freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

针对中东以及北非的DNS劫持攻击--海龟行动
2019-04-18 23:19:36

DNS劫持攻击--海龟

     近期,思科Talos团队安全研究人员发现一起针对中东和北非地区的DNS劫持攻击活动,Talos将其幕后组织命名为"海龟"(seaturtle),该攻击活动最早于2017年1月开始,并持续到2019年第一季度。至少有来自13个不同国家的40个不同组织遭到入侵。目标主要为国家安全组织,Talos判断其是一起国家资助的APT攻击活动

概述

海龟专注于使用DNS劫持作为实现其最终目标的机制。当攻击者可以非法修改DNS名称记录以将用户指向攻击者控制的服务器时,就会发生DNS劫持。美国国土安全部(DHS)于2019年1月24日发布了有关此活动的警报,警告攻击者可以重定向用户流量并获取组织域名的有效加密证书

        Talos确定了40多个受害者。受害者组织似乎大致分为两类。第一组受害者,我们称之为主要受害者,几乎完全位于中东和北非。这类受害者主要包括如下领域

外交部

军事组织

情报机构

著名的能源组织

第二组受害组织可能会受到攻击,以帮助实现对主要目标的攻击。这些组织遍布世界各地; 然而,他们大多集中在中东和北非。这类受害者主要包括如下领域

电信公司

互联网服务商

信息技术公司

登记处

One registry

受害者分布如下图所示:


1.jpg

域名服务和记录管理

海龟活动背后的威胁行为者通过操纵和伪造域名空间中不同级别的DNS记录,成功地破坏了实体。本节简要概述了DNS记录的管理位置以及访问方式,以帮助读者更好地了解这些事件的展开方式。

 访问组织DNS记录的最直接的方式是通过注册商和注册人的凭据。这些凭据用于从客户端(注册商)登录DNS提供程序。如果攻击者能够破坏组织的网络管理员凭据,攻击者将能够随意更改该特定组织的DNS记录。

访问DNS记录的第二种方式是通过DNS注册商,有时也称为注册运营商。 这些注册商通常是ISP,电信提供商或网络托管组织。 这些注册商通过域名注册机构代表注册人管理DNS记录。 使用可扩展供应协议(EPP)通过注册表应用程序访问域注册表中的记录。 EPP在评论请求(RFC)5730中被详细描述为“注册服务商应用程序和注册管理机构应用程序之间的交互方式”。 如果攻击者能够获得这些EPP密钥之一,他们将能够修改由该特定注册商管理的任何DNS记录。

获取DNS记录访问权的第三种方法是通过其中一个注册表。 目前有12个不同的注册管理机构管理域注册表的不同部分。 例如,Verisign管理与顶级域名(TLD)“.com”关联的所有实体。 根据ICANN的说法,域名注册管理机构存储在根区域的授权数据中的13个“命名权限”中。 这些注册管理机构管理整个国家/地区代码顶级域名(ccTLD)和通用顶级域名(gTLD)。

    最后,参与者可以定位根区域服务器以直接修改记录。重要的是要注意,在此活动期间(或我们所知的攻击活动中)没有证据攻表明根区域服务器受到攻击或受到攻击。我们强调这是攻击者会考虑的潜在途径。根DNS服务器发布了一份联合声明,声明“根本没有丢失完整性或损坏根[服务器]区域内容的迹象......没有迹象表明客户端已收到来自根服务器的意外响应。”

海龟DNS劫持方法

DNS劫持仅仅是攻击者实现其主要目标的手段。根据观察到的行为,我们认为该行为者最终打算窃取凭证以获取对感兴趣的网络和系统的访问权限。为了实现他们的目标,海龟背后的演员:

建立了一种控制目标DNS记录的方法。

修改DNS记录,将目标的合法用户指向actor控制的服务器。

当用户与这些actor控制的服务器交互时,捕获合法用户凭据。

下图说明了我们如何相信Sea Turtle活动背后的角色使用DNS劫持来实现其最终目标。


2.png

海龟活动背后的威胁行为者通过利用已知漏洞或发送鱼叉式网络钓鱼电子邮件获得了初始访问权限。Talos认为,威胁参与者利用多个已知的CVE获得初始访问权限或在受影响的组织内横向移动。根据研究,攻击者利用以下已知的漏洞:


3.png

截至2019年初,鱼叉式网络钓鱼威胁载体的唯一证据来自受害者的公开披露。2月中旬,管理域名系统核心组成部分的互联网交换点Packet Clearing House在公开透露它受到鱼叉式网络钓鱼攻击时,披露攻击者的钓鱼邮件。(https://krebsonsecurity.com/2019/02/a-deep-dive-on-the-recent-widespread-dns-hijacking-attacks/)

与涉及复杂攻击者的任何初始访问一样,Talos认为此CVE列表不完整。此列表仅表示观察到的攻击者的行为,而不是它们的完整功能。

全球化DNS劫持活动作为感染媒介

在典型事件期间,actor将修改目标组织的NS记录,将用户指向恶意DNS服务器,该服务器提供对所有DNS查询的actor控制的响应。目标DNS记录被劫持的时间范围可以从几分钟到几天不等。这种类型的活动可以使攻击者能够重定向任何在全球范围内查询该特定域的受害者。其他网络安全公司此前报告了此活动的某些方面。一旦针对目标域查询了actor控制的名称服务器,它将使用伪造的“A”记录进行响应,该记录将提供actor控制的MitM节点的IP地址,而不是合法服务的IP地址。在某些情况下,威胁参与者将生存时间(TTL)值修改为一秒。这可能是为了最小化受害计算机的DNS缓存中保留的任何记录的风险。

在2019年期间,观察到以下名称服务器用于支持Sea Turtle活动:


4.png

凭证窃取:中间人服务器

一旦威胁参与者访问域的DNS记录,下一步就是在actor控制的服务器上建立一个中间人(MitM)框架。

该actor的下一步是构建MitM服务器,模拟合法服务以捕获用户凭据。一旦捕获了这些凭证,用户就会被传递给合法服务。为了逃避检测,参与者执行了“证书模拟”,即攻击者从另一个提供者那里获得证书授权签署的X.509证书,用于模仿目标组织已经使用的域的同一域。例如,如果DigiCert证书保护网站,则威胁参与者将获得同一域的证书,但来自其他提供商,例如Let's Encrypt或Comodo。这种策略会使检测MitM攻击变得更加困难,因为用户的Web浏览器仍会在URL栏中显示预期的“SSL挂锁”。

当受害者将密码输入攻击者的欺骗网页时,该角色将捕获这些凭据以供将来使用。受害者收到的唯一指示是用户输入信息与获得服务访问权之间的短暂延迟。这也几乎没有证据表明网络防御者可以发现,因为合法的网络凭证被用来访问帐户。

除了先前报告中发布的MitM服务器IP地址之外,Talos还确定了在观察到的攻击期间由演员利用的16个额外服务器。已知恶意IP地址的完整列表位于下面的“妥协指标(IOC)”部分。

使用受损的SSL证书进行凭证收集

一旦威胁演员似乎可以访问网络,他们就会窃取组织的SSL证书。然后,攻击者将在actor控制的服务器上使用该证书来执行其他MitM操作以获取其他凭据。这允许参与者扩展他们对目标组织网络的访问。被盗证书通常只使用不到一天,可能作为一项操作安全措施。长时间使用被盗证书会增加检测的可能性。在某些情况下,受害者被重定向到这些由演员控制的服务器,显示被盗证书。

该活动的一个值得注意的方面是参与者模仿VPN应用程序(如思科自适应安全设备(ASA)产品)执行MitM攻击的能力。目前,我们不相信攻击者发现了新的ASA攻击。相反,他们可能滥用与ASA的SSL证书相关的信任关系来获取VPN凭证以获得对受害者网络的远程访问。此MitM功能将允许威胁参与者获得额外的VPN凭据。

例如,DNS记录表明目标域已解析为actor控制的MitM服务器。第二天,Talos确定了一个SSL证书,其主题通用名称为“ASA临时自签名证书”,与上述IP地址相关联。在演员控制的IP地址和与受害组织相关的IP地址上都观察到该证书。

在另一个案例中,攻击者能够妥协其中一个注册管理机构NetNod,他们在一份公开声明中承认了攻击。使用此访问权限,威胁参与者能够操纵sa1 [。] dnsnode [。] net的DNS记录。通过此重定向,攻击者可以获得使用沙特阿拉伯TLD(.sa)管理域的管理员凭据。这次袭击可能还有其他沙特阿拉伯受害者。

在2019年3月27日最近的一次活动中,威胁演员针对总部位于瑞典的咨询公司Cafax。在Cafax的公共网页上,该公司声称其中一位顾问主动管理i [。] root-server [。]网区。 NetNod管理了这个特定的DNS服务器区域。我们高度自信地评估了该组织的目标是试图重新建立NetNod网络的访问权限,而NetNod网络此前已受到此威胁行为者的攻击。

与其他攻击者的差异

海龟运动背后的威胁行动者已被证明具有很强的能力,因为他们已经能够执行两年多的行动,并且没有被记录其活动各个方面的公开报告所阻止。 此网络威胁活动代表了第一个已知的域名注册机构组织案例,该案例因网络间谍活动而遭到破坏。

为了将此活动与之前报告的其他攻击者区分开来,例如与DNSpionage相关的攻击者,下面列出了Sea Turtle活动背后的威胁参与者所特有的特征:

这些参与者在针对DNS注册管理机构和一些注册商(包括管理ccTLD的注册商)的追求方面更加积极。

这些演员在他们的MitM服务器中使用Let's Encrypts,Comodo,Sectigo和自签名证书来获得第一轮凭证。

一旦他们可以访问网络,他们就会窃取组织的合法SSL证书并在演员控制的服务器上使用它。

ioc


5.png

参考链接:https://blog.talosintelligence.com/2019/04/seaturtle.html


# 安全资讯 # 安全报告
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者