全球DNS劫持威胁

在一系列相关的攻击中,黑客伪造DNS记录,将用户带到旨在窃取登录凭据和其他敏感信息的假网站。

Share facebook icon linkedin icon twitter icon email icon

全球DNS劫持

学习目标

阅读本文后,您将能够:

  • 定义DNS劫持
  • 概述攻击者如何使用DNS劫持获取登录凭据
  • 描述DNS提供商和网页浏览器如何帮助防止DNS劫持

什么是全球DNS劫持威胁?

包括Tripwire、FireEye和Mandiant等主要网络安全公司的专家报告了全球范围内发生的令人震惊的DNS劫持攻击浪潮。这些攻击针对中东、欧洲、北非和北美的政府、电信和互联网实体。

研究人员尚未公开这类攻击的目标站点,但他们承认受损的域的数量在数十个范围。这些攻击自2017年以来一直在进行,它们结合使用先前被盗的凭据,将用户引领到旨在窃取登录凭据和其他敏感信息的假冒网站。

尽管没有人表示为这些攻击负责,但许多专家认为这些攻击来自伊朗。攻击者的几个 IP地址已经追溯到伊朗。尽管攻击者有可能通过幌骗到伊朗IP来洗脱嫌疑,但攻击的目标似乎也指向伊朗。目标包括几个中东国家的政府站点,这些站点包含没有任何财务价值但对伊朗政府来说非常有价值的数据。

这些DNS劫持攻击如何运作?

攻击的执行策略有几种,但主要流程如下:

  1. 攻击者创建一个假网站,其外观和感觉与他们要攻击的目标站点相同。
  2. 攻击者使用定向攻击(例如鱼叉式网络钓鱼)来获取目标站点的 DNS * 提供商的管理面板登录凭据。
  3. 然后,攻击者进入DNS管理面板,并更改了攻击目标站点的DNS记录(这称为 DNS 劫持 ),这样,尝试访问该站点的用户将被发送到该虚拟站点。
  4. 攻击者伪造 TLS加密证书 ,该证书将让用户的浏览器确信虚拟站点是合法的。
  5. 毫无戒心的用户转到受损站点的URL,然后将其重定向到假的站点。
  6. 然后用户尝试登录假的站点,攻击者将获得其登录凭据。
DNS Hijacking

*域名系统(DNS)类似于互联网中的电话簿。当用户在浏览器中输入URL(例如“ google.com”)时,其在DNS服务器中的记录 会将该用户定向到谷歌的源站 。如果这些DNS记录遭到篡改,则用户可能会遇到意外的情况。

如何防止DNS劫持攻击?

在这些类型的攻击中,单个用户无法采取太多措施来保护自己,以防丢失凭据。如果攻击者在创建其虚假站点时足够彻底,那么即使是技术娴熟的用户也很难发现差异。

防护这些攻击的一种方法是让DNS提供商加强其身份验证,采取诸如要求双因素身份验证之类的措施,这将使攻击者访问DNS管理面板更加困难。浏览器还可以更新其安全规则,例如仔细检查TLS证书的来源,以确保它们源自与所使用域相符的来源。