【51CTO.com快譯】企業(yè)域名正在變成其最重要的資產(chǎn)之一，失去對它的控制會(huì)直接影響到其網(wǎng)站。對于一家大型巴西銀行來說，2016年秋天遭遇的域名劫持事件直接導(dǎo)致攻擊者竊取該銀行的支付卡數(shù)據(jù)，并接管客戶帳戶，以惡意軟件感染客戶。

卡巴斯基實(shí)驗(yàn)室研究人員Fabio Assolini和Dmitry Bestuzhev在上周的安全分析師峰會(huì)上表示，2016年10月22日下午1點(diǎn)左右，復(fù)雜的網(wǎng)絡(luò)犯罪組獲得了銀行域名注冊商的訪問權(quán)限，并修改了該銀行所有36個(gè)在線資產(chǎn)的域名系統(tǒng)(DNS)記錄。

[[188218]]

DNS將人性化的域名轉(zhuǎn)換為托管網(wǎng)站或應(yīng)用程序的服務(wù)器IP地址。通過更改DNS記錄，即使用戶正在使用正確的網(wǎng)址，攻擊者也可以將所有用戶重新路由到實(shí)際服務(wù)器的其他目的地。在這次大規(guī)模的銀行詐騙行動(dòng)中，該團(tuán)伙向銀行客戶發(fā)送了幾乎完美的Google Cloud Platform托管的網(wǎng)站副本。

研究人員最初認(rèn)為攻擊只是另一個(gè)網(wǎng)站劫持和網(wǎng)絡(luò)釣魚操作，但很快就意識到，攻擊者對獲取登錄憑據(jù)和下載惡意軟件感興趣：他們已經(jīng)占領(lǐng)了銀行的整個(gè)互聯(lián)網(wǎng)存在。

Assolini說：“所有領(lǐng)域，包括企業(yè)領(lǐng)域，都被壞家伙控制著。”

完整的pwnage

據(jù)了解，在巴西的攻擊者干擾了該銀行的網(wǎng)上銀行、移動(dòng)應(yīng)用、銷售點(diǎn)終端，自動(dòng)柜員機(jī)和投資交易。通過路由ATM和銷售點(diǎn)系統(tǒng)，攻擊者收集了在攻擊窗口中使用信用卡或借記卡的任何人的支付卡詳細(xì)信息，嘗試訪問銀行網(wǎng)站的任何人都會(huì)被感染惡意軟件，該惡意軟件會(huì)從Outlook和Exchange中竊取登錄信息和電子郵件聯(lián)系人列表。攻擊者獲取了所有人登錄網(wǎng)上銀行應(yīng)用程序的憑證，這是針對特定銀行客戶的網(wǎng)絡(luò)釣魚行為。

而在事件發(fā)生后，銀行安全團(tuán)隊(duì)需要5-6個(gè)小時(shí)才能重新獲得控制權(quán)。更糟糕的是，由于攻擊者控制了銀行電子郵件和FTP服務(wù)器使用的域，使得銀行無法通知其客戶，內(nèi)部員工甚至無法相互溝通。

雖然研究人員仍然不知道損害的全部程度，但這次攻擊是一個(gè)警示，要求銀行和其他企業(yè)考慮其DNS的不安全性可能會(huì)導(dǎo)致其在線業(yè)務(wù)完全失去控制。

Bestuzhev說：“如果您的DNS受到網(wǎng)絡(luò)犯罪分子的控制，您就會(huì)受傷。”

這種域名劫持并不罕見，因?yàn)楣粽叽鄹腄NS記錄將用戶引導(dǎo)到惡意網(wǎng)站。例如，在2013年之后，敘利亞電子部隊(duì)成功地將“紐約時(shí)報(bào)”域名劫持到顯示其標(biāo)志的頁面。專家長期警告，DNS易受攻擊，需要更好的安全性，但是這些警告常常被其他更直接的安全問題所淹沒。

Bestuzhev說：“這是對互聯(lián)網(wǎng)的已知威脅，但是我們從未見過這么大規(guī)模的劫持行為。”

一切都從域名開始

攻擊者破壞了該銀行的DNS Registro.br，并獲得了該銀行DNS記錄的控制權(quán)，但研究人員仍然不知道他們使用了什么方法。“在1月份，注冊服務(wù)商在其網(wǎng)站上披露了一個(gè)跨站點(diǎn)請求偽造漏洞，這個(gè)漏洞將使惡意代理人對帳戶進(jìn)行身份驗(yàn)證，但注冊服務(wù)商稱該漏洞在銀行劫持行為中沒有被使用。”Bestuzhev說。初始的攻擊媒介可能是一個(gè)傳播給注冊服務(wù)商員工的詐騙電子郵件。

“如果受害者的雇員訪問DNS表，攻擊者可能造成的破壞將遠(yuǎn)遠(yuǎn)超過接管一家銀行。”Besuzhev說。

由于銀行沒有使用雙因素身份驗(yàn)證，盡管域名注冊商提供了安全性選項(xiàng)，但攻擊者仍然可以訪問該帳戶并更改所有DNS記錄的信息。雙因素身份驗(yàn)證可能會(huì)阻止這種妥協(xié)，或者至少警告銀行的維權(quán)者發(fā)生了意想不到的事情。

操作元素

隨著域名的控制，攻擊者需要一個(gè)地方來指導(dǎo)用戶，所以他們?nèi)チ嗽贫?。銀行的桌面和移動(dòng)網(wǎng)站域名被巧妙地克隆在Google Cloud上，并以免費(fèi)的證書頒發(fā)機(jī)構(gòu)使用銀行名稱頒發(fā)的有效證書進(jìn)行加密。網(wǎng)站看起來和往常一樣，瀏覽器顯示正確的URL，HTTPS和封閉的掛鎖圖標(biāo)。難怪用戶被愚弄了。

在襲擊過程中訪問該銀行網(wǎng)站的用戶感染了一個(gè)惡意的.JAR文件，偽裝成銀行的Trusteer安全插件的更新。安裝后，惡意軟件使用Avenger(一種合法的滲透測試工具)來禁用受害者計(jì)算機(jī)上安裝的現(xiàn)有安全軟件。不同的模塊從Outlook和Exchange收集了登錄憑據(jù)、電子郵件和FTP信息以及電子郵件聯(lián)系人列表。惡意軟件的另一部分是看看受害者是否與巴西、英國、日本、葡萄牙、意大利、中國、阿根廷，開曼群島和美國的其他銀行進(jìn)行了帳戶往來，并嘗試收獲這些登錄憑據(jù)。

“Google Cloud的選擇很有趣。”Besuzhev說，由于攻擊者的基礎(chǔ)設(shè)施具有比銀行自己的數(shù)據(jù)中心業(yè)務(wù)更好的性能和可靠性，因此IT從來沒有得到客戶或員工的警告，說明性能低下或服務(wù)遲緩。

銀行的維權(quán)者有一個(gè)“銀盾”，即銀行的移動(dòng)應(yīng)用程序使用證書，這是一種安全機(jī)制，旨在防止攻擊者冒用假冒證書的網(wǎng)站。因此，攻擊者無法通過該應(yīng)用造成很大的傷害。

DNS需要被保護(hù) - 期限

互聯(lián)網(wǎng)依賴于DNS，而DNS是非常脆弱的。許多企業(yè)依賴第三方提供商的DNS基礎(chǔ)設(shè)施。去年秋天，Dyn的停電清楚地表明，這使得他們特別容易受到這種類型的攻擊。無論誰控制DNS，企業(yè)仍然必須啟用安全保護(hù)。

并非所有注冊商都提供雙重身份驗(yàn)證以保護(hù)帳戶，但即使對于那些帳戶，客戶也不用打擾安全層。一些注冊商提供DNSSEC，這是一種注冊表鎖，以防止DNS記錄被輕易修改，但沒有被廣泛使用。

卡巴斯基研究人員表示，盡管銀行最終重新獲得控制權(quán)，可能通過致電(或傳真)注冊商來修復(fù)DNS記錄，但受害機(jī)器仍然被惡意軟件感染，并且仍然可能會(huì)從受害者竊取信息。因?yàn)檫@家銀行是一家擁有超過250億美元資產(chǎn)的大型機(jī)構(gòu)，全球500萬客戶，12,000名員工，1,000個(gè)終端和500個(gè)分支機(jī)構(gòu)在巴西、阿根廷，美國和開曼群島。

Bestuzhev指出，企業(yè)應(yīng)該有專門用于關(guān)注域名和DNS問題的事件響應(yīng)小組，以便他們能夠更快地檢測到這些變化。如果所有的攻擊者所要做的就是接管域名，那么網(wǎng)絡(luò)鎖定并不重要，而應(yīng)考慮應(yīng)用程序和網(wǎng)站的安全性如何，或者防御者可能具有哪些層次的安全性。

原文標(biāo)題：Clean up your DNS act or get pwned like this bank，作者：Fahmida Y. Rashid

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】 

 　　了解更多熱點(diǎn)新聞，請關(guān)注51CTO《科技新聞早報(bào)》欄目!

[[188219]]