Morphus實(shí)驗(yàn)室講述了這樣一個(gè)故事，在某周六的早上，你作為一家大公司的CSO（首席安全官），突然開始收到了雪片般飛來(lái)的消息。他們告訴你有游客在訪問了你公司的網(wǎng)址后，瀏覽到了各種惡意內(nèi)容。

這聽起來(lái)像是公司網(wǎng)站出現(xiàn)了混亂，其實(shí)可能發(fā)生了更嚴(yán)重的的事情。當(dāng)你深入研究后會(huì)發(fā)現(xiàn)，公司整個(gè)域名都被黑客劫持了，他們?cè)噲D從你們客戶那里竊取數(shù)據(jù)并且傳播惡意代碼。在本文中，我們會(huì)詳細(xì)介紹針對(duì)上述場(chǎng)景的應(yīng)急響應(yīng)方案。另外，這一威脅對(duì)信息安全策略和安全布局的顛覆，我們可以用一些簡(jiǎn)單的方法進(jìn)行緩解。

DNS基礎(chǔ)知識(shí)

為了更好地理解到底發(fā)生了什么，我們需要了解一些DNS的基本概念。

DNS即域名系統(tǒng)，是互聯(lián)網(wǎng)能夠正常運(yùn)營(yíng)的基礎(chǔ)。我們每天使用的網(wǎng)站和其他網(wǎng)絡(luò)服務(wù)的名字，都需要借助因特網(wǎng)協(xié)議轉(zhuǎn)換為IP地址，DNS服務(wù)器就在其間起一個(gè)翻譯的作用。

DNS服務(wù)器以層級(jí)架構(gòu)的方式工作，當(dāng)解析請(qǐng)求傳遞給相應(yīng)的DNS服務(wù)器時(shí)，它會(huì)負(fù)責(zé)解決問題。DNS服務(wù)器的根節(jié)點(diǎn)，可以比擬為任意網(wǎng)站域名最后看不見的一個(gè)點(diǎn)，它們分布在全世界不同的地方。這些根DNS服務(wù)器必須知道控制頂級(jí)域名DNS服務(wù)器（比如”.com”）的IP地址。同樣，“.com”DNS服務(wù)器也需要知道控制你公司域名的DNS服務(wù)器（比如“yourdomain.com”）的IP地址。

舉個(gè)例子，有DNS請(qǐng)求需要解析“www.yourdomain.com”，在請(qǐng)求包到達(dá)了根DNS服務(wù)器“.”之后，反過(guò)來(lái)又會(huì)下放到“.com”服務(wù)器，接著再到你公司的DNS服務(wù)器，最后它會(huì)解析“www”域名，然后返回正確的地址給你。

這些頂級(jí)域名（比如”.com”）由域名注冊(cè)商把控，這些域名注冊(cè)商也被稱作NIC（網(wǎng)絡(luò)信息中心）。它們會(huì)管理自己負(fù)責(zé)的注冊(cè)域名，同時(shí)專門配置DNS服務(wù)器的IP地址，來(lái)負(fù)責(zé)解析如“yourdomain.com”等域名。

域名劫持

無(wú)論你在哪家域名注冊(cè)商注冊(cè)或者管理一個(gè)域名，必須先在他們那里創(chuàng)建一個(gè)賬戶。這個(gè)賬戶可以把域名注冊(cè)商的DNS服務(wù)器IP地址，指向你的網(wǎng)站或者email服務(wù)器的IP地址。

這樣一來(lái)，域名注冊(cè)商網(wǎng)站的賬戶信息會(huì)顯得非常重要。一旦有不懷好意的人獲取到這些信息，就能任意操作你的域名配置以及你DNS服務(wù)器的IP地址。簡(jiǎn)而言之，他們可以將你們公司的域名和郵件劫持到他那兒。

我們現(xiàn)在回過(guò)來(lái)看看，故事中到底發(fā)生了什么：

黑客盜竊了該公司在域名注冊(cè)網(wǎng)站的身份憑證，登進(jìn)去改變了主/次DNS服務(wù)器配置，將其指向了黑客自己的地址。之后，該公司的客戶訪問的都是黑客偽造的網(wǎng)站，然后下載了黑客準(zhǔn)備的惡意內(nèi)容。我們可以猜測(cè)，罪犯的目的很可能是為了傳播惡意軟件。

事件響應(yīng)

與大多數(shù)網(wǎng)絡(luò)事件一樣，你只需要加載備份和配置就能恢復(fù)你的基礎(chǔ)設(shè)施。在這個(gè)事件當(dāng)中，所有的服務(wù)器其實(shí)并沒有受到損害。

在這些情況下，你有兩件事要做：

第一，找回域名注冊(cè)網(wǎng)站上的登陸憑證。

第二，提醒你的客戶網(wǎng)站已經(jīng)被黑，千萬(wàn)不能再在上面下載任何內(nèi)容。

注意，你這個(gè)時(shí)候千萬(wàn)不能使用你公司的email去發(fā)送消息，因?yàn)楹诳秃芸赡芤呀?jīng)控制了你們的email服務(wù)，甚至正在竊聽你們公司所有的通信內(nèi)容。我們這里建議，你可以通過(guò)公司的社交網(wǎng)絡(luò)賬戶或者其他渠道去發(fā)送這些通知。

我們認(rèn)為，黑客之所以選擇在周末進(jìn)行襲擊，那是因?yàn)檫@時(shí)候是比較難恢復(fù)網(wǎng)絡(luò)環(huán)境的。這次事件發(fā)生在周六早上11點(diǎn)，直到下午5點(diǎn)左右該公司才將DNS配置為正確的服務(wù)器。但是事情到了這里還沒完，由于黑客的惡意改動(dòng)，客戶在接下來(lái)幾個(gè)小時(shí)內(nèi)仍然訪問到的是偽造的網(wǎng)站，這一直持續(xù)到了因特網(wǎng)上DNS緩存進(jìn)行了更新才結(jié)束。本來(lái)黑客為公司域名設(shè)置了24小時(shí)的TTL值，這意味著DNS服務(wù)器會(huì)在接下來(lái)的24小時(shí)內(nèi)用黑客的IP來(lái)解析公司域名。

公司想要加快恢復(fù)的唯一途徑，是聯(lián)系國(guó)內(nèi)負(fù)責(zé)主DNS服務(wù)器的網(wǎng)絡(luò)運(yùn)營(yíng)商，然后請(qǐng)求他們刷新DNS配置。

當(dāng)做好這一切后，情況終于開始恢復(fù)。

網(wǎng)站憑證是如何失竊的

在這期間，公司應(yīng)急響應(yīng)團(tuán)隊(duì)中有一部分人員負(fù)責(zé)恢復(fù)網(wǎng)絡(luò)環(huán)境，另一部分人員開始分析憑證失竊的原因。

在向負(fù)責(zé)此事的DNS管理員問詢后，我們收集到一些值得注意的信息：

他在域名注冊(cè)商那里，綁定了一個(gè)Gmail賬戶，這可以用來(lái)進(jìn)行密碼找回。在這次事件發(fā)生之前，他的手機(jī)至少在4小時(shí)內(nèi)出現(xiàn)無(wú)服務(wù)的情況，而重置Gmail密碼的短信正需要這臺(tái)手機(jī)。

經(jīng)過(guò)公司調(diào)查人員的努力，發(fā)現(xiàn)Gmail的密碼確實(shí)在那段時(shí)間被人通過(guò)手機(jī)進(jìn)行了更改。另外，根據(jù)收到的證據(jù)表明，這只可能是因?yàn)槭謾C(jī)被克隆了。

目前，這一假設(shè)是非常合理的，我們知道黑客可以通過(guò)SDR（軟件無(wú)線電）向GSM基礎(chǔ)設(shè)施發(fā)起攻擊，截獲特定號(hào)碼的網(wǎng)絡(luò)消息和短信消息。

攻擊者的目標(biāo)

這一事件中出現(xiàn)了很多的受害者，首先是被劫持域名的公司本身，其次還有訪問黑客偽造的網(wǎng)站然后下載了惡意軟件的用戶們。很明顯，這種情況下的域名劫持只是為那些沒有太多警惕性的人準(zhǔn)備的。黑客通過(guò)那些信任這家公司的人，去散播惡意軟件，最終成功讓他們感染。

根據(jù)初步分析，這次事件的惡意軟件樣本是一個(gè)銀行木馬（Banload），它專門用于竊取巴西銀行用戶的憑證。

漏洞和建議

黑客會(huì)利用不同的漏洞和攻擊策略來(lái)達(dá)到他們的目的，下面我們會(huì)討論一些預(yù)防和對(duì)抗措施，來(lái)減輕類似攻擊帶來(lái)的風(fēng)險(xiǎn)。

雙因子身份認(rèn)證

咱們現(xiàn)在在域名注冊(cè)商那里啟用雙因子驗(yàn)證是非常有必要的，這意味著你必須要提供至少兩種方法才能證明你的身份，比如密碼、硬件/軟件令牌，甚至你自己的指紋。

在這次事件的分析中，即使黑客可以重置于域名注冊(cè)商綁定的Gmail賬戶，他們也無(wú)法獲得軟件令牌。這次的事件告訴我們，千萬(wàn)不要用短信作為第二重的身份驗(yàn)證，因?yàn)槭謾C(jī)被盜或者被克隆后，黑客就可以通過(guò)短信服務(wù)去獲取你的身份憑證。

分析與域名注冊(cè)商綁定的email賬戶

分析這個(gè)email賬戶是非常重要的，通常它們可以用于重置網(wǎng)站的密碼，所以經(jīng)常會(huì)成為許多釣魚者熱衷的目標(biāo)。如果你偏愛使用email賬戶進(jìn)行身份驗(yàn)證的話，建議啟用雙因子身份認(rèn)證，這樣更不容易被黑。

建立事件響應(yīng)計(jì)劃

你需要有一個(gè)針對(duì)這類事件的詳盡的應(yīng)對(duì)措施，咱們總會(huì)有用到的時(shí)候。

另外，大家需要注意的是，計(jì)劃中需要包括：

域名注冊(cè)商的緊急聯(lián)系方式（聯(lián)系人和電話號(hào)碼）

提醒客戶的另一個(gè)安全途徑（非email）