值域名。
4、确保开启了任何能用的日志记录,便于可以查询所做的变更。
DNS托管的流程:
1、确保在所有DNS托管账户中开启双重因素身份验证,而且密码不易被猜中,没有服务中间多次重复使用密码。
2、确保对重要DNS域进行了备份,便于在出现泄露事件后进行修复。
3、考虑到使用“配备即编码”方式来管理对DNS域的变更。
4、确保开启了任何能用的日志记录,便于可以查询所做的变更。
EfficientIP指出:
1、对DNS数据流进行即时个人行为威胁检测,把达标的安全事故而不是日志发送至SIEM。
2、使用即时DNS剖析有助于检测并阻拦高級攻击,比如,DGA恶意软件和零日故意域等。
3、在网络安全编排过程中,把DNS与IP地址管理(IPAM)集成起來有助于完成管理安全设置的自动实行,使其维持最新、一致和可审核。
以上就是IDC报告:全球82%的企业面临DNS攻击的威胁!的介绍
桂哥网络桂哥网络是一家面向企业提供云交换网络服务为核心业务的技术创新企业,在全球的数据中心节点30个,POP节点超过200个,服务的大客户超过300个,涉及金融、互联网、游戏、AI、教育、制造业、跨国企业等行业领域。